daily.out

2011-06-28

Mac Royal

Der Macintosh erlebt ein stetiges Wachstum und wird voraussichtlich seinen Markterfolg weiter ausbauen.

Auf der Gewinnerstraße

In den letzten 5 Jahren wuchs der Mac-Markt in jedem einzelnem Quartal schneller als der Rest der Computer-Industrie. Im letzten Jahr wuchs er um 28% während der PeeCee-Markt gleichzeitig um 1% schrumpfte. Insgesamt gibt es nun über 54 Millionen Macs weltweit.

Der Anteil der Macs im Geschäfsumfeld soll im letzten Jahr von 9% auf 11% gewachsen sein. Das ist besonders interessant, weil der Mac in Unternehmen bislang weniger verbreitet war als in anderen Märkten. Peinlicherweise domininiert bei Windows immer noch XP mit 60% die Unternehmen.

Setze alles auf Mac

Mac OS X und sein kleiner Bruder iOS haben viel gemeinsam, allerdings bietet Cocoa mehr Funktionalität als Cocoa Touch beispielsweise für Tabellendarstellungen und die Bildbearbeitung. Die beiden Plattformen befruchten sich gegenseitig in ihrer Entwicklung sowohl was systemnahe Technik angeht als auch hinsichtlich Neuerungen bei komfortablen GUI-Elementen. Die starke Marktperformance der iOS-Geräte kommt somit auch Mac OS X zugute.

Ein Erfolgsrezept, daß das iPhone zum Gewinner machte, ist der App Store. Großartige Hardware mit dem größten und besten Software-Angebot ist eine unschlagbare Kombination. Dieses Rezept wird gerade auch auf den Mac übertragen: Der Anwender hat eine zentrale Anlaufstelle für Software, ein sogenanntes One-Stop-Shopping. Und der Programmierer hat einen zentralen weltweiten Vertrieb. So haben selbst kleine Anbieter eine gute Chance, ihre Programme weltweit zu verbreiten und gleichzeitig einfach an das verdiente Geld zu kommen. Das war ohne den App Store problematisch und für beide Seiten unbequem und uneinheitlich.

Vermutlich wird ähnlich wie bei iOS auch der Anteil der Spiele im Mac App Store einen großen Anteil ausmachen. Grafikintensive Anwendungen und Spiele brauchen eine gute Geschwindigkeit von OpenGL und genau das hat Apple pünktlich mit 10.6.8 um 40 bis 50% beschleunigt.

Aber auch ohne den App Store ist der Mac als Spieleplattform für viele anscheinend interessanter geworden. Vor 15 Jahren gab es einen schönen Western-Shooter "Desperados", aber leider nicht für den Mac. Inzwischen habe ich einen aktuellen Western-Shooter gefunden, der mindestens so gut ist und auch den Mac voll unterstützt: Smokin' Guns.

Ich habe früher auch mal mit Freunden Poker gespielt und an dem Abend, als dieses Photo enstand, ziemlich abgeräumt. Es war halt Anfängerglück oder lag am Outfit.

Inzwischen geht sowas ja auch per Internet mit Mac Online Casinos, die vorher nur PeeCee-Usern vorbehalten waren. Die einzige Chance für Macies bestand vormals darin, Faktor 2 an Geschwindigkeit zu opfern und eine Emulation zu nutzen oder halt ein Betriebssystem aus Redmond zu installieren, das genauso gut ist wie das Wetter dort: No Sunshine and no having fun.

Seitdem Facebook jedoch seine Benutzer mit Online-Spielen flutet, von der Farmer- bis zur Bäckerei-Simulation, hat sich einiges geändert. Es gibt einen Trend, das eine oder andere Spiel plattformübergreifend im Browser per Java oder Flash umzusetzen. Was dabei so an Tamagotchi/Babysitter-Games bei Facebook herauskommt, geht mir persönlich ziemlich auf die Nerven, weil man das lästige Zeug nicht zuverlässig ignorieren kann: Bei jeder Aktion, die im Bekanntenkreis ausgeführt wurde, bekommmt man eine Meldung. Meine Ignore-Liste für derlei "News"-Spam ist lang. Der Trend hat jedoch auch positive Seiten. Zwischen mir und meinen ehemaligen Poker-Kollegen liegen heute beruflich bedingt leider ganze Länder. Bleibt also nicht viel anderes übrig, als Poker per Java oder Flash im Browser in Casinos ohne Download, die demselben Online-Trend folgen. Ich persönlich hätte lieber eine vollwertige Client-Software als Browserspiele, da sie performanter sind und bessere Grafk bieten. Aber die Wir-machen-alles-im-Browser-Generation ist leider gnadenlos.

