Flashback rammelt aan de poorten van Vesting Apple

Redactie WINMAG Pro
'Met Mac OS X is het eenvoudig om veilig online te zijn', zegt Apple.com/nl nog steeds. De gelukkige Mac-gebruiker kan 'zorgeloos downloaden.' Want OS X houdt 'virussen en andere gevaarlijke programma's' buiten de deur, 'praktisch zonder dat je er zelf iets voor hoeft te doen.' Maar Flashback heeft geen medelijden.

In zijn huidige vorm houdt OS X de naïeve gebruiker niet meer uit de wind. Flashback maakte dat glashelder door veel te makkelijk meer dan een half miljoen Macs te infecteren. Het is een trojaan, die zijn brood voornamelijk lijkt te verdienen met een vorm van klikfraude; zoekresultaten van de browser worden gemanipuleerd om het 'succes' van per klik betaalde advertenties te vergroten. Maar net als andere trojanen houdt Flashback contact met zijn eigenaars. Bij een geïnfecteerde Mac staat de achterdeur wijd open voor nieuwe 'payloads' en andere criminele activiteiten.

Lekken in Java

Oudere versies van Flashback vermommen zich als een update voor Adobe's Flash plug-in. Ze moeten om het wachtwoord van de beheerder vragen. Latere varianten zoals Flashback.K maken gebruik van lekken in Java, tot en met OS X 10.6 (Snow Leopard) een standaard onderdeel van de Mac-software. Ze vragen nog wel om het wachtwoord, maar als hun slachtoffer afhaakt houden ze een voet tussen de deur.

Het proces begint met een argeloos bezoek aan een fatsoenlijke maar besmette webstek, vaak een van de tienduizenden op Wordpress draaiende blog sites die in de afgelopen maanden zijn gekraakt. Daar wordt de browser ongemerkt verwezen naar een criminele server, die een Java applet in de gebruikersmap van het slachtoffer plaatst. De applet kijkt eerst voorzichtig om zich heen, zoekend naar vuurmuren en virusscanners zoals Little Snitch, iAntiVirus en Avast! Blijkt zoiets aanwezig, dan wist de malware zichzelf om geen aandacht te trekken. Alleen als de kust veilig is wordt de 'payload' opgehaald, die het echte werk moet doen.

Geruisloos vakmanschap

Tot zover blijft de kraak onzichtbaar, er hoeft nergens op te worden geklikt. Het is een 'drive-by' infectie. Dan stelt de malware zich voor, als een bestand afkomstig van Apple en dus betrouwbaar. Wordt het wachtwoord gegeven, dan kan Flashback zich specifiek op de browser richten. Zo niet, dan moet hij zich blindelings hechten aan alle software die wordt gestart. Sommige programma's zouden daardoor crashen. Daarom wordt eerst gezocht naar twee versies van Microsoft Office, naar MS Word en naar Skype. Blijkt een van die pakketten te zijn geïnstalleerd, dan wist de malware zichzelf; de crackers hechten veel waarde aan geruisloos vakmanschap.

Intussen verscheen Flashback.S, een versie die de vraag naar het wachtwoord achterwege laat. De crackers houden zorgvuldig bij hoeveel infecties met succes worden afgerond. Waarschijnlijk zagen ze te veel potentiële slachtoffers achterdochtig reageren op het wachtwoordvenster - of ze hebben het probleem van de crashende MS en Skype software opgelost

Apple tegen Java

Apple verdedigde zich met updates voor de eigen malwarescanner Xprotect. Als antwoord verscheen eerst Flashback.C, die Xprotect uitschakelt. Ook de latere, op Java gebaseerde Flashbacks passeren Xprotect met speels gemak. Apple hield vol en plakte diverse lekken in de Java runtime. Even leek het of Flashback de handdoek in de ring gooide; beveiligers Symantec en Kaspersky rapporteerden een snel afnemend aantal Macs in contact met het criminele netwerk, bekend als BackDoor.Flashback.39. Maar het prettige nieuws was een fout in de meting, zoals een week later werd toegegeven.

Op dat moment had Apple al een update gelanceerd die veel meer dan alleen Flashback aanpakte. Als de Java plug-in aan boord van een Mac minstens 35 dagen niet in actie hoeft te komen, dan wordt hij automatisch uitgeschakeld. Een goed idee?

Beveiligingsfirma F-Secure houdt een lijst bij van recent ontdekte malware. In de jongste dertig kwam OS X eind april vijftien keer voor. Java was in vier gevallen het gat in de beveiliging. Gebruikers die Java niet (meer) nodig hebben, kunnen de plug-in zonder twijfel beter verwijderen. Dat geldt trouwens ook voor andere plug-ins, en voor de Java runtime zelf.

Maar Java is voor lang niet iedereen overbodige ballast. Dat maakt herhaald automatisch uitschakelen potentieel hinderlijk en hoe dan ook een zwaktebod; Apple geeft impliciet toe dat de Mac niet veilig uit de voeten kan met sommige legitieme software, in dit geval een van de meest toegepaste programmeertalen.

Zandzakken voor de ramen

Binnenkort verschijnt OS X 10.8 (Mountain Lion) met Gatekeeper om de Mac 'veiliger dan ooit' te maken, zegt Apple. Het uitgangspunt is een witte lijst. Mountain Lion accepteert standaard alleen software afkomstig uit de Mac App Store - cryptografisch ondertekend door Apple - en software die met toestemming van Apple is ondertekend door de maker. De toestemming bestaat uit een certificaat dat in de ondertekening wordt verwerkt en op elk moment door Apple ingetrokken kan worden.

Althans, dat is de fabrieksinstelling. Gebruikers kunnen Gatekeeper uitschakelen of juist strenger maken en de keus beperken tot de Mac App Store. Poorten dicht en zandzakken voor de ramen. Het uitzicht wordt misschien wat minder, maar het is weer 'eenvoudig om veilig online te zijn.' Of niet?

Blinde poortwachter

Gatekeeper houdt zich uitsluitend bezig met OS X apps, software die zelfstandig draait. Een Java-applet is iets heel anders; niet meer dan een lijst instructies voor de Java-runtime. Met andere woorden, Gatekeeper heeft geen vat op malafide Java-applets, javascript verpakt in pdf-bestanden, misbruik van Flash Actionscript, exploitatie van MSword, enzovoort.

Bovendien is Gatekeeper afhankelijk van een 'quarantaine-bit' per app. Dat vlaggetje wordt gehesen na download - maar niet door het besturingssysteem. De klus wordt overgelaten aan de downloadende applicatie, die niet verplicht is om mee te werken. Safari, Firefox en vele anderen doen het. Een van de uitzonderingen is Bittorrent. Software afkomstig van een schijf of USB-stick wordt hoe dan ook niet in quarantaine gezet en ontsnapt dus aan Gatekeeper.

Het komt erop neer dat Apple's poortwachter alleen let op wat een consument zelf actief van het net haalt. En de aard van de software interesseert hem niet; wat telt is de herkomst. Het lijkt Apple voornamelijk te gaan om meer controle over zowel de legitieme softwaremakers als hun klanten. Beide partijen worden naar de Mac App Store geduwd. De klant wordt verteld dat hij alleen daar echt niets te vrezen heeft. Softwaremakers die vrij van de Mac App Store willen blijven, mogen in hun producten geen gebruik maken van nieuwe faciliteiten zoals iCloud.

Veiligheid of marketing?

Op zich is daar niets mis mee. Apple werd groot door de klant een herkenbare en zoveel mogelijk constante 'ervaring' te verkopen. Dat lukt het best door alles in eigen hand te houden; de hardware, het besturingssysteem en voor zover mogelijk ook de software afkomstig van derden, door zulke producten afhankelijk te maken van Apple's goedkeuring en verkoopkanalen.

Maar beveiliging speelt tot nu toe een bijrolletje, wat niet opviel zolang crackers de Mac vrijwel negeerden. Nu wordt duidelijk dat Apple in dit opzicht slechter presteert dan de concurrentie. Eugene Kaspersky: 'Ik denk dat ze tien jaar achterlopen op Microsoft.' Tien jaar geleden gaf Bill Gates beveiliging voor het eerst de hoogste prioriteit. 'Uiteindelijk moet onze software zo fundamenteel veilig worden, dat klanten zich totaal geen zorgen meer maken.'

Zover is het nog niet. Maar Windows werd intussen wel een veel hardere noot om te kraken. 'Sinds 2002 heeft Microsoft de beveiliging heel sterk verbeterd,' zegt Mikko Hypponen van F-Secure. 'Ze zetten nu in veel opzichten de standaard voor een goed beveiligingsproces.'

Imago

Voor Apple lijkt imago zwaarder te tellen dan het dichten van gaten. Enkele maanden geleden ontdekte Charlie Miller een nieuw lek in iOS 4.3. Een door Apple goedgekeurde en in de App Store geplaatste app blijkt zichzelf achteraf te kunnen aanvullen met andere, potentieel gevaarlijke software. Miller demonstreerde de kraak met zijn InstaStock-app, een trojaan die zich voordoet als een beurstikker. De app geeft zijn ware eigenaar volledige toegang tot elke iPhone waarin hij wordt geïnstalleerd. Apple werd ingelicht en reageerde niet. Drie weken later publiceerde Forbes een interview waarin Miller over zijn ontdekking vertelde. Enkele uren later schrapte Apple hem uit het iOS Developer Program.

In de afgelopen jaren vond Miller (die onder andere heeft gewerkt voor de Amerikaanse inlichtingendienst NSA) al meer dan een dozijn lekken in producten van Apple. De fabrikant krijgt de details altijd als eerste en heeft daar voordeel van. Met de kraak op zich had Apple dan ook weinig moeite. Het grote pijnpunt was kennelijk de publiciteit in Forbes.

De laatste jaren veroverde Apple een groter marktaandeel, en is Windows een stuk veiliger geworden. Crackers krijgen daardoor meer belangstelling voor de Mac. Apple moet bijtijds de eigen vestingmuren versterken, zonder dat het imago van 'zorgeloos eenvoudig veilig' te veel schade lijdt. Een zware opgave.

Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie