– Apple må skjerpe seg

Selskapets ignorante forhold til sikkerhet setter Mac-eiere i fare, skriver Eugene Kaspersky.

For ikke så altfor lenge siden holdt jeg en tale på CeBIT Australia, hvor jeg nevnte synet mitt på Apples sikkerhet. Ikke overraskende fikk jeg haugevis av tilbakemeldinger, og at Apples tilnærming til sikkerhet er et hot tema for tiden er det nok liten tvil om (etter Flashfake). Derfor tror jeg det er på høy tid å ta tak i temaet, og snakke om hva det egentlig dreier seg om.

Kan lære av Microsoft

Som du sikkert vet har vi i dag et voksende sprik mellom to parter. På den ene siden har vi Apple, som fortsetter med å hevde at Macer er usårbare og kan ikke skades av virus. På den andre siden har vi sannheten, som er ganske overtalende i sin sak om at Apples reklamekampanje begynner å miste dens kredibilitet, for å si det mildt. Så er bare spørsmålet om brukere gidder å bry seg om sannheten, til tross for at Apple forteller dem at alt er trygt? Og hva er galt med Apples sikkerhetstilnærming? Er det noe Apple kan lære fra Microsoft og andre store aktører når det kommer til sikkerhet?

For et tiår siden herjet ormer som Blaster og Sasser Microsofts Windows-plattform, og tvang selskapet til å ta noen harde og kostbare valg. Dette fikk flere følger. De skapte «Trustworthy Computing»-initiativet, de satte igang et direktiv som førte til en total omskriving av Windows XP SP2, de forbedret sikkerhetsgruppen sin og innførte det obligatoriske SDL-programmet (Security Development Lifecycle) for å gjøre operativsystemet bedre rustet mot hacking.

Flashback-angrepet som skjedde for en kort tid siden er Apples versjon av nettverkormens era. Det er en bøtte kaldt vann for et selskap som tradisjonelt sett har ignorert sikkerhet.

Misvisende reklame

Men for å virkelig komme til bunns i Apples neglisjering av sikkerhet, må vi gå tilbake til 2006, og den famøse Mac vs PC-reklamen. I reklamen ser vi PC-mannen nyse etter å ha blitt syk av et virus, mens Mac-en gir han tørkepapirer og sier det ikke er nødvendig med sikkerhet, da virus ikke er en trussel for Mac OS:

Reklamen var både smart og morsom, men misledende. Reklamen bidro til å gi Mac-tilhengere en falsk følelse av trygghet, og underbygge troen på at sikkerhet rett og slett ikke var nødvendig. Fordi Macer er uslåelige, og får ikke virus.

Selvtilfredsstillelsen både da og nå har ført til lange ventetider før sikkerhetsoppdateringer blir sendt ut og implementert.

Apples skyld, ikke brukerne

For det er i hvert fall én ting vi kan si helt sikkert. Flashback/flashfake-ormen infiserte mer enn 700 000 Macer, og det er helt og holdent Apples feil. Java-plasteret som fikset sårbarheten ble sendt ut av Windows den 14. februar 2012. Den samme sårbarheten påvirket Mac OS X også, men Apple fikk ikke ut en oppdatering før den 3. april 2012. Apple lot brukerne sine stå ubeskyttet i 49 dager, noe som skapte et enormt vindu for hackere å bygge et botnet. Utilgivelig.

Bare tenk på det: Nesten én million Macer fanget i et profitt-botnet eid av cyberkriminelle. Ser man på prosentandelen av Mac-brukere som ble ble rammet er dette Macs versjon av Conficker på Windows. Det er det første angrepet på Mac OS X som har rammet så mange ofre, og bekrefter nok en gang at Macs markedsvekst skaper større grunn for å hackerne å angripe Mac-maskiner.

Aktiverer seg selv

Flashback er spesielt skummel fordi den sprer seg via såkalte drive-by-nedlasting. Det krever ingen brukerinteraksjon, ingen ekstra klikk, ingen administrasjonspassord. Du kan bli rammet ved å bare klikke deg inn på en hacket nettside, og den ondsinnede programvaren blir installert automatisk.

De kjente variantene av Flashback var heldigvis ikke så ille som de kunne ha vært, og drev hovedsakelig bare med såkalt klikk-lureri. Likevel kunne det ha vært mye værre, på grunn av en Trojaner-komponent i programvaren, som lot angriperne installere tilleggsprogrammer på infiserte Macer.

Har blitt et atraktivt mål

Det er nå altså klart at Mac har nådd et punkt hvor de har blitt så store på markedet at det har blitt et attraktivt mål for hackere. Tommelfingerregelen er som følger: Hvis markedsandelen er stor nok vil cyberkriminelle bli motivert til å investere i angrep. Hackere har fram til nå såvidt prøvd seg litt på Mac OS med småangrep i form av endre DNS-innstillinger, skremmeprogrammer (falske antivirus-programmer) og de vanlige phishing-angrepene. Men slår du alt sammen ser du raskt at vi er i ferd med å komme inn i en ny fase med langt større angrep.

Bare det faktum at Apple-brukere har blitt hjernevasket til å ignorere sikkerhetstrusler betyr at en sårbar skrivebordsapplikasjon vil forbli ufikset, som igjen vil føre til at enda flere vil bli påvirket og infisert.

Hvis du lar en dyr bil stå ulåst hele natten langs en folksom gate og den blir stjålet, er det du som har skylden. Du låste den ikke, tross alt. På samme måte er det Apple som bør få skylden for situasjonen Applebrukere er i nå. Selskapet er alltid trege med å slippe ut sikkerhetsoppdateringer. Java for Mac er bare et av mange eksempler. Ser du på alle sikkerhetsoppdateringer de har kommet med den siste tiden vil du se at de er konstant trege med å slippe oppdateringer for å tette sikkerhetshull, spesielt når det kommer til åpen kildekode-komponenter. WebKit og Safari fremstår som permanente sikkerhetsmareritt.

Holder informasjon tilbake

Og så har vi hele den hemmelighets-greia. Apple simpelthen ignorerer alle spørsmål fra media om sikkerhetsproblemer. Så fort det er en legitim trussel er det umulig for en bruker å kommunisere med Apple. Det er ingen måte å få hjelp av selskapet før de slipper en oppdatering. De gir ingen data eller informasjon til sikkerhetsselskaper for å hjelpe til med å holde økosystemet trygt. Så fort det er utbrudd vil Mac-brukere måtte ty til tredjeparts-guider i stedet for å få hjelp direkte fra Apple. Herlig bruker-respekt!

Det morsomme med det hele er at Apple faktisk kan lære mye fra Microsoft når det kommer til sikkerhet. Egentlig synes jeg Apple rett og slett bare kan kopiere hele Microsofts spillehåndbok ord for ord når det kommer til håndtering av sikkerhetsproblemer. Apple trenger en SDL-prosess for å forsikre seg om at utviklere bygger inn sikkerhetstiltak i hvert ledd i programmeringsfasen. Flere store selskaper har allerede omfavnet Microsofts SDL-prosess, noe som beviser at Microsoft nå er ledestjernen når det kommer til programvaresikkerhet.

Ta ansvar!

Apples reklamefolk vil ikke like det, men selskapet bør ikke skamme seg for å måtte lære av Microsoft. Apple bør kopiere Microsofts sikkerhets-program så brukere kan bli informert om når legitime sikkerhetsrisikoer intreffer. Hvis Mac-brukere må vente i evigheter for en sikkerhetsoppdatering, bør Apple kunne gi dem en annen form for løsning på problemet. Eller hva med en planlagt «Patch Day»? Dette ville ha hjulpet IT-administratorer å forberede seg på sikkerhetsoppdateringer, i stedet for å bli tatt på senga hver gang Mac OS X oppdaterer en Apple-maskin.

Når det kommer til sikkerhetstiltak henger Apple fortsatt igjen på 90-tallet.

For ti år siden reddet «Trustworthy Computing» Windowsplattformen fra en total virus-Armageddon. Sikkerhetsholdningen som Microsoft implementerte i Windows har blitt forbedret, og prosessen har nå blitt en standard for mange, som blant annet Adobe har valgt å kopiere.

Nå er det Apples tur. Selskapet hadde hjulpet seg selv, og brukerne sine, helt enormt hvis de hadde sett på Flashback-angrepet som en begynnelse på en ny era. De burde se vekk fra sikkerhetssynet PR-folka lurer brukerne sine til å tro. Apple må ta sikkerhetsspørsmålet seriøst. Vi er ikke lenger i 2006 hvor Macer ble ansett som sikre og søte reklamer kunne brukes for å stemple operativsystemet som "overlegent". Flashback er bare det første Mac-botnettet, men jeg vedder på at det kommer flere.

Apple har ikke råd til å ignorere hendelser som Flasback.

Ærede og respekterte Apple, hører dere meg?

Denne saken har også blitt publisert på Eugene Kasperskys blogg. Oversettelse til norsk av Hardware.no.

Kommentarer (64)

Norges beste mobilabonnement

Desember 2016

Kåret av Tek-redaksjonen

Jeg bruker lite data:

ICE Mobil 1GB


Jeg bruker middels mye data:

Hello 5GB


Jeg bruker mye data:

Hello 10 GB


Jeg er superbruker:

Telia Smart Total


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen