Donnerstag, 16. Februar 2012

Bild zur News "Neue Sicherheitsfunktionen in Mountain Lion"Mit der Auslieferung von OS X Mountain Lion im Sommer wird Apple auch eine Reihe neuer Sicherheitsfunktionen einführen. Was unter iOS die Regel ist, wird bei der kommenden OS-X-Version optional auch möglich sein: die Beschränkung der App-Installation auf den App Store von Apple. Alternativ können aber auch wie gewohnt Programme von außerhalb des Mac App Stores installiert werden, was einen Vorteil an Flexibilität im Vergleich zu iPad, iPhone und iPod touch darstellt. Apple wird aber auch noch einen Zwischenweg anbieten. Bei Apple registrierte Entwickler haben die Möglichkeit eine Signatur für ihre Programme anzufordern, welche dann abseits des Mac App Store vertrieben werden können. Dies gibt Anwendern die Gewissheit, dass Apple die Entwickler und deren Programme bekannt sind und es sich bei diesen nicht um Malware handelt. Eine weitere Verbesserung wird die systemweite Fragmentierung des Arbeitsspeichers mittels ASLR (Address Space Layout Randomization) sein, wodurch Angriffe mittels Speicherüberlauf manipulierter Dokumente erschwert werden. Ein derartiger Angriff beruht darauf, dass sich an bestimmten Stellen im RAM immer die gleichen Programmbestandteile befinden. Mit der zufälligen Verteilung aller Komponenten im Arbeitsspeicher ist dies nicht mehr möglich. Erste Ansätze hatte Apple bereits in bisherigen Versionen von OS X umgesetzt, doch erst mit Mountain Lion wird ein weitergehender Schutz geboten. Einen vollständigen Schutz vor Speicherüberlauf-Angriffen kann ASLR aber nicht garantieren.
0
0
42

Kommentare

Ist der "Spätsommer" sicher? Im Video heißt es "after less than a year"; Lion kam im Juli (stimmt meine Erinnerung?), also kommt Mountain Lion spätestens im Juli und das ist doch kein Spätsommer, oder?
„Eine gute Grundlage ist das Fundament für eine solide Basis.“
Dies gibt Anwendern die Gewissheit, dass Apple die Entwickler und deren Programme bekannt sind und es sich bei diesen nicht um Malware handelt.

so ein quatsch. apple testet und analysiert die programme ja nicht. Ist ja im AppStore das selbe. da ist auch jede menge malware um die wege obwohl apple anscheinend die apps testet...
dSquare
Noch ist es freiwillig. Ab 10.9 braucht man dann nen Jailbreak für den Mac hehe
sb
Amfortas
Nein, ist nicht sicher. Ich habe es in Sommer geändert.
@dSquare

und 10.9 kommt dann schon 2013?

Boah, geht das schnell mit der Entwicklung von OS X... ich hätte nicht gedacht, dass 10.8 vor 2013 kommen wird...
Steppenwolf
ASLR wurde doch schon in Lion umgesetzt?!
Ich denke nachdem ich Lion ausgelassen habe werde ich mir den Berglöwen noch kaufen, und dann wird sich zeigen in welche Richtung die Entwicklung geht, nur noch Software aus dem Mac App Store oder doch auch noch andere. Wenn es denn so bleibt freue ich mich.
Denn 90% meiner Zeit verwende ich Software die es MAS nicht gibt und auch so schnell nicht geben wird. Was für mich dann wohl bedeuten zurück zum Ursprung, Gentoo oder eben dann eine andere Distro.

Ich muss sagen ich hätte eine Träne im Auge, aber besser dass als kein Geld im Geldbeutel.

Bei iOS hat mich der Knast nicht so gestört, da es für mich halt doch einfach nur ein Telefon mit einer paar tollen Gimmiks ist, nichts aber was ein Android nicht auch könnte.

Ich bin gespannt was die Zukunft bringt...
Hannes Gnad
@Windläufer: Es gibt mitn 10.8 nun drei Sicherheitsstufen: Erstens signierte Apps aus dem MAS, zweitens signierte Apps aus anderen Quellen, und unsignierte Apps. Man kann installieren, was man möchte, und via "Gatekeeper" einstellen, was erlaubt ist. Finde ich ok, man hat als Benutzer die freie Wahl, und kann die Balance zwischen "Sicherheit" und "Freiheit" selbst einstellen.
tja genau das habe ich hier im forum gepredigt und wurde ausgelacht
tk69
Ah, da der Berglöwe enger an die Cloud gebunden werden soll, macht auch das Ende von MobileMe im Sommer einen Sinn.

Sprich: Apple hat es schon längst gewusst, dass der Berglöwe im Sommer erscheint.

Vielleicht kommen dann auch die iDisk/Galerie/iWebSpace in veränderter Form zurück.
16.02.12 17:16
@dSquare
und 10.9 kommt dann schon 2013?
Boah, geht das schnell mit der Entwicklung von OS X... ich hätte nicht gedacht, dass 10.8 vor 2013 kommen wird...


Ist ja toll, Versionsnummern korrelieren immer mit Fortschritt Siehe Chrome und Firefox..
„MacBook Pro late 2007, 15", 2,4GHz, 4GB DDR2 RAM, 256MB Nvidia 8600M GT, 120GB OCZ Vertex 2 / 160GB HD (kein Superdrive mehr nach 3 Laufwerksschäden )“
Wann fällt wohl der Finder weg?
Ab 10.9 ist dann OS X nicht mehr. Dann gibts nur noch iOS.. *sick*

Man nimmt schrittweise die Freiheit weg und alle klatschen dabei noch in die Hände und sind glücklich. -.-
„MacBook Pro late 2007, 15", 2,4GHz, 4GB DDR2 RAM, 256MB Nvidia 8600M GT, 120GB OCZ Vertex 2 / 160GB HD (kein Superdrive mehr nach 3 Laufwerksschäden )“
Luzifer
Ich klatsche nicht.

Ich finde diese immer strengere Bevormundung durch Apple einfach nur Schei55e!

Es gäbe so viele Baustellen in Mac OS X, die wichtiger wären, aber immer wird nur entweder Kinderspielzeugkram eingebaut oder man wird in den Möglichkeiten beschränkt! Wozu hab ich einen Computer, wenn ich nur das damit tun darf, was mir der Hersteller vorschreibt? Computer waren mal dazu gedacht, alles darauf machen zu können …
„Cogito ergo bumm!“
Hannes Gnad
@Luzifer:
Es gäbe so viele Baustellen in Mac OS X, die wichtiger wären
Welche?
@Hannes,

ja das ist mir klar und deshalb meine ich ja auch das ich mir 10.8 auf jeden Fall noch kaufen werde, ich hab ja noch die Freiheit. Aber mal schauen wie es eben in darauf folgenden Versionen aussieht. Deshalb, ich bin gespannt.
Das ist das falsche Sicherheitsmodell. Traurig, dass sich dieser Trend bei Apple fortsetzt. Haben die vergessen, dass Mac OS X durch offene Quellen und offene Standards überhaupt erfolgreich geworden ist? Wie soll ein Kind denn programmieren lernen, wenn man gleich einen Gewerbeschein braucht um Hello World zu sagen?

Meinetwegen kann man ja den Webbrowser kastrieren, wie man will, aber bitte nicht dem Besitzer des Rechners vorschreiben, was er darf und was nicht.

You are running a program that Apple doesn't know about.

Cancel or Allow?

Das ist doch ein gespielter Witz!
JanoschR
vllt mal einen Grundkurs in Lesen besuchen?
Hannes Gnad
@Windläufer: Was hätte Apple von einem echten MAS-Zwang? Für etwas mehr Sicherheit (oder genauer: etwas weniger Unsicherheit durch den Ausschluss "freier" Anwendungen) für die Benutzer würden sie Sturm ernten, von den Entwicklern über die Admins bis zu den Benutzern, und ich kann mir vorstellen, daß dann sogar die Politik bzw. Rechtsprechung eingreifen würde.
Man vergleiche diese sogenannten "Sicherheitsfunktionen" mit SELinux, das von der NSA entwickelt wurde, um in Hochsicherheitsbereich von ihr selbst und andere US Behörden benutzt zu werden. Was Apple und Microsoft tun, dient nur dazu der Contentindustrie eine sichere Plattform zu bieten. Sicher heißt in diesem Kontext, sicher für die Contentindustrie und nicht sicher für den Nutzer.

Bei SELinux (früher auch Trusted Solaris, Auditing in HP-UX, usw.) geht es darum die Daten des Nutzers zu schützen, d.h. Hackerangriffe zu unterbinden und Maleware abzublocken.
Hannes

Bug fixing, vielleicht?
„...“
cocoa moe
Das ist das falsche Sicherheitsmodell
Warum? Begründung? Was ist an einer Signatur, die sicher stellt, dass ein Programm nicht manipuliert wurde, falsch sein?
In diesem Zusammenhang derzeit heftige Betriebsamkeit bei Mozilla bei einem Thema, das schon lange geplant ist, das durch die heutigen Ereignisse aber erneut an Fahrt gewinnt, nachdem es lange Zeit eher so dahindümpelte und man es immer wieder vor sich herschoben hat:

Bug 723176 - support mac dmg signing in the build system

TCPA kommt, und alle klatschen. Mal schauen, wie lange noch. Mit bunten Zuckerbonbons lassen sich die iKids offenbar problemlos in die Zwangsjacke stecken. Mir ist *sick*
Was genau hat was mit TCPA zu tun?
Hannes Gnad
@A-Ha:
TCPA kommt, und alle klatschen.
Das Signieren von Apps hat NICHTS mit TCPA zu tun. Bitte informiere Dich, was da passiert, bevor Du solche Kommentare raushaust.
PaulMuadDib
Eine Signatur ist keine Garantie dafür! Bisher wurde jedes Signaturverfahren früher oder später geknackt, und oftmals muß man gar nicht den eigentlichen Schüssel knacken, es reicht sogenannte Hash Kollisionen zu erzeugen.

Wenn man mehr Sicherheit haben will gibt es nur einen sinnvollen Weg, den die NSA bei SELinux unterstützt hat. D.h. die Entwicklung spezieller APIs, die den Betrieb von Software verbessern. Allerdings müssen dann die Systeme wirklich gut gewartet werden. Otto-Normalverbraucher ist dazu nicht wirklich in der Lage.

Was Apple hier einführt, ist der Weg zu einem totalen geschlossenen System auf dem nur noch zertifizierte Software laufen darf - ganz im Sinne von TCPA. Wenn man dann erstmal eigene Software laufen lassen will, muß man entweder registrierter Entwickler sein, oder muß seinen eigenen Computer jail breaken - a brave new world.

Der Werbespot 1984 erwies sich wirklich als zukunftsweisend, aber anders als damals von den Machern gedacht.
diddom
Schade. OS X scheint wirklich ein iOS zu werden.
Das wird mir nicht gefallen. Vielleicht heisst es eins Tages doch, bye bye Mac...
Ich halte es mittlerweile eher für unwahrscheinlich, dass Apple mittelfristig auf dem Mac einen AppStore-Zwang implementieren wird. Ich denke die Tendenz geht eher dahin, dass neue OS-Features bzw. verschiedene APIs nur noch AppStore-Programmen zur Verfügung stehen. Dann wird es irgendwann immer schwerer am AppStore vorbei zu entwickeln, ohne dass Apple sich vordergründig Vorwürfe gefallen lassen muss.
crissi
"Computer waren mal dazu gedacht, alles darauf machen zu können …"

Waren sie erstens nie und zweitens kann man heute mehr mit den Dingern machen als je zuvor.
„Erst heulen, dann Fragen stellen.“
Seltsamerweise klingt Windows 8 für mich sexy wie nie....
Ich sehe, dass in Deutschland das Bedenkenträgertum jedenfalls nicht vom Aussterben bedroht ist. Oh mein Gott, das wird uns alle umbringen.
Thunderbolt
Es zeichnet sich mittlerweile eine rote Linie in Apples Entscheidungen ab. Man kann sie sehen wenn man will, aber die Marschrichtung ist mittlerweile sehr eindeutig geworden.
gfhfkgfhfk

Das ist deine Meinung, die ich nicht teile. Gatekeeper ist eine optionale Sicherheitsfunktion. Du kannst jederzeit jede Applikation trotz aktiviertem Gatekeeper installieren.

