A bug ruim foi encontrado no iOS 7 e no Mavericks esta semana, então você sabe o que isso significa: é hora de expor as queixas da Apple, estejam ou não diretamente relacionadas a isso ou façam algum sentido.
A mais amarga das uvas
O Macalope não está aqui para argumentar que a Apple não estragou tudo ou não deveria ter lançado um patch o mais rápido possível. Se você está procurando as críticas aprovadas por ele, leia esta peça de John Gruber sobre as questões que este bug levanta, e este de Ashkan Soltani.
O que ele é aqui para criticar, no entanto, é a grande pressa de usar esse incidente como desculpa para reclamar sobre coisas que não estão relacionadas ao bug ou coisas que realmente não aconteceram.
Escrevendo para a CNet, Seth Rosenblatt diz “A cultura de sigilo da Apple atrasa a resposta de segurança — de novo” (ponta dos chifres para Shawn King).
Se não fosse pelas notícias sobre a correção "goto fail" da Apple divulgada na terça-feira, você talvez não soubesse que havia um problema de segurança com seus Macs.
Se não fosse pelos noticiários, talvez você não conhecesse as notícias!
Exceto, Maçã fez entre em contato com membros da comunidade de imprensa e segurança sobre o bug goto fail. Rich Mogull, da Securosis, confirmou ao Macalope que ouviu falar da empresa e foi informado pela Apple que a empresa havia contatado várias outras pessoas. Isso não é o mesmo que ser franco e aberto com seus clientes sobre segurança, mas também não é o mesmo que “enterrar” o problema.
Enfatizando que estava especulando sobre o raciocínio da Apple para a forma como a atualização foi publicada, Ash disse em um e-mail à CNET que a Apple pode ter decidiram “colocar a correção TLS no 10.9.2 porque eles precisavam lançar o 10.9.2 logo para corrigir essas outras vulnerabilidades, e um patch separado teria atrasou.”
Bem, isso certamente parece razoável. Não é, claro, tão razoável quanto supor que a Apple seja incompetente, preguiçosa, estúpida ou algo assim. Esse é claramente o caminho da pessoa que pensa.
As evidências apontam para problemas na Apple em alertar seus usuários e corrigir falhas em tempo hábil. Isso é problemático porque não está claro para os usuários de Mac e iPhone a importância de uma atualização para sua segurança.
Por outro lado, o Google e a Microsoft identificam correções de segurança com terminologia padrão, como Médio, Alto e Crítico.
Código Azul. Laranja. Medusa. Equipe Banzai.
Quem se importa como eles são chamados? Os usuários devem corrigir todos eles.
De qualquer forma, está tudo muito bem, mas você sabe do que este artigo precisa? Uma citação de alguém de uma empresa que vende software de segurança!
[Andrew Sudbury, CTO da startup de segurança Abine] acrescentou que o maior problema da Apple é manter os iPhones e iPads seguros.
Sim, a segurança da plataforma mais segura que existe é certamente um problema.
Esse som de trituração que você ouve é o machado de Sudbury. Aqui está o acordo: os fornecedores de software de segurança estão marcados porque a Apple não os deixa vender seus óleo de cobra produtos no iOS. Qualquer desculpa é uma boa desculpa para tentar reclamar sobre isso.
“Os dispositivos iOS são um dispositivo de consumo e não há nada que você, como usuário, possa fazer [para protegê-los].”
Literalmente nada. Instalar atualizações em tempo hábil e não visitar sites suspeitos ou clicar em links suspeitos e não usar Wi-Fi público não são nada. Eles nem são coisas, na verdade. Eles não existem em um nível de mecânica quântica. Reveja este parágrafo e você descobrirá que o Macalope nunca os mencionou.
Nunca. Até. Mencionado. Eles. Na verdade, você nem está lendo esta coluna agora. Você está aquecendo um Hot Pocket.
A Apple assume toda a responsabilidade e nem mesmo as empresas de segurança podem te ajudar”, afirmou.
Ah, aí está a dor. Esqueça o fato de que se a Apple abrisse o iOS na medida necessária para que esses produtos de segurança funcionassem, a plataforma se tornaria menos seguro. Mas o importante é que isso ajudaria as empresas de segurança a vender software.
Faça lobby com a Apple hoje para tornar o iOS menos seguro!
Buscando desesperadamente a catarse
Ei, você não precisa aceitar a palavra do tesão sobre isso. Em vez disso, por que não tomar a palavra do chefe de Android do Google, Sundar Pichai.
Não podemos garantir que o Android foi projetado para ser seguro, o formato foi projetado para dar mais liberdade.
[CORREÇÃO: De acordo com a transcrição do evento que o TechCrunch adquiriu do Google, Pichai foi citado erroneamente por um site local (ponta dos chifres para Peter Matthaei). Na verdade, de acordo com a transcrição deles, ele defende exatamente o ponto oposto. Agora, de onde o Macalope está sentado, isso é desmentido por, bem, realidade. Mas vamos lá.]
E, como nos informam os adesivos de para-choque, a liberdade não é gratuita. Às vezes, para ser livre, você tem que dê aos bandidos suas informações bancárias. Com certeza é por isso que lutamos e vencemos a Segunda Guerra Mundial, pessoal.
Além de tentar tornar o iOS menos seguro para abrir oportunidades para as empresas de segurança, esse bug provavelmente também é um ótimo momento para relembrar argumentos antigos.
Escrevendo para o ZDNet, Stilgherrian diz “O goto fail da Apple precisa de uma grande mudança de cultura para consertar.”
Bem, na verdade não, pois foi corrigido no iOS e no OS X. O que você quer dizer é que a Apple pode cometer um erro semelhante novamente - assumindo que o bug não foi o ato de uma toupeira da NSA ou um agente secreto CTU agente, suspenso por um fio sobre uma cópia do Xcode (não, 24 as referências não são datadas, pelo menos Não mais).
Agora, o Macalope tem muito castigado Apple por sua atitude em relação à segurança e, obviamente, ainda há espaço para melhorias. Mas isso não significa que todas as acusações esfarrapadas feitas contra a empresa sejam verdadeiras.
Nada deve manchar a imagem do lindo jardim da Apple, mesmo que sob a superfície esteja podre. Ou envenenado.
Publicação um documento descrevendo os problemas e referenciando os CVEs relevantes equivale a negar a existência de quaisquer problemas.
É por isso que concordo com Eugene Kaspersky, chefe da Kaspersky Lab, que há quase dois anos escreveu que, quando se trata de segurança, a Apple está 10 anos atrás da Microsoft.
Ah, é muito rico usar o cara cuja ferramenta de combate a malware para Mac da empresa configurações de usuário excluídas criticar a Apple por causa de um bug de software.
A Apple pode estar atrás da Microsoft em procedimentos de segurança, mas suