UN brutto bug è stato trovato in iOS 7 e Mavericks questa settimana, quindi sai cosa significa: è tempo di trasmettere le lamentele di Apple, indipendentemente dal fatto che siano direttamente correlate a questo o che abbiano un senso.
L'uva più amara
Il Macalope non è qui per sostenere che Apple non ha sbagliato in modo regale o non avrebbe dovuto rilasciare una patch il più rapidamente possibile. Se stai cercando le sue critiche approvate dallo zoccolo, leggi questo pezzo di John Gruber sulle domande sollevate da questo bug e questo di Ashkan Soltani.
Cosa lui È qui fare eccezione, tuttavia, è la grande fretta di usare questo incidente come scusa per lamentarsi di cose che non sono correlate al bug o cose che non sono realmente accadute.
Scrivendo per CNet, dice Seth Rosenblatt "La cultura della segretezza di Apple ritarda di nuovo la risposta della sicurezza" (punta le corna a Shawn King).
Se non fosse stato per le notizie sulla correzione "goto fail" di Apple rilasciata martedì, potresti non sapere che c'era stato un problema di sicurezza con i tuoi Mac.
Se non fosse per le notizie, potresti non conoscere le notizie!
Tranne, Mela fatto contattare i membri della comunità della stampa e della sicurezza in merito al goto fail bug. Rich Mogull di Securosis ha confermato al Macalope di aver sentito dalla società e che gli è stato detto da Apple che la società aveva contattato un certo numero di altre persone. Non è la stessa cosa che essere franchi e aperti con i propri clienti sulla sicurezza, ma non è nemmeno la stessa cosa che "seppellire" il problema.
Sottolineando che stava speculando sul ragionamento di Apple per il modo in cui l'aggiornamento è stato pubblicato, Ash ha detto in una e-mail a CNET che Apple potrebbe aver ha deciso di "introdurre la correzione TLS in 10.9.2 perché avevano bisogno di rilasciare presto 10.9.2 per correggere queste altre vulnerabilità e una patch separata avrebbe ritardato.
Beh, sembra certamente ragionevole. Ovviamente non così ragionevole come presumere che Apple sia incompetente, pigra, stupida o qualcosa del genere. Questo è chiaramente il percorso della persona pensante.
Le prove indicano problemi in Apple nell'avvisare i propri utenti e correggere i difetti in modo tempestivo. Questo è problematico perché non è chiaro agli utenti Mac e iPhone quanto sia importante un aggiornamento per la loro sicurezza.
Al contrario, Google e Microsoft identificano le correzioni di sicurezza con una terminologia standard come Medio, Alto e Critico.
Codice blu. Arancia. Medusa. Squadra Banzai.
A chi importa come si chiamano? Gli utenti dovrebbero patcharli tutti.
Ad ogni modo, va tutto bene, ma sai di cosa ha bisogno questo articolo? Una citazione da qualcuno di un'azienda che vende software di sicurezza!
[Andrew Sudbury, CTO presso la startup di sicurezza Abine,] ha aggiunto che il problema più grande di Apple è proteggere iPhone e iPad.
Sì, la sicurezza della piattaforma più sicura esistente è certamente un problema.
Quel suono stridente che senti è l'ascia di Sudbury. Ecco l'affare: i fornitori di software di sicurezza sono spuntati perché Apple non gli permetterà di vendere i loro olio di serpente prodotti su iOS. Ogni scusa è una buona scusa per provare a lamentarsi di questo.
"I dispositivi iOS sono un dispositivo consumer e non c'è niente che tu come utente puoi fare [per proteggerli.]"
Letteralmente niente. Installare gli aggiornamenti in modo tempestivo e non visitare siti sospetti o fare clic su collegamenti sospetti e non utilizzare il Wi-Fi pubblico non è niente. Non sono nemmeno cose, davvero. Non esistono a livello quantomeccanico. Guarda indietro in questo paragrafo e scoprirai che i Macalope non li hanno nemmeno menzionati.
Mai. Anche. Menzionato. Loro. In effetti, non stai nemmeno leggendo questa colonna in questo momento. Stai scaldando un Hot Pocket.
Apple si assume tutte le proprie responsabilità e persino le società di sicurezza non possono aiutarti ", ha affermato.
Ah, c'è il dolore. Dimentica il fatto che se Apple aprisse iOS nella misura necessaria affinché questi prodotti di sicurezza funzionino, la piattaforma diventerebbe meno sicuro. Ma ciò che è importante è che aiuterebbe le società di sicurezza a vendere software.
Fai lobby oggi su Apple per rendere iOS meno sicuro!
Cercando disperatamente la catarsi
Ehi, non devi crederci sulla parola di quello arrapato. Invece perché non prendere parola del capo di Android di Google, Sundar Pichai.
Non possiamo garantire che Android sia progettato per essere sicuro, il formato è stato progettato per dare più libertà.
[CORREZIONE: secondo una trascrizione dell'evento che TechCrunch ha acquisito da Google, Pichai è stato citato erroneamente da un sito locale (punta le corna a Pietro Mattai). Infatti, secondo la loro trascrizione, sostiene esattamente il contrario. Ora, da dove si trova il Macalope, questo è smentito da, beh, la realtà. Ma ecco qua.]
E, come ci informano gli adesivi per paraurti, la libertà non è gratis. A volte, per essere liberi, devi farlo dai ai truffatori le tue informazioni bancarie. Sono abbastanza sicuro che sia per questo che abbiamo combattuto e vinto la seconda guerra mondiale, ragazzi.
Oltre a cercare di rendere iOS meno sicuro per aprire opportunità alle società di sicurezza, questo bug è probabilmente anche un ottimo momento per rielaborare vecchi argomenti.
Scrivendo per ZDNet, dice Stilgherrian "Apple sta per fallire ha bisogno di un enorme cambiamento culturale per essere risolto".
Beh, in realtà no, poiché è stato risolto sia su iOS che su OS X. Quello che vuoi dire è che Apple potrebbe commettere di nuovo un errore simile, supponendo che il bug non sia stato l'atto di una talpa della NSA o di un segreto CTU agente, sospeso da un filo su una copia ticchettante di Xcode (no, 24 i riferimenti non sono datati, almeno non più).
Ora, il Macalope ha a lungo castigato Apple per il suo atteggiamento nei confronti della sicurezza, e ovviamente c'è ancora spazio per miglioramenti. Ma ciò non significa che tutte le false accuse mosse contro l'azienda siano vere.
Niente deve offuscare l'immagine del grazioso, grazioso giardino di Apple, anche se sotto la superficie è marcio. O avvelenato.
Editoria un documento che descrive i problemi e fa riferimento ai CVE pertinenti equivale a negare l'esistenza di qualsiasi problema.
Ecco perché sono d'accordo con Eugene Kaspersky, capo di Kaspersky Lab, che quasi due anni fa ha scritto che quando si tratta di sicurezza, Apple è indietro di 10 anni rispetto a Microsoft.
Ah, è piuttosto ricco usare il tizio la cui compagnia ha lo strumento anti-malware per Mac impostazioni utente cancellate criticare Apple per un bug del software.
Apple potrebbe essere dietro Microsoft nelle procedure di sicurezza, ma le sue piattaforme sono prese di mira meno di Windows e Android. Per non parlare del fatto che ha anche creato la piattaforma più sicura al mondo. Oh, ma la maggior parte degli addetti alla sicurezza non lo tiene in considerazione perché significa che i loro amici non possono venderci software.
A quel tempo, l'ho chiamato un "glorioso megatroll globale" per quel suggerimento, ma ho anche scritto che la presunta invulnerabilità di Apple è un mito basato sulla storia antica.
È un mito. Un mito perpetuato più dagli esperti intenti a bruciare i fan Apple di paglia che hanno costruito che da chiunque altro.
Ai tempi in cui Windows era vulnerabile a una miriade di virus e worm, Bill Gates pubblicò il suo promemoria Trustworth Computing e Microsoft riprogettò completamente il modo in cui produceva software. Il risultato è stata la metodologia SDL (Security Development Lifecycle). Windows è stato notevolmente migliorato, beh, almeno dal punto di vista della sicurezza, tanto che gli aggressori sono saliti di livello e hanno strappato uno nuovo ai prodotti Adobe.
Amico, se solo ci fosse un'azienda famosa per tenere i prodotti Adobe fuori dalla sua piattaforma. Sicuramente sarebbe universalmente elogiato per la sua lungimiranza e non messo alla berlina per aver creato un "bel giardino".
Il goto fail di Apple è un chiaro segno che il giardino magico...
UN magico grazioso giardino. Il Macalope si rammarica dell'omissione.
… ha bisogno di diserbo, o anche di una buona dose di Agent Orange, piuttosto che di Kool-Aid infinito.
Ed ecco che arrivano i pigri tropi di Apple, che escono dalla bocca di Stilgherrian come troppi pagliacci da un Bug VW!
Sembra che quando si tratta di sicurezza, Apple non sia ancora riuscita a trovare il culo con entrambe le mani. Forse dovrebbe usare Apple Maps per aiutare. Non aspettare.
Ding-ding-ding-ding! Congratulazioni, hai appena vinto Lazy Apple Trope Bingo!
Divulgazione: Stilgherrian ha partecipato a eventi di sicurezza negli Stati Uniti due volte come ospite di Microsoft...
Oh, quindi qualcuno immerso nella cultura della sicurezza di Microsoft è un grande fan della cultura della sicurezza di Microsoft? Non dici.
L'orrore. L'orrore.
Continuiamo il nostro viaggio, come Carlo Marlow, su questo fiume di passioni infiammate da un insetto.
Dice Gregg Keizer di Computerworld "Apple ritira Snow Leopard dal supporto, lasciando 1 Mac su 5 vulnerabile agli attacchi" (punta le corna a Pietro Coen).
AAAAAAIIIIIIIIIEEEEEE!
Poiché Apple ha rilasciato un aggiornamento per Mavericks, o OS X 10.9, così come per i suoi due predecessori, Mountain Lion (10.8) e Lion (10.7), ieri Apple non aveva nulla per Snow Leopard o per i suoi proprietari.
Il pezzo di Keizer è stato come far cadere un sasso in una pozza di disinformazione e provocare ondate di conclusioni folli.
ha dichiarato Brad Reed di The Boy Genius Report "1 Mac su 5 è ora ampiamente esposto agli attacchi di malware."
Largo. Aprire. Entra e prendi quello che vuoi.
Almeno il LA TimesSalvador Rodriguez lo ha formulato come una domanda.
"Apple ha finito di supportare Snow Leopard e il 19% dei Mac?"
Per i suoi soldi, il Macalope preferisce la presa di Jose Pagliery di CNNMoney.
"Apple interrompe gli aggiornamenti di sicurezza per Snow Leopard"
I Mac sono sempre più presi di mira dagli aggressori informatici. La falla di sicurezza recentemente scoperta nei dispositivi Apple, che ha consentito agli estranei di accedere a e-mail, messaggi istantanei e transazioni bancarie online, mostra quanto possano essere significativi gli aggiornamenti. Quel bug è stato risolto all'inizio di questa settimana.
Pagliery non menziona che il bug era presente solo in Mavericks e non nelle versioni precedenti. Quindi devi aspettare fino all'ultimo paragrafo per questo:
Come Snow Leopard, Microsoft (MSFT, Fortune 500) ha annunciato che interromperà gli aggiornamenti di sicurezza per Windows XP l'8 aprile. Ciò porrà un problema di sicurezza potenzialmente molto più serio. Secondo NetMarketShare, un incredibile 29% dei computer in tutto il mondo esegue ancora Windows XP.
Questo è il 29 percento di computer. Qual è la percentuale di computer che eseguono Snow Leopard?
Comparativamente, poco più dell'1% dei PC del mondo esegue Snow Leopard.
Ma Apple fa notizia perché Apple.
A differenza di tutti questi scrittori, apparentemente, il Macalope si è effettivamente preso il tempo di leggere i CVE a cui si fa riferimento nell'aggiornamento di sicurezza 2014-001 di Apple. Tutti loro. Quindi grazie per aver fatto in modo che fosse lui a farlo. Non ha nemmeno avuto la possibilità di guardare l'episodio di questa settimana di Freccia ancora e…
Bene, comunque, ecco alcuni fatti interessanti.
- La maggior parte dei bug corretti afferma esplicitamente che sono presenti solo in Mavericks (come il bug SSL che ha dato il via a tutto questo) o Mountain Lion. La maggior parte del resto fa uso delle tecnologie introdotte Dopo Snow Leopard, come Sandboxing, e quindi non potrebbe nemmeno essere presente in Snow Leopard.
- Nessuno dei CVE elenca nulla prima di Lion come interessato. Non è chiaro se questo significhi che Snow Leopard non è interessato o che semplicemente Apple non sta testando Snow Leopard per questi bug. Il Macalope è incline a credere che sia quest'ultimo.
- Per quanto ne sa l'arrapato, solo due CVE potrebbero effettivamente essere nello stesso Snow Leopard. Il primo è relativamente non critico ma quello consente agli "utenti locali di aggirare le restrizioni di accesso previste modificando l'ora corrente sull'orologio di sistema". Il secondo è più critico, consentendo l'esecuzione di codice arbitrario o un denial of service.
- Molti altri riguardano bug in tecnologie al di fuori del sistema operativo in sé, come PHP e Apache. Gli utenti potrebbero aggiornarli da soli, anche se dovrebbero essere consapevoli della necessità di aggiornare.
Apple ha interrotto gli aggiornamenti di sicurezza per Snow Leopard? È difficile da dire. Sulla base di ciò che ha visto, il Macalope è incline a pensare che probabilmente lo abbia fatto. Il Macalope e il suo editore stanno ancora aspettando che Apple risponda a una richiesta di chiarimento. Voglio dire, il Macalope non si fermerà a guardare quell'episodio di Freccia aspettare o altro. (Anche una buona cosa, perché l'ho appena visto ed è un stupido. —Ed.)
In ogni caso, l'importante è che questa sia un'ottima scusa per lanciare un mucchio di insetti in aria e fingere che tutti influenzino Snow Leopard quando la maggior parte di loro non lo fa. Questo è chiaro. E non affrontiamo nemmeno la questione di chi tenta di scrivere malware mirato all'1% del mercato dei computer desktop.
Sì. Perché il Macalope non lo lascia Sundar Pichai di Google avere l'ultima parola:
Se avessi un'azienda dedicata al malware, mi occuperei anche dei miei attacchi ad Android.
[AGGIUNTO: Secondo la trascrizione, Pichai ha effettivamente detto questo.]