Abhilfe schafft da eventuell Apples Mac App Store. Sucht man dort nach "Poker", ergeben sich einige Treffer. Und es gibt sogar eine "Poker Ghost" App, die beim Onlinespiel zuhört, die Situation live analysiert und Tips gibt, was man am besten tun sollte. Sie berechnet Wahrscheinlichkeiten, wie das eigene Blatt im Vergleich zu den Gegenspielern steht. Anscheinend ist die App als Helferlein für Online-Poker entworfen worden. Wie man sieht, ist der Mac-Markt inzwischen wohl stark genug, um auch bislang hier ungewohnte Spiele an den Mac-User zu bringen.

Was Leute wie Ed Bott an dieser Geschichte wundert, ist, daß der Mac-Markt und der Markt für Mac-Programme dermaßen wächst und dabei sogar die eine oder andere exotische Blüte treibt, aber gleichzeitig die von ihnen seit 10 Jahren prophezeite Schädlingswelle weiter ausbleibt. Ed wird sich auch weiterhin wundern müssen, denn er bemerkt nicht, daß Mac OS X technisch völlig anders ist als jede Windows-Version. Was will man erwarten von jemand, der Bücher über die Sicherheit von Windows XP geschrieben hat, denn es war kein Sicherheits-Anti-Pattern-Buch. Auf jeden Fall macht ihn das zum ältesten Windows-Fanboy der Welt.

Wo Java oder Flash im Browser bei Online-Casinos noch als halbwegs sinnvolle Lösung durchgehen, siehe weitere Casino-Information auf CasinoToplists, ist mir dieser Ansatz in anderen Bereichen wie der iPhone-Entwicklung ein Gräuel. Es gibt verschiedene Versuche, die sogenannte Rich-Client-Web-Software in native Hüllen stecken, um so den Anschein von echten nativen Apps zu erzeugen. Man hat damit keinerlei Vorteil der nativen Plattform, weil beispielsweise bei Adobes Integrated Runtime (AIR) ActionScript lange nicht die Leistung und den Umfang von Cocoa Touch und Objective-C bieten kann und auch selbstverständliche Zugriffe auf das Adreßbuch und ähnliches damit nicht zu realisieren sind. Eine iOS App kann typischerweise viel mehr als das, was Software, die Browerspiele ermöglicht, zu leisten im Stande ist. Crossplattform lohnt sich halt mit dieser Technik nur für bestimmte Einsatzbereiche wie Facebook-, Casino- oder ähnliche Spiele.

Wie es aussieht, werden wir bald jede Art von Software für den Mac sehen, aber keine Viren. Dafür gibt es jetzt sogar Counter-Strike für den Mac.

2011-06-15

ASLR und DEP sind nahezu wertlos, wörtlich

Wie gering der Aufwand heute ist, ASLR und DEP zu umgehen, kann man auch an den Preisen erkennen, die dafür gezahlt werden.

Mit dem Metasploit-Framework kann man eine Sammlung von Exploits für bekannte Sicherheitslücken praktisch auf Knopfdruck gegen ein Ziel durchprobieren. Im Laufe der Zeit werden immer mehr Exploits dort eingepflegt, die jeweils neu aufgetauchte Sicherheitlücken ausnutzen können. Die Exploits bleiben auch in dem Framework, wenn die Lücken von den Herstellern geschlossen werden. Es könnte ja sein, daß jemand veraltete Software einsetzt, die noch verwundbar ist. Und das ist gar nicht so selten. Im Windows-Umfeld sehe ich oft uralte Software sowohl auf Desktops als auch auf Servern. Elf Jahre alte Versionen sind keine Seltenheit dabei. Auf Apple-Rechnern kommen dermaßen veraltete Systeme nach meiner Erfahrung so gut wie nicht vor.

In seinen Artikeln über Mac-Sicherheit hat heise Anfang 2011 einerseits die wirksamen und bewährten Sicherheitsmechanismen nahezu ignoriert und andererseits Techniken wie ASLR und DEP überbewertet wie ich in meinem Review OS X - Security orthodox: Eine Beurteilung von heises "Security paradox"-Artikeln in c't, Mac&i und auf heise.de ausführlich untersucht habe. Dort bin ich auf die technischen Aspekte eingegangen, warum ASLR und DEP nicht viel nützen. Jetzt gibt es zusätzlich einen interessanten nicht so technischen Aspekt, der diese Abmilderungs-Techniken (die coolen Kids sagen "Mitigations" dazu) billig aussehen läßt.

Was ASLR und DEP im eigentlichen Sinne des Wortes wirklich "wert" sind, sieht man an den aktuellen Prämien, die das Metasploit-Framework zahlt. Es werden 100 US-Dollar versprochen für Exploits, die den Anforderungen des Metasploits-Frameworks entsprechen und verläßlich funktionieren. Als Nebenanforderung steht noch dabei, daß falls nötig, ASLR und DEP umgangen werden müssen. Das heißt, ASLR und DEP zu umgehen ist nur eine selbstverständliche Nebenleistung der Exploits. Als kleiner Anteil an der Gesamtleistung von 100 US-Dollar müßte man also den Wert dieser Teilleistung weit unter 100 US-Dollar ansetzen. Damit sollte klar sein, wie leicht es heutzutage ist, ASLR und DEP zu umgehen. Das machen Hacker als Nebenjob für den Preis eines Kinobesuches und einer Runde Bier. ASLR und DEP sind keine Techniken, auf die man sein Geld verwetten sollte. Pech für Microsoft, daß dies ihre wichtigsten Mittel im Ringen um mehr Sicherheit sind. In Wirklichkeit können ASLR und DEP nur einen geringen Sicherheits-Beitrag leisten.

Wären ASLR und DEP schwierig zu überwindende Hürden, die einen echten Sicherheitsgewinn böten, dann würde viel mehr Geld gezahlt werden, um diese auszuhebeln. Das ist jedoch nicht der Fall. Im Gegenteil wird das Aushebeln von ASLR und DEP als selbstverständliche Inklusiv-Leistung eines Exploits vorausgesetzt und mit einem ziemlich geringen Betrag honoriert. Meine 2 Cents zu dem Thema.

2011-06-07

MacDefender, das Nachspiel

Sommeranfang. Pünktlich zum Sommerloch gab es den jährlichen Trojaner für OS X. Die Presse singt und tanzt. Wenn sie das auch für jeden Windows-Trojaner anstellen, bekommen wir einen langen heißen Sommer.

MacDefender und seine Varianten, im Folgenden einfach nur MacDefender genannt, sind reine trojanische Pferde. In diesem Fall welche, die auch in die Kategorie "Scareware" fallen, also den Benutzer durch Fehlinformationen Angst machen, um ihn anschließend zu einem Fehler zu verleiten: Der MacDefender beginnt auf einer Webseite damit, ein Finderfenster im Browser zu simulieren. Darin tut er so, als würde er die Festplatte prüfen und dabei Schädlinge finden. Die Show ist wirklich nicht schlecht und wenn sie einen User unvorbereitet trifft, ist durchaus nachvollziehbar, daß mancher die Nummer glaubt. Man sollte sie nicht glauben, weil Browserinhalte normalerweise nicht einfach so die Platte durchstöbern können. Aktive Inhalte, die das könnten, sind in der Regel auf Nutzergenehmigung angewiesen. Und man sollte scheinbare Finderinhalte im Browser auch komisch finden.

Bei jedem Userklick in die dargestellte Seite und ihre Dialogfenster nach dem Motto "Du bist infiziert - Ok drücken" wird ein Download angestoßen und ein ganz normales Installationspaket heruntergeladen. Und die Seite gibt sich wirklich viel Mühe, den User zum Klick in Dialoge oder in die Seite zu bewegen. Daher ist der einzig sichere Ausweg, den Browser in diesem Moment abzuschiessen, um jeden Klick zu vermeiden.

