Iedereen besturingssysteem is kwetsbaar. Zorg daarom in ieder geval voor een goede backup.

Unix gebaseerde systemen zijn over het al gemeen minder gevoelig voor virussen en ander ongemak. Dit komt door dat Unix gebaseerde systemen en nadere strategie er op na houden. Bij DOS en NT wordt van alles aan elkaar geplakt, als losse stukjes. Als er dan ruimte ontstaat wordt daar een lapje op geplakt. Unix werkt meer met een kern. En verder krijgt elk onderdeel toegangsrechten tot deze kern. Onderdelen zijn je hardware de losse programma's en de gebruikers.
Bij NT en DOS heeft iedereen de zelfde rechten ten zijn ze minder rechten krijgt. Unix heeft niemand rechten tenzij ze deze rechten krijgt. Gevaar van buiten heeft hier door minder kans.
Maar let op er is een addertje Ook gevaar van buiten kan op een gegeven moment voldoende rechten krijgen. Namelijk als ze dit krijgen van bv de gebruiker of een systeem fout.


Tot hier is het mij gelukt om geen Windows of linux te gebruiken
Unix gebaseerde systemen zijn Minix Linux en BSD.
Voor de Mac wordt Darwin gebruikt als kernel wat weer een BSD afgeleide is.
tot Windows 98 draaide op DOS (met een mooi schilletje) NT zat van af 3.1 achter het Windows schilletje maar is van af XP echt op de consumenten PC gekomen.

Wat was de vraag.

O ja is een Mac veiliger dan windows, tegen gevaar van buiten af. Ja maar let wel ook een mac heeft lekken en een gebruiker. Als je een MAC altijd in root gebruikt, is als het open zetten van je huis met de sleutels van de kluis naast de voordeur. Dan kan je beter Windows gebruiken. Je bent net zo veilig maar je bent je er beter van bewust.

Je hebt geen root of admin rechten nodig om een effectief stuk malware te activeren. Bepaalde malware draait prima op 'normale' gebruikers rechten.

Bedenk ook, onder OS-X, dat gebruikers die lid zijn van de admin group (80) schrijfrechten hebben (zonder wachtwoord) op bepaalde directories. Al met al is de security van OS-X ronduit slecht te noemen.

@SirDice: dat is maar waar je het mee vergelijkt. Jawel, een admin user kan schrijven in /Applications maar als je weet dat een normale applicatie zijn eigen resources en libraries gewoon in /Applications/appnaam/ zet, en dus niet iets in de systeem directories hoeft te zetten, is dat helemaal niet zo raar/eng. Vind je dat wel, dan kan je altijd een niet-admin user aanmaken en daarmee standaard werken.

Als nieuwe OS X gebruiker is dit wel handig om te lezen: http://www.macshadows.com/kb/index.php?title=Hardening_Mac_OS_X

"@SirDice: dat is maar waar je het mee vergelijkt."

Nee, dat is gewoon een op zichzelf staand feit.

"O ja is een Mac veiliger dan windows, tegen gevaar van buiten af. Ja maar let wel ook een mac heeft lekken en een gebruiker."

Klopt, en heel veel lekken die misbruikt worden bevinden zich niet op OS-level, maar op application-level. Denk aan bijvoorbeeld een PDF exploit die misbruik maakt van vulnerabilities in Adobe Acrobat Reader, ongeacht de vraag op welk platform je Acrobat Reader hebt geinstalleerd. Of kijk bijvoorbeeld naar Java vulnerabilities (waarbij Apple overigens erg traag is met patching).

Malware die gestart wordt onder dat userID kan dat dus ook. Wel eng en zeker niet veilig. Overigens is dat niet de enige plek.

Zie mijn eerste opmerking. Er zijn geen admin of root rechten nodig om effectieve malware te maken.

Strikt genomen niet maar zoals Charlie Miller zegt : OSX wordt niet aangevallen door het beperkte marktaandeel. Als het marktaandeel van 4% worldwide naar 30% of meer zou gaan , denk ik dat de "bad guys" eenvoudig de trend gaan volgen.

http://www.freyburg.com/my-mac-life-charlie-miller-interview.html

Of userland malware nu in /Applictions schrijft, /var/tmp of /home maakt niet zo heel veel uit natuurlijk. Of het moet zijn dat er mogelijk een icoontje in je Applications folder verschijnt. Voor malware die het daarvan moet hebben ben ik niet zo bang. Wat ik probeer uit te leggen is dat /Applications onder OS X gewoon een folder is waar vanuit conventie de applicaties staan. Admins mogen daarin schrijven, maar dat geeft geen beveiligingsrisico's voor het OS an sich.

Dit klopt. Op PWN2OWN zijn alle browsers gehackt vanwege lekken. Root of Admin of niet-admin maakt echt niets uit. Anderzijds is ook wel zo dat 95% van malware-besmettingen op Windows niet zo gecompliceerd zijn. Gebruiker download binary, klikt gewoon door bij de UAC melding en bingo.

Misschien is dat nog wel de beste verklaring voor het minder vaak gehackt worden van OS X: als je zoveel geld uitgeeft aan een computer ben je waarschijnlijk geen complete n00b.

Hmm.. Mijn idee van Mac gebruikers is dat dat nu juist een groep is die zich niet met technische handelingen wil bezig houden en dus, per definitie, een computer n00b is.

Dan moet je toch eens kijken wat voor rechten third party software daar heeft. Veel installaties maken een zooitje van de rechten. Zo kan het dus mogelijk zijn dat die userland malware jouw geinstalleerde versie van, ik noem maar een zijstraat, Adobe vervangt door een backdoored versie. Nu heeft niet alleen de huidige gebruiker er last van maar ook elke andere gebruiker die deze software gebruikt.

Als je dit werkelijk meent heb je te weinig fantasie om je voor te kunnen stellen hoe malware daar misbruik van zou kunnen maken.

Vergeet niet dat veel Windows malware eigenllijk helemaal geen administrator rechten nodig heeft om z'n werk te kunnen doen. Vergeet ook niet dat er veel malware is die helemaal geen bugs in het OS misbruikt en er simpelweg vanuit gaat dat de gebruiker het start.

Te veel mensen verwarren het Operating System met de applicaties die erop draaien. Het schrijfbaar zijn van /Applications heeft echt niets met de veiligheid van OS X te maken. Userland malware ook niet. Tegen domme gebruikers/admins kan een OS je niet beschermen.

Om terug te gaan naar de originele vraag: maak 2 accounts aan, en werk onder het account dat geen admin is. Switch naar de admin user als het nodig is (OS X vraagt daar in sommige gevallen ook zelf om). Dat is het beste wat je kan doen om je iMac veilig te houden. Dit wordt ook aangeraden in de hardening guide waarnaar ik hierboven linkte. Dit zou misschien ook de default moeten zijn van OS X, maar daar is niet voor gekozen.

Dan begrijp je niets van security.

Vreemd genoeg verwacht men dit wel van Microsoft/Windows en schakelt men vaak om die reden over naar Apple.

Wat dus geen enkele garantie is dat je Mac malware vrij blijft.

Onder Windows ook maar daar spreekt iedereen schande over.

Of jij begrijpt het verschil tussen OS beveiliging en applicatie beveiliging niet. Ik weet dat het bij Windows nogal op elkaar lijkt, zeker als je standaard als administrator inlogt, maar het zijn echt 2 verschillende zaken en vakgebieden.


Ik denk dat het voornamelijk gebruikersgemak en performance/stabiliteit is. Dat Windows een hele slechte naam heeft op beveiligingsgebied en OS X niet, is totaal de verdienste van Microsoft, niet van Apple. Dat je niet 10% of meer van je CPU cycles kwijt bent aan een virusscanner is mooi meegenomen, maar ik denk niet dat dit een hoofdreden is voor hordes gebruikers om over te stappen.


Wanneer heb je die garantie wel?


