Dienstag, November 6

Was ist los mit heise.de? 2

Nachdem der heise Verlag die Falschmeldung verbreitete, die Firewall des Mac OSX10.5 hätte Löcher und dafür von vielen Usern und sogar internationaler Fachpresse kritisiert wurde, legte gestern der verantwortliche Redakteur nach. Es scheint zudem so, dass er die Verbreitung von Falschmeldungen geniesst.
Ok -- ich gebe zu, dass ich mir diese Sueffisanz nach all den Verleumdungen und der Haeme in den letzten Tagen nicht ganz verkneifen konnte.

Es stellte sich natürlich wieder heraus, dass sich dieser Mensch nicht mit OSX auseinander gesetzt hat, sonst wüsste er, dass die von ihm beschrieben Vorgänge zum neuen Sicherheitspaket in OSX gehören und die angeblich geschädigten Firmen ihre Programme nur nicht ausreichend für OSX10.5 vorbereitet haben.

Dass heise mit dieser Reihe an FUD Meldungen das eigene Image einer seriösen Fachpresse nachhaltig geschädigt hat, zeigen die z.t harschen Kommentare zum Artikel bei heise.de selbst und international.

Dass die üblichen Ahnungslosen diese Falschmeldungen weiterverbreiten, ist man gewohnt und sollte Anlass sein, darüber nachzudenken, ob man diesen Seiten seine Aufmerksamkeit schenkt.

Besser zusammengefasst wurde es von einem User iBens

zum Spiegel-Online-Text: Also ich halte die Berichterstattung über die Sicherheitslücken und speziell die Firewall in Mac OS X 10.5 Leopard mittlerweile schlichtweg für einen Skandal.

Was ist passiert?

Der Artikel bei Spiegel Online beruht in seinen Fakten im Wesentlichen auf einem Text von heise-Redakteur Jürgen Schmidt, den dieser am 29. Oktober veröffentlicht hat. Unter dem Titel “Leopard mit löchriger Rüstung”, wird die Firewall im Leopard heftig zerrissen. Unter anderem bemängelt Schmidt, dass sich ein teilweise gestarteter Server-Dienst von außen problemlos ansprechen ließ, ohne von der Firewall gestört zu werden und dass auch bei der Einstellung “Alle eingehenden Verbindungen blockieren” der Firewall trotzdem Dienste am Laufen sind. Fazit von Schmidt damals: Beim Leopard sei Apple auf dem Sicherheitsstandard, den Microsoft vor vier Jahren gehabt habe. Eine Infektion mit Würmern wie Lovesan/Blaster und Sasser liege beim Mac nahe (http://www.heise.de/security/artikel/98090/Ein-zweiter-Blick-auf-die-Firewall-in-Mac-OS-X-Leopard).

Ähnliches äußert ja jetzt der Spiegel-Artikel und beruft sich dabei im Wesentlichen auf Schmidt. Der Artikel von heise.de wurde übrigens auch ins Englische übersetzt und sorgte weltweit für Aufsehen (google.com spuckt zahlreiche Ergebnisse aus). Es gab etliche Untersuchungen der Leopard Firewall danach - aber bis heute ist der Artikel von Schmidt der einzige, der die Apple-Sicherheitslösung in dieser Schärfe kritisiert.

Nun gut, so weit, so schlecht (für Mac-User).

Doch dann passiert Folgendes: Eine Woche später, am vergangenen Montag, 5. November, veröffentlicht Schmidt einen weiteren Artikel bei heise.de - und hier ist auf einmal die Rede von einem ganz neuen technischen Ansatz bei der Leopard Firewall.

Zitat: “Zum Hintergrund: Anders als bei Tiger arbeitet die Firewall in Leopard nicht mehr auf Paketebene, sondern mit Applikationen, denen sie bestimmte Netzwerkaktivitäten gestattet oder verweigert. Um Applikationen eindeutig zu identifizieren, arbeitet Apple mit den ebenfalls bei Leopard neu eingeführten Codesignaturen. Dabei haben bestimmte, von Apple signierte Programme automatisch das Recht, an der Firewall vorbei mit dem Netz zu kommunizieren.”

Von einer applikationsbasierten Firewall und Code-Signaturen war bei Schmidt zuvor nie die Rede - dabei erklärt dieser Ansatz genau die Ergebnisse, die Schmidt bei seinem Firewall-Test erhalten hat. Schmidt kann jetzt sogar weitere Details über die Firewall-Lösung im Leopard benennen.

Zitat: “Öffnet hingegen eine Applikation ohne gültige Signatur einen Netzwerk-Port, wird die Firewall aktiv. Im Zustand “alles blockieren”, unterbindet sie die Kontaktaufnahme von außen und protokolliert dies mit Einträgen wie:

Deny evilserver connecting from 10.10.22.75:60957 uid = 0 proto=6

Im eingeschränkten Modus erscheint schon beim Versuch, einen Dienst zu starten, ein Dialog, der den Anwender um Erlaubnis fragt. Der hat dann die Möglichkeit, dies zu gestatten oder zu verbieten. Das System merkt sich diese Auswahl und trägt sie in die Ausnahmeliste der Firewall ein. Dabei versieht Apple bis dato unsignierte Programme mit einer digitalen Signatur. Wenn sich das Programm später ändert, verfällt auch die Erlaubnis.” (http://www.heise.de/newsticker/meldung/98460)

Apple hat also einen neuartigen Ansatz von Firewall in den “Leopard” eingebaut - vertrauenswürdige Programe erhalten eine Signatur (eine Art “Unbedenklichkeits-Zertifikat") und dürfen passieren, ansonsten werden sie geblockt. Dass mit der Code-Signierung zwei sich selbst überprüfende Programme - Skype und WoW - nicht auf Anhieb klar kommen, ist nicht gut - aber es zeigt immerhin, dass der neue Ansatz von Apple da ist.

Ingesamt erscheinen aber vor dem Hintergrund der neuartigen Lösung von Apple die Ergebnisse des ersten heise.de-Tests in einem ganz neuen Licht.

Die Frage ist jetzt: Wer hat da geschlampt? Was ist zwischen dem 29. Oktober und dem 5. November passiert, dass da auf einmal ein ganz neuer technischer Ansatz zur Sprache kommt, der die vorhergehenden - beunruhigenden - Testergebnisse weitestgehend erklärt? Mir fällt auch nach längerem Nachdenken nur eine Möglichkeit ein, die passiert sein muss: heise-Redakteur Schmidt hat sich in dieser Zeit erstmals intensiver mit dem neuen Sicherheits-Design des “Leoparden” auseinandergesetzt und dabei neue Konzepte entdeckt, die mit seinen bisherigen, traditionellen Ansätzen nicht zu erklären waren.

Mein Fazit: Eine Klarstellung von seiner Seite wäre meiner Meinung nach höchst dringend und wäre dem Ruf von heise.de als seriöses Nachrichten-Portal angemessen.

Abschliessend ist sich heise Redakteur Schmidt nicht einmal mehr zu schade, die Dokumentation von Apple, die zeigt, wie ahnungslos er ist, als Beweis für seine falschen Aussagen zu bemühen.

Da kann man einfach nur noch die Hände über den Kopf zusammenschlagen.

Keine Kommentare: