Na, was ist da denn wieder dran – oder auch nicht …

Das ist kompletter Quatsch den die Presse da aufgeschnappt hat ohne richtig zu recherchieren. Stattdessen werden hier Schlagzeilen gemacht. Ich habe dazu einen Artikel gelesen der es ganz anders darstellt.

Demzufolge sollen OS X Machinen gegenueber Angriffen grundsätzlich viel resistenter sein als Windows Maschinen. Einzig und allein OS X Server, bzw. einige dessen Dienste benutzen schwache Authentifizierungsmethoden bzgl. des Admin Passworts. Dies wiederum ermöglicht es durch Dienste wie beispielsweise File-Sharing Zugriff auf den Mac zu gelangen und mithilfe einer womöglich sehr lange dauernden Brute-Force Attacke das Passwort zu knacken. Dies bedeutet, dass bereits ein infizierter Rechner im Netzwerk vorhanden sein muss. Laut dem Artikel ist dies auch sehr wahrscheinlich ein Windows Rechner.

Hier einige Auszüge:

Also wie gesagt... meiner Meinung nach Quatsch und Klickfischerei. Da wurde entweder absichtlich Sensationsjournalismus betrieben oder einfach nicht richtig gelesen bzw. verstanden.

Hi,

ist nicht so ganz richtig was die Presse da so schreibt. Aber mit der Aussage, dass Win7 und OS X Lion ungefähr gleich sicher sind gewinnt man ja keine Aufmerksamkeit.

Schade nur die Patzer beim Server, dass ist Substandard - aber über den Server wurde ja schon viel geschrieben und mäßig nicht soviel gutes.

Wer die Folien selber lesen will findet das hier:

https://www.isecpartners.com/storage/docs/presentations/iSEC_BH2011_Mac_APT.pdf

Viel Spaß dabei,...

Siehe auch:

Black Hat:
Alex Stamos (iSEC): Macs in the Age of the APT

Details: iSEC: Macs in the Age of APT (PDF)

ITworld: Does the Mac have an edge against state-sponsored hacking?
Macs aren't being hit with APT-style attacks, but that doesn't mean they're invulnerable

The Register: Beware of Macs in enterprise, security consultants say
OS X in the age of espionage malware

The Register: Beware of Macs in enterprise, security consultants say
OS X in the age of espionage malware: Kommentar Alex Stamos (iSEC): Let's Clear Some Things Up

Weitere Black Hat Tracks (Vorträge) MacOSX & iOS betreffend:

Black Hat:
Dino Dai Zovi: Apple iOS Security Evaluation: Vulnerability Analysis and Data Encryption


Black Hat:
Stefan Esser: Exploiting the iOS Kernel

The Register: Exploit writer spills beans on secret iPhone function
iOS debugger of no use to anyone ... except hackers (Interview with Stefan Esser)


Black Hat:
David Schuetz: Inside Apple's MDM Black Box




Ebenfalls interessant folgende Black Hat Themen/Vorträge:

Black Hat:
Jerome Radcliffe: Hacking Medical Devices for Fun and Insulin: Breaking the Human SCADA System

Computerworld: Black Hat: Lethal Hack and wireless attack on insulin pumps to kill people

Black Hat:
Sung-ting Tsai + Ming-chieh Pan: Weapons of Targeted Attack: Modern Document Exploit Techniques

Datamation: Black Hat: Document Exploits Continue to Evolve
Researchers demonstrated that Microsoft Office documents are still exploitable.

Black Hat:
Matt Johansen + Kyle Osborn: Hacking Google Chrome OS

Black Hat:
Fran Brown + Rob Ragan: Pulp Google Hacking: The Next Generation Search Engine Hacking Arsenal

Black Hat:
Shreeraj Shah: Reverse Engineering Browser Components: Dissecting and Hacking Silverlight, HTML 5 and Flex

Black Hat:
Tyler Shields + Anthony Lineberry + Charlie Miller + Chris Wysopal + Dino Dai Zovi + Ralf-Phillipp Weinmann + Nick DePetrillo + Don Bailey:
PANEL: Owning Your Phone at Every Layer