Er is een groot verschil tussen het default draaien met 100% administrator rechten in (oudere versies van) Windows en het lid zijn van de admin groep in OS X. Bij OS X krijg je voor wijzigingen aan het OS als admin altijd nog een prompt voor je neus. Die kan je ook niet uitzetten. Als admin kan je wel in /Applications schrijven, en dat kan je als gewone gebruiker niet, dat is waar ik op doelde.

"Ik denk dat het voornamelijk gebruikersgemak en performance/stabiliteit is. Dat Windows een hele slechte naam heeft op beveiligingsgebied en OS X niet, is totaal de verdienste van Microsoft, niet van Apple. "

Nou, dat komt waarschijnlijk eerder door het verschil in marktaandeel. Veel meer doelwitten zijn Windows-gebaseerd, en de meeste hackers hebben ook meer ervaring met het Windows-OS. Het is eerder een aanname dan een feit dat MacOSX zo veilig is, en Apple is nou ook niet erg snel met het patchen van critical vulnerabilities om maar wat te noemen.

Lees bijvoorbeelde eens onderstaande artikelen m.b.t. MacOSX security en vulnerabilities.

Critical Mac OS X update patches security holes
http://www.sophos.com/blogs/gc/g/2010/03/30/critical-mac-os-update-patches-security-holes/

Mac users need to wake up to the social engineering threat
http://www.sophos.com/blogs/gc/g/2010/03/25/mac-users-wake-social-engineering-threat/

Mac OS X security myth exposed
http://news.techworld.com/security/1798/mac-os-x-security-myth-exposed/

"Of jij begrijpt het verschil tussen OS beveiliging en applicatie beveiliging niet. Ik weet dat het bij Windows nogal op elkaar lijkt, zeker als je standaard als administrator inlogt, maar het zijn echt 2 verschillende zaken en vakgebieden."

Het voorbeeld wat SirDice geeft is treffend, en je kunt OS security en applicatie security daardoor niet los van elkaar zien; deze zaken hebben zeer veel met elkaar te maken. Het feit of je al dan niet in de applications folder kan schrijven heeft directe impact op application security, terwijl het onderdeel is van het security model van het operating system. Je kunt wel roepen dat hij het niet begrijpt, maar daadwerkelijke onderbouwing voor dat standpunt ontbreekt.

Er is een groot verschil tussen recente Windows versies en de oudere. Ik sleep OS9 er toch ook niet bij?

In het geval Vista,W7, W2K3, W2K8 krijg je een UAC popup.

Dat klopt. En waar ik op doelde was dat je daar als admin kan schrijven zonder die security popup. Koppel daaraan dat elke eerste gebruiker op OS-X een admin gebruiker is en dat de meeste OS-X gebruikers totaal niet weten hoe het werkt en je hebt een leuk recept voor sneaky malware.

http://www.macstories.net/stories/marc-maiffret-windows-is-more-secure-apple-community-is-ignorant/
en http://news.cnet.com/8301-27080_3-20002317-245.html lijken me duidelijk

Ik ben het wel eens met deze quote uit het artikel:

SirDice roept (ongefundeerd) dat je als admin gebruiker in een aantal directories kan schrijven (dat klopt) en dat dit bijdraagt aan een slechte security (klopt niet). Ik probeer uit te leggen dat als je in /Applications en /Library bestanden kan toevoegen als admin, dat niets uitmaakt voor de security van het OS. Het installeren en draaien van applicaties is onder OS X namelijk niet spannend. Je hoeft daar helemaal geen systeembestanden, drivers, registry entries oid voor aan te passen. En dat kan je als admin ook niet, zonder extra authenticatie. Malware (die inderdaad in /Applications kan schrijven mocht het op een of andere manier onder een admin gebruiker draaien) kan zich ook in /Users/SirDice of /private/var/tmp verstoppen. Ik zeg niet dat het schrijfbaar zijn deze directories een goede keus is, maar als je het niets vindt kan je een standaard user aanmaken die dat niet kan. Dat moet je inderdaad zelf doen, net als bij Windows.

Het probleem is denk ik dat Unix in het algemeen en OS X in het bijzonder heel anders opgezet is dan Windows. Dat vergt een andere denkwijze, en heeft gevolgen voor het gebruikte security model. Applicaties en OS (userland en kernel) zijn strikt gescheiden. De default applicaties en libraries kan je als admin niet overschrijven zonder authenticatie, je kan niet inloggen als de super-user root (Windows Administrator equivalent). Iedereen die iets van OS beveiliging snapt weet dat het Unix beveiligingsmodel veel beter is dan dat van het Windows OS. Marktaandeel of niet. Dat neemt niet weg dat er ook in OS X bugs zitten, en dat je de updates bij moet houden. Een virusscanner op een Mac is op dit moment overbodig domweg omdat er geen virussen of worms actief zijn. Er zijn er wel een paar bekend, maar die rechtvaardigen het continue scannen nog lang niet.

Voor zover ik weet is de enige reden dat mac veiliger is het feit dat er minder Mac gebruikers zijn waardoor er dus ook minder gerichte aanvallen op de mac os worden gelost. Windows daarentegen is de meest gebruikte OS in de wereld en daar zullen dus ook 1000x meer zij het niet een miljoen keer meer aanvallen op worden gericht.

find / -group admin -a -perm +020 -exec ls -ld {} \;
Hoezo ongefundeerd?

Hoeveel gebruikers zullen in /Library kijken? Hoeveel gebruikers zullen daar niets vreemds aantreffen?
Wel eens bedacht wat een DYLD_INSERT_LIBRARIES (OS-X equivalent van LD_PRELOAD) kan doen? Hoezo het maakt niets uit voor de security van het OS?

Waarom denk je dat veel malware onder Windows zich 'verstopt' in c:\windows\system32? Denk je niet dat het makkelijk is om malware te 'verstoppen' in /Applications of /Library?

Err.. Nee, maar je kunt wel erg makkelijk je rechten verhogen. Vergeet niet dat 10.3, 10.4 en 10.5 nog steeds veel gebruikt worden. Deze hebben alom bekende local privilege escalation bugs.

Iedereen die iets van beveiling snapt weet dat dit klinkklare onzin is.

Is dit zoiets als het kalf moet eerst verdrinken voordat men de put dempt?

Je kunt zeggen wat je wilt, maar mijn broer heeft al een paar jaar een iMac. En nog nooit geen virus gehad, gebruik is een Windows bak.. Een paar jaar lang, ohja en trouwens. Mijn broer heeft zijn iMac overigens nog nooit geupdate. En nog is hij intact. Geen probleem niets.

Windows? Ho maar.

@SirDice: we gaan hier duidelijk niet uitkomen. Bedankt voor de discussie, het is altijd prettig om te lezen hoe anderen erin staan.

Anoniem met Mac...hoe heeft die het gedetecteerd dan dat die niets heeft?

Ach, ik heb al 10 jaar windows machines. Nog nooit een virus gehad. Wat is je argument?

Je bedoelt dat'ie nog niet gemerkt heeft dat'ie iets opgelopen heeft? Geef z'n email adres maar even, dan stuur ik wel wat. Dan kan'ie daarna controleren of z'n TimeMachine backups werken.

Nope, zolang jij die onzin blijft geloven dat OS-X veel beter beveiligd is dan windows niet. Begrijp me niet verkeerd hoor, aan Windows mankeert ook genoeg. Neemt niet weg dat het meest gebruikte verkoopargument (veiliger dan...) van OS-X geen hout snijdt.

Wel blijven lezen hoor. Ik vind dat het basis securitymodel van Unix en OS X beter is dan dat van Windows. Het schrijfbaar zijn van /Applications door admin gebruikers doet daar niets aan af.

Veiligheid is lastig te meten, maar zoals al eerder opgemerkt heb je op dit moment met een OS X systeem minder last en te vrezen van virussen, wormen, drive-by exploits, etc, etc dan met een Windows systeem. Of dat een verkoopargument is weet ik niet, maar prettig is het wel voor de Mac gebruikers.