A halb viga leiti sel nädalal iOS 7-st ja Mavericksist, nii et teate, mida see tähendab: on aeg Apple'i kaebused edastada, olenemata sellest, kas need on sellega otseselt seotud või on neil üldse mõtet.
Viinamarjadest hapum
Macalope ei ole siin selleks, et vaielda selle üle, et Apple ei teinud kuninglikult pahandust või poleks tohtinud plaastrit võimalikult kiiresti eemaldada. Kui otsite tema kabjatempliga heakskiidetud kriitikat, lugege see John Gruberi tükk küsimuste kohta, mida see viga tõstatab, ja selle autor on Ashkan Soltani.
Mida ta on Erandiks on aga suur kiirustamine kasutada seda juhtumit ettekäändena, et kaevata asjade üle, mis pole veaga seotud või mida tegelikult ei juhtunud.
Seth Rosenblatt ütleb CNetile kirjutades "Apple'i saladuse hoidmise kultuur lükkab turvareageerimist jälle edasi" (kallutage sarved Shawn King).
Kui poleks teisipäeval avaldatud uudiseid Apple'i paranduse "goto fail" kohta, ei oleks te võib-olla teadnud, et teie Maciga oli turvaprobleem.
Kui poleks olnud uudiseid, ei pruugi te uudiseid teada!
Välja arvatud Apple tegid Pöörduge ajakirjanduse ja julgeolekukogukonna liikmete poole, et saada veast goto fail. Securosis'i Rich Mogull kinnitas Macalope'ile, et kuulis ettevõttelt ja Apple ütles talle, et ettevõte on võtnud ühendust paljude teiste inimestega. See ei ole sama, mis olla klientidega turvalisuse osas avameelne ja avatud, kuid see pole ka sama, mis probleemi "matmine".
Rõhutades, et ta spekuleeris Apple'i põhjenduste üle värskenduse avaldamise viisi kohta, ütles Ash CNET-ile saadetud meilis, et Apple võib otsustasid "rullida TLS-i paranduse versioonile 10.9.2, kuna neil oli vaja varsti välja panna versioon 10.9.2, et need muud haavatavuse parandada ja eraldi plaaster oleks viivitas sellega."
Noh, see kõlab kindlasti mõistlikult. See pole muidugi nii mõistlik, kui eeldada, et Apple on ebakompetentne või laisk või rumal või midagi sellist. See on selgelt mõtleva inimese tee.
Tõendid viitavad Apple'i probleemidele oma kasutajate hoiatamise ja vigade õigeaegse parandamisega. See on problemaatiline, kuna Maci ja iPhone'i kasutajatele pole selgeks tehtud, kui oluline on värskendus nende turvalisusele.
Seevastu Google ja Microsoft tuvastavad turvaparandused standardterminoloogiaga, nagu keskmine, kõrge ja kriitiline.
Kood Sinine. Oranž. Medusa. Banzai meeskond.
Keda huvitab, kuidas neid nimetatakse? Kasutajad peaksid need kõik parandama.
Igatahes on see kõik hästi, aga teate, mida see artikkel vajab? Hinnapakkumine turvatarkvara müüvast ettevõttest!
[Andrew Sudbury, turbekäivitusettevõtte Abine tehnikajuht] lisas, et Apple'i suurem probleem on iPhone'ide ja iPadide turvalisena hoidmine.
Jah, kõige turvalisema platvormi turvalisus on kindlasti probleem.
See jahvatav heli, mida kuulete, on Sudbury kirves. Tehing on järgmine: turvatarkvara müüjad on märgitud, kuna Apple ei lase neil oma tarkvara müüa ussiõli tooteid iOS-is. Iga vabandus on hea ettekääne, et proovida selle üle viriseda.
„iOS-i seadmed on tarbijaseadmed ja teie kui kasutaja ei saa [nende kaitsmiseks] midagi teha.
Sõna otseses mõttes mitte midagi. Värskenduste õigeaegne installimine, kahtlaste saitide külastamata jätmine või kahtlastel linkidel klõpsamine ja avaliku WiFi mittekasutamine pole kõik. Need pole isegi asjad, tegelikult. Neid ei eksisteeri kvantmehaanilisel tasandil. Vaadake seda lõiku tagasi ja avastate, et Macalope pole neid kunagi isegi maininud.
Mitte kunagi. Isegi. Mainitud. Nemad. Tegelikult te isegi ei loe seda veergu praegu. Sa kütad kuuma tasku.
Apple võtab kogu oma vastutuse ja isegi turvafirmad ei saa teid aidata, ”sõnas ta.
Ah, seal on kahju. Unustage tõsiasi, et kui Apple avaks iOS-i sellisel määral, mida oleks vaja, et need turbetooted töötaksid, muutuks platvorm vähem turvaline. Kuid oluline on see, et see aitaks turvafirmadel tarkvara müüa.
Tehke täna Apple'ile lobby, et muuta iOS vähem turvaliseks!
Otsib meeleheitlikult katarsist
Hei, sa ei pea selles kiimas sõna võtma. Selle asemel, miks mitte võtta Google'i Androidi juhi Sundar Pichai sõna.
Me ei saa garanteerida, et Android on loodud turvaliseks, vorming loodi selleks, et anda rohkem vabadust.
[PARANDUS: vastavalt sündmusele, mille TechCrunch Google'ilt omandas, Kohalik sait tsiteeris Pichaid valesti (kallutage sarved Peeter Matthaei). Tegelikult väidab ta nende ärakirja järgi täpselt vastupidist. Nüüd, kus Macalope istub, lükkab see ümber, noh, tegelikkus. Aga olgu.]
Ja nagu kaitseraua kleebised meile teatavad, ei ole vabadus tasuta. Vahel selleks, et olla vaba, pead sa seda tegema anna kelmidele oma pangaandmeid. Päris kindel, et sellepärast me võitlesime ja võitsime Teise maailmasõja, poisid.
Lisaks iOS-i vähem turvaliseks muutmisele, et avada võimalusi turvafirmadele, on see viga tõenäoliselt ka suurepärane aeg vanade argumentide ülevaatamiseks.
Kirjutab ZDNeti jaoks, ütleb Stilgherrian "Apple'i ebaõnnestumine vajab parandamiseks ulatuslikku kultuurimuutust."
Noh, tegelikult ei, kuna see on parandatud nii iOS-is kui ka OS X-is. Peate silmas seda, et Apple võib uuesti teha sarnase vea – eeldades, et viga ei olnud NSA muti või varjatud tegu CTU agent, mis on juhtmega peatatud Xcode'i tiksuva koopia kohal (ei, 24 viited pole vähemalt dateeritud enam mitte).
Nüüd on Macalope'il kaua karistatud Apple’i suhtumise eest turvalisusesse ja ilmselgelt on veel arenguruumi. Kuid see ei tähenda, et iga ettevõtte vastu esitatud labane süüdistus on tõsi.
Miski ei tohi rikkuda Apple'i ilusa ja ilusa aia kuvandit, isegi kui see on pinna all mäda. Või mürgitatud.
Kirjastamine dokument, mis kirjeldab probleeme ja viitab asjakohastele CVE-dele tähendab probleemide olemasolu eitamist.
Seetõttu nõustun Kaspersky Labi juhi Eugene Kasperskyga, kes peaaegu kaks aastat tagasi kirjutas, et turvalisuse osas on Apple Microsoftist 10 aastat maas.
Ah, see on päris rikas, kasutades meest, kelle ettevõtte Maci pahavara vastu võitlemise tööriist kustutatud kasutaja seaded Apple'ile tarkvaravea tõttu koputama.
