Dipl.-Inform. Carsten Eilers

Es gibt ein riesiges Botnet, dass nur aus Macs besteht, darin sind sich die Online-Medien einig. Vermutlich sind 600.000 Macs infiziert. Aber woher kommen diese Berichte? Und sind sie zuverlässig? Gehen wir der Sache mal auf den Grund.

Ausgangspunkt der Meldungen ist der Antiviren-Hersteller Doctor Web: Der hat eine Pressemitteilung veröffentlicht und gemeldet, dass ein von der Flashback-Variante "Flashback.39" durch Drive-by-Infektionen aufgebautes Botnet eine Größe von mehr als 550.000 infizierten Mac-Rechnern erreicht hat. Woher diese Zahl stammt, wird nicht verraten.

Die Frage ist jetzt erst mal: Woher kommen die zusätzlichen 50.000 infizierten Macs? Haben da die Redaktionen mal ihre eigenen Rechner kontrolliert und die gleich dazu gezählt? Ging mit einem Redakteur die Phantasie durch, und alle anderen haben das abgeschrieben? Das ist alles möglich, evtl. wurde die Pressemitteilung aber zwischenzeitig auch überarbeitet, denn z.B. Sophos meldet, dass laut Doctor Web mehr als 600.000 OS-X-Rechner Bestandteil des Botnets sind, darunter 274 aus Cupertino in California. Verlinkt wird dort die Pressemitteilung von Doctor Web, und in der steht weder etwas vom 600.000 noch von Cupertino, stattdessen ist von "Over 550 000 infected machines running Mac OS X" die Rede.

Woher kommen also die zusätzlichen 50.000 infizierten Macs? Zum einen gibt es einen Tweet von Sorokin Ivan von Doctor Web an Mikko Hypponen von F-Secure, in dem die 600.000 Infektionen einschließlich denen in Cupertino gemeldet werden:

"@mikko, at this moment botnet Flashback over 600k, include 274 bots from Cupertino ..."

Evtl. wurde diese Information in die Meldungen eingebaut, ohne auf die andere bzw. zusätzliche Quelle zu verweisen. Damit bleibt die Frage, wie vertrauenswürdig die Angaben von Doctor Web generell sind. Immerhin rät man dort, zur Beseitigung von "Flashback.39" Windows im Safe Mode zu starten. Auf dem Mac? Das kann ich gerne tun, aber ich bezweifle, dass sich der unter Mac OS X installierte Trojaner besonders beeindrucken lässt, wenn ich in einer virtuellen Maschine Windows im Safe Mode starte.

Woher will Doctor Web also wissen, wie viele Macs mit diesen Schädling infiziert sind? Diese Frage beantwortet Mikko Hypponen auf Twitter

"... We've spoken with Dr. Web. They've sinkholed one of the Flashback domains, and Flashback uses a unique User-Agent. ..."

Eigentlich wäre die Veröffentlichung dieser Information die Aufgabe von Doctor Webs Presseabteilung gewesen. So eine Information gehört in eine vollständige Pressemitteilung rein, wenn man nicht von Anfang an unglaubwürdig wirken will. Ebenfalls verdächtig: Doctor Webs Pressemitteilung empfiehlt nur die Installation von Apples Java-Update und rät nicht zur Installation des eigenen Virenscanners. Hat die Presseabteilung da nur gepennt, oder ist das Absicht? Wenn ja: Wieso? Normalerweise fehlt doch in keiner Pressemitteilung eines Antivirenherstellers der mehr oder weniger dezente Hinweise, dass das eigene Produkt die beschriebenen Gefahren natürlich erkennt und den Benutzer vor einer Infektion schützt. Oder auch nicht.

600.000, zum zweiten!

Egal für wie vertrauenswürdig man Doctor Web nun hält, deren Zahlen wurden inzwischen von Kaspersky Labs bestätigt. Nach dem Sinkholing eines Command&Control-Servers wurden in weniger als 24 Stunden über 600.000 eindeutige Hardware-IDs gezählt, die der Bot in seiner Kommunikation mit dem Server mitsendet. Damit lassen sich aber nur unterschiedliche Rechner voneinander unterscheiden, eine Aussage über das verwendete System ist nicht möglich. Woher weiß man also, dass das Mac-OS-X-Rechner sind? Kaspersky Labs hat mit Hilfe von OS-Fingerprinting ermittelt, dass vermutlich 98,41% der Bots auf Mac-OS-X-Rechnern läuft. Selbst mit einem gewissen Unsicherheitsfaktor dürfte der überwiegende Teil der infizierten Rechner unter Mac OS X laufen.

