Am 12. November berichteten die ersten Mac-Nutzer weltweit von sehr langsamen Programmen und Apps, die zum Teil nicht starten wollten. Beobachter vermuteten, das Herunterladen des zum gleichen Zeitpunkt freigegebenen macOS Big Sur sei der Grund für den Absturz des Zertifizierungsservers ocsp.apple.com. Doch auch bei Anwendern anderer Versionen traten Geschwindigkeitsprobleme auf. Apple-Dienste wie Apple Pay, Messages und sogar Apple-TV-Boxen zog das Problem in Mitleidenschaft. Von Verlangsamung, von Ausfällen und ungewöhnlichem Verhalten war die Rede.
Alles hängt an OCSP
Diverse Fachleute machten sich auf die Suche nach den Gründen und fanden heraus, dass der Prozess trustd eine Verbindung zu dem genannten OCSP-Server aufbauen will – und immer wieder daran scheitert. OCSP steht dabei für Online Certificate Status Protocol. Trustd überprüft auf diesen Servern digitale Zertifikate von Apple Programmen und Webseiten. Mit der Einführung von Gatekeeper 2012 überprüft das System bei jedem Programm die Code-Signierung auf dem OCSP-Server. Für die Nutzer wird diese Überprüfung bei nicht zertifizierten Programmen zum Beispiel durch einen Dialog sichtbar. Er weist sie darauf hin, dass sie ein Programm „aus dem Internet“ heruntergeladen haben und ob sie wirklich öffnen wollen. Experten ermittelten, warum die Apps nicht einfach einen „soft fail“ durchführen – also die App auch ohne Zertifikat validieren, als ob keine Netzwerkverbindung vorhanden wäre. Das lag anscheinend daran, dass die Geräte eine funktionierende Netzwerkverbindung erkannten. Also gaben sie die Verbindungsversuche nicht mit einem soft fail auf, und dem Nutzer die Apps, Dienste und Geräte nicht frei. Der Absturz des OCSP-Servers zeigte deutlich, wie viele Geräte und Dienste mit ihm kommunizieren.
Apple schleust mit Big Sur Prozesse an Wächtern vorbei
Weitere Spezialisten wurden an anderer Stelle stutzig: Ihre Apps lahmten, obwohl sie Apples Zugriff per Netzwerkfilter verboten hatten. Sicherheitsexperte Patrick Wardle kam der Sache auf die Spur: In Big Sur existiert eine neue „ContentFilterExclusionList“. In dieser „Ausführungsliste der Inhaltsfilter“ findet sich auch der Prozess trustd, der das Chaos angestellt hatte. Und was in dieser Liste steht, lässt sich nicht blockieren. Das heißt: Apple hat Routinen entwickelt, die absichtlich die eigenen Kommunikationskanäle vor dem Blocken durch Firewalls und Netzwerkfilter schützt. Prozesse auf Betriebssystemebene lassen sich nicht mehr über Tools wie Little Snitch einschränken. Apple-Anwendungen können Limitierungen von VPN einfach umgehen. Wardle stellt dar, dass etwa CommCenter (Mac-Telefonfunktionen) und Apple Maps an der Firewall/VPN vorbeikommunizieren.
Große Datenschutzbedenken aus Berlin
Der Sicherheitsexperte Jeffrey Paul aus der Bundeshauptstadt äußert unter dem Titel „Dein Computer gehört dir nicht mehr“ massive Sorgen. Über die IP ließen sich Schlüsse auf Datum, Uhrzeit, Computer, Internetprovider, Stadt, Bundesland und den Antrags-Hash selbst erzielen. Das bedeutet, Apple wüsste, wann man zu Hause ist, wann bei der Arbeit; welche Apps man wo öffnet und wie oft. Das gelte jedoch auch für Querverweise: So wüsste Apple, ob man Adobe Premiere im Haus eines Freundes nutzt und über dessen WLAN freigibt oder in welchem Hotel man wann den Tor-Browser geöffnet hat. Jeder könne die Hashes für gängige Programme berechnen, die OCSP-Anfragen würden zudem unverschlüsselt übertragen. Bisher sei es möglich gewesen, den Datenstrom Richtung Apple zu begrenzen, so Paul. Mit Big Sur – und somit mit der Einführung von Apple-Silicon-Macs – beende der Technologiekonzern diesen Schutz abrupt. Zudem fällt ihm auf, dass Apple über OCSP jederzeit jede beliebige App sperren könne, wenn sie nicht (mehr) ins eigene Konzept passe.
An sich zwar schon ein seltsames Verhalten. Um aber nicht gleich den Teufel an die Wand zu malen, muss gesagt werden, dass durch dieses Vorgehen Schadprogramme keine Zertifikat-Anfragen umleiten und somit die Validierung austricksen können. Also neben den Datenschutz-Fiasko auch ein Stück Sicherheit.
Leider lassen sich Freiheit und Sicherheit nicht immer kompromisslos vereinen.
“ dass durch dieses Vorgehen Schadprogramme keine Zertifikat-Anfragen umleiten “
Mal den verlinkten Artikel gelesen?
1) These OCSP requests are transmitted unencrypted. Everyone who can see the network can see these, including your ISP and anyone who has tapped their cables.
2) These requests go to a third-party CDN run by another company, Akamai.
3) Apple is a partner in the US military intelligence community’s PRISM spying program, which grants the US federal police and military unfettered access to this data without a warrant, any time they ask for it. In the first half of 2019 they did this over 18,000 times, and another 17,500+ times in the second half of 2019.
Mal abgesehen davon, dass es für Entwickler von Schadprogrammen eine Supersache ist, die Liste zu
manipulieren, um unbemerkt vom Anwender Kontakt zu eigenen Servern aufzunehmen.
Mann, fühle ich mich jetzt aber viel sicherer, was juckt mich da meine Freiheit xD
Der Inhalt des OCSP Requests enthält keine persönlichen Daten über den Nutzer, sondern nur Verifizierungsdaten der App, daher ist der unverschlüsselte Versand erstmal kein Problem. Eher problematisch ist, dass im Rahmen eines Man-in-the-Middle Angriffs die gesendeten oder empfangenen Daten aufgrund der fehlenden Verschlüsselung ausgetauscht und macOS die Software somit als legitim ausgegeben werden können, sollte der Angreifer diese vorher durch Malware ausgetauscht haben können.
Doch wenn es die Zertifikatsabfrage gar nicht gäbe, wäre es wesentlich einfacher, Malware unbemerkt einzuschleusen.
Solange es nicht vorher schon eine Malware geschafft hat, die Zertifikatsprüfung (OCSP) zu bestehen/umgehen, SIP zu deaktivieren und sich Root-Rechte für die Manipulation der Liste anzueignen, kann sie die Liste auch nicht zu ihren Gunsten manipulieren.
Deshalb Sicherheit. Ließe Apple nun zu, dass Apps nicht über ihre OCSP Server verifiziert würden, weil der Nutzer dies über eine Firewall blockiert, würde dies Malware schonmal Tür und Tore öffnen. Und dann hat man seine gewünschte Freiheit: Die Freiheit die ach so vor jedem Unternehmen geheim zu haltenden Daten den echten Verbrechern in die Hände zu legen.
Nicht dass ich gerne meine Daten Unternehmen schenke. Aber viel zu oft wird wegen ein paar Fehlerlogs und nicht Personen zuordenbarer IDs mehr herum geschrien, als wenn ein tatsächlich „echter“ Datenraub durch Hacker stattfindet.
Unbedarfte Nutzer würden wohl eher alles blockieren, was ihnen nichts sagt und sich so selbst die Sicherheit zunichte machen. Von daher macht der Schritt Apples durchaus Sinn, solche Kommunikation um VPNs und Firewalls herum zu umgehen.
Wenn einem die Freiheit, ein paar Bytes pro Programmaufruf zu sparen wichtiger ist, als Malware zu verhindern, die „echte Datenschutzprobleme“ mit sich bringt, zu verhindern, dann sei es demjenigen die Malware gegönnt: Lehrgeld.
Mal angenommen, dass die OCSP-Anfragen tatsächlich zu wünschenswerten Verbesserung der Sicherheit beitragen. Dann sollte es möglich sein, dieses Verhalten zu konfigurieren oder zumindest mit entsprechender Personal Firewall zu blockieren.
Den eigentlichen Skandal sehe ich darin, dass Apple in Big Sur für eine solche Firewall nur noch eine API zur Verfügung stellt, über die man einige Systemprozesse nicht mehr lesen/abfangen kann. Dazu gehören zumindest zum Teil auch die OCSP-Requests. Wenn hier nicht nachgebessert wird sehe ich keine Zukunft von macOS bei professionellen Informatikern. Das sagen einige schon länger aber tatsächlich ist macOS eine echt ordentliche Plattform für viele Entwickler und Administratoren und es wäre echt schade sie zu verlieren.
Hallo Leute,
das sind ja mal tolle Aussichten, die Sie da beschreiben.
Ich denke, wir haben keine Wahl. Oder?
Wenn wir mitspielen wollen, müssen wir doch unseren Rechner auf das neue Betriebssystem aktualisieren.
Nun bin ich ein alter Mann geworden – und sehr verunsichert. Oder ?
Ich entwickle Bilder mit Photoshop seit 1992 (CC 2019) und später (98) Webseiten mit Dreamweaver (CC 2019) und genau dafür habe ich immer (seit 1992) einen MAC gekauft.
Und im Juni habe ich mir einen neuen Rechner zugelegt. Pro Grafikkarte-i9-SSD-64 GB Ram-27 Zoll.
Ich wollte Performance erreichen. Und nicht gedrosselt zu werden.
Meine Bilder sind 10-stellige GIGAByte groß.
Warum Meckerern die Ammmis über Huawei, wenn sie dasselbe machen und allen anschein nach, auch machen dürfen?
Gruß aus Berlin
M. Nachtigall