[b]Übersicht [u]aller Black Hat Vorträge und Workshops:[/b][/u]

Black Hat: all briefings:

Black Hat: all workshops:




Außerdem interessant:

ITworld: NSA hiring at Black Hat:
R u h4X0R? n33d @ jo8? NSA wants you (locked up in a cubicle, not a cell)
NSA among leading recruiters at Black Hat, Defcon as feds try to get up to speed on cyberwar [url]http://www.itworld.com/security/189101/r-u-h4x0r-n33d-jo8-nsa-wants-you-locked-cubicle-not-cell[url]

Naja, wer schon von einem Active Directory Dateisystem und Bonjour als Fernsteuerungsfunktion ansieht, der hat sich ja schon intensiv mit den Betriebssystemen auseinander gesetzt.
Nur werden die Leser solcher Seiten, die sich nicht mit Betriebssystemen auskennen wieder mal für dumm verkauft.

Kann mal jemand etwas dazu sagen, inwieweit MS als Sponsor der Black Hat Veranstaltung auf Verlautbarungen, die von dort kommen, Einfluss nimmt, so oder so?

Oder versteh ich das falsch
http://www.scmagazineuk.com/black-hat-microsoft-stumps-up-200000-for-next-great-security-technology/article/209043/

Ich war gestern Abend zu müde, etwas dazu in meinem Blog zu schreiben, hole es aber noch nach. Bin mal gespannt, ob einer von Euch die eklatanten Fehler in dem PDF von iSEC findet, bevor ich darüber berichte.

Es passierte ja schon in der Vergangenheit, daß unseriöse Artikel viele Fliegen anziehen, wie hier beschrieben: macmark.de/blog/osx_blog_2011-07-d.php

Die Windows-Firewall filtert keinen ausgehenden Traffic!

… bei XP. Später schon.

MacMark:

Was ich mich angesichts solcher und ähnlicher Äußerungen aus Deiner Feder jedes Mal frage:

Wieso hört und liest man international eigentlich nicht von Dir, wenn Du alles besser weiß als diese dort auftretenden Leute? Wo sind eigentlich Deine Vorträge und Auftritte auf solchen Veranstaltungen wie der Black Hat? Wieso bist Du dort kein gefragter Mann? Oder wieso bist Du nicht schon längst von der NSA rekrutiert worden, welche dort ja auf Entdeckungstour gehen und Hacker anwerben?
Wieso hat Apple Dich beim sicherheitstechnischen Audit von Lion nicht zu sich geladen, wieso hatten solche Leute wie Charlie Miller, Dino Dai Zovi & Co. diese Ehre und nicht Du?
Wieso steht in Security Release Notes zu MacOSX und iOS regelmäßig deren Name auch und Namen anderer u.a. auf der Black Hat auftretender Hacker-Größen in den dankenden Credits drin? Wieso taucht da bislang niemals Dein Name auf, wo Du ja alles besser weißt und Du solche Leute regelmäßig als unseriöse Wichtigtuer und Dummschwätzer hinstellst?

Sind das alles Idioten und Wichtigtuer (man schaue sich auch mal die einzelnen Biografien dieser im Rahmen der Black Hat und ähnlichen Veranstaltungen auftretenden Leuten an, was deren fachlicher Hintergrund ist und womit die beruflich so zu tun haben: )?

Und Du bist der, der den großen Durchblick hat, Du bist derjenige, der ihr Tun als Wichtigtuerei entlarvt? Wenn diese Leute nur wichtigtun, weshalb werden deren Entdeckungen dann von Apple in den Apple Security Updates regelmäßig gefixt und diesen Leuten durch die Credits in den zugehörigen Security Release Notes für diese Entdeckungen gedankt? Wieso lässt Apple solche Leute vorab an Lion ran, ja lädt sie gezielt ein, um mal einen prüfenden Blick drauf zu werfen, wenn das, was sie bisher reglmäßig rausgefunden haben und auf solchen Veranstaltungen wie der Black Hat zunächst einer ausgewählten und dann der gesamten Öffentlichkeit präsentieren, Deiner Ansicht nach unseriös ist und jeglicher Grundlage entbehrt?

In einem Satz: Wo also ist Dein fachlicher und beruflicher Hintergrund, der Dich über diese Leute stellt, der Dich besser stellt als sie, der Dich seriöser macht als sie, ja der Dich überhaupt seriös und glaubhaft macht, Dir mehr Glauben und Vertrauen zu schenken als diesen dort auftretenden Personen?

Fragen über Fragen...

Let's Clear Some Things Up (AlexStamos)

http://forums.theregister.co.uk/forum/2/2011/08/08/mac_security_risk/

Was the OS X server potential attack vector shared with Apple before going public?
If there is no OSX Server to connect to, what then?
http://forums.theregister.co.uk/forum/2/2011/08/08/mac_security_risk/

Dies und mehr von AlexStamos: http://forums.theregister.co.uk/user/52481/
Unter dem Link findet man nur seine Posts.


Darin auch die Aufforderung:

Warum?

Außer 10 Links und Zitaten hat sich sierkb noch nicht zum Thema geäußert.

Das Thema ist ja nicht: das persönlich Anfeinden eines anders Denkenden, oder?

Soweit ich das überblicke, hat sich eine Firma, die sich hauptsächlich mit Windows-Sicherheit beschäftigt, in einen Wettbewerb eingeklinkt der von Microsoft mit insgesamt 250.000 $ dotiert ist. Der Hauptpreis ist 200.000 $.

In dem Test wurde festgestellt, das Win 7 und Lion gleich Sicher sind. Obwohl Win 7 ja in der Entwicklung etliche Monate Vorsprung gegenüber Lion hat.

Außerdem wurden die jeweiligen Servervarianten verglichen, und da ist Windows Server sicherer als OS X Server, wenn die von DAUs konfiguriert werden.

ma.:

Dürfen jetzt schon wieder irgendwelche Verschwörungstheorien herhalten, die sich gegen Apple angeblich versammelt haben, um ganz gezielt MacOSX und iOS schlecht aussehen zu lassen? Wollen wir uns wirklich auf dieses Niveau begeben?

Microsoft ist ein Sponsor. Einer von vielen.
Black Hat: Technical Security Conference: USA 2011 // Sponsors .

Apple könnte auch darunter sein. Einige solcher Sponsoren loben u.a. auch deshalb Preisgelder aus, weil sie unbedingt wollen, dass man sich an ihren Systemen versucht. In manchen ähnlichen Wettbewerben stellen solche Sponsoren dann extra präparierte Systeme zur Verfügung, die so einen Wettbewerb dann eher unglaubwürdig machen; die Black Hat Conference hat diesen wohl eher zweifelhaften Ruf jedoch nicht -- eher im Gegenteil. Abgesehen davon: auch Mozilla und Google loben Preisgelder aus, damit man ihre Browser und Systeme malträtiert und Sicherheitslücken findet. Aus einem gewissen Eigeninteresse heraus, ein gutes und sicheres Produkt zu haben, bei dem auch die Sicherheitslücken, die ihnen selbst entgangen sind, im Rahmen eines solchen Wettbewerbs auf diese Weise aufgedeckt und dann beseitigt werden können.

Wo ist Apple bei dem Ganzen? Egal ob nun im Rahmen einer solchen Veranstaltung wie der Black Hat oder auch völlig unabhängig davon, so wie Mozilla und Google das praktizieren. Warum lobt Apple keine Preisgelder aus, damit man ihre Systeme mal so richtig in die Zange nimmt? Warum tritt Apple bei so einer Veranstaltung wie der Black Hat nicht ebenfalls irgendwie in Erscheinung (entweder als Sponsor oder auf andere fördernde Art), sondern glänzt mit Abwesenheit. Wenn sie sich ihrer Sache so sicher sind, dass sie ein gutes und sicheres Produkt haben, dann wäre die Anwesenheit und/oder das Sponsoring einer solchen Veranstaltung doch eigentlich ein Kindergeburtstag, ein Homerun für Apple... Oder etwa nicht?

frag ich mich auch öfter ... kenne ihn auch nicht ...

Euch fällt also noch immer kein Fehler in dem Vortrag auf?

Schade, eine Antwort auf sierkbs Frage wäre interessanter gewesen

@Justanothermacianer
@sierkb
@Marcel_75@work

Das ist alles über MacMarks Profil und seine HP/Impressum u.a. zu erfahren …

Nein!

Microsoft verteilt quasi an Jeden einige 100.000 $.
Man muß denen nur ne Mail schicken und sagen wofür und wieviel.
Die Microsoft-Lobby-Banden, die auch z. B. in Berlin und München rumlungern, oder das Migrations hinundher des Auswärtigen Amtes, haben mit dem Microsoft-Geldverteilen überhaupt nichts zutun!

Mir sind noch mehr Fehler in dem PDF aufgefallen. Der Artikel wird dann doch nicht so kurz.

Da sonst keiner die Fehler bemerkt hat, beginne ich dann mal mit der Auflösung:
 macmark.de/blog/osx_blog_2011-10-a.php

Fortsetzung folgt …

Oh, der selbsternannte Mac-Sicherheitsexperte No. 1 meldet sich zur Lage … wie köstlich.

sirkb

Da ich mich nun über die „Anti-Apple-Lobby“ (nicht zu ernst nehmen) hier in diesem Forum genügend geäußert habe, eine ganz persönliche Frage an Dich, die sich darauf begründet Deine Motivation die hinter vielen Deiner Beiträge, ich nenn sie mal „Anti-Apple-Beiträge“, steht zu verstehen.

Also was ist das Motiv für Dich, bitte eventuell meine Einstellung, das wir uns in einem Mac-Forum befinden, berücksichtigen.

Ich betone nochmals, Kritik an Hardware / Software und eventuell auch diese oder jene Meinung zu Entwicklungstrends bei Apple die uns nicht passen, ist m. E. wichtiger Bestandteil des Forums.

Nur überschreitet die Art Deiner Beiträge in meinen Augen das Maß innerhalb eines, vom Grundprinzip her Apple positiv gesonnenen Forums um ein Vielfaches und sollte vielleicht in ein entsprechend anderes Forum gehören.

Ich würde gern verstehen was Dich dazu motiviert, welche Ziele Du damit verfolgst und ob es eigentlich auch Bereiche bei Apple gibt zu denen Du eine positive Meinung hast.

Also klär mich auf, vielleicht ist es ja dann nachvollziehbar.....

Schlechte Nachrichten verkaufen sich immer besser als Gute. Panikmache steht hoch im Kurs. Wen interessieren da noch lästige Details wie die Wahrheit ...

Freut mich, wenn es Dich freut. Ich habe mich auch weggeschmissen vor Lachen bei deren PDF. Mein Review ist aber erst am Anfang, ich muß noch circa 80% ergänzen im Artikel. Das annotierte PDF gibt schon grobe Hinweise, was noch kommt.

Sehr interessanter Artikel! Endlich mal jemand der nicht alles nachplappert was ein so genanter "Security Consultant" (iSEC) von sich gibt.

Ich bitte Anfeindungen auf persönlicher Ebene zu unterlassen.

Danke, MacMark, danke Vermeer.

man könnte auch von einer Werbeveranstaltung für die iSEC sprechen, bzw. hat die iSEC das daraus für sich gemacht hat.

OS X in 3 Minuten gehackt.
So einen Artikel gab es schon einmal. Was man dazu mal aber nicht dazu gesagt hat. Von aussen könnte man dazumal weder Win, Linux noch OS X hacken.
Am zweiten Tag ist man dann hergegangen, hat per Mail eine Schadsoft an den Mac geschickt und dann installiert, von Hand.
Übrigens war die ganze Veranstaltung dazu mal von Microsoft bezahlt.

Darum bin ich immer Vorsichtig bei solchen Artikeln. Das OS X absolut sicher ist davon bin ich aber sicher auch nicht überzeugt.

