[Discussie] Virussen op Mac of marketing?

Dat de populariteit van Macs een toenemend risico vormt is natuurlijk niet nieuw. Maar naar mijn idee is dit nieuwsbericht een beetje erg doorzichtig, want op wat proof-of-concepts na bestaat er niet echt spyware of een virus dat in de praktijk (op grote schaal) voorkomt. McAfee probeert gewoon snel die markt in te duiken en met dit soort berichten angst te saaien om de markt op gang te brengen. Zou ik zelf ook doen als ik McAfee was, maar het maakt op mij niet veel indruk

Ik denk dat de Mac wel kwetsbaarder is voor gerichte aanvallen, Trojans en Rootkits...

echte virussen in de vorm van wormen bestaan er bij mijn weten nog niet, maar de mac kan wel zeer kwetsbaar zijn voor gerichtte aanvallen, bv via Instant-messaging, iemand die een bestand opstuurt en iemand vraagt erop te klikken...

Juist dat gebied zou de grootste zorg van Mac-veiligheid moeten zijn, wat het volgens mij ook is, juist op dat gebied maakt apple ok duidelijke vooruitgang, bv de waarschuwingen als men een applicatie binnenkrigt of een dmg of zipfile een applicatie bevat.

De gratis krant Metro hielp wel weer lekker mee vanochtend. Op de voorpagina stond een verschrikkelijk grote telegraaf stijl kop "Apple virusgevoelig"

Ik las vanochtend de Metro, met daarop een grote kop op de voorpagina:

'Apple virusgevoelig'.

Eerste reactie: 'ah crap, niet weer'. En dan niet 'weer een virus', maar 'weer dat opgeblazen gedoe'. Het artikel heeft niet een concreet virus genoemd, maar alleen de mogelijkheid ertoe, aangestipt door, jawel, McAfee. Pure marketing, dus. Ze maken nog net geen reklame, maar 't komt wel in de buurt.

(lees hier: http://www.metropoint.com/ftp/20060509_Holland.pdf)

Dit heeft onlangs ook op de tweakers.net Frontpage gestaan.
Mijn reactie daar:

De laatste tijd zijn er echter regelmatig berichten in het nieuws over veiligheidsaspecten van Mac OS X en daar proberen bedrijven nu leuk op in te springen.
Vooral omdat er steeds meer Windows (semi-)switchers zijn die 'opgegroeid' zijn met antivirussoftware en die als standaard te installeren software beschouwen.

Ik denk ook dat McAfee zich voornamelijk op deze switchers richt, aangezien voor het Mac OS X platform de gevestigde namen van beveiligingssoftware anders zijn dan voor Windows.

Een smerig spelletje met ongegronde onzin.
Buiten een proof-of-concept model bestaat er geen virus voor de Mac.
Ik zeg niet dat ze er nooit komen, maar de cijfers en verhalen van
het grootste virus tussen de virussen (Norton en McAfee zelf), zijn
gebaseerd op een stel dikke duimen met een grote portomonnee.

Waar ze die cijfers ook vandaan halen kan ik m'n vinger niet opleggen.
Alleen voor het pre-OSX tijdperk bestaan er enkele virussen.

Is het eigenlijk wel toegestaan om een bedrijf in een kwaad daglicht te zetten
om er zelf beter van te worden? Ik kan me niet voorstellen dat Apple hier
nu echt blij van wordt namelijk. Als het echt gegrond was en er een degelijk
onderzoek wordt gedaan i.p.v. uit de lucht gegrepen onzinverhalen,
dan kan ik me voorstellen dat je er een nieuwsbericht van kan maken.
Maar dat kranten dit klakkeloos overnemen, en er geeneens bijzetten dat dit
verkapte reclame is kan ik niet bij.

niet perse over virussen, maar mac osx is wel kwetsbaar, getuige de rm my mac uitdaging wat binnen 30 minuten gelukt was.

donzz schreef op dinsdag 09 mei 2006 @ 11:10:
niet perse over virussen, maar mac osx is wel kwetsbaar, getuige de rm my mac uitdaging wat binnen 30 minuten gelukt was.

Met de tegenwerping dat dat natuurlijk geen normale 'out-of-the-box' security was, maar iemand die zijn mac behoorlijk 'open' gezet had (men kon een gebruikersaccount aanmaken en erop inloggen, dingen die standaard uitstaan)....

Probleem van zo'n Metro-artikel is idd dat het aan elkaar hangt van de onware cliche-voorstellingen (er bestaan nog altijd geen virussen, maar de mac is wel mogelijk 'vulnerable'... dat is echter een nuance die men de standaard metro-gebruiker niet kan uitleggen) .

Ik denk overigens niet eens dat zo'n artikel een 'slechte reclame' is voor de Mac: Misschien schrikt het wat mensen af die denken een mac te kopen omdat 'je dan nooit virussen krijgt' ... dat is echter ook een domme reden een mac te kopen (alhoewel het momenteel zeker zo is dat het niet nodig is een dure virusscanner te draaien, om je PC 'normaal' te beveiligen) ...

Aan de andere ant bevestigd dat artikel iets anders, namelijk dat het gebruik vand e Mac een enorme trend naar boven kent... er steeds meer mac-gebruikers komen ... iets dat juist een groot voordel kan zijn en volgens mij wel degelijk mensen geintersseerd maakt (ik merk ook dat mensen die tot nu toe altijd 'anti' waren, toch veel interesse tonen, juist 'omdat je zoveel van apple hoort, en die zo goed bezig zijn')

Eigenlijk besmet je je Mac dus welm degelijk met een Virus. Het virus heet dan wel Mcafee en je wordt besmet via de krant; het resultaat is hetzelfde.

Het zou mij niets verbazen als de eerste virussen voor de Macs gewoon uit de Mcafee-testlabs komen. *oeps* en vervolgens stijgt je omzet, mooi toch.

Wat altijd verstandig is, is om het bronartikel van het bedrijf er op na te slaan. Dat kan dingen in een iets ander licht zetten. klik

Als het allemaal marketing is, waarom waarschuwen dan ook AV bedrijven die geen producten voor de mac hebben? <insert conspiracy theory here>

In sommige opzichten verschilt de huidige mac malware evolutie niet veel met die van de mobile malware(van een tijdje terug).

