A huono bugi löytyi iOS 7:stä ja Mavericksistä tällä viikolla, joten tiedät mitä se tarkoittaa: On aika tuoda esiin Applen valitukset riippumatta siitä, liittyvätkö ne suoraan tähän tai onko niissä mitään järkeä.
Rypäleistä hapan
Macalope ei ole täällä kiistelläkseen, ettei Apple mennyt kuninkaallisesti pieleen tai etteikö sen olisi pitänyt saada korjausta mahdollisimman nopeasti. Jos etsit hänen kavioleiman hyväksymää kritiikkiä, lue tämä John Gruberin kappale kysymyksistä, joita tämä bugi herättää, ja tämän on kirjoittanut Ashkan Soltani.
Mitä hän On Tässä poikkeuksena on kuitenkin suuri kiire käyttää tätä tapausta tekosyynä valittaa asioista, jotka eivät liity virheeseen, tai asioista, joita ei todellisuudessa tapahtunut.
CNetille kirjoittaminen, Seth Rosenblatt sanoo "Applen salassapitokulttuuri viivästyttää tietoturvatoimia – taas" (vinkkaa sarvet Shawn King).
Jos Applen tiistaina julkaistua "goto fail" -korjausta ei olisi uutisoitu, et ehkä olisi tiennyt, että Mac-tietokoneissasi oli tietoturvaongelma.
Jos se ei olisi uutisraportteja, et ehkä tietäisi uutisia!
Paitsi Apple teki ota yhteyttä lehdistö- ja turvallisuusyhteisön jäseniin goto fail -virheestä. Securosiksen Rich Mogull vahvisti Macalopelle kuulleensa yrityksestä ja Applelta kertoneensa hänelle, että yritys oli ottanut yhteyttä useisiin muihin ihmisiin. Se ei ole sama asia kuin olla rehellinen ja avoin asiakkailleen turvallisuudesta, mutta se ei myöskään ole sama asia kuin ongelman "hautaaminen".
Korostaen, että hän spekuloi Applen perusteluja päivityksen julkaisutavalle, Ash sanoi sähköpostissa CNET: lle, että Applella saattaa olla päätti "tuttaa TLS-korjauksen versioon 10.9.2, koska heidän piti julkaista 10.9.2 pian korjatakseen nämä muut haavoittuvuudet, ja erillinen korjaustiedosto olisi viivästytti sitä."
No tuo kuulostaa varmasti järkevältä. Ei tietenkään niin järkevää kuin olettaa, että Apple on epäpätevä tai laiska tai tyhmä tai jotain. Se on selvästi ajattelevan ihmisen polku.
Todisteet viittaavat Applen ongelmiin käyttäjien varoittamisessa ja virheiden korjaamisessa oikea-aikaisesti. Tämä on ongelmallista, koska Macin ja iPhonen käyttäjille ei ole tehty selväksi, kuinka tärkeä päivitys on heidän turvallisuudelleen.
Sitä vastoin Google ja Microsoft tunnistavat tietoturvakorjaukset vakioterminologialla, kuten Medium, High ja Critical.
Koodi Sininen. Oranssi. Medusa. Joukkue Banzai.
Ketä kiinnostaa miksi niitä kutsutaan? Käyttäjien tulee korjata ne kaikki.
Joka tapauksessa, tämä on kaikki hyvin, mutta tiedätkö mitä tämä artikkeli tarvitsee? Lainaus joltakin tietoturvaohjelmistoja myyvästä yrityksestä!
[Andrew Sudbury, tietoturvakäynnistyksen Abinen teknologiajohtaja] lisäsi, että Applen suurin ongelma on iPhonen ja iPadin turvassa pitäminen.
Kyllä, turvallisimman olemassa olevan alustan turvallisuus on varmasti ongelma.
Se jauhava ääni, jonka kuulet, on Sudburyn kirves. Tässä on sopimus: Tietoturvaohjelmistojen toimittajat on valittu, koska Apple ei anna heidän myydä omiaan käärmeöljy tuotteet iOS: ssä. Mikä tahansa tekosyy on hyvä tekosyy yrittää valittaa asiasta.
"iOS-laitteet ovat kuluttajalaitteita, etkä sinä käyttäjänä voi tehdä mitään [suojataksesi ne.]"
Kirjaimellisesti ei mitään. Päivitysten asentaminen ajoissa, epäilyttävien sivustojen vierailu tai epäilyttävien linkkien napsauttaminen ja julkisen Wi-Fi-yhteyden käyttämättä jättäminen eivät ole mitään. Ne eivät todellakaan ole edes asioita. Ne eivät ole olemassa kvanttimekaanisella tasolla. Katso tätä kappaletta taaksepäin ja huomaa, että Macalope ei koskaan edes maininnut niitä.
Ei koskaan. Jopa. Mainitsi. Niitä. Itse asiassa et edes lue tätä kolumnia juuri nyt. Kuumennat Hot Pocketin.
Apple ottaa kaiken vastuunsa, eivätkä edes turvallisuusyritykset voi auttaa sinua", hän sanoi.
Ah, siinä on vahinko. Unohda se tosiasia, että jos Apple avaisi iOS: n siinä määrin, kuin se tarvitsisi, jotta nämä tietoturvatuotteet toimisivat, alustasta tulisi Vähemmän turvallinen. Mutta tärkeintä on, että se auttaisi tietoturvayrityksiä myymään ohjelmistoja.
Aula Applelle tänään tehdäksesi iOS: stä vähemmän turvallinen!
Etsii epätoivoisesti katarsisia
Hei, sinun ei tarvitse ottaa kiimainen sanaa siitä. Sen sijaan miksi ei oteta Googlen Android-päällikön Sundar Pichain sana.
Emme voi taata, että Android on suunniteltu turvalliseksi, muoto on suunniteltu antamaan enemmän vapautta.
[KORJAUS: TechCrunchin Googlelta hankkiman tapahtuman transkription mukaan Paikallinen sivusto lainasi Pichaita väärin (vinkkaa sarvet Peter Matthaei). Itse asiassa, heidän kopionsa mukaan, hän esittää juuri päinvastaista. No, sieltä, missä Macalope istuu, sen kieltävät, no, todellisuutta. Mutta siinä mennään.]
Ja kuten puskuritarrat kertovat meille, vapaus ei ole ilmaista. Joskus sinun täytyy olla vapaa anna roistoille pankkitietosi. Melko varmasti siksi taistelimme ja voitimme toisen maailmansodan, te kaverit.
Sen lisäksi, että se yrittää tehdä iOS: stä vähemmän turvallista avatakseen mahdollisuuksia tietoturvayrityksille, tämä virhe on myös luultavasti hyvä aika toistaa vanhoja väitteitä.
Kirjoittaa ZDNetille, Stilgherrian sanoo "Applen epäonnistuminen vaatii massiivisen kulttuurimuutoksen korjatakseen."
No, itse asiassa ei, koska se on korjattu sekä iOS: ssä että OS X: ssä. Tarkoitat sitä, että Apple saattaa tehdä samanlaisen virheen uudelleen – olettaen, että vika ei ollut NSA-myyrä tai salaperäinen teko CTU agentti, joka on ripustettu langalla Xcoden tikittävän kopion päälle (ei, 24 viitteitä ei ainakaan ole päivätty ei enää).
Nyt Macalopella on pitkään kuritettu Applen asenteesta turvallisuutta kohtaan, ja parantamisen varaa on selvästikin vielä. Mutta se ei tarkoita, että jokainen yhtiötä vastaan esitetty ontuva syytös olisi totta.
Mikään ei saa pilata imagoa Applen kauniista, kauniista puutarhasta, vaikka pinnan alla se olisi mätä. Tai myrkytetty.
Julkaiseminen asiakirja, jossa kuvataan ongelmia ja viitataan asiaankuuluviin CVE: ihin tarkoittaa ongelmien olemassaolon kieltämistä.
Siksi olen samaa mieltä Kaspersky Labin johtajan Eugene Kasperskyn kanssa, joka lähes kaksi vuotta sitten kirjoitti, että turvallisuudesta Apple on 10 vuotta Microsoftista jäljessä.
Ah, se on melko rikasta käyttämällä kaveria, jonka yrityksen Mac-haittaohjelmien torjuntatyökalu poistetut käyttäjäasetukset lyödä Applea ohjelmistovirheen vuoksi.
Apple saattaa olla Microsoftin takana tietoturvamenettelyissä, mutta sen alustoja kohdennetaan vähemmän kuin Windowsia ja Androidia. Puhumattakaan siitä, että se loi myös maailman turvallisimman alustan. Voi, mutta useimmat turvallisuushenkilöt eivät ota sitä huomioon, koska se tarkoittaa, että heidän ystävänsä eivät voi myydä siihen liittyviä ohjelmistoja.
Tuolloin kutsuin häntä "kunniakkaaksi maailmanlaajuiseksi megatrolliksi" tämän ehdotuksen vuoksi, mutta kirjoitin myös, että Applen oletettu haavoittumattomuus on muinaiseen historiaan perustuva myytti.
Se on myytti. Myytti, jota pitävät yllä enemmän tutkijat, jotka pyrkivät polttamaan Applen olkimies-faneja, joita he ovat rakentaneet kuin kukaan muu.
Kun Windows oli alttiina lukemattomille viruksille ja madoille, Bill Gates julkaisi Trustworth Computing -muistionsa ja Microsoft suunnitteli ohjelmistojen valmistustavan täysin uudelleen. Tuloksena oli Security Development Lifecycle (SDL) -metodologia. Windowsia parannettiin dramaattisesti – ainakin tietoturvan näkökulmasta – niin paljon, että hyökkääjät nousivat pinossa ja repivät Adoben tuotteet uuteen.
Jospa olisi joku yritys, joka olisi kuuluisa pitäessään Adoben tuotteita pois alustaltaan. Varmasti sitä ylistettäisiin yleisesti kaukonäköisyydestään, eikä sitä pidettäisi "kauniin puutarhan" luomisesta.
Applen epäonnistuminen on selvä merkki siitä, että taikapuutarha…
A maaginen kaunis puutarha. Macalope pahoittelee laiminlyöntiä.
… tarvitsee kitkemistä – tai jopa hyvän annoksen Agent Orangea loputtoman Kool-Aidin sijaan.
Ja täältä tulevat laiskot Apple-tropit, jotka valuvat ulos Stilgherrianin suusta kuin liian monet klovnit VW Bugista!
Vaikuttaa siltä, että mitä tulee tietoturvaan, Apple ei silti löytänyt takapuolta molemmilla käsillä. Ehkä sen pitäisi käyttää Apple Mapsia apuna. Ei, odota.
Ding-ding-ding-ding! Onnittelut, voitit juuri Lazy Apple Trope Bingon!
Paljastus: Stilgherrian on matkustanut Yhdysvaltain turvallisuustapahtumiin kahdesti Microsoftin vieraana…
Ai niin, onko joku Microsoftin tietoturvakulttuuriin imeytynyt suuri Microsoftin tietoturvakulttuurin fani? et sano.
Kauhu. Kauhu.
Jatketaan matkaamme, esim Charles Marlow, tätä vian leimaamaa intohimojen jokea.
Computerworldin Gregg Keizer sanoo "Apple lopettaa Snow Leopardin tuen, jättäen joka viidestä Macista alttiin hyökkäyksille" (vinkkaa sarvet Peter Cohen).
AAAAAAAIIIIIIIIIEEEEEEEE!
Kun Apple julkaisi päivityksen Mavericksille tai OS X 10.9:lle sekä kahdelle edeltäjälleen, Mountain Lionille (10.8) ja Lionille (10.7), Applella ei ollut eilen mitään Snow Leopardille tai sen omistajille.
Keizerin teos oli kuin pudottaisi kiven väärään informaatioon ja aiheutti hullujen johtopäätösten aaltoja.
Boy Genius Reportin Brad Reed julisti "Yksi viidestä Macista on nyt avoinna haittaohjelmahyökkäyksille."
Leveä. Avata. Mene vain sisään ja ota mitä haluat.
Ainakin L.A. TimesSalvador Rodriguez muotoili sen kysymykseksi.
"Tukeeko Apple Snow Leopardia ja 19 % Maceista?"
Rahansa vuoksi Macalope mieluummin ottaa CNNMoneyn Jose Paglieryn.
"Apple lopettaa Snow Leopardin tietoturvapäivitykset"
Macit ovat yhä useammin kyberhyökkääjien kohteena. Äskettäin Applen laitteissa havaittu tietoturva-aukko, joka salli ulkopuolisten pääsyn sähköposteihin, pikaviesteihin ja verkkopankkitapahtumiin, osoittaa, kuinka merkittäviä päivityksiä voi olla. Vika korjattiin aiemmin tällä viikolla.
Pagliery ei mainitse, että vika oli vain Mavericksissa, ei aiemmissa versioissa. Sitten sinun on odotettava tätä viimeistä kappaletta:
Kuten Snow Leopard, Microsoft (MSFT, Fortune 500) on ilmoittanut lopettavansa Windows XP: n tietoturvapäivitykset 8. huhtikuuta. Se aiheuttaa mahdollisesti paljon vakavamman turvallisuusongelman. NetMarketSharen mukaan hämmästyttävässä 29 prosentissa tietokoneista ympäri maailmaa on edelleen Windows XP.
Se on 29 prosenttia tietokoneita. Kuinka monta prosenttia tietokoneista käyttää Snow Leopardia?
Vertailun vuoksi hieman yli 1 % maailman tietokoneista käyttää Snow Leopardia.
Mutta Apple tekee otsikon, koska Apple.
Toisin kuin mikään näistä kirjoittajista ilmeisesti, Macalope vei itse asiassa aikaa lukeakseen CVE: t, joihin viitattiin Applen 2014-001 tietoturvapäivityksessä. Ne kaikki. Joten kiitos, että sait hänet tekemään sen. Hän ei ole edes ehtinyt katsoa tämän viikon jaksoa Nuoli vielä ja…
No, joka tapauksessa, tässä on muutamia mielenkiintoisia faktoja.
- Suurin osa korjatuista virheistä joko ilmoittaa nimenomaisesti, että ne esiintyvät vain Mavericksissa (kuten SSL-virhe, joka aloitti tämän koko jutun) tai Mountain Lionissa. Suurin osa muista käyttää käyttöön otettuja teknologioita jälkeen Snow Leopard, kuten Sandboxing, eikä siksi voinut edes olla läsnä Snow Leopardissa.
- Mikään CVE: stä ei lue mitään ennen Lionia vaikuttaneena. On epäselvää, tarkoittaako tämä, ettei se vaikuta Snow Leopardiin vai eikö Apple yksinkertaisesti testaa Snow Leopardia näiden vikojen varalta. Macalope on taipuvainen uskomaan, että se on jälkimmäinen.
- Sikäli kuin kiimainen voi kertoa, vain kaksi CVE: tä voi itse asiassa olla Snow Leopardissa. Ensimmäinen on suhteellisen ei-kriittinen, mutta se sallii "paikalliset käyttäjät ohittaa aiotut käyttörajoitukset muuttamalla järjestelmän kellon nykyistä aikaa". Toinen on kriittisempi, joka mahdollistaa mielivaltaisen koodin suorittamisen tai palveluneston.
- Useat muut liittyvät virheisiin käyttöjärjestelmän ulkopuolisissa teknologioissa, kuten PHP ja Apache. Käyttäjät voivat päivittää ne itse, vaikka heidän olisi oltava tietoisia päivitystarpeesta.
Onko Apple lopettanut Snow Leopardin tietoturvapäivitykset? Vaikea sanoa. Näkemänsä perusteella Macalope on taipuvainen ajattelemaan, että se todennäköisesti on. Macalope ja hänen toimittajansa odottavat edelleen Applen vastausta selvityspyyntöön. Tarkoitan, että Macalope ei viivyttele katsomasta tuota jaksoa Nuoli odottaa tai jotain. (Hyvä asia myös, koska katsoin sen juuri ja se on a tukkoinen. -Toim.)
Joka tapauksessa on tärkeää, että tämä on hyvä tekosyy heittää ilmaan joukko vikoja ja teeskennellä, että ne kaikki vaikuttavat Snow Leopardiin, vaikka useimmat eivät. Se on selvää. Älä myöskään käsittele kysymystä siitä, kuka yrittää kirjoittaa haittaohjelmia, jotka on kohdistettu prosenttiin pöytätietokonemarkkinoista.
Joo. Miksi Macalope ei anna Googlen Sundar Pichai sano viimeinen sana:
Jos minulla olisi haittaohjelmille omistautunut yritys, puuttuisin myös Androidiin kohdistuviin hyökkäyksiin.
[LISÄTTY: Literaattisen tekstin mukaan Pichai todella sanoi tämän.]