Twee onderzoekers slaagden er dit jaar in om de volledig geüpdatet iPhone 3GS binnen een paar seconden te kraken. Dat was de eerste keer dat zoiets met de iPhone 2.0 lukte. Charlie Miller, bekend doordat hij de laatste twee jaar de Macbook mee naar huis heeft genomen, slaagde daar dit jaar weer in. Drie onderzoekers omzeilden de beveiligingsmaatregelen van Microsoft om in een 64-bit Windows 7 systeem te komen. Nils deed dat via Firefox en IE, en onze eigen Peter Vreugdenhil en MemACCT deden het met Internet Explorer 8.

Les over Mac en Mac OS X

Uit deze resultaten zijn direct twee lessen te leren over beveiliging van bedrijven. De eerste is dat het gebruik van Apple hardware en software op zichzelf geen goede verdediging is. Over het algemeen neemt men aan dat Mac OS X inherent beter beveiligd is dan Windows, maar de realiteit is dat de belangrijkste reden dat Macs niet vaker worden aangevallen is dat voor criminelen het platform met 92 procent marktaandeel een veel grotere winstmarge biedt op de investeringen dan een platform met 5 procent marktaandeel

Ironisch genoeg zorgt het feit dat er geen echte malware voor de Mac bestaat ervoor dat Mac-gebruikers op een andere manier kwetsbaar worden. Ze zijn zo zeker van hun platform dat ze zich niet veel aantrekken van beveiliging. Jammer genoeg voor hen zijn phishing aanvallen en diefstal van identiteit niet aan platformen gebonden, en waardoor ze makkelijker te misbruiken zijn.

Browser is de achilleshiel

De tweede les die we uit het verloop van de wedstrijd kunnen trekken is dat de browser de nieuwe achilleshiel is van de beveiliging, ongeacht de hardware- of het softwareplatform. De iPhonehack maakte gebruik van een onbekende kwetsbaarheid in Safari. De aanval op de Macbook van Charlie Miller ging ook via Safari. En de exploit van 64-bit Windows 7 vertrouwde op een exploit van Internet Explorer 8. Die van Nils maakte gebruik van Firefox.

Van veel kanten horen we de mantra dat mensen Internet Explorer in de steek moeten laten voor ‘veiliger’ browsers. Een recent onderzoek spreekt dat tegen. Dat laat zien dat Internet Explorer 8 het veel beter doet bij het tegengaan van social engineered aanvallen. Daarnaast heeft het besturingssysteem waarop de browser draait een behoorlijke impact op de veiligheid van de browser.

Altijd kwetsbaar

Maar de belangrijkste les die we moeten leren uit deze wedstrijd, gaat niet over welk platform veiliger is, of welke browser het snelste werd gehackt. De belangrijke les die we moeten leren is dat alle platformen en alle browsers kwetsbaar zijn voor een aanvaller die daar voldoende aandacht en middelen in wil steken.

Er wordt wel eens ten onrechte gedacht dat de doelen van de Aurora-aanvallen eerder dit jaar in China, zouden zijn voorkomen als mensen gewoon een andere browser hadden gebruikt dan Internet Explorer. Hierbij gaat men er vanuit dat aanvallers eerst een lek ontdekken in de browser, daar een aanval voor ontwikkelen en dan pas op zoek gaan naar doelen met Internet Explorer als default browser. Dat is een logische gedachtegang, omdat het redelijk overeenkomt met het traditionele model voor aanvallen.

Maar daarbij ziet men over het hoofd dat een gerichte aanval juist omgekeerd werkt. Bij een gerichte aanval bepaalt men eerst het doel, men onderzoekt welk besturingssysteem wordt gebruikt, welke applicaties en welke browser. Pas daarna gaat men die producten onderzoeken om er gaten in te vinden en begint men met het ontwikkelen van exploits die precies zijn toegesneden op het specifieke doelwit.

Gebruik Mac OS X in plaats van Windows 7, of gebruik Google Chrome in plaats van Internet Explorer, maar dat weerhoudt de toegewijde aanvaller er niet van om een mooie aanval op te zetten.

Gezond verstand en Opera Mini

Hiermee wil ik niet zeggen dat je de beveiliging net zo goed helemaal op kunt geven. Maar ik wil wel benadrukken dat in beveiliging niets zaligmakend is. Het gaat er niet om het juiste besturingssysteem te kiezen, of de juiste browser. Welke je ook kiest, oplettendheid en gezond verstand zijn nog altijd de belangrijkste factoren bij de veiligheid. De Pwn2Own exploits tegen de iPhone en de Macbook kunnen niet worden benut als mensen niet op kwaadaardige websites komen. Als gebruikers zich bewust worden van de risico’s, hun gezonde verstand gebruiken en niet op schimmige links klikken, dan zouden dat soort aanvallen dus niet plaats kunnen vinden.

Maar misschien moet Apple toch maar de Opera Mini Browser goedkeuren voor de iPhone, zodat mensen een andere, misschien wat veiliger optie krijgen dan Safari. Gewoon voor het geval dat.

Bron: Techworld