Ich denke, auf eine weitere Bestätigung der Zahlen können wir verzichten. Ggf. kann Mikko Hypponens Tweet als weitere Bestätigung dienen.

600.000 Bots = 1% aller Macs?

Ed Bott schätzt, dass damit ca. 1% aller Macs weltweit mit Flashback infiziert sind und vergleicht das mit der Verbreitung von Conficker zu dessen aktivster Zeit 2009: Damals waren ca. 0,7% aller Windows-PCs mit Conficker infiziert. 600.000 Bots wären für ein Windows-Botnet nicht übermäßig viel, da gibt es deutlich größere. Aber 1% aller Windows-PCs hat bisher kein Botnet unter seine Kontrolle gebracht.

Nun hat Ed Bott die Mac-Anzahl aus eine Apple-Ankündigung vom Oktober 2010 hochgerechnet, aber selbst wenn die Zahlen nicht exakt stimmen, bleibt es ein für Mac-Verhältnisse riesiges Botnet. Ob nun 1 von 100 Macs oder 1 von 200 Macs infiziert ist, die Zahlen sind in beiden Fällen äußerst unschön. Um nicht zu sagen erschreckend.

Apple, bitte aufwachen!

Und was macht Apple? Apple hat ein Java-Update veröffentlicht, mit dem die ausgenutzte Schwachstelle geschlossen wird. Und das nicht nur einmal, sondern gleich zweimal, da das erste Update Fehler enthielt. Damit ist Apples Java jetzt auf dem Stand von 1.6.0_31 - ein Update, das Oracle bereits im Februar veröffentlichte. Soviel zu Brian Krebs Überschrift über seinen Blogbeitrag zum Update: "Urgent Fix for Zero-Day Mac Java Flaw". Das war kein 0-Day-Exploit, Apple hat schlicht und ergreifend zu lange gebraucht, um Oracles Update an die eigenen Kunden auszuliefern. Denn die Flashback-Entwickler haben die aktuellste Schwachstelle, CVE-2012-0507, erst seit Ende März/Anfang April ausgenutzt. Hätte Apple das Java-Update zügig verteilt, nachdem Oracle es veröffentlicht hat, wäre das Flashback-Botnet jetzt vermutlich deutlich kleiner.

Apple muss also seine Updates in Zukunft deutlich schneller liefern. Erst recht, wenn es Update von Drittherstellern sind, die quasi nur durchgereicht werden müssen. Leider sieht es sehr danach aus, als würde genau das Gegenteil passieren: Über den App Store vertriebene Programme dürfen nur über den App Store aktualisiert werden - und das kann dauern. Wir werden uns also daran gewöhnen müssen, dass Macs längere Zeit durch eigentlich längst behobene Schwachstellen bedroht werden. Die Cyberkrimellen dürfte das freuen, Apple liefert ihnen die Opfer frei Haus.

Java deaktivieren

Generell ist es eine gute Idee, Java zu deaktivieren, wenn es nicht benötigt wird, da Java-Schwachstellen bei den Cyberkriminellen immer beliebter werden. Systemweit geht das über das Programm "Java Einstellungen" unter den Dienstprogrammen. Werden Programme verwendet, die auf Java angewiesen sind, kann Java auch nur in den Browsern ausgeschaltet werden, dann aber leider in jedem einzeln. In Safari passiert das unter "Safari/Einstellungen.../Sicherheit", in Firefox unter "Tools/Add-ons/Plugins", bei den anderen Browsern müssen Sie selbst suchen.

Falls Sie das Elster-Portal nutzen müssen, müssen Sie Java eingeschaltet lassen, da der diebische Onlinevogel darauf angewiesen ist. Evtl. in Folge einer Infektion anfallende Kosten können Sie leider weder Apple noch der Bundesrepublik in Rechnung stellen. Ob sie von der Steuer abgesetzt werden können, verrät ihnen ggf. ihr Steuerberater.

Carsten Eilers