5 keer noodklok voor Mac-security
Het is één van de wederzijds afgeschoten pijlen in de al jaren lopende pc-Mac-oorlog: security. De onveiligheid van de pc versus de veiligheid van de Mac. Maar OS X begint nu serieus gevaar te lopen.
Nee, dit komt niet door de omhoog gesjorde beveiliging van Windows, dat gebruikers al jaren niet meer default beheerdersrechten geeft. En nee, het komt ook niet doordat Mac OS X de desktop (inclusief laptop) verovert en dus ineens meer aandacht van malwaremakers krijgt. En ja, er is al vele, véle malen eerder alarm geslagen voor Mac OS X. Maar toch: 5 redenen om de noodklok te luiden.
Tussen keyboard en stoel
De grootste oorzaak van fouten en problemen: de gebruiker. Zeker als je ict’ers en helpdeskmedewerkers mag geloven. Natuurlijk, die gebruiker werkt in de omgeving en met de mogelijkheden die hem of haar worden geboden door de ict’er (programmeur, websitebouwer, besturingssysteemmaker, enzovoorts). Voor Mac OS X is die omgeving al sinds de oorsprong een stuk beter opgezet dan Windows toentertijd. En Apple is in staat om drastische wijzigingen, bijvoorbeeld ten nadele van compatibiliteit, door te voeren. Maar de gebruiker blijft een zwakke schakel.
Zeker de gebruiker die ‘switcht’: het veelgeplaagde Windows verlaat omdat het een ‘high maintenance girlfriend’ is, en dan een bestendige relatie aangaat met de Mac. De nu gedumpte Windows-pc is vaak ook onveilig omdat er van alles wordt uitgeprobeerd en bij opspringende vensters consequent blind op Ja, Ok, Verder, Akkoord, enzovoorts is geklikt. Bovendien: mist de gemiddelde computergebruiker anno nu niet wat fundamentele ict- en security-kennis? Hoe werkt een computer en de software erop? Ja, dat kennisgebrek speelt alle platformen parten, maar het komt in de onaantastbaar geachte Apple-wereld harder aan. ‘Er zijn toch geen virussen voor de Mac’, is de onveilige overtuiging van velen.
En dat geldt niet alleen voor de Mac, maar voor praktisch alle Apple-producten. Ook de antivirus-loze iPhone en iPad worden onkwetsbaar geacht. En worden achteloos gebruikt, niet gehinderd door diepgaande kennis. De gebruiksvriendelijkheid van Apple’s apparaten maakt dat ook goed mogelijk.
Praktijkvoorbeeld: een gelukkige bezitter van een iPhone 4 bleek de dubbelklikfunctie van de Home-knop helemaal niet te kennen. De dubbelklik waarmee alle openstaande apps op rij worden getoond. Wat op dit toestel dus vele rijen bleken te zijn: met alle apps die ooit waren gebruikt en uitgeprobeerd sinds de prachtige iPhone was aangeschaft. Nu heeft dit geen directe security-impact, maar het geeft wel het gebruik aan van een gewone consument. Die vertrouwt erop dat het apparaat het gewoon doet, en dat doet het dus ook. Zij het na verloop van tijd flink langzamer. En dan kan het als het om security gaat al te laat zijn.
Java, Flash
Apple-ceo Steve Jobs had wederom een vooruitziende – en mogelijk haarscherpe – blik toen hij naast Oracle’s Java ook Adobe Flash van zijn OS X-platform verbande. Tenminste, verbande wat meelevering betreft. Jammer genoeg voor de beveiliging van de Mac is het niet alleen mogelijk om zelf software te installeren, zoals ook Java en Flash, maar krijgt de gemiddelde gebruiker vaak genoeg de suggestie om dat te doen. ‘Deze website vereist Flash, klik hier om het te installeren’, ‘Voor deze toepassing is Java nodig. Wil u het installeren?’, en meer van dat soort meldingen van applicaties, websites, webapps en games.
Het veilige antwoord van Apple is de Mac App Store, waar alleen applicaties in mogen die OS X gebruiken zoals het is; zonder aanvullende software te vereisen. Dus geen onveilige, ongewenste Flash- of Java-code daar. Maar nogmaals: elke gebruiker kan zelf software installeren, en doet dat ook. En de malwaremakers weten dat ook.
OS X niet onkwetsbaar
Bovendien is zelfs een Mac zonder aanvullende zaken als Java en Flash toch te kraken. Ja, OS X is echt niet onkwetsbaar. Dat bewijzen hackers bijvoorbeeld elk jaar op de Pwn2Own hackwedstrijd van securitybedrijf TippingPoint (dat is ingelijfd door HP). Veel van de hacks gaan via webbrowser Safari, die op elke Mac aanwezig is. Net zoals Internet Explorer dat is op Windows.
En of de Mac nou moeilijker te kraken is dan Windows? Dat is ook maar de vraag. Zeker als de aanvaller rekening houdt met – of eigenlijk: rekent op – de gewone gebruiker. Social engineering is nog altijd een belangrijk deel van het wapenarsenaal van hackers, crackers en cybercriminelen. Maar ook zonder misleiding, zonder op-Akkoord-laten-klikken, zijn Macs in luttele seconden gekraakt.
Tel daar nog enkele verzwarende omstandigheden bij op. Namelijk dat Apple niet gewend is aan snel patches uitbrengen. Daar heeft nota bene zwart schaap Adobe al openlijk kritiek op geleverd. Aan de andere kant gaat het hierbij vaak om Apple’s eigen implementaties van andermans software Flash en Java, die nu simpelweg in de ban zijn gedaan. En Apple lijkt wel sneller te patchen nu, de noodzaak is immers groter.
Tegenover die toenemende patch-snelheid staat de geslotenheid van Apple. Het bedrijf is niet altijd open of eenduidig over gevoelige kwesties. Een andere verzwarende omstandigheid is dat Apple het als officieel beleid heeft om alleen de huidige en voorgaande versie van OS X te ondersteunen, ook wat betreft security-patches voor openstaande gaten. Veilig blijven, betekent blijven upgraden. En doet elke gebruiker dat netjes? Ook de gewone gebruiker in wiens ogen de computer het toch gewoon doet?
Populariteit iPhone, iPad
Een belangrijke reden voor de toenemende aandacht van malwaremakers voor Mac OS X is niet de groei op de pc-markt. Hoe graag Apple-fans ook wijzen op het gestaag groeiende marktaandeel, wat nog altijd zeer klein is. En hoe graag Windows-verdedigers redeneren dat dat besturingssysteem doelwit is omdat nu eenmaal zo groot is.
Nee, wat de cybercriminelen lokt als vliegen op de honingpot is de groei van Apple’s platform in totaliteit. Want besturingssysteem iOS van de populaire iPhone en iPad is een afgeleide van Mac OS X. Nee, niet hetzelfde, maar wel gelijkend genoeg. De iPhone en iPad zijn hot, verkopen goed en vormen dus een interessant doelwit voor kwaadwillenden. Die daarmee meteen kennis opdoen voor het Mac-computerplatform dat niet aan één enkele app store is gebonden.
Groei Google Chrome
Het marktaandeel van OS X is dus klein op de desktop (inclusief de laptop, waar de Mac relatief groter is) en het marktaandeel van OS X-variant iOS is flink groter. Maar wat nog veel groter is, is het totale bereik van de basis van Apple’s browser Safari. Dat is de open source-browserengine WebKit, die niet alleen dienst doet in de browser van Mac OS X. En natuurlijk in de Windows-variant van Safari.
Zwaarwegender dan Safari op Mac plus Windows is het feit dat WebKit ook wordt gebruikt door internetreus Google. Zijn browser Chrome wint flink marktaandeel, ten koste van Internet Explorer én ten koste van de groei van Mozilla’s Firefox. Oh, WebKit draait ook in Apple’s veelgebruikte iTunes (op Mac én Windows). Dat heeft het bedrijf al genoopt tot iTunes-patches in de aanloop naar hackwedstrijd Pwn2Own in maart dit jaar. Andere, voor malwaremakers interessante WebKit-‘gebruikers’ zijn natuurlijk smartphones: naast de Blackberry’s van RIM ook Apple’s eigen iPhone en het snelgroeiende Android van Google.
Veel van de in Safari gevonden beveiligingsgaten zijn eigenlijk WebKit-gaten. In theorie zijn daarmee dus meerdere browsers op meerdere besturingssystemen te pakken te nemen. Jawel, de browser is het platform, wat oerbrowsermaker Netscape in de jaren negentig al voorspelde. Een platform wat anno 2011 commercieel en cybercrimineel gezien zeer interessant is. Dus doe de WebKit-optelsom maar. Ja, niet elk WebKit-gat is op elk besturingssysteem zo even – laat staan op gelijke wijze – uit te buiten. Maar de buit lokt: waar geld te halen valt, wordt een weg gevonden.