А лош бъг беше открит в iOS 7 и Mavericks тази седмица, така че знаете какво означава това: Време е за излъчване на оплакванията на Apple, независимо дали са пряко свързани с това или изобщо имат смисъл.
Най-киселото грозде
Macalope не е тук, за да спори, че Apple не са се прецакали кралски или не е трябвало да извадят кръпка възможно най-бързо. Ако търсите неговите критики, одобрени от копита, прочетете това произведение от Джон Грубер относно въпросите, които повдига този бъг, и този от Ашкан Солтани.
Какво той е тук, за да направим изключение обаче, е голямото бързане да се използва този инцидент като извинение за оплакване за неща, които не са свързани с грешката или неща, които всъщност не са се случили.
Пише за CNet, казва Сет Розенблат „Културата на секретност на Apple забавя отговора на сигурността – отново“ (върхът на рогата към Шон Кинг).
Ако не бяха новините за корекцията „goto fail“ на Apple, пусната във вторник, може би не сте знаели, че е имало проблем със сигурността с вашите Mac компютри.
Ако не бяха новинарските репортажи, може и да не знаете новини!
Освен Apple Направих свържете се с членовете на пресата и общността по сигурността относно грешката goto fail. Rich Mogull от Securosis потвърди пред Macalope, че се е чул с компанията и му е казано от Apple, че компанията се е свързала с редица други хора. Това не е същото нещо като да бъдеш откровен и открит с клиентите си относно сигурността, но също така не е същото като да „погребеш“ проблема.
Подчертавайки, че спекулира с мотивите на Apple за начина, по който е публикувана актуализацията, Аш каза в имейл до CNET, че Apple може да има решиха „да внедрят корекцията на TLS в 10.9.2, защото трябваше да пуснат 10.9.2 скоро, за да коригират тези други уязвимости, и отделна корекция щеше да има го забави.”
Е, това определено звучи разумно. Разбира се, не е толкова разумно, колкото да се предположи, че Apple е некомпетентна, мързелива, глупава или нещо подобно. Това очевидно е пътят на мислещия човек.
Доказателствата сочат проблеми на Apple с предупреждаването на своите потребители и коригирането на недостатъци навреме. Това е проблематично, защото на потребителите на Mac и iPhone не е ясно колко важна е актуализацията за тяхната сигурност.
За разлика от това, Google и Microsoft идентифицират корекциите за сигурност със стандартна терминология като Средна, Висока и Критична.
Код Синьо. портокал. Медуза. Отбор Банзай.
На кого му пука как се казват? Потребителите трябва да заправят всички тях.
Както и да е, всичко това е добре, но знаете ли от какво се нуждае тази статия? Цитат от някой от компания, която продава софтуер за сигурност!
[Андрю Съдбъри, главен технически директор в стартиращата компания за сигурност Abine,] добави, че по-големият проблем в Apple е защитата на iPhone и iPad.
Да, сигурността на най-сигурната съществуваща платформа със сигурност е проблем.
Този скърцащ звук, който чувате, е брадвата на Съдбъри. Ето каква е сделката: доставчиците на софтуер за сигурност са отметнати, защото Apple не им позволява да продават своя змийска мас продукти на iOS. Всяко извинение е добро извинение да се опитате да хленчите за това.
„Устройствата с iOS са потребителски устройства и вие като потребител не можете да направите нищо [за да ги защитите.]“
Буквално нищо. Навременното инсталиране на актуализации и непосещаването на подозрителни сайтове или кликването върху подозрителни връзки и неизползването на обществен Wi-Fi са нищо. Те дори не са неща, наистина. Те не съществуват на квантово-механично ниво. Погледнете назад през този параграф и ще откриете, че Macalope дори не ги е споменавал.
Никога. Дори. Споменато. тях. Всъщност вие дори не четете тази колона в момента. Вие загрявате Hot Pocket.
Apple поема цялата си отговорност и дори компаниите за сигурност не могат да ви помогнат“, каза той.
А, това е болката. Забравете факта, че ако Apple отвори iOS до степента, която би била необходима, за да работят тези продукти за сигурност, платформата ще стане по-малко сигурен. Но важното е, че това би помогнало на фирмите за сигурност да продават софтуер.
Лобирайте Apple днес, за да направи iOS по-малко защитен!
Отчаяно търсещ катарзис
Хей, не е нужно да вярваш на думата на възбудения за това. Вместо това защо не вземете думата на шефа на Google за Android, Сундар Пичай.
Не можем да гарантираме, че Android е проектиран да бъде безопасен, форматът е проектиран да дава повече свобода.