Er is malware, er zijn exploits, maar het is niet zichtbaar genoeg voor de gewone mens.

AV industrie kan dus wel flink aan de bel gaan trekken, maar dat zal door het bedoelde publiek zeer waarschijnlijk als marketing gezien worden.
Zo hard schreeuwen dat mensen doof worden heeft het omgekeerde effect, mensen zullen niet denken dat er een daadwerkelijke dreiging is. Iets waar AV industrie zeker op voor moet passen.

Mensen zullen in moeten zien dat er een fijne lijn is in deze gevallen, tussen waarschuwen en hypen. Pas zodra het echt zichtbaar is voor de gebruiker zal AV industrie geloofd worden, we zijn immers toch alleen maar op jullie geld uit.

Op die bullshit dat AV industrie malware schrijft en aanverwante theorieën ga ik nog niet eens reageren.

Fact of the matter is dat er een (levendige) handel is in mac exploits in de computer underground. Trek uw eigen conclusies.

Verwijderd schreef op dinsdag 09 mei 2006 @ 12:25:
Wat altijd verstandig is, is om het bronartikel van het bedrijf er op na te slaan. Dat kan dingen in een iets ander licht zetten. klik

Als het allemaal marketing is, waarom waarschuwen dan ook AV bedrijven die geen producten voor de mac hebben? <insert conspiracy theory here>

In sommige opzichten verschilt de huidige mac malware evolutie niet veel met die van de mobile malware(van een tijdje terug).

Er is malware, er zijn exploits, maar het is niet zichtbaar genoeg voor de gewone mens.

AV industrie kan dus wel flink aan de bel gaan trekken, maar dat zal door het bedoelde publiek zeer waarschijnlijk als marketing gezien worden.
Zo hard schreeuwen dat mensen doof worden heeft het omgekeerde effect, mensen zullen niet denken dat er een daadwerkelijke dreiging is. Iets waar AV industrie zeker op voor moet passen.

Mensen zullen in moeten zien dat er een fijne lijn is in deze gevallen, tussen waarschuwen en hypen. Pas zodra het echt zichtbaar is voor de gebruiker zal AV industrie geloofd worden, we zijn immers toch alleen maar op jullie geld uit.

Op die bullshit dat AV industrie malware schrijft en aanverwante theorieën ga ik nog niet eens reageren.

Fact of the matter is dat er een (levendige) handel is in mac exploits in de computer underground. Trek uw eigen conclusies.

Ik ben het met je eens dat antivirusproducenten het wel uit hun hoofd laten om zelf malware te gaan maken, maar juist jij als (vooraanstaande) anti-virusspecialist zal het toch wel met me eens zijn dat malware en virussen op een Mac een stuk minder schade aan kunnen richten dan op een Windowspc?

Uiteraard is het zo, dat kan niemand ontkennen, dat een stuk malware een complete userdir kan slopen (denk aan pref's, documenten e.d.) maar veel verder kan het niet gaan... Dat is wel wat anders dan een Windowssysteem volledig plat leggen.

Zouden dezelfde antivirusproducenten niet beter kunnen wijzen op het nut van backups? Het beschermen van een consument tegen een virus wat eventueel hun homedir kan wipen klinkt mede door deze reden nogal als het creeeren van eigen omzet.

Overigens wil ik de mensen die hier roepen dat er alleen wat PoC's zijn een vraag voorleggen:

Als er al PoC's zijn, hoe lang denken jullie dat het duurt voordat er i.d.d. een virus uitkomt dat schade aan gaat richten?

En dan heb ik het over grote schade? Wat een homedir wipen is met een simpel c-progje heel simpel te doen.

de homedir is voor veel mensen juist het belangrijkst...

Ik vind het een belangrijk verschil of er user-interactie nodig is of niet. Outlook die direct VBscripts uitvoert in mails die ie binnenkrijgt vind ik een grove fout, en dat soort dingen zie ik bij Apple nog niet gebeuren (afgezien van die safari-dashboard affaire, maar goed, die was in principe niet schadelijk).

Dat ieder OS kwetsbaar is voor programmaatjes die door de user zelf uitgevoerd is is op dit moment niet te betwijfelen, de verschillen zitten m hooguit in hoe makkelijk je dat kunt doen. Dingen als blaster zie ik echter niet op Darwin gebeuren, daarmee heeft Apple nu juist zo veel plezier van unix!

Zwerver schreef op dinsdag 09 mei 2006 @ 12:42:
[...]

Ik ben het met je eens dat antivirusproducenten het wel uit hun hoofd laten om zelf malware te gaan maken, maar juist jij als (vooraanstaande) anti-virusspecialist zal het toch wel met me eens zijn dat malware en virussen op een Mac een stuk minder schade aan kunnen richten dan op een Windowspc?

Waarom? Via social engineering en exploits is alles te bereiken.
Dat we daar nu nog niet zijn is wat anders natuurlijk.

Uiteraard is het zo, dat kan niemand ontkennen, dat een stuk malware een complete userdir kan slopen (denk aan pref's, documenten e.d.) maar veel verder kan het niet gaan... Dat is wel wat anders dan een Windowssysteem volledig plat leggen.

Het moet niet kapot, er is meer geld te verdienen met een werkend systeem.
Kijk maar naar slurper, malware voor de iPod(!) welke uit is op (confidentiële) data.
Neemt niet weg dat er destructieve malware te verwachten is.

Zouden dezelfde antivirusproducenten niet beter kunnen wijzen op het nut van backups?

Er wordt, zeker recentelijk, door AVendors gewezen op het nut van backups.
(Denk aan stijging van ransomware, malware die bestanden gijzelt, backups zijn cruciaal)

Zwerver schreef op dinsdag 09 mei 2006 @ 12:42:
[...]
Uiteraard is het zo, dat kan niemand ontkennen, dat een stuk malware een complete userdir kan slopen (denk aan pref's, documenten e.d.) maar veel verder kan het niet gaan... Dat is wel wat anders dan een Windowssysteem volledig plat leggen.

Dat vind ik ook.
Of ben ik echt naïef als ik denk dat een virus geen schade kan aanrichten aan mijn systeem zonder dat ik bewust en expliciet m'n adminwachtwoord invoer?
Juist de scheiding van systeem, applicaties en userspecifieke preference bestanden vind ik zo super aan Mac OS X.

Canaria schreef op dinsdag 09 mei 2006 @ 14:02:


Of ben ik echt naïef als ik denk dat een virus geen schade kan aanrichten aan mijn systeem zonder dat ik bewust en expliciet m'n adminwachtwoord invoer?

Ik dacht dat Opener/Renepo, een rootkit voor Mac OSX; geinstalleerd kon worden zonder enige authorisatie ... er was een mogelijkheid om via een bepaald trucje bestanden met normale rechten te installeren, die bij een newstart dan met rootrechten werden uitgevoerd ...

Bij mijn weten is deze vulnerability al gedicht, maar het is dus wel zo dat deze bestaan, en het voor kan komen dat een bepaalde kwaadaardige applicatie zonder authorisatie mogelijk kwaad zou kunnen aanrichten. al blijft het natuurlijk wel zo dat de basis-structuur van Mac OSX wel een stuk zinniger in elkaar steekt dan het rechtensysteem op windows (imho)

donzz schreef op dinsdag 09 mei 2006 @ 11:10:
niet perse over virussen, maar mac osx is wel kwetsbaar, getuige de rm my mac uitdaging wat binnen 30 minuten gelukt was.

Dat was niet helemaal gegaan zoals het 'hoort' met een test hoor.
De eigenaar van die computer had al bepaalde toegang verleend aan de "inbrekers", en had verder geen beveiliging aanstaan. Dat is hetzelfde als een inbreker de sleutel van je huis geven, en zeggen dat ze het mogen proberen.

Er is kort daarna nog eens getest, maar dan met een computer "out-of-the-box". Macs die
standaard uit de doos worden gehaald, en direct aan het net worden aangesloten (wat de
meeste mensen doen), waren na 24 uur (dacht ik) nog niet gehackt. Ook is er eens een test
gedaan met 6 systemen: Windows met én zonder beveiliging, OSX met én zonder, en Linux met
én zonder. De uitslag kwam erop neer dat OSX wel aangevallen was door hackers, maar dat
er geen geslaagde poging kon worden genoteerd. Windows was in diezelfde tijd al vele
malen aangevallen, en met succes.

Het nadeel van Windows is dat er programma's kunnen worden geïnstalleerd zónder dat de gebruiker daar een hand in heeft. Bij OSX kan er letterlijk niets worden geïnstalleerd
zonder dat je daar een wachtwoord voor invoert. Een virus kán wel schade aanrichten op de
Mac, maar niet zonder dat de gebruiker daar specifiek iets mee doet. In ieder geval nu nog niet.
Ik ben echt wel van mening dat er ooit vast wel een virus voor OSX komt, maar alle berichten
die nu op dit moment naar buiten worden gebracht zijn simpelweg niet waar.

Ecteinascidin schreef op dinsdag 09 mei 2006 @ 11:41:
Eigenlijk besmet je je Mac dus welm degelijk met een Virus. Het virus heet dan wel Mcafee en je wordt besmet via de krant; het resultaat is hetzelfde.

Je kunt je mac wel degelijk met virussen besmetten, de vraag is echter of die virussen effect hebben
Kijk naar mensen en dieren, die dragen ook virussen e.d. met zich mee die niet per se besmettelijk voor de ander hoeven te zijn. Sommigen werken helemaal niet op de andere soort.
Een belangrijk detail imho die men niet over het hoofd moet zien.

Het zou mij niets verbazen als de eerste virussen voor de Macs gewoon uit de Mcafee-testlabs komen. *oeps* en vervolgens stijgt je omzet, mooi toch.

Andere kant van het verhaal: als je een virusscanner maakt dan lijkt het me toch wel handig dat je een testlab hebt waar je met virussen (echte, nepperts, proof of concept varianten, etc.) kunt spelen om zodoende je scanner te testen en te optimaliseren.
Zoals jij het er nu neer zet is het wel erg ver gezocht aangezien het verspreiden van een virus strafbaar is in diverse landen. Dan speelt McAffee met zijn eigen imago en heeft het kans om een fikse boete opgelegd te krijgen. Ze hebben zoals je zelf al zegt meer aan een stijgende omzet en virussen uitbrengen is iets wat die stijgende omzet in gevaar brengt. Het risico is veel en veel te groot. Ietsje verder denken dan je neus lang is en een korte risicoanalyse doen is wel zo handig

Verwijderd schreef op dinsdag 09 mei 2006 @ 12:25:
In sommige opzichten verschilt de huidige mac malware evolutie niet veel met die van de mobile malware(van een tijdje terug).

Er is malware, er zijn exploits, maar het is niet zichtbaar genoeg voor de gewone mens.

Malware op een mobile (GSM, PDA, etc.) is ook niet zo super interessant. Je hebt zo weinig mogelijkheden om je te vermenigvuldigen. De data die er vaak op staat is ook niet zo bijster interessant. Het wordt pas interessant bij bijv. individuele zaken (denk hierbij aan overspel) of bedrijfsspionage. Voor iets massaals is het niet echt interessant.
Waarschijnlijk een belangrijk punt waarom er ook zo weinig van die mobile virussen enzo zijn.

AV industrie kan dus wel flink aan de bel gaan trekken, maar dat zal door het bedoelde publiek zeer waarschijnlijk als marketing gezien worden.

[..]

Mensen zullen in moeten zien dat er een fijne lijn is in deze gevallen, tussen waarschuwen en hypen. Pas zodra het echt zichtbaar is voor de gebruiker zal AV industrie geloofd worden, we zijn immers toch alleen maar op jullie geld uit.

Waarschijnlijk omdat het vaak ook zo is. Bedrijven hebben nou eenmaal belang bij dat hun producten verkocht worden. Wie zegt mij dat de informatie die zij geven ook waar is? Meestal is het dusdanig geschreven dat als oplossing het product van de fabrikant eruit komt rollen.
Men neemt nou eenmaal wat meer aan van een onafhankelijke partij die geen enkel belang heeft dan van een fabrikant die er wel belang bij heeft (zijn product aan de man brengen). Je reactie is dan ook nogal naief IMHO. Al is het maar omdat je het allerbelangrijkste vergeet: "het zal mensen een worst zijn die hele computer", het interesseert ze dus ook helemaal niet om hun computer te beveiligen, ze willen er gewoon mee werken.