Mal ehrlich: Ist doch total egal, welches System nun sicherer ist und welches unsicherer ist.
Ich hab eigentlich wenig Ahnung. Aber eins kann ich sagen: Sehr viel hängt vom Nutzerverhalten ab!
Wer ständig auf dubiosen Seiten surft, nur weil es da par Filmchen, 2 3 Pornos und n bisschen Musik kostenlos und ILLEGAL gibt, braucht sich halt nicht wundern. Ist jetzt zwar ein StammtischArgument. Aber bekanntlich liegt ja in der Übertreibung die Anschaulichkeit.

Fakt ist außerdem: Jedes mir bekannte Betriebssystem der Welt hat bislang viel zu viele Lücken. Das eine hier, das andere da.
Meiner Meinung nach gibt es da kein gut oder schlecht, sondern einfach nur grundsätzlichen Nachholbedarf.

Soeben wurde mir ausführlich, nachvollziehbar und glaubhaft klar gemacht, dass ich einen völlig unqualifizierten Beitrag verfasst habe.
Nun, diese Kritik nehme ich an und warne als Quintessenz meines neuen Wissens ausdrücklich davor, Apple länger zu glauben, mit OS X habe man das wohl sicherste System. Vielleicht das schönste und intuitivste - aber "sicher" sind offensichtlich LÄNGST die anderen.

Im übrigen wurde mir die Abkürzung "asap" erklärt, was zwar nicht nötig war, ich aber dennoch sehr erfrischend entgegengenommen habe.

Einzig ein höfliches "Nichts für ungut." hätte sich am Ende der gefühlten 2000 Zeichen noch sehr gut gemacht.

gut das MacMark da mal als Einziger hier da mal fachlich rangegangen ist und die Fehler aufgedeckt hat, also die fehlerhaften Aussagen. iSEC wollte wohl nur ein wenig Werbung für sich machen und sogar sierkb hat das geschluckt. iSEC - gut gemacht, weiter so an MS Hand!

Und nicht immer gleich an alles glauben was geschrieben steht, auch nicht wenn es zig Zeitschriften widerkäuen.

Fortsetzung in meiner Mailbox, seitenlang. Nun ja.

@GerryKannst du auch Links oder Quellen hierzu bringen?

ich schreib da nix zu. wie die Fliegen, die die Fliegen....

Das war erst der Anfang, ich bin ja noch gar nicht fertig damit

So, nun bin ich endlich durch mit dem Review.

unabhängig von der ganzen Diskussion die hier erfolgt, ich verstehe dein Englisch nicht, vielleicht solltest du nochmal drüber lesen.
Grüße,
Christoph

Das PDF ist auf englisch dokumentiert. Die Webseite beschreibt jedoch alles auf deutsch.

Macht das gute OS X Lion nicht runter.
Wenn Gott (Apple) entschieden hat uns damit zu beglücken denn muss das nun mal das aller aller beste System der Welt sein

Die Einhaltung des 9. Gebotes "Du sollst nicht lügen!" würde mir schon genügen.

ach so ein alter Scheiss....

Es war kein sicherheitstechnisches Audit. Es war auch keine Einladung "zu sich (Apple)", sondern eine Einladung, die Prerelease von Lion herunterzuladen.

Apple hat nicht nur allen registrierten Mac-Entwicklern (also Leuten wie mir), sondern zeitgleich auch einigen externen Sicherheitsleuten ermöglicht, die Prerelease-Version von Lion herunterzuladen und auszuprobieren, weil Apple glaubte, daß dies für diese Leute interessant sein könnte, weil sie vormals Sicherheitslücken an Apple berichtet hatten und Lion verschiedene Verbesserungen bei den Sicherheits-Gegenmaßnahmen enthält. Normalerweise haben nur die Mac-Entwickler Zugang zu Vorabversionen, um ihre Programme anpassen zu können. Außerdem wäre es zu diesem Zeitpunkt zu spät gewesen, grundlegende Änderungen am System und den Entwicklungswerkzeugen und den mitgelieferten Programmen vorzunehmen, eben weil die Mac-Entwickler anhand dieser Prerelease-Version ihre Mac-Programme anpassen sollten.