OS X soll sicher für den Nutzer und die Content Industrie sein. Das finde ich sehr gut.

Wenn Apple das einmal ändern sollte, dann nutze ich halt ein anderes OS wie Windows oder Linux. Und deshalb wird Apple das niemals tun.
Hannes Gnad
Mir leuchtet noch nicht ganz ein, was eine Signierung von Apps, die vor Malwares schützen soll, mit der Content Industrie (Anbietern von Filmen und Musik) zu tun haben könnte...
hannes gnad
Die Signatur verhindert keine Malware, sonder beschränkt nur den Zugang zu anderen Softwarequellen. Das ist vergleichbar damit, keine Programme mehr von Wechseldatenträgen auszuführen, weil man die ja von irgendwoher haben könnte.

Das ist wie bei TCPA - allen Firmen wird vertraut, aber nicht dem User, der sich nicht Apple offenbaren will.

Das das im Moment nur eine Option ist, liegt an der Radikalität des Schrittes. Ziel ist eindeutig, die Option zur Norm zu machen. Einige Programme könnten die Einstellung prüfen und auf Systemen auf denen sie ausgeschaltet ist schlicht den Dienst verweigern.

Im Zusammenhang mit Softwarepatenten für Player Programme kann man damit auch Bildschirmfotos von Bluray Discs verhindern - das ist nur ein Beispiel.
Es ist wirklich wie in Cancel or Allow:
"Adium" has not been signed by a recognized distributor and may damage your computer. You should move it to the Trash.

"Adium" is on the disk image "Adium_1.4.4.dmg". Safari downloaded this disk image today at 11:06 AM from adium.im."


Keep the gatekeeper out!
Die Situation wäre besser, wenn Apple einen Button "selbst signieren" einblenden würde und das Programm dann ausführt. Dann wären sie aber Sicherheitstechnisch auch nicht viel weiter als jetzt schon, weil der Ausführungsschutz für Apps "Sie benutzen XYZ zum ersten mal..." ja auch schon das versehentliche Starten (und das absichtliche natürlich auch) erschwert. Nur bei signierten Apps entfällt dann die Warnung, was ja Ok, aber auch unsicherer ist als bisher, denn eine Signierte App von der der Anwender nichts weiß kann auch Schaden verursachen - mit der richtigen Konfiguration - man denke an VNC und Growl...
Hannes Gnad
Die Situation wäre besser, wenn Apple einen Button "selbst signieren" einblenden würde und das Programm dann ausführt. Dann wären sie aber Sicherheitstechnisch auch nicht viel weiter als jetzt schon, weil der Ausführungsschutz für Apps "Sie benutzen XYZ zum ersten mal..." ja auch schon das versehentliche Starten (und das absichtliche natürlich auch) erschwert.
Genau dieses "Öffnen" ist ja schon (seit 10.5!) eine "Selbstsignatur", Stichwort "file quarantine".

Wie schon ein paar Mal getippt: Ich glaube nicht, daß Apple (kurz- bis mittelfristig) versuchen wird, diese Option zur Norm zu machen, der Widerstand wäre, gemessen am Sicherheitsgewinn, doch zu groß.
Ja, das hoffe ich. Aber wie sagen wir Apple, dass wir das nicht wollen? Das ich mir wegen dieser Politik kein iPad gekauft habe, hat bestimmt keiner gemerkt
Hannes Gnad
http://www.apple.com/feedback/
War zu befürchten, sehr schade. Einigen Fan-Sklaven wird es gefallen.

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

Sind Sie mit Apples Produktjahr 2014 zufrieden?

  • Ich bin schwer begeistert, ein fantastisches Jahr8,3%
  • Ich bin sehr zufrieden, ein gutes Jahr33,6%
  • Ich bin tendenziell eher zufrieden30,1%
  • Bin unentschlossen, das Jahr war durchwachsen10,7%
  • Ich bin tendenziell eher unzufrieden11,0%
  • Ich bin unzufrieden, der Großteil war Mist4,2%
  • Total enttäuscht, 2014 war ein miserables Produktjahr2,1%
336 Stimmen31.10.14 - 31.10.14
8832