Verwijderd schreef op dinsdag 09 mei 2006 @ 13:30:
[...]

Waarom? Via social engineering en exploits is alles te bereiken.
Dat we daar nu nog niet zijn is wat anders natuurlijk.

Als alles via iets als social engineering te bereiken valt zit de oplossing hem dus niet in een tooltje zoals een AV-pakket of een bepaald security model omdat de user in kwestie dit kan omzeilen.
Het ging hier dan ook om het feit dat MacOS X op een UNIX basis drijft waardoor het niveau van een virus/worm/etc. ligt op het vragen om toestemming aan een user (user is een gewone user en geen administrator en nog meer van dat soort ongein).
Windows pakt dit al heel anders aan omdat het de mogelijkheid biedt om zaken automatisch zonder tussen komst van een gebruiker uit te voeren. Een gebruiker in Windows XP is standaard bijv. ook al administrator en kan alles op een systeem. Om die redenen richten windows-virussen makkelijker en meer schade aan een systeem aan dan macos-virussen dit zouden doen en dat is dus wat Zwerver bedoeld. Bij MacOS X zitten door het UNIX security model wat meer barrieres ingebouwd dan in een systeem als Windows.
IMHO is dat ook hoofdoorzaak waarom een virus zo makkelijk kans maakt op het Windows platform om zoveel schade aan te richten.

[offtopic]
Het goede van Vista is dat deze benadering is overgenomen. In Vista zijn users ook standaard 'user' en wordt voordat er wijzigingen aan het systeem kunnen worden doorgevoerd een admin password gevraagd. Dat vereist nogal wat aanpassingen aan bestaande software
Maar zolang instellingen en voorkeuren ook nog globaal worden opgeslagen ipv locaal, kan een user (of een van buitenaf komende bedreiging) nog steeds schade aanrichten bij een applicatie.

@Canaria,
Maar daar staat tegenover dat je bij Vista meer popups krijgt dan nu het geval is met IE.
Ze schijnen dat afschuwelijke paperclipje eruit te hebben gehaald, maar daarvoor in de
plaats ongelofelijk veel popups te hebben geïmplementeerd om de gebruiker te
"waarschuwen" tegen alles wat los en vast zit. Er wordt zelfs geadviseerd voor pro's om
Vista nog tot zeker 2008 te laten liggen. Dat is precies wat Windows fout doet.
De bedoelingen zijn goed, maar ze verknallen de boel door het op zo'n manier dicht te
timmeren dat het heel erg hakt in de gebruiksvriendelijkheid. Het gaat allemaal veel
te diep, met veel te veel popups en te weinig gebruiksgemak.

Bij OSX kún je heel ver en diep in het systeem duiken (Terminal e.d.), maar dan praat
je echt over "geek"-ware en/of mensen die er echt wat vanaf weten. De meeste gebruikers
die simpelweg hun systeem (willen) kennen, of wat beveiligingsinstellingen willen doen
kunnen bij OSX veel makkelijker aan de betreffende instellingen zitten. En hoewel het
gebruiksgemak veel beter is, en het systeem vanuit de gebruiker makkelijker is, is het
voor iemand van buitenaf juist moeilijker gemaakt om dingen te doen.
Bij Windows Vista is het voor zowel gebruikers als mensen van buitenaf niet te doen
om er fatsoenlijk en gebruiksvriendelijk met om te gaan.

Canaria schreef op dinsdag 09 mei 2006 @ 14:02:
[...]

Of ben ik echt naïef als ik denk dat een virus geen schade kan aanrichten aan mijn systeem zonder dat ik bewust en expliciet m'n adminwachtwoord invoer?

Mbv. exploits is alles te bereiken, er zal namelijk altijd wel íets draaien met de benodigde rechten.

ppl schreef op dinsdag 09 mei 2006 @ 15:02:
[...]


[...]

Waarschijnlijk een belangrijk punt waarom er ook zo weinig van die mobile virussen enzo zijn.

Daar zijn andere redenen voor, maar daar ga ik nu niet op in.

Waarschijnlijk omdat het vaak ook zo is. Bedrijven hebben nou eenmaal belang bij dat hun producten verkocht worden. Wie zegt mij dat de informatie die zij geven ook waar is?

Hmm, deze vraag is me al vaker gesteld.
Hoewel het altijd kan dat een onderzoek 'foutief' is uitgevoerd, geloof ik absoluut niet dat de respectabele AVendors resultaten gaan vervalsen. We hebben het over onderzoekers in een wereld waar de ethiek zéér hoog in het vaandel staat.

Meestal is het dusdanig geschreven dat als oplossing het product van de fabrikant eruit komt rollen.

Dat is, iig voor sommige gevallen, niet te ontkennen.
Het ligt er vaak aan door wie het artikel is geschreven, en voor welke doelgroep.
Ik heb McAfee's whitepaper hierover gelezen en kan het toch geen marketingding vinden.
Dat er in een pressrelease oid wordt aangehaald dat ze een (nieuw) mac product hebben - geen idee of dat zo is - doet niets aan de whitepaper af.

Men neemt nou eenmaal wat meer aan van een onafhankelijke partij die geen enkel belang heeft dan van een fabrikant die er wel belang bij heeft (zijn product aan de man brengen).

Uiteraard.
Het probleem is alleen dat die bedrijven(die commerciële belangen hebben), de enige zijn met de benodigde know how.

Je reactie is dan ook nogal naief IMHO.

Mwhoa, ik geloof dat dat wel meevalt.

Al is het maar omdat je het allerbelangrijkste vergeet: "het zal mensen een worst zijn die hele computer", het interesseert ze dus ook helemaal niet om hun computer te beveiligen, ze willen er gewoon mee werken.

Dát ligt maar net aan de doelgroep.

Als alles via iets als social engineering te bereiken valt zit de oplossing hem dus niet in een tooltje zoals een AV-pakket of een bepaald security model omdat de user in kwestie dit kan omzeilen.

Security vs. gebruikersgemak - there is no compromise. (pun intended)
Die twee gaan nou eenmaal niet hand in hand.

Het ging hier dan ook om het feit dat MacOS X op een UNIX basis drijft waardoor het niveau van een virus/worm/etc. ligt op het vragen om toestemming aan een user (user is een gewone user en geen administrator en nog meer van dat soort ongein).

De juiste exploit is alles wat een hacker nodig heeft.
Daarnaast heb je voor genoeg dingen helemaal niet zo heel veel rechten nodig, wat ook weer iets zegt over hoe 'sterk' de exploit moet zijn.

IMHO is dat ook hoofdoorzaak waarom een virus zo makkelijk kans maakt op het Windows platform om zoveel schade aan te richten.

Mja, ik zie zo af en toe wel een malware voorbij komen die ook op limited user account zijn ding kan doen. Dus er wordt in de malware community toch al rekening mee gehouden dat mensen limited user accounts gebruiken.

Ik denk dat McAfee's whitepaper probeert duidelijk te maken dat het marktaandeel mac lang heeft beschermd, maar dat die bescherming nu aan het verdwijnen is.
Met de huidige situatie in malwareland is marktaandeel sleutel, naast het 'interessantheidsniveau' van een machine. Het is dan ook niet meer dan logisch dat er meer aanvallen op de mac zullen plaatsvinden, zoals het toegenomen aantal exploits e.d. ook aantoont.

En dan hier een reactie van een hoger journalistiek niveau door niet intergraal het persbericht van McAfee over te nemen.

[ Voor 3% gewijzigd door Verwijderd op 09-05-2006 20:15 ]

In fact, if you look down the CERT list of alerts for 2005, the only one that mentions an Apple product by name is one caused by a bug in Symantec's AntiVirus software for the Mac. Safe, effective risk management here involves taking the longest bargepole you can find and using it to not touch the snake oil.

McAfee should be ashamed of itself, for raising fears of risks that do not exist, for coupling risks to Intel chips by association ? which borders on the libelous ? and for encouraging the very complacency it claims to cure. This push to sell inappropriate solutions will damage security and hinder the fight against malware. It will introduce more complexity at the system's most vulnerable point, and discourage people from thinking about stuff like firewall configuration and proper privilege-based security. If you understand security, you will not buy this software.

Mooiste stukje eruit gelicht.

coupling risks to Intel chips by association - which borders on the libelous -

Er bestaat absoluut geen twijfel over dat de overstap naar Intel extra risico's met zich meebrengt, bijzonder merkwaardig dat de journalist dat niet weet.

Verwijderd schreef op dinsdag 09 mei 2006 @ 19:58:
[...]

Er bestaat absoluut geen twijfel over dat de overstap naar Intel extra risico's met zich meebrengt, bijzonder merkwaardig dat de journalist dat niet weet.

Kun je dat nader specificeren? Naturlijk, in theorie zou het beter mogeljk zijn om een in Assembly geschreven programmaatje te draaien ... maar komt dat zo vaak voor en zijn dat dusdanig schadelijke essentiele 'exploits'...?

Ik waag het een beetje te betwijfelen, voor vulnerabilities zijn gewoon fouten in het OS nodig ... daarom denk ik eerder dat er mogelijk cross-platform vurussen die zowel op powerPC alswel Intel misbruik maken van eventuele gaten (maar die waarschnl. wel degelijk redelijk snel gepatched kunnen worden) functioneert ..
dan dat er intel-only virussen vor de mac een serieus gevaar zouden worden?

Ik kan me enkel voorstellen dat het mogelijk voor ontwikkelaars eenvoudiger wordt een bepaalde verloop van processen te volgen .... maar maakt dat werkelijk een Operating Systeem gelijk onveiliger?

Die uitspraken komen van Symantec, kort na de introductie van Intel Macs kwamen ze al met die mededeling:

quote: http://www.eweek.com/article2/0,1895,1915923,00.asp

There are many more malicious hackers who understand the x86 architecture in-depth than understand the PowerPC. And attackers have access to hundreds of documents and examples of how to exploit common vulnerabilities on x86, whereas exploits for PowerPC are far fewer, Friedrichs said...
... Oliver Friedrichs, a senior manager at Symantec Corp. Security Response

Nu vind ik de onderbuwing weinig overtuigend, om eerlijk te zijn compleet ontbrekend, het lijkt niet gebaseerd te zijn op een besef van 'wat' en vulnearbilitie is, namelijk iets dat vooral OS-related is, niet specifiek processor-related..
De applicaties worden momenteel in platform-specifieke (muv java dan) frameworks gebouwd (.Net ,java of voor mac Cocoa)... assembly virussen zijn momenteel m.i. nog heel incidenteel en komen volgens mij weinig voor..

Dat de groei in Marktaandeel de mac potentieel onveiliger maakt, ja, volgens mij is dat zeker zo ... maar dat is iets compleet anders dan beweren dat de overstap naar Intel dat zou doen (ok zonder specifiek die marktaandeel-stijging)

[ Voor 6% gewijzigd door RM-rf op 09-05-2006 22:02 ]

De mac kent ook zijn schare security vulnerabilities en er zijn er een paar beschamende bij. Dat deze niet door virussen/malware is uitgebuit is eigenlijk meer mazzel. Apple is niet altijd even snel met fixen en de informatie voorziening is beperkt.

Maar als je naar de feiten kijkt ben je als thuisgebruiker beter af qua virusbescherming met een mac dan een windows pc.

En wat maakt het uit dat dit misschien komt door het beperkte marktaandeel? Nou en? Feit is dat er geen viruszooi voor dit platform is en ik zou zeggen:

Geniet er van, zolang het duurt. En dat kan nog best eens duren, want ziet iemand hier Apple even 10% pakken van de dekstop markt? Ik niet. Al zou het wel een goede zaak zijn, maar helaas.

RM-rf schreef op dinsdag 09 mei 2006 @ 21:58:
[...]

Nu vind ik de onderbuwing weinig overtuigend, om eerlijk te zijn compleet ontbrekend, het lijkt niet gebaseerd te zijn op een besef van 'wat' en vulnearbilitie is, namelijk iets dat vooral OS-related is, niet specifiek processor-related..

