Wat Apple van Windows kan leren
De beveiliging van het Apple besturingssysteem is niet perfect. Sterker nog: het kan veel leren van Microsoft.
De blogosfeer staat bol van heisa na de meest recente Black Hat-presentatie waarin de beveiligingsgaten van Apple's Mac OS X werden aangetoond. De andere kant van het verhaal is dat Microsoft zijn gebruikers juist beter is gaan beschermen, vooral tegen aanvallen via het netwerk. Een zogenaamde proof-of-concept hack op Black Hat liet zien dat wanneer een gemanipuleerde Mac-computer op een zakelijk netwerk wordt aangesloten, deze binnen mum van tijd de inloggegevens van alle andere Mac's in de zakelijke omgeving kan ontfutselen.
Lees ook:
Android is als Windows: een slechte imitatie
'Microsoft moet merk Windows laten vallen'
OS X is nooit superieur geweest
In mijn wereld (ik ben securityarchitect bij Microsoft) komt dit niet als verrassing. Mac's zijn altijd kwetsbaarder geweest dan Windows-computers, volgens iedere test die enigszins van waarde is. Ja, Mac's hebben echt meer zwakke punten in de software zitten dan Windows-computers. Als je me niet gelooft, ga dan naar een kwetsbaarheidsdatabase (zoals die van Secunia) en vergelijk de applicaties van Apple en Microsoft met elkaar, over een zelfde tijdspanne de afgelopen vijf jaar. De meeste mensen zullen geschokt reageren als ze zien dat Microsoft-software (en Windows in het bijzonder) minder zwakke plekken kent dan Apple software en Mac OS X.
Apple is traag. Erg traag
Maar zelfs de getallen schetsen nog niet het gehele plaatje. Van de belangrijkste OS-leveranciers is Apple de partij die als laatste een beveiligingsmaatregel doorvoert. Apple beschermde zich als laatste tegen buffer-overflows in het geheugen. Apple was het laatste met 'address space layout randomization (ASLR)'. Apple was de laatste leverancier die volledige schijfencryptie invoerde (in het recent gelanceerde OS X Lion). Apple is vaak ook een van de laatste leveranciers die bugs in software verhelpt, soms pas maanden nadat deze publiek bekend werden gemaakt.
Het kwam voor mij niet als verrassing dat Dmitry Sumin, directeur van Password Inc., mij vertelde dat Apple de enige leverancier is waarbij wachtwoorden om in te loggen als plain text worden opgeslagen.
Hoe verbazingwekkend deze feiten Mac-gebruikers ook mogen klinken, ze zijn niet verrassend voor securityexperts die al langer met beide platforms werken. En dit is al lange tijd zo. Op de Black Hat conferentie van een paar jaar geleden, vroeg ik hackexpert Charlie Miller waarom hij zich op Mac concentreerde, terwijl de meeste hackers zich op Windows richten. Hij zei me: "Omdat dit makkelijker is." Apple innoveert in design van apparaten, gebruikersinterfaces en nog veel meer belangrijke dingen waar de wereld het bedrijf dankbaar voor is. Maar in de securitywereld is Apple slechts volgend.
Betekent dit dat Mac-gebruikers veiliger zouden zijn als ze Windows zouden gebruiken? Nee. Mac's worden opvallend minder aangevallen dan Windows pc's en deze factor is enorm van belang wanneer je de algehele beveiliging in aanmerking neemt. Hoewel ik zei dat Mac's kwetsbaarder zijn dan Windows pc's, weet dan dat ik niet zeg dat ze onveiliger zijn. Kwetsbaarheid is makkelijker te meten, maar onveiligheid telt ook mee in de beoordeling van een beveiligingsrisico. Op dit moment kennen Mac's een kleiner beveiligingsrisico dan Windows-pc's. Windows is het voornaamste doelwit van hackers omdat het systeem op 80 tot 90 procent van 's werelds computers actief is. Omdat Mac's een minderheid vertegenwoordigen, betekent dat een Mac bezitten 'veiliger' is dan het hebben van een Windows-computer.
Hack voorspelt niet veel goeds
Dat is de situatie op dit moment. De trieste constatering is dat de presentaties op Black Hat profetisch van aard kunnen zijn. De beveiliging die Mac-gebruikers hebben gekend door 'onder de radar' te vliegen is eindig. Apparaten en computers van Apple komen steeds vaker onder vuur te liggen en je ziet langzaam wormen en Trojaanse paarden opdoemen die het voorzien hebben op OS X en iOS.
Als jij de gebruiker bent van een Apple-product - en wie is dat niet tegenwoordig? - is het tijd om te handelen als een Windows gebruiker en ervoor te zorgen dat je alle maatregelen treft die een computer veilig maken. Dat betekent het gebruik van sterke wachtwoorden (en aparte wachtwoorden voor je systeem, netwerk, Facebook, enzovoorts), zo veel mogelijk patches installeren en niet op linkjes klikken die er verdacht uitzien. Wees op je hoede voor look-alike websites en pogingen tot phishing en installeer geen software die je niet voor de volle 100 procent vertrouwt.
Ik verwacht dat Apple met betere security gaat komen en standaardinstellingen veiliger maakt. De dagen waarin Apple security als een buitenbeentje kon behandelen, doen me denken aan Microsoft in 2001 - je weet wel, het jaar waarin Gartner mensen adviseerde geen IIS te gebruiken omdat het te vaak gehackt werd.
Het heeft Microsoft tien jaar gekost om beveiliging van een zwakte in een sterk punt te transformeren. Apple kan de lessen die Microsoft heeft geleerd gebruiken om het sneller te doen. Apple heeft al een van Microsoft's voormaliger beveiligers, Window Snyder, aangesteld en gaat zich aan een aangepaste vorm van Microsoft's Security Development Lifecycle houden. Apple heeft het voordeel dat het weet hoe Microsoft zijn missers uit het verleden aangepakt heeft.
Apple kan het nu sneller
Neem bijvoorbeeld de kwetsbaarheid van het netwerkprotocol (pdf) welke op Black Hat getoond werd, die erop gericht is dat Mac's een eerder, minder veilig protocol gebruiken. Microsoft had dat probleem tien jaar geleden ook en repareerde het door 'authentication protocol fallback' standaard uit te schakelen. Het duurde een tijdje voordat Microsoft de oplossing geïmplementeerd had. Apple zou het met een enkele patch afkunnen.