[КОРЕКЦИЯ: Според препис на събитието, придобит от TechCrunch от Google, Пичай беше цитиран погрешно от местен сайт (върхът на рогата към Питър Матей). Всъщност, според техния препис, той прави точно обратното. Сега, от мястото, където седи Macalope, това е опровергано от, добре, реалност. Но ето го.]
И както ни информират стикерите на бронята, свободата не е безплатна. Понякога, за да си свободен, трябва дайте на мошениците вашата банкова информация. Сигурен съм, че това е причината да се бием и спечелихме Втората световна война, вие.
Освен че се опитва да направи iOS по-малко сигурен, за да отвори възможности за фирмите за сигурност, този бъг вероятно е и чудесен момент за преразглеждане на стари аргументи.
Писане за ZDNet, казва Стилгериан „Провалът на Apple goto fail се нуждае от масивна промяна на културата, за да бъде коригиран.“
Е, всъщност не, тъй като е коригирано както на iOS, така и на OS X. Това, което имате предвид е, че Apple може отново да направи подобна грешка - ако приемем, че грешката не е акт на къртица от NSA или тайник CTU агент, окачен с кабел над тиктакащо копие на Xcode (не, 24 препратките поне не са датирани вече не).
Сега Macalope има дълго наказван Apple за отношението си към сигурността и очевидно все още има място за подобрение. Но това не означава, че всяко куца обвинение срещу компанията е вярно.
Нищо не трябва да опетнява имиджа на красивата, красива градина на Apple, дори ако под повърхността е гнила. Или отровен.
Издателство документ, описващ проблемите и препращащ към съответните CVE е равносилно на отричане на съществуването на проблеми.
Ето защо съм съгласен с Юджийн Касперски, ръководител на Kaspersky Lab, който преди близо две години написа, че що се отнася до сигурността, Apple изостава с 10 години от Microsoft.
А, доста е богато да използваш човека, чиято компания е инструментът за борба със зловреден софтуер за Mac изтрити потребителски настройки да удари Apple за грешка в софтуера.
Apple може да е зад Microsoft в процедурите за сигурност, но нейните платформи са насочени по-малко от Windows и Android. Да не говорим за факта, че създаде и най-сигурната платформа в света. О, но повечето хора по сигурността не го броят, защото това означава, че техните приятели не могат да продават софтуер на него.
По онова време го нарекох „славен глобален мегатрол“ за това предложение, но също така написах, че предполагаемата неуязвимост на Apple е мит, основан на древна история.
Това е мит. Мит, увековечен повече от специалисти, които имат намерение да изгорят сламени фенове на Apple, които са конструирали, отколкото от всеки друг.
По времето, когато Windows беше уязвим към безброй вируси и червеи, Бил Гейтс издаде своята бележка Trustworth Computing и Microsoft напълно преработи начина, по който създава софтуер. Резултатът беше методологията за жизнен цикъл на развитие на сигурността (SDL). Windows беше драстично подобрен - добре, поне от гледна точка на сигурността - толкова много, че нападателите се преместиха нагоре в стека и разкъсаха продуктите на Adobe като нови.
Човече, само ако имаше компания, която е известна с това, че държи продуктите на Adobe извън своята платформа. Със сигурност ще бъде универсално възхваляван за своята далновидност, а не за създаване на „хубава градина“.
Провалът на Apple goto е ясен знак, че вълшебната градина...
А магически хубава градина. Macalope съжалява за пропуска.
… има нужда от плевене – или дори от добра доза Agent Orange, вместо безкраен Kool-Aid.
И тук идват мързеливите тропове на Apple, изливащи се от устата на Стилгериан като твърде много клоуни от VW Bug!
Изглежда, че когато става въпрос за сигурност, Apple все още не може да намери задника си с две ръце. Може би трябва да използва Apple Maps, за да помогне. Не, чакай.
Дън-дън-дън-дън! Поздравления, току-що спечелихте Lazy Apple Trope Bingo!
Разкриване: Стилгериан е пътувал два пъти до събития по сигурността в САЩ като гост на Microsoft...
О, значи някой, потопен в културата на сигурност на Microsoft, е голям фен на културата на сигурност на Microsoft? Вие не казвате.
Ужасът. Ужасът.
Нека продължим нашето пътуване, като Чарлз Марлоу, нагоре по тази река от страсти, разпалена от буболечка.
Gregg Keizer от Computerworld казва „Apple оттегля поддръжката на Snow Leopard, оставяйки 1 от 5 Mac-а уязвими на атаки“ (върхът на рогата към Питър Коен).
ААААААИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИИЕЕЕЕ!
Тъй като Apple издаде актуализация за Mavericks или OS X 10.9, както и за двата си предшественика, Mountain Lion (10.8) и Lion (10.7), Apple нямаше нищо за Snow Leopard или неговите собственици вчера.
Статията на Кайзър беше като пускане на камък в басейн от дезинформация и предизвикване на вълни от налудничави заключения.
Брад Рийд от The Boy Genius Report заяви „1 от 5 Mac вече е широко отворен за атаки от зловреден софтуер.“
Широка. Отворете. Просто влезте и вземете каквото искате.
Поне на Ел Ей ТаймсСалвадор Родригес го формулира като въпрос.
„Приключи ли Apple с поддръжката на Snow Leopard и 19% от Mac?“
За парите си Macalope предпочита Хосе Паглиери от CNNMoney.
„Apple прекратява актуализациите за сигурност за Snow Leopard“
Mac-овете стават все по-често обект на кибератаки. Наскоро откритата дупка в сигурността на устройствата на Apple – която позволи на външни лица достъп до имейли, незабавни съобщения и онлайн банкови транзакции – показва колко значими могат да бъдат актуализациите. Тази грешка беше коригирана по-рано тази седмица.
Pagliery не споменава, че грешката е присъствала само в Mavericks, а не в по-ранните версии. След това трябва да изчакате до последния параграф за това:
Подобно на Snow Leopard, Microsoft (MSFT, Fortune 500) обяви, че ще прекрати актуализациите за сигурност за Windows XP на 8 април. Това ще създаде потенциално много по-сериозен проблем със сигурността. Невероятните 29% от компютрите по света все още работят с Windows XP, според NetMarketShare.
Това е 29 процента от компютри. Какъв процент от компютрите работят със Snow Leopard?
За сравнение, малко над 1% от компютрите в света работят със Snow Leopard.
Но Apple прави заглавието, защото Apple.
Очевидно за разлика от всеки от тези автори, Macalope всъщност отдели време, за да прочете CVE, посочени в актуализацията за сигурност на Apple 2014-001. Всички тях. Така че благодаря, че го накарахте да бъде този, който трябва да направи това. Той дори не е имал възможност да гледа тазседмичния епизод на Стрелка все пак и…
Е, както и да е, ето няколко интересни факта.
- Повечето от коригираните бъгове или изрично заявяват, че присъстват само в Mavericks (като SSL бъга, който започна цялото това нещо) или Mountain Lion. Повечето от останалите използват въведените технологии след Snow Leopard, като Sandboxing, и следователно не може дори да присъства в Snow Leopard.
- Нито един от CVE не изброява нищо преди Lion като засегнато. Не е ясно дали това означава, че Snow Leopard не е засегнат или Apple просто не тества Snow Leopard за тези грешки. Macalope е склонен да вярва, че е второто.
- Доколкото възбуденият може да прецени, само два CVE всъщност могат да бъдат в самия Snow Leopard. Първият е сравнително некритичен, но това позволява на „локалните потребители да заобикалят планираните ограничения за достъп, като променят текущото време на системния часовник.“ Второто е по-критичен, позволяващи изпълнението на произволен код или отказ на услуга.
- Няколко други се отнасят до грешки в технологии извън операционната система сама по себе си, като PHP и Apache. Потребителите биха могли да ги актуализират сами, въпреки че трябва да са наясно с необходимостта от актуализиране.
Apple прекрати ли актуализациите за сигурност за Snow Leopard? Трудно е да се каже. Въз основа на това, което е видял, Macalope е склонен да мисли, че вероятно е така. Macalope и неговият редактор все още чакат Apple да отговори на искане за разяснение. Искам да кажа, че Macalope няма да се задържи да гледа този епизод на Стрелка да чакам или нещо друго. (Също хубаво, защото току-що го гледах и е умопомрачен. — Ред.)
Какъвто и да е случаят, важното е, че това е страхотно извинение да хвърлите куп буболечки във въздуха и да се преструвате, че всички влияят на Snow Leopard, когато повечето от тях не го правят. Това е ясно. И нека не се занимаваме с въпроса кой се опитва да напише зловреден софтуер, насочен към 1% от пазара на настолни компютри.
да Защо Macalope не позволява Сундар Пичай от Google имат последната дума:
Ако имах компания, посветена на зловреден софтуер, щях да се справя и с атаките си срещу Android.
[ДОБАВЕНО: Според стенограмата Пичай наистина е казал това.]