Vor ein paar Tagen bekam ich zwei interessante kritische Emails von U. R. aus R. Normalerweise fehlt mir die Zeit für lange Anworten; diesmal ging ich jedoch etwas ausführlicher und öffentlich darauf ein, weil U. gerne überrascht wird und weil es vermutlich Fragen sind, die sich nicht nur U. stellt, und zudem der U. nicht einfach nur der U. R. aus R. ist, sondern ein echter Journalist und Analyst, der für spiegel online und heise online schreibt und das "c't Magazin", auch für die Süddeutsche, die Computerwoche, die "Computer Zeitung", die "PC Welt" und zdnet. Er war auch schon Redakteur bei der "PC Professionell" und der Chip und ist offenbar Autor diverser bei Amazon erhältlicher Bücher über Themen von Facebook über Photoshop bis Mac OS X Lion. Amazon sagt: "U. R., Jahrgang 19xx, ist ausgebildeter Fachjournalist und Mac-Enthusiast. Er berichtet seit mehr als elf Jahren aus aller Welt über verschiedenste Computerthemen für Fachmagazine, Onlineportale und Tageszeitungen." Und davor hat er Germanistik und Anglistik studiert. Also Kritiker mit Hintergrund.
In seinen Emails führte er aus, welche angeblichen "Ungereimtheiten" er an meinen Artikeln zu bemängeln hat. Ich bin dann hier auf seine Emails eingegangen und habe die Ungereimtheiten aufgeklärt, wobei ich seine Emails wörtlich und komplett zitiert habe, damit mir niemand eine verzerrte Darstellung oder Zensur unterstellen kann.
In der Nacht zum 5.12. um 1 Uhr 11 nachts, wenige Stunden nach der Veröffentlichung, hat er dann eine Email geschrieben, in der er sich nicht einverstanden erklärt, daß ich seine Emails zitiere. Um 2:10 nachts schrieb er dann noch eine Email mit einer noch längeren Kritik als zuvor. Um 17:30 eine weitere Email, in der er nochmals darum bittet, die "Wortlautzitate" zu entfernen, da sie sein Urheberrecht verletzen würden. Ferner bat er um Anonymisierung weiterer Stellen, da er seine Persönlichkeitsrechte verletzt sieht.
Nachdem ich das nun abends am 5.12. alles erfahre, müßte ich sämtliche seiner Texte in eigenen Worten wiedergeben, um darauf eingehen zu können, und habe daher den originalen Artikel hier erstmal wieder beseitigt. Ihm liegt so viel daran, mich zu korrigieren. Und er schreibt seinen Namen ansonsten unter zig Artikel in allen möglichen deutschen Online-Magazinen und Zeitungen, Zeitschriften und Büchern. Nur die Kritik an meinen Artikeln, die will er nicht wörtlich veröffentlicht sehen und die unterschreibt er auch nicht. Put Your Money Where Your Mouth Is!
Daher folgende neue Regel: Ich setze bei allen Zuschriften voraus, daß ich sie zitieren und mit vollem Namen veröffentlichen darf, sofern sie meine Artikel kommentieren.
Hier kommt nun seine Kritik, wiedergegeben in meinen eigenen Worten. Ich habe seine geschliffene Wortwahl, die ich hier leider nicht 1 zu 1 abdrucken darf, etwas salopper und kürzer umformuliert. Wenn es also nicht so super klingt, dann liegt das an meiner abartigen Verlierer-Fanboy-"Übersetzung". Sein Text war dagegen echt spitze, kein Vergleich. Aber zumindest ist er nun unkenntlich.
Das Scheinargument Marktanteil ist doch großer Käse, weil der Apache zwar einen größeren Marktanteil, aber doch viel mehr Schwachstellen hat als der IIS. Wie kannst Du es also wagen, zu sagen, der Indianer hätte weniger Vulns?
Ich schreibe in dem Vergleich nichts über die Anzahl von Schwachstellen und Vulns, sondern über die Anzahl der Sicherheitsprobleme. Also wie oft der Apache Webserver im Vergleich zum damals kaum verbreiteten Microsoft Internet Information Server (IIS) kompromittiert wurde, sprich unter erfolgreichen Angriffen leiden mußte.
Das Marktanteils-Scheinargument besagt ja, daß bevorzugt die Plattform mit der größeren Verbreitung angegriffen wird und sich Angriffe auf wenig verbreitete Systeme nicht lohnen. Die Anzahl der "Schwachstellen und Vulns" spielt beim Scheinargument Marktanteil eben überhaupt keine Rolle. Das Marktanteils-Scheinargument, das auch heise in seinen "Security paradox"-Artikeln anführt, besagt ja, daß ein weniger verbreitetes System nicht angegriffen wird, selbst dann, wenn es viel mehr Schwachstellen und Vulns hat als der Marktführer.
Wie man an dem Apache-Beispiel sieht, ist der Marktführer, der zu der Zeit zwei Drittel des Marktes hielt, weniger oft durch Angriffe kompromittiert worden als der IIS, der zur gleichen Zeit nur ein Fünftel des Marktes für sich beanspruchen konnte. Der Marktführer hatte weniger Sicherheitsprobleme und man würde landläufig sagen, der Apache war in der Zeit offenbar sicherer als der IIS, der zur gleichen Zeit ständig "aufgemacht", "übernommen" und "mißbraucht" wurde. Laut dem Scheinargument Marktanteil hätte jedoch nur der Apache als deutlicher Marktführer angegriffen werden dürfen. Die Angriffe konzentrierten sich jedoch auf den abgeschlagenen IIS. Warum mag das so gewesen sein?
Das Warum führt uns nach dem Scheinargument Marktanteil zu einem weiteren verbreiteten Irrtum: Die Anzahl der bekannten Bugs und Vulns wäre relevant für die Anzahl der Angriffe. Ich werde es das "Bug-Anzahl Scheinargument" nennen. Dieses hat zwei Probleme. Erstens läßt sich die Anzahl nicht zuverlässig bestimmen, da Microsoft gerne auch mal heimlich patcht, während beispielsweise Apple nicht nur eigene Bugfixes lückenlos dokumentiert, sondern auch die der verwendeten Open Source Projekte wie Apache. Ein erfolgreicher Angriff kommt mit einem oder wenigen gefährlichen Bugs oder relevanten Schwachstellen aus. Für einen erfolgreichen Angriff helfen tausende harmloser Bugs jedoch nicht weiter. Es kommt also zweitens auf die Qualität der Bugs und Schwachstellen an, aber nicht auf die Quantität.
Was machte Angriffe auf den IIS so attraktiv? Unter anderem die harte Verdrahtung des Webservers im Adreßraum des Betriebssystemkerns einiger Windows-Versionen, die zur Folge hatte, daß jeder Exploit für einen Bug im IIS mit Systemrechten belohnt wurde. Der Apache hingegen läuft typischerweise unter einem ziemlich unprivilegiertem Account, der auch dann kaum Schaden anrichten konnte, wenn er kompromittiert wurde.
Manch vorschneller Zeitgenosse erwähnt nun, der IIS wäre vermehrt angegriffen worden, weil Windows dahinter steht. Das war durchaus eine weitere Motivation, aber nicht aufgrund des Marktanteils, denn IIS-Windows-Server hatten zu der Zeit eben nur einen Anteil von circa 20% an Webservern und Apache, der auf Unix- und Windows-Systemen läuft, eben circa fette 67%
Das mit dem Witty-Wurm ist ja wohl auch Quark. Vor sieben Jahren wurde doch an Malware praktisch nichts verdient. Und an dem aktuellerem Stuxnet sieht man doch, daß der Marktanteil die Malware anzieht, wie ein Haufen Mist die Fliegen.
Wie beschrieben war der Witty-Wurm einer der besten, die es je gab. Und dieser Aufwand wurde für die winzige Anzahl von 12000 Angriffszielen getrieben. Wäre der Marktanteil relevant, hätte man doch stattdessen die Millionen Macs angegriffen oder die Abermillionen Windows-Systeme.
Stuxnet ist ein noch besseres Beispiel für die Irrelevanz des Scheinarguments Marktanteil, denn sein Ziel waren ein paar Steuerungssysteme (Siemens Simatic S7) von Uran-Anreicherungsanlagen im Iran. Für den Weg dorthin hat er auch noch diverse Windows-Schwachstellen ausgenutzt, aber nicht, weil Windows so weit verbreitet ist, sondern weil Windows diese schönen und nützlichen Schwachstellen bot. Es wurde auch kein Schaden auf Windows angerichtet, denn Windows war nicht sein Ziel. Stuxnet ist ein Beispiel für APTs (Advanced Persistent Threats), bei denen ein bestimmtes Zielsystem, hier eine Gruppe bestimmter S7-Installation im Iran, koste es was es wolle an Zeit und Geld, angegriffen wird. Völlig unabhängig vom Marktanteil. Wären die handvoll Anlagen im Iran von umgebauten Toastern mit einem Marktanteil von 0% gesteuert worden, sie wären angegriffen worden.
Als Du iOS und Android bezüglich Malware vergleichst, hast Du auch richtig Mist verzapft. Alter, das sind doch wieder total alte Daten. Das geht gar nicht! Zwar hat iOS die bessere Architektur, aber nur darum keine Malware, weil Apple keine in den Store läßt! Checkst Du denn gar nichts?
Die Marktzahlen sind von 2010 und das Alter ist völlig irrelevant, um das Scheinargument Marktanteil zu widerlegen. Tatsache ist: Es gab 2010 3,5-mal soviele iOS- wie Android-Geräte und angegriffen wurden die Androiden. Den Angreifern waren die Marktanteile völlig egal.
Und auf einmal siehst auch Du andere Gründe für Angriffe beziehungsweise deren Ausbleiben als den Marktanteil: Die besser gesicherte Plattform iOS dank Kontrolle und Systemarchitektur. Eine iOS-App kann halt beispielsweise nicht heimlich SMS verschicken, Android schon und darum gibt es Schadsoftware für Android, die kostenpflichtige SMS raushaut und für iOS nicht. Sie machen es, weil es geht. Und sie machten es obwohl Android zu der Zeit kaum Marktanteil hatte.
Hier ist der Marktanteil auch für Dich plötzlich irrelevant. Das erinnert mich an typisch menschliches Verhalten: Sobald man etwas nicht technisch erklären kann, wird etwas Mythologisches dafür als Grund herangezogen. So glaubten die Germanen tausende von Jahren, Blitze und Gewitter gingen auf das Konto von Gott Thor und seinem Hammer. Der Thorhammer der IT ist der Marktanteil. Dem wird immer die Schuld gegeben, wenn man keine technische Erklärung erkennt.
Apple kann allerdings nicht jede mögliche Schadfunktion in iOS-Apps im Review-Prozeß herausfinden.
Und das über die Viren, geht's noch? Es gibt doch gar keine Windows-Viren mehr, die Programm-Code auf der Platte infizieren.
Der Artikel beschreibt, wie leicht oder schwierig es ist, für verschiedene Systeme Viren zu schreiben und zu verbreiten. Ich sage dort nicht, wie oft das heute praktiziert wird. Du argumentierst auch hier wieder gegen etwas, was dort nicht steht.
Aber da Du es angesprochen hast: Auch heute noch infizieren Windows-Schädlinge Exe-Dateien und sitzen huckepack auf vorhandenen Applikationen. Es gibt mehrere Familien von Viren, die teilweise hartnäckig seit fast 10 Jahren überleben, schwer zu entfernen sind und immer weiter verbessert werden bis zum heutigen Tage und als gefährlicher als der Conficker-Wurm eingestuft werden. Eine davon ist die Sality-Virus-Familie. Der Virus infiziert Exe-Dateien (Programme) und weist inzwischen zusätzliche Funktionen auf, beispielsweise kann er ein Botnetz bilden. Kaspersky hat seine Sality-Seite vor nicht mal drei Monaten aktualisiert. Und eine Suche bei VirusTotal zeigt, daß er auch dort in den letzten Monaten "in the wild" erkannt wurde.
Und bei Security orthodox: Marx wurde doch, ein halbes Jahr bevor Weyland-Yutani allgemein bekannt wurde, interviewt. Du kannst ihm doch nicht vorwerfen, das Ding nicht vorausgesehen zu haben!
Auch hier beschwerst Du Dich über etwas, was ich nicht geschrieben habe. Andreas Marx behauptete, es gäbe noch keine Malware-Frameworks für Mac OS X. Ich hielt dagegen, daß er dann wohl das seit Jahren auch für Macs verfügbare Metasploit-Framework nicht kennt, das Charlie Miller übrigens erst kürzlich für seine böse iPhone-App genutzt hat. Außerdem habe ich mich darüber gewundert, daß er vom Trojaner-Baukasten Weyland-Yutani wohl auch erst aus der Presse erfahren hat wie ein normaler User, obwohl er als Sicherheitsspezialist einer Firma für IT-Sicherheit und Antiviren-Forschung doch eher Wind davon bekommen haben müßte als die Zeitung, denn der Schwerpunkt der Firma liegt darauf, die allerneueste Malware zu entdecken, sie mit state-of-the-art Methoden zu untersuchen und ihren Kunden darüber zu berichten. Der Trojaner-Baukasten Weyland-Yutani war zu dem Zeitpunkt, als er durch die Presse ging, schon lange käuflich zu erwerben über ein russisch-sprachiges Forum. Der Malware-Autor und seine Kunden hatten versucht, das Produkt möglichst lange geheim zu halten.
Der Rest ist sicher auch fehlerhaft, aber dafür habe ich keine Zeit mehr jetzt.
Wenn Du Dir mehr Zeit genommen hättest, wäre Dir diese Fehlinterpretation nicht unterlaufen. Du kennst vielleicht "you have to go slow to go fast".
Eine Stunde später kam dann die nächste Email von U.
So, Du anmaßender Schlaumeier, in Macs in the Age of APT steht ja wieder was Verdächtiges mit Marktanteilen: Wie kommt es denn zu dieser komischen Graphik? Die vermischt ja Desktop mit Mobilsystemen und ist doch wertlos!
Wo die gepostete Statistik herkommt, ist doch ganz offensichtlich am fetten Firmenlogo und der Schlagzeile in der Graphik zu erkennen. Let me google that for you: chitika operating system market share september 2011. Dann klickst Du auf den obersten Treffer. Und die Webseite verrät auch mit zwei weiteren Klicks, wie Chitika welche Werte mißt. Letztendlich sind das Marktanteile von Client-Systemen im Internet. Und da es nicht nur Desktop-Browser, sondern auch Browser auf Mobilsystemen gibt, tauchen beide in der Statistik auf. Das sind Infos, die Du in fünf Minuten recherchieren kannst.
Wenn iOS 5,5% Marktanteil hat bei 200 Millionen verkauften iOS-Geräten, dann müßte es ja auch 2,9 Milliarden Windows-Maschinen geben im Netz.
Die Graphik bezieht sich nicht auf die verkauften 200 Millionen iOS-Geräte, sondern auf die iOS-Geräte, die zu dieser Zeit im Internet waren. Wir sollten davon ausgehen, daß beispielsweise nicht mehr alle iPhones der ersten Generation von 2007 noch im Netz aktiv sind. Gleiches gilt wohl auch für die ersten iPod Touch Geräte.
Außerdem müßten dann 349 Millionen Macs im Netz sein. Im Marktanteils-Märchen lieferst Du aber viel niedrigere Werte. Ergo sind die Zahlen ja wohl alle falsch. Du solltest mal lieber nicht so auf dicke Hose machen.
So etwas kommt dabei heraus, wenn man Statistiken, die unterschiedliche Dinge messen, unbereinigt miteinander vermischt, siehe oben. Diese Zahlen sind deshalb kein Müll. Aber Deine durch unbereinigtes Mischen enstandenen Zahlen, die sind natürlich Müll. Aber so selbst verbrochene falsche Zahlen hindern Dich nicht, mir die Schuld daran zu geben. Kennst Du: "Wenn der Bauer nicht schwimmen kann, ist die Badehose schuld."?
Tu mir einen Gefallen und laß Dir beim nächsten Mal etwas mehr Zeit beim Lesen und beim Analysieren.
Auch hier gebe ich seinen Text mit eigenen Worten und gekürzt wieder. Falls jemand glaubt, dabei würden Fehler entstehen: Ich wäre gerne bereit, seinen Originaltext zu zitieren, aber das erlaubt er mir nicht.
Welche Sicherheitsprobleme hatte denn der IIS?
Es gab zwischen MacOS 9 und Ende 2010 keine praktisch keine ernste Malware für OS X. MacDefender und die anderen Schädlinge der letzten 12 Monate sollen nicht am gestiegenen Marktanteil liegen?
Die Würmer Code Red (IISWorm) und seine Nachfolge-Varianten und Nimda, die Fehler im IIS nutzten in dieser Zeit. Es gab keine vergleichbaren Probleme mit Apache, obwohl Apache den Markt dominierte. Schädlinge für Apache hatten nie einen so weitreichenden Effekt und konnten auch schneller unter Kontrolle gebracht werden.
Es gab in den 10 Jahren Mac OS X regelmäßig den Trojaner des Jahres oder ähnliche Malware. MacDefender ist eine Portierung eines Windows-Trojaners, der ein recht gutes Social Engineering betreibt. Die Psycho-Tricks der Trojaner werden halt auch besser im Laufe der Zeit. Die Malware für Macs infiziert hauptsächlich die Presse, weniger die Macs.
Die Bug-Anzahl ist kein Scheinargument, wenn es doch Attacken gibt.
Ich glaube nicht, daß Apple alle Fixes bekanntgibt.
Die Attacken nutzen aber nicht die vielen harmlosen Bugs, sondern die ein oder zwei für Angriffe wirklich nützlichen Bugs. Siehe Apache und IIS.
Apple veröffentlicht auch selbstgefundene und ansonsten "draußen" unbekannte Bugs in seinen Security Update Beschreibungen.
Warum waren Bugs für Apache nicht so gefährlich wie für IIS?
Sie ermöglichten nicht die oben genannten Hammer-Würmer, die Geschichte geschrieben haben.
[Bezüglich: Es ist ungefährlicher, wenn der Webserver nicht mit Systemrechten läuft.] Wenn nicht der Server, sondern die Website das Angriffsziel ist, um Malware zu verteilen, ist das aber falsch.
Mit Systemrechten kann man einfacher und mehr Änderungen vornehmen.
Die 12.0000 Systeme beim Witty-Wurm waren doch 100% aller Systeme! Außerdem ging es hier nicht um einzelne Heim-PCs, sondern um ganze Netzwerke, die dahinter liegen und den Aufwand rechtfertigen.
Es wurden gezielt (Personal) Firewalls angegriffen, die ein bestimmtes Protokoll-Analyse-Modul nutzten, das einen Fehler bei der Analyse von ICQ-Traffic hatte. Also (auch) typische Heim-PCs. Er löschte langsam und nach dem Zufallsprinzip Festplatten. Die betroffenen (Personal) Firewalls waren nicht 100% des Marktes für (Personal) Firewalls. Gelöschte funktionsunfähige Heim-PCs nützen dem Malware-Autor nichts. Und auch Firmen-Firwall-Rechner, die mit gelöschter Platte abstürzen, ermöglichen keinen Zugriff, sondern trennen die Firma vom Netz.
Warum hältst Du die Statistik von iSEC Partners für schlecht?
Nun, sie nennen überhaupt keine konkrete Statistik. Sie beziehen sich auf eine vage News-Aussage, die lautete: "Market share trackers typically show Windows powering 80% to 90% of desktops and laptops, with Mac OS in the 6% to 8% range". Ich zitiere hingegen eine konkrete Statistik mit 10.6%, die das widerlegt,
Es soll 190 Millionen Androiden gegeben haben zu der Zeit. Dann müßte es nach Deiner Statistik auch über 600 Millionen Mac OS X Geräte gegeben haben.
XProtect ist Mist, weil er nicht mal MacDefender gefunden hat.
Bei der zitierten Statistik geht es um aktuelle Marktanteile im Netz. Das kann man nicht mit jemals verkauften Geräten vergleichen.
Bezüglich XProtect habe ich bei ihm nachgefragt und es stellte sich heraus, daß er einen Unzipper verwendete, der das Quarantäne-Attribut nicht setzt. Er wollte mir leider auch den Schädling nicht zur näheren Analyse durch mich zuschicken.