Mac OS X hat eine Funktion, die bei heruntergeladenen Programmen warnt. Damit fliegen Trojaner auf, die vorgeben, keine ausführbare Datei zu sein, beispielsweise ein Bild vortäuschen oder eine Musikdatei, in Wirklichkeit jedoch ausführbar sind. Bei einer Meldung "Achtung, hottie_mit_nix_an.jpeg ist ein Programm, das Sie gestern von wasfüreinluder.de runtergeladen haben, wollen Sie das wirklich ausführen?" dürften die meisten Benutzer nachdenklich werden. Nicht alle, aber die meisten. In einem Film von Mac-TV wundern sie sich, warum gar keine Warnung kommt bei der Datei, die man sich bei MacDefender-Webseiten herunterlädt. Die Antwort: Weil es keine ausführbare Datei ist, sondern ein Installationspaket, das als Input für das Installationsprogramm von OS X dient. Und wenn man "sichere Downloads automatisch öffnen" angehakt läßt, was keine gute Idee ist, dann wird dieses Paket geöffnet mit dem zuständigem Programm: Dem Installer. Es läuft also der harmlose Installer, der einen bösen Inhalt installieren soll. Die Installation muß in jedem Fall vom Benutzer genehmigt werden. Und je nachdem, wohin etwas installiert werden soll, mit oder ohne eine Admin-Autorisierung dafür anzufordern.

Die Webseite hat dem Besucher also dazu motiviert, das Paket zu installieren, das die angeblich gefundenen Schädlinge beseitigen soll. Das installierte Programm erzählt ihm dann, daß man die Vollversion kaufen soll und bittet um die Eingabe von Kreditkarten-Daten. Und das ist es, worauf alles hinauslief.

Mac-TV ordnet diesen Scareware-Trojaner in seinem Beitrag anfangs als "Virus" ein, was falsch ist. Später sagen sie dann, es wäre kein Virus, weil eine Nutzeraktion nötig wäre, ein Virus jedoch keine benötigen würde. Ein Virus benötigt ebenfalls Benutzeraktion. Ein Wurm benötigt keine. Vergleiche meine Liste mit Schädlingsarten. Die Presse wirft heutzutage leider sämtliche Schädlingsarten in einen Topf, obwohl sie sich völlig unterschiedlich verhalten. Sie nehmen halt immer die Bezeichnung, die am besten klingt, egal was sie bedeutet.

Nach diesem Trojaner hat Apple ein Sicherheitsupdate rausgeschickt, das zwei Dinge tat: Nach installierten Versionen dieses Trojaners suchen und sie beseitigen. Und eine tägliche Aktualisierung der Schädlingsliste einführen. Letztere arbeitet Anfang Juni 2011 anscheinend mit sogenannten "straight hashes", um Fehlalarme zu vermeiden. Das ist bei Trojanern auch ganz in Ordnung, denn diese sind nicht selbstverändernd (mutierend). Heise hatte fehlerhafterweise geschrieben, der Trojaner würde mutieren. Mutieren vom lateinischen mutare, sich selbst verändern, tut er jedoch nicht. Die Bösen müssen jedesmal händisch eine neue Version erstellen und in Umlauf bringen. Bei mutierenden Schädlingen wären straight hashes auch nicht so nützlich, denn bei Mutanten sucht man nach gleichbleibenden signifikanten Teilstücken im Ganzen. Das ist beispielsweise bei Viren der Fall, die je nachdem, in welchem Opfer sie sich befinden, insgesamt anders aussehen; die Kombination aus Virus plus Wirt eben immer anders ist mit unterschiedlichen Wirten. Manche Viren infizieren weitere Wirte auch mit einer veränderten Kopie von sich selbst, so daß die Variation noch stärker ist. Solche mutierenden Schädlinge sind bislang für OS X nach meinem Wissen nicht aufgetaucht, so daß Apples Lösung, die mit Hilfe einer Blacklist aus straight hashes, die die jeweilige Datei insgesamt und nicht Teile darin erkennt, pragmatisch ist, denn sie neigt nicht so sehr zu Fehlalarmen, ist schnell, nur bei Bedarf und nicht dauerhaft und leistungshungrig im Betrieb. Im Fall von MacDefender werden im Installationspaket (das ist auch nur ein Verzeichnis, das im Finder als Paket dargestellt wird) die Dateien "Info.plist", "Archive.bom" und bei einigen Varianten auch "postinstall" verglichen und an ihnen der Trojaner erkannt. Nun wird also auch bei diesen nicht-ausführbaren Downloads, die MacDefender-Installationspakete sind, gewarnt und deren Löschung empfohlen.

Ich habe eine App geschrieben, die diese Schädlingsliste anzeigt.

---