Apple-Hacker Patrick Wardle Der Mythos vom sicheren Mac
"Heute ist Windows viel sicherer als macOS": MacBook
Foto: AVELAR/EPA-EFE/REX/Shutterstock"Trivial" ist ein Wort, das Patrick Wardle häufig benutzt, wenn er über das Hacken von Macs spricht. Am Freitagnachmittag steht der Hawaiianer auf einer Bühne der Hackerkonferenz Defcon in Las Vegas und beschreibt detailliert anhand mehrerer Beispiele, wie es funktioniert. So detailliert, dass sein Publikum es anschließend nachmachen könnte.
Wardle ist ein ehemaliger NSA-Mitarbeiter, der zunächst in einer Abteilung für Malware-Analyse eingesetzt wurde, und dann bei den Tailored Access Operations (TAO) - also jenen NSA-Spezialisten, die offensive Werkzeuge für den Geheimdienst entwickeln. Später gründete er die Firma Digita Security mit und wechselte zurück auf die defensive Seite. Digita wurde vor wenigen Wochen von der auf das Apple-Gerätemanagement spezialisierten US-Firma Jamf übernommen , wird aber wie gehabt Schutzprogramme für Macs in Unternehmen entwickeln.
Doch Wardle denkt immer noch aus der offensiven Perspektive, was in seiner Branche keineswegs untypisch ist. Deshalb hat er auf seiner privaten Website eine stattliche Sammlung von Mac-Schadprogrammen angelegt, jeder kann sie dort herunterladen und untersuchen - oder versuchen, Unfug damit anzustellen.
Aus seiner Sammlung stammen auch der Trojaner Fruitfly, die Überwachungssoftware Windtail, eine Ransomware und ein Krypto-Miner, die Wardle auf der Bühne so verändert, dass sie ihre Fähigkeiten behalten, aber von jedem eingesetzt werden können, nicht nur von den ursprünglichen Entwicklern. "Trivial" sei es, beim Recycling der Malware die Adressen zu ändern, über die eine Malware gesteuert wird. "Trivial" sei es auch, ein paar Byte zu verändern, um Apples eigenen wie auch externen Schutz- und Erkennungsmaßnahmen zu entgehen. Wardle macht es auf der Bühne vor, inklusive Live-Demonstration der umgebauten Versionen. Seine Botschaft: Man muss heutzutage nicht unbedingt eine eigene, neue Malware für Macs entwickeln - es reicht, die von anderen zu kopieren.
Patrick Wardle auf der Defcon: "Harte Nuss für Hacker"
Foto: SPIEGEL ONLINE"Ich wollte zeigen, dass es nicht allzu schwierig ist", sagt Wardle später im Gespräch mit dem SPIEGEL, "was bedeutet, dass es wahrscheinlich häufiger passiert, als wir denken."
Schon immer störte sich Wardle an "dieser Mentalität, dass Macs sicher sind, geradezu unhackbar". Apple selbst habe das so dargestellt, und weil es lange Zeit nur wenig Mac-spezifische Malware gab, hätten es die Nutzer geglaubt. Manche tun es seiner Ansicht nach bis heute. Er will mit diesem Mythos aufräumen, denn die Zeiten haben sich geändert.
"Traditionell war Windows leichter zu hacken", sagt er. "Aber heute ist Windows viel sicherer als macOS - auch wenn sich das Sicherheitsniveau in den vergangenen Jahren insgesamt deutlich erhöht hat. Ein Windows-10-Gerät mit Defender ist eine wirklich harte Nuss für Hacker. Im Vergleich dazu ist macOS ein ziemlich leichtes Ziel."
Wardle: "Durchschnittliche Kriminelle holen auf"
Die Schuld dafür sieht er bei Apple selbst - das Unternehmen habe sich "auf seinen Lorbeeren ausgeruht" - aber auch bei seiner Branche: Vor knapp einem Jahr verkündete Apple, dass mittlerweile hundert Millionen Macs in Gebrauch seien. Einerseits klingt das durchaus nach einem lohnenden Geschäftsumfeld für Software-Entwickler, zumal Mac-Besitzer überdurchschnittlich vermögend und bereit sein dürften, Geld auszugeben. Andererseits verblasst alles im Vergleich zur Verbreitung von Windows: Allein 800 Millionen Geräte laufen bereits mit Windows 10 . Deshalb konzentrieren sich Antiviren- und Sicherheitsunternehmen immer noch auf Windows.
Ähnlich dürften das Kriminelle sehen: Die Streubreite ihrer Windows-Malware ist ungleich höher, als es eine für macOS wäre. Dafür sind Mac-Besitzer möglicherweise besonders interessante Ziele. "Wer nutzt Macs?", fragt Wardle, und gibt die Antwort gleich selbst: "In einem Unternehmen vielleicht die Führungsetage und die Entwicklungsabteilung - also diejenigen, die man als Angreifer ohnehin hacken will." Deshalb sehe man jetzt viele Akteure, die ihre Fähigkeiten von Windows auf macOS übertragen oder ganz neue entwickeln, "so wie im Fall von Windtail - mit der Überwachungssoftware wurden Vertreter einer Regierung im Nahen Osten angegriffen, und die hatten Macs". Staatliche Stellen hätten immer schon entsprechende Fähigkeiten gehabt, nun holten durchschnittliche Kriminelle auf, sagt der Ex-Geheimdienstler.
Wardle gehört seit Jahren zu den lautesten Apple-Kritikern in der Hackerszene - das nutzt auch dem Geschäftsmodell seiner Firma. Die in macOS integrierten Schutzmaßnahmen gegen Schadsoftware hält er seit Langem für unzureichend, und auch an Apples Umgang mit Sicherheitslücken und Forschern, die sie entdecken, hatte er stets etwas auszusetzen. Dass Apple sein Bug-Bounty-Programm, mit dem es die Entdecker von Schwachstellen belohnt, nun substanziell ausbaut, lobt Wardle aber ausdrücklich, das sei großartig.
Seine Branche aber müsse auch nachlegen: Traditionelle, statische Methoden zur Erkennung von Schadsoftware anhand ihrer bekannten Signaturen "werden absehbar versagen", ist er sich sicher. Für Windows gebe es seit Jahren gute Methoden, das Verhalten eines Rechners zu beobachten und damit auch unbekannte Malware zu entdecken. So etwas bräuchte es auch für macOS.
Was brauchen Mac-Nutzer wirklich?
Deshalb will Wardle mit gutem Beispiel voran gehen. Auf seiner Website bietet er neben der ganzen Schadsoftware auch eine Reihe von kostenlosen, selbst entwickelten und größtenteils quelloffenen Programmen "für sicherheitsbewusste Mac-Nutzer" an, die mit diesen modernen Ansätzen arbeiten.
Und was rät jemand wie Wardle einem durchschnittlichen, privaten Mac-Nutzer? "Ein kommerzielles Antivirusprogramm kann gut sein", sagt er. Allerdings müsse man sich dann schon nach Angeboten umsehen, die speziell auf Apples Betriebssystem zugeschnitten sind. Es gebe viele Anbieter, deren Software nur nach Windows-Malware auf dem Mac sucht. So etwas macht ihn fassungslos. Das Wichtigste sei aber ohnehin, automatische Updates zu aktivieren und einen Passwortmanager zusammen mit starken Passwörtern zu benutzen. Ganz trivial, könnte man denken.
Hinweis: In einer früheren Fassung dieses Artikels war von "Windows 10 mit Bitdefender" die Rede. Das Originalzitat lautet aber "Windows 10 mit Defender" - so heißt die integrierte Anti-Viren-Lösung. Der Satz wurde entsprechend korrigiert.