Hoewel die onderbouwing voor de meeste mensen niet zo sterk lijkt, gaat het hier wel om.
Een vulnerability/exploit is veel meer CPU/architectuur related dan je denkt.

Verwijderd schreef op dinsdag 09 mei 2006 @ 22:39:
[...]

Hoewel die onderbouwing voor de meeste mensen niet zo sterk lijkt, gaat het hier wel om.
Een vulnerability/exploit is veel meer CPU/architectuur related dan je denkt.

Als we het op zo'n manier gaan bekijken is niets malware-vrij, zelfs je vulpen niet want iemand zou mogelijk daar een virus op kunnen spray'en. De vraag is hierbij, wat is het uiteindelijke risico (impact + kans) wat je loopt. Is het dan nog de moeite waard om users van alle malware op de hoogte te stellen?

Wat ik ook op de frontpage gezegd heb en hier weer herhaal:

Ik heb de eer een heleboel Mac's te beheren, ik heb ook veel Linuxen en Windows beheerd. Ik heb spam- en virusscan mailrelay clusters helpen opzetten

Ik heb specifiek met McAfee nog nooit meer last gehad dan enig ander pakket. Op Windows heb je natuurlijk een virusscanner nodig, zelfs op de servers die achter een Linux firewall staan. Ik vind de pakketten van McAfee zo ongeveer de Microsoft onder de viruspakketten. Ze brengen snel virusupdates uit, dat geef ik wel toe (soms elke 4u) maar het is precies of ze die nooit testen. Het was bijna wekelijks dat een cluster stilviel gewoon vanwege de virusupdates. Op Windows blokkeerde de externe toegangen (Remote Desktop of Samba shares) zonder enige reden. Ik heb zelfs een Windows server gehad die gewoon niet meer de virusupdates wil verkrijgen om een of andere onbekende reden en dan opeens was die een maand out of date met alle gevolgen vandien.

Op goed verzorgde Linux en Mac machines heb ik nog nooit last gehad van een virus of een hacker. Wat deze berichten zijn is puur FUD en winstbejag. Ze hebben gelijk vanuit een marketing-standpunt maar Mac is gebaseerd op BSD. Dat is natuurlijk geen heilige koe, maar niemand die zegt dat er voor Free/OpenBSD/Linux binnenkort een wild virus gaat uitkomen noch is er een bedrijf die een simpel te installeren virusprogramma uitbrengt voor die platformen.

ALS je al zoiets als een virusscanner nodig hebt voor Mac, vind ik dat het misschien beter is ClamAV for MacOSX te verkrijgen dan een commercieel pakket te installeren. Het geeft je peace of mind, ik heb er nooit geen problemen mee gehad en de virusupdates zijn vergelijkbaar met enig ander commercieel pakket. Daarnaast is het nog eens opensource, dus geen vrees voor achterpoortjes waarvan vroeger McAfee/Norton ook al eens voor in opspraak gekomen is (al dan niet waar).

In een werkomgeving zijn er natuurlijk die managers die als argument "liever de schuld kunnen afschuiven op een commercieel bedrijf" gebruiken maar voor gelijk welk argument geldt het volgende: Heeft iemand al met succes Microsoft / McAfee / Norton verslagen in een rechtbank of enig iets ontvangen omdat hun product niet goed werkt. Nee, achter de beslissing wordt de schuld nog steeds gelegd bij de beheerder vanwege het niet op tijd updaten, niet uitvoerig testen etc. van het product (en ik heb het een paar keer meegemaakt) en dit geldt voor gelijk welk commercieel of niet-commercieel pakket.

Als ik niet kijk naar mijn 50 mac's dan ben ik gegarandeerd dat binnen een jaar minimum 25% ervan scheefdraait en dit komt niet omdat ik het niet goed opgezet heb in het begin, dat komt omdat gebruikers nu eenmaal de breincapaciteit van een pindanoot hebben als het op computers aankomt (ja, zelfs non-administrators in Mac OS X kunnen hun omgeving deftig upfucken - vooral grafische designers die om de haverklap een nieuwe font moeten installeren in hun User directory) en ook zijn er mechanische onderdelen die niet zo lang meegaan.

En als ik nu een virusscanner of niet installeert, ik ben gegarandeerd dat momenteel een virusscanner voor meer problemen/kopzorgen zorgt dan de standaard gebruiker zijn ding te laten doen. Daarnaast als iemand zijn omgeving danig om zeep brengt of er is een virus geinstalleerd door de gebruiker (er zijn morons die op hun persoonlijke Mac dat shell scriptje van een paar weken geleden geaccepteerd en uitgevoerd hebben) dan heb ik nog altijd hun dagelijkse rsync.

Als het ooit nodig wordt om een virusscanner te installeren (als er ooit zoiets als I Love You, Slammer of Blaster voor Mac langskomt) dan doe ik dat wel, maar waarschijnlijk geen commercieel pakket en zeker niet van McAfee.

ppl schreef op dinsdag 09 mei 2006 @ 23:04:
[...]

Als we het op zo'n manier gaan bekijken is niets malware-vrij, zelfs je vulpen niet want iemand zou mogelijk daar een virus op kunnen spray'en. De vraag is hierbij, wat is het uiteindelijke risico (impact + kans) wat je loopt. Is het dan nog de moeite waard om users van alle malware op de hoogte te stellen?

Heb je soms het verkeerde gequote? Want ik zie niet hoe het gequotte met jouw opmerking te maken heeft.

De overstap naar Intel brengt zeker extra risico met zich mee, iedereen die de betreffende materie meester is, is het daar over eens.

Zoals mcafee's whitepaper ook al zegt, mac is nog in beginstadium van malware evolutie, dus de risico's zijn nog niet al te groot.
Met whitepapers als deze probeert men de evolutie duidelijk te maken.

/me wijst nog eens naar het waarschuwen vs hypen stukje.

Verwijderd schreef op woensdag 10 mei 2006 @ 01:35:
[...]

Heb je soms het verkeerde gequote? Want ik zie niet hoe het gequotte met jouw opmerking te maken heeft.

Nee, ik heb wel het juiste geciteert, het komt alleen niet goed over denk ik.
Je haalt nu al hardware e.d. er allemaal bij op een dusdanige wijze dat je eigenlijk wel heel simpel meteen kunt stellen dat niets veilig is. Het draaft nogal erg door, je moet je alleen afvragen of dit wel van belang is voor het dagelijkse gebruik van een computer gezien het risico. Even kijkend naar de gemiddelde malware op Windows platform e.d. denk ik dat het te ver doorschiet. Zoals RM-rf al zegt, het komt maar incidenteel voor.

Zoals mcafee's whitepaper ook al zegt, mac is nog in beginstadium van malware evolutie, dus de risico's zijn nog niet al te groot.
Met whitepapers als deze probeert men de evolutie duidelijk te maken.

/me wijst nog eens naar het waarschuwen vs hypen stukje.

Het probleem is echter dat je alleen maar dat soort bedrijven ziet die er voor waarschuwen. Andere instanties komen niet erg naar voren met dat soort berichten. Maarja, is het dan de fout van die bedrijven of van die andere instanties?

Verwijderd schreef op dinsdag 09 mei 2006 @ 22:39:
[...]

Hoewel die onderbouwing voor de meeste mensen niet zo sterk lijkt, gaat het hier wel om.
Een vulnerability/exploit is veel meer CPU/architectuur related dan je denkt.

Ik vroeg om onderbouwing ... die zie ik, met alle respect, nog steeds niet ...

Natuurlijk, exploits hebben vaak een basis in bv buffer overflows en dan speelt de processor stevig mee ...
Maar de bewering was dat OS X op Intel opeens onveiliger zou worden ... onderbouw dat nu eens met argumenten (en niet met 'alle experts menen dat, als dat gewoon business managers zijn van bedrijven die hun geld verdienen hiermee) ...

Wil jij beweren dat een eventuele stijging in vulneabilities door de overstap naar Intel zou komen en niet door een grotere populariteit?
Als je bv kijkt naar de momentele stijging van vulnerabilities in mac OSX zijn dat zeker geen intel-related zaken, en bovendien zette die stijging al in voordat bekend was dat Mac over zou stappen naar Intel ...

nee sorry, ik heb veel respect voor je, maar ik neem niet graag 'zomaar' dingen enkel over 'van horen zeggen' en 'alle experts beweren dat' ... dat is net zoiets als luisteren naar de 'alles wetende buurman':
Als je zelf niet kritisch blijft naar _waarom_ dat precies beweerd wordt, _wààrom_ mac op Intel 'onveiliger' zou zijn, ben je imho niet goed bezig, en nee, niemand heeft nu goed onderbouwd op welke gronden mac op intel werkelijk tot meer exploits zou leiden (los van de populariteits-stijging van mac, die natuurlijk wel een goede grond is voor de huidige stijging in aantal gevonden exploits)

Verwijderd schreef op dinsdag 09 mei 2006 @ 22:39:
[...]

Hoewel die onderbouwing voor de meeste mensen niet zo sterk lijkt, gaat het hier wel om.
Een vulnerability/exploit is veel meer CPU/architectuur related dan je denkt.

Imho is dit echt flauwekul. Er is natuurlijk een voordeel dat de Intel-processor wordt gebruikt ipv de PowerPC, omdat mensen vanuit de Windows-wereld al bekend zijn met de algemeen gebruikte registers en zo en het feit dat de PPC big endian adressen gebruikt, terwijl Intel little endian adressen gebruikt, maar dat is volgens mij ook het enige. De meeste exploits vereisen voornamelijk ook veel kennis van het OS en de manier van geheugenbeheer en processenbeheer plaatsvindt. Ik ben ERG benieuwd naar je onderbouwing voor deze (in mijn ogen) ridicule stelling.
Voor een bufferoverflow exploit maakt het echt weinig uit of je nu een PPC-cpu of een Intel-cpu voor je hebt.

Sowies vind ik het allemaal een beetje vage beweringen dat Mac OS X een toenemend risico loopt en zo. Want waarom is er dan niet al lang een uitgebreid assortiment virussen voor Linux die zich op servers richten? Er zijn namelijk _VEEL_ Linux-servers op internet aanwezig, dus vanuit dat oogpunt zou het voor malwaremakers (die een computer willen kunnen controleren zodat ze dDos-attacks of zo kunnen uitvoeren, of creditcardgegevens kunnen verzamelen) ook een interessant platform zijn. Er zijn genoeg vulnerabilities die in Linux worden ontdekt, en er zijn dus ongetwijfeld ongepatchte systemen in redelijk aantallen beschikbaar. Misschien ben ik wel mega-naief of zo, maar ik heb altijd grote twijfels bij de uitspraken van virusmakers, die nog eens extra is versterkt door de recente berichten over 'het eerste virus voor Mac OS X' en zo, wat gewoon voor 99% onzin is.

RM-rf schreef op woensdag 10 mei 2006 @ 12:23:
[...]

Natuurlijk, exploits hebben vaak een basis in bv buffer overflows en dan speelt de processor stevig mee ...

Exactly. Hoeveel is (algemeen) bekend over x86 architectuur? Hoeveel over PPC?
Iemand kan redelijk wat kennis over x86 hebben, maar geen over PPC - die drempel is ineens weg. Geen extra research in dat opzicht, ook geen extra binaries e.d. meer.

Er gaat dus voor een héél grote groep hackers een wereld open en de exploitscene is big big business.

(en niet met 'alle experts menen dat, als dat gewoon business managers zijn van bedrijven die hun geld verdienen hiermee) ...

fyi: als ik het over experts heb, dan heb ik het over (gerenommeerde) researchers, geen managers oid.

Wil jij beweren dat een eventuele stijging in vulneabilities door de overstap naar Intel zou komen en niet door een grotere populariteit?

De populariteit speelt de grootste rol, daar hoeft niet aan getwijfeld te worden.

Als je bv kijkt naar de momentele stijging van vulnerabilities in mac OSX zijn dat zeker geen intel-related zaken, en bovendien zette die stijging al in voordat bekend was dat Mac over zou stappen naar Intel ...

Sure, OSX/Leap.A is voor PPC btw.

Als je zelf niet kritisch blijft naar _waarom_ dat precies beweerd wordt, _wààrom_ mac op Intel 'onveiliger' zou zijn, ben je imho niet goed bezig,

Ik ben het met je eens. Men mag, moet zelfs, kritisch zijn.

Het probleem in dit geval is dat het om een bijzonder technische aangelegenheid gaat.

Als men de benodigde technische kennis niet heeft, zal iemand niet inzien hoe cruciaal het is en zal er afgegaan moeten worden op de, in zijn ogen, zwakke(re) onderbouwing van de expert.

Er zijn mensen die deze redenering niet willen volgen, dat is hun goed recht uiteraard.

Misschien is het iets wat eens op viruslist weblog aangehaald moet worden.

en nee, niemand heeft nu goed onderbouwd op welke gronden mac op intel werkelijk tot meer exploits zou leiden

Gevonden exploits, belangrijk verschil.

Exactly. Hoeveel is (algemeen) bekend over x86 architectuur? Hoeveel over PPC?
Iemand kan redelijk wat kennis over x86 hebben, maar geen over PPC - die drempel is ineens weg. Geen extra research in dat opzicht, ook geen extra binaries e.d. meer.

Hoeveel moet je nu weten van een architectuur om een exploit te kunnen schrijven voor een buffer overflow exploit (wat afaik nog steeds de meest voorkomende fout is) - iig de meest voorkomende manier om een programma te exploiten? Dat is echt niet veel. Je moet alleen even weten of het platform big of little endian gebruikt, maar verder is het vooral besturingssysteem specifiek. Maatregelen als een randomized stack pointer, nx-bits, e.d. zijn imho veel grotere obstakels dan het gebruik van een andere processor cq. architectuur voor virusschrijvers.

[ Voor 3% gewijzigd door Martin Sturm op 10-05-2006 21:01 ]

Er bestaan geen virussen voor de Mac.

Ze zullen er vast wel eens komen, en 't zal ook vást mogelijk zijn om een kwaadaardig
virus te schrijven... maar op dit moment bestaan ze nog niet. Er is alleen een Proof-of-Concept.
Applegebruikers hoeven dus geen virusscanner te nemen om hun eigen computer te
beveiligen tegen kwaadwillenden. Daar komt nog bij dat je bij praktisch álles een wachtwoord
moet invoeren om iets gedaan te krijgen, dus een virus schrijven wat daar omheen werkt
én dan nog diep in een potdicht systeem willen doen zal veel lastiger te maken zijn.

Aan de andere kant;
als je een hoop PC-gebruikers kent en mailt, dan is het misschien wel fijn voor hun als je een
virussscanner gebruikt. Dan filter je de virussen die je anders misschien per ongeluk doormailt
naar een PC gebruiker. Je helpt hun dus de PC schoon te houden in zo'n geval.

In het ergste geval zou je héél misschien wat virussen kunnen vinden die zich hebben
proberen te nestelen in je systeem. Maar aangezien ze toch niet doen, of kúnnen doen,
werken ze net als elk ander nutteloos prorgammaatje.... helemaal niet dus

www.macfreak.org heeft er een mooie site over gemaakt, namelijk www.macfriend.nl, deze mocht ik jullie toch niet onthouden.

Dancing_Animal schreef op maandag 15 mei 2006 @ 19:09:
www.macfreak.org heeft er een mooie site over gemaakt, namelijk www.macfriend.nl, deze mocht ik jullie toch niet onthouden.

Daar staan echt tíg fouten in. Imho dan ook geen goede reclame voor mac + gebruikers.

Een voorbeeld:

osxleapa (zou zich verspreiden via ichat)
Dit is een ontdekt lek, maar een echte worm hiervoor is nooit gemaakt.

Laat me niet lachen...Hebben de personen achter deze site wel enige technische kennis?

zie www.macfriend.nl!!!

beter lezen

[ Voor 29% gewijzigd door Verwijderd op 15-05-2006 20:29 ]

Fouten of niet, er is gewoon geen virus of (kwaadwillende)worm voor de Mac.
Elk systeem heeft z'n lekken... sommige erger dan anderen. Maar op de Mac
is het (op dit moment) nog niet gelukt om door die barriere van wachtwoorden en
beveiligingen heen te prikken en een echt werkend virus te maken.
Al helemaal geen virus/worm wat schade aanrichtte, of zich automatisch
ergens nestelde. In alle gevallen van een "worm" moest de gebruiker eerst de
boel activeren door een bestand te openen.

Dat sommige bedrijven anders beweren komt alleen omdat hun er beter van worden.
(wat overigens door McAfee alweer ontkracht is omdat het ANP er een eigen draai
aan had gegeven. staat ook op MacFreak, want die zijn er langs geweest).

[ Voor 19% gewijzigd door Kapotlood op 16-05-2006 10:20 ]

joramoudenaarde schreef op dinsdag 16 mei 2006 @ 10:08:
Fouten of niet,

Excuse me? Liegen om je eigen punt te maken mag wel? Ze hadden op z'n minst mogen zorgen dat hun 'feiten' daadwerkelijk kloppen.

er is gewoon geen virus of (kwaadwillende)worm voor de Mac.

Nee, en die ITW exploits die nog niet gepatcht zijn, zijn ook verzonnen.
Naast de ITW exploits die inmiddels wel gepatcht zijn.

Elk systeem heeft z'n lekken... sommige erger dan anderen. Maar op de Mac
is het (op dit moment) nog niet gelukt om door die barriere van wachtwoorden en
beveiligingen heen te prikken en een echt werkend virus te maken.

Hoe weet jij dat? Weet jij wat er zich afspeelt in de underground?
Daarnaast snap ik die fixatie op virussen niet, exploits+trojans is wat de hackers willen.

De Mac community lijkt voor een zéér groot gedeelte overtuigd van de onkwetsbaarheid van hun OS. De community reageert heftig op alles wat dit tegenspreekt. Waarom zouden de hackers hun eigen ruiten in willen gooien? Dit is de ideale situatie voor hen.

In alle gevallen van een "worm" moest de gebruiker eerst de
boel activeren door een bestand te openen.

Lees de definitie van worm er nog eens op na svp.