De opkomst van het Flashback-botnet, dat honderdduizenden Macs via verschillende Java-lekken wist te infecteren, kwam niet geheel als een verrassing, maar het bevestigt dat gebruikers ook op dit platform de zwakste schakel zijn. Dat zegt Roel Schouwenberg, senior anti-virusanalist van Kaspersky Lab in een interview met Security.nl. Ook bij het Russische anti-virusbedrijf waren de meningen verdeeld of Mac-malware echt zou doorbreken.
"We weten dat er ook voor Flashback Mac-malware werd gemaakt, maar omdat zo weinig Mac-gebruikers een virusscanner gebruiken, ontbreken meetgegevens." Daardoor is het lastig om te bepalen hoe wijdverspreid Mac-malware is. "Flashback laat zien dat het veel groter kan zijn dan we hadden verwacht."
Advies
Jarenlang was het advies aan onwetende internetgebruikers die vaak besmet met malware raakten om een Mac te kopen. Aangezien gebruikers dan geen last van malware zouden hebben. "In plaats van mensen fatsoenlijk te onderwijzen, werd gewoon gezegd koop maar een Mac. Dan is het virusprobleem ook opgelost. Die mensen weten gewoon niet beter."
Een latere variant van Flashback vroeg eerst het root-wachtwoord van gebruikers om zich te installeren. Werd dit niet gegeven, dan plaatste de malware zich in een map waar het wel rechten toe had. Gezien de ontwikkeling van Mac-gebruikers vindt Schouwenberg het niet vreemd dat deze gebruikers hun root-wachtwoord invulden. Uit onderzoek van DrWeb bleek dat het verzoek van Flashback om het administrator-wachtwoord in 12% van de gevallen succesvol was.
Crisis
Flashback wordt vaak als het eerste voorbeeld van Mac-malware genoemd, maar dat is niet zo. De DNS Changer en MacDefender malware maakten het platform al eerder onveilig en lieten zien dat er goed geld met Mac-malware te verdienen is, stelt Schouwenberg. "Flashback heeft het nog duidelijker gemaakt." Sinds Flashback verscheen is er een toename van de hoeveelheid Mac-malware waargenomen. "Het is duidelijk dat meer cybercriminelen zich nu op OS X richten."
Vooral in de VS is Apple zeer populair en zijn er ook tal van OS X programmeurs die in staat zijn om Mac-malware te ontwikkelen. Het hebben van kennis van het platform werd jarenlang als één van de obstakels gezien voor de ontwikkeling van Mac-malware. Nu deze kennis algemeen beschikbaar is, is het wachten tot de situatie zo is dat programmeurs hier ook voor kiezen.
"Met de huidige economie die nog steeds niet perfect is, valt het niet uit te sluiten dat Mac-programmeurs die geen baan krijgen besluiten om malware te ontwikkelen." Het is dan ook goed mogelijk dat er meer Mac-malware vanuit de VS zal komen, zo denkt de virusanalist.
In de nieuwe versie van OS X, Mountain Lion, kunnen gebruikers standaard alleen door Apple goedgekeurde apps installeren. In werkelijkheid komt het erop neer dat een app over een geldig digitaal certificaat moet beschikken. En het verkrijgen van dit soort certificaten is volgens Schouwenberg geen obstakel voor cybercriminelen. "Je neemt een developer account voor 90 of 100 dollar en je hebt een certificaat waarmee je je apps kunt signeren." Aangezien er overal op het web gestolen creditcardgegevens zijn te verkrijgen, is het bedrag dat Apple vraagt geen barrière. "Waar een wil is, is in dit geval makkelijk een weg."
Apple
De veiligheid van een systeem ligt uiteindelijk aan de gebruiker die ermee omgaat. In dat geval hebben Windows-gebruikers mogelijk zelfs een streepje voor op Mac-gebruikers. "Mac-gebruikers zijn niet onderwezen, ze zijn niet echt weerbaar. Nu de aanvallen toch voor Mac zijn verschenen, zie je dat deze groep gebruikers niet weet hoe ze zich hier tegen moet beschermen."
Veel Mac-gebruikers zouden daarnaast het probleem onder het tapijt schuiven, merkt Schouwenberg op. MacDefender, een nep-virusscanner die op grote schaal Mac-gebruikers wist te misleiden, lijkt inmiddels alweer vergeten. "Nu MacDefender genegeerd wordt, vraag ik me af of we over zes maanden niet te horen krijgen dat het allemaal wel meeviel met Flashback."
Apple is deels voor de houding van Mac-gebruikers verantwoordelijk, vindt Schouwenberg. Het bedrijf uit Cupertino gaf nauwelijks informatie over de malware en de manier waarop die zich verspreidde. Ook duurde het vrij lang voordat er een beveiligingsupdate voor Java en een Flashback verwijdertool verscheen. "Apple heeft nog een lange weg te gaan als het op security response aankomt. Ik denk dat Microsoft en Adobe inmiddels hebben aangetoond dat communicatie belangrijk is. En daar laat Apple het zeer duidelijk afweten."
Deze posting is gelocked. Reageren is niet meer mogelijk.