Am Montag wurde mit Thunderstrike 2 der erste Wurm für mobile Macs vorgestellt, der sich in der Firmware betroffener Rechner festsetzt und damit praktisch nicht mehr nachzuweisen ist. Darüber hinaus ist er selbst gegen eine Neuinstallation des Betriebssystems oder einen Austausch der Festplatte immun. Aus der PC-Welt sind solche Angriffe seit mehr als einem Jahr bekannt. Dass sie auch für Macs gefährlich werden können, ist neu. Für die Übertragung des Wurms reicht das simple Einstecken eines Thunderbolt-to-Ethernet-Adapters aus. Ob und wann die Lücke behoben werden kann, ist zum jetzigen Zeitpunkt noch unklar.
Doch das waren noch nicht alle schlechten Neuigkeiten für Apples Security-Team: Gestern meldete das Blog Malwarebytes, dass die erst vergangenen Monat öffentlich gemachte sogenannte DYLD-Lücke zum ersten Mal in freier Wildbahn ausgenutzt wird. Dass der Bug veröffentlicht wurde, ohne den Hersteller vorab zu benachrichtigen, wirft allerdings ethische Fragen auf.
Die vom deutschen Sicherheitsforscher Stefan Esser publizierte Sicherheitlsücke DYLD_PRINT_TO_FILE erlaubt es jedem lokalen Benutzer eines Macs, per Eingabe eines Terminal-Befehls weitreichendste Zugriffsrechte zu bekommen. Zu allem Überfluss passt der Befehl auch noch locker in einen Tweet und verbreitete sich vor einigen Tagen wie ein Lauffeuer. Ein Albtraum für jeden Mac-Admin — besonders, wenn er öffentlich zugängliche Rechner betreut.
Das Auftreten einer solchen Lücke ist nicht besonders verwunderlich, die betroffene Umgebungsvariable DYLD_PRINT_TO_FILE wurde erst mit OS X 10.10 eingeführt. Dass Sicherheitskritisches bei Apple schon mal den Weg um die Qualitätskontrolle herum findet, ist nichts Neues: Mit Schaudern erinnern wir uns an den etwas mehr als ein Jahr zurückliegenden „Goto Fail“-Bug.
Die Veröffentlichung einer Zero-Day-Lücke ohne Vorwarnung an den Software-Hersteller ist problematisch.
Was die DYLD-Lücke aber interessant macht, ist vor allem die Art und Weise, wie sie veröffentlicht wurde. Als Esser sie entdeckte, machte er sie publik, ohne Apple vorher ausreichend Zeit zu geben, sie zu beheben. Auch wenn der Sicherheitsforscher nicht müde wird, darauf hinzuweisen, dass er als bloßer Überbringer der Nachricht nicht zum Schuldigen gemacht werden können — sein Verhalten ist ethisch fragwürdig.
Die Veröffentlichung einer Zero-Day-Lücke ohne Vorwarnung an den Software-Hersteller ist problematisch. Es steht außer Frage, dass das für die Allgemeinheit besser ist, als sie auf dem Schwarzmarkt an interessierte Hacker oder Geheimdienste zu verkaufen. Aber es wäre ethisch korrekter gewesen, sie an den betroffenen Hersteller zu melden, zusammen mit einer Frist, nach deren Ablauf man gedenkt, die Lücke zu veröffentlichen. Schafft dieser es dann nicht, die Frist einzuhalten, gesteht man ihm normalerweise noch etwas Karenzzeit zu, bevor das Leck endgültig publik gemacht wird und man den Hersteller damit unter Zugzwang setzt. Sein von dieser Regel abweichendes Verhalten begründet Esser auf Twitter im Subtext damit, dass er eben nur ungern arbeite, ohne dafür bezahlt zu werden. Denn Apple bietet im Gegensatz zu anderen großen Software-Herstellern keine Belohnung für gefundene Sicherheitslücken.
Wirklich problematisch wurde es für einen Großteil der Mac-User und ihre Admins dann am Dienstag: Ohne dass Apple einen Fix bereitgestellt hätte, nutzte die erste Malware die von Esser öffentlich gemachte Lücke aktiv aus, um Junkware wie VSearch, Genieo oder MacKeeper zu installieren. Der Benutzer bekommt davon zunächt nichts mit, wundert sich dann aber über jede Menge nervige Werbung auf seinem Mac.
Ich muss mich in meiner Funktion als Admin jetzt also zwischen Regen und Traufe entscheiden: Entweder ich nehme sofort einen Downgrade aller Rechner auf OS X 10.9 Mavericks vor und ziehe damit vermutlich den ewigen Zorn aller Benutzer auf mich. Oder ich spiele den von Esser zur Verfügung gestellten Patch ein, dem ich aber nicht vorbehaltlos vertrauen kann. Als dritte Möglichkeit könnte ich auch einfach auf eine Behebung der Sicherheitslücke durch Apple warten — male mir aber lieber nicht aus, was bis dahin alles passieren könnte. Trotzdem entscheide ich mich zähneklappernd für diese Variante, denn in allen aktuellen OSX-Beta-Versionen scheint die Lücke schon behoben zu sein — viel Zeit dürfte bis zu einem offiziellen Bugfix also nicht mehr vergehen.
Apple muss endlich ein Belohnungs-Programm für Entdecker von Sicherheitslücken anbieten.
Zurück zur Ethik: Natürlich kann es sein, dass die Lücke auch ohne das Eingreifen ihres Entdeckers publik geworden oder — noch viel verheerender — monatelang unerkannt durch Malware ausgenutzt worden wäre, bevor Apple davon Wind bekommen hätte. Verantwortungsbewusster gegenüber der OSX-Community wäre es allerdings gewesen, wenn Esser das Sicherheitsleck auch ohne Aussicht auf eine Entlohnung an Apple gemeldet hätte, ohne es zu veröffentlichen. Ob durch das Publizieren des Bugs nun mehr Schaden als Nutzen angerichtet wird, werden die Tage bis zur Behebung zeigen.
Fazit: In erster Linie ist natürlich die mangelnde Qualitätssicherung bei Apple der Grund dafür, dass diese Lücke überhaupt aufgetreten ist. Der Entwickler Markus Möller spricht sich in seinem Artikel zum Thema dafür aus, dass dem Software-Hersteller in diesem Fall ein grober Schnitzer unterlaufen sei, denn der Bug sei implizit sogar aus den Kommentaren im Quellcode abzulesen. Apple muss darüber hinaus ein Entlohnungsprogramm für die Entdecker von Sicherheitslücken anbieten, um diese dazu zu motivieren, gefundene Bugs zu melden. Da im Falle der DYLD-Lücke das Kind nun aber in den Brunnen gefallen ist, steht Apple unter Zugzwang und wird den Fehler hoffentlich in den nächsten Wochen beheben. Bis dahin bleibt mir nicht viel mehr, als allen Mac-Admins in Schulen, Universitäten, Museen und Elektronikmärkten viel Glück und Durchhaltevermögen zu wünschen.
In der letzten Folge „Neues vom Admin“ forderte Armin Hempel: Lasst selbstfahrende Autos endlich auf die Straße!