Apple võib olla Microsofti taga turvaprotseduurides, kuid selle platvormid on sihitud vähem kui Windows ja Android. Rääkimata sellest, et see lõi ka maailma kõige turvalisema platvormi. Oh, aga enamik turvatöötajaid ei arvesta sellega, sest see tähendab, et nende sõbrad ei saa selle tarkvara müüa.
Sel ajal nimetasin teda selle ettepaneku pärast "kuulsusrikkaks ülemaailmseks megatrolliks", kuid kirjutasin ka, et Apple'i oletatav haavamatus on iidsel ajalool põhinev müüt.
See on müüt. Müüt, mida põlistavad rohkem asjatundjad, kes kavatsevad põletada õlekõrrest Apple'i fänne, mille nad on ehitanud kui keegi teine.
Kui Windows oli haavatav arvukate viiruste ja usside suhtes, avaldas Bill Gates oma Trustworth Computingi memo ja Microsoft kujundas tarkvara loomise täielikult ümber. Tulemuseks oli turvalisuse arendamise elutsükli (SDL) metoodika. Windowsi täiustati dramaatiliselt – noh, vähemalt turvalisuse seisukohast – nii palju, et ründajad liikusid virna üles ja rebisid Adobe'i tooted uue.
Kui vaid oleks mõni ettevõte, mis oleks kuulus Adobe toodete oma platvormilt eemal hoidmise poolest. Kindlasti kiidetakse seda üldiselt ettenägelikkuse eest ja seda ei peetaks "ilusa aia" loomise eest.
Apple'i ebaõnnestumine on selge märk sellest, et võluaed…
A maagiline ilus aed. Macalope kahetseb tegematajätmist.
… vajab rohimist – või isegi korralikku annust Agent Orange’i, mitte lõputut Kool-Aid’i.
Ja siin tulevad laisad Apple'i tropid, mis paiskuvad Stilgherriani suust välja nagu liiga palju kloune VW Bugist!
Tundub, et turvalisuse osas ei leidnud Apple ikka veel kahe käega oma tagumikku. Võib-olla peaks see abiks kasutama Apple Mapsi. Ei, oota.
Ding-ding-ding-ding! Õnnitleme, võitsite just Lazy Apple Trope Bingo!
Avalikustamine: Stilgherrian on Microsofti külalisena kaks korda USA turvaüritustel käinud…
Oh, nii et keegi, kes on Microsofti turbekultuurist läbi imbunud, on Microsofti turbekultuuri suur fänn? sa ei ütle.
Õudus. Õudus.
Jätkame oma teekonda, nagu Charles Marlow, seda putukat kütnud kirgede jõge üles.
Computerworldi Gregg Keizer ütleb Apple lõpetab Snow Leopardi toe ja jätab iga viiest Macist rünnakute suhtes haavatavaks. (kallutage sarved Peter Cohen).
AAAAAAIIIIIIIIIEEEEEE!
Kuna Apple andis välja uuenduse nii Mavericksi ehk OS X 10.9 kui ka selle kahe eelkäija Mountain Lion (10.8) ja Lion (10.7) jaoks, ei olnud Apple'il eile Snow Leopardi ega selle omanike jaoks midagi.
Keiseri teos oli nagu kivi kukkumine valeinformatsiooni basseini ja hullumeelsete järelduste tekitamine.
Boy Genius Reporti Brad Reed teatas "1 viiest Macist on nüüd avatud pahavara rünnakutele."
Lai. Avatud. Lihtsalt astuge sisse ja võtke kõik, mis teile meeldib.
Vähemalt L.A. TimesSalvador Rodriguez sõnastas selle küsimusena.
"Kas Apple toetab Snow Leopardi ja 19% Macidest?"
Oma raha eest eelistab Macalope CNNMoney filmi Jose Paglieryt.
"Apple lõpetab Snow Leopardi turvavärskendused"
Macid on üha enam küberründajate sihtmärgiks. Apple'i seadmetes hiljuti avastatud turvaauk, mis võimaldas kõrvalseisjatel juurdepääsu meilidele, kiirsõnumitele ja Interneti-panga tehingutele, näitab, kui olulised uuendused võivad olla. See viga parandati selle nädala alguses.
Pagliery ei maini, et viga esines ainult Mavericksis, mitte varasemates versioonides. Siis peate ootama selle viimase lõiguni:
Sarnaselt Snow Leopardile on Microsoft (MSFT, Fortune 500) teatanud, et lõpetab 8. aprillil Windows XP turvavärskenduste pakkumise. See tekitab potentsiaalselt palju tõsisema turvaprobleemi. NetMarketShare'i andmetel töötab hämmastavalt 29% arvutitest kogu maailmas endiselt Windows XP-d.
See on 29 protsenti arvutid. Kui suur protsent arvutitest töötab Snow Leopardiga?
Võrdluseks, veidi üle 1% maailma arvutitest töötab Snow Leopardi.
Kuid Apple teeb pealkirja, sest Apple.
Erinevalt kõigist nendest kirjutajatest võttis Macalope tegelikult aega, et lugeda Apple'i turvavärskenduses 2014-001 viidatud CVE-sid. Kõik nemad. Nii et aitäh, et ta pidi olema see, kes seda teeb. Tal pole isegi olnud võimalust selle nädala jagu vaadata Nool veel ja…
Noh, igatahes, siin on mõned huvitavad faktid.
- Enamik paigatud vigadest väidavad selgesõnaliselt, et need esinevad ainult Mavericksis (nt SSL-i viga, millest kogu see asi alguse sai) või Mountain Lionis. Enamik ülejäänud kasutab kasutusele võetud tehnoloogiaid pärast Snow Leopard, näiteks Sandboxing, ja seetõttu ei saanud isegi Snow Leopardis kohal olla.
- Üheski CVE-s pole enne Lioni mõjutatud midagi. On ebaselge, kas see tähendab, et Snow Leopardi see ei mõjuta või Apple lihtsalt ei testi Snow Leopardi nende vigade suhtes. Macalope kaldub uskuma, et see on viimane.
- Niipalju kui kiimas võib öelda, võis Snow Leopardis endas tegelikult olla ainult kaks CVE-d. Esimene on suhteliselt mittekriitiline, kuid see võimaldab "kohalikel kasutajatel kavandatud juurdepääsupiirangutest mööda minna, muutes süsteemi kella praegust aega." Teine on kriitilisem, mis võimaldab suvalise koodi käivitamist või teenuse keelamist.
- Mitmed teised on seotud operatsioonisüsteemiväliste tehnoloogiate (nt PHP ja Apache) vigadega. Kasutajad saavad neid ise värskendada, kuigi nad peaksid olema värskendamise vajadusest teadlikud.
Kas Apple on Snow Leopardi turvavärskenduste pakkumise lõpetanud? Seda on raske öelda. Selle põhjal, mida ta nägi, kaldub Macalope arvama, et see on tõenäoliselt nii. Macalope ja tema toimetaja ootavad endiselt, et Apple vastaks selgitustaotlusele. Ma mõtlen, et Macalope ei jäta seda episoodi vaatama Nool ootama või midagi. (Hea ka, sest ma just vaatasin seda ja see on a uimane. —Toim.)
Igal juhul on oluline, et see on suurepärane ettekääne visata õhku hunnik putukaid ja teeselda, et need kõik mõjutavad Snow Leopardi, kuigi enamik neist seda ei tee. See on selge. Ja ärgem käsitlegem ka küsimust, kes üritab kirjutada pahavara, mis on suunatud 1 protsendile lauaarvutite turust.
Jah. Miks Macalope ei lase Google'i Sundar Pichai öelda viimane sõna:
Kui mul oleks pahavarale pühendunud ettevõte, tegeleksin ka oma rünnakutega Androidi vastu.
[LISATUD: ärakirja järgi ütles Pichai seda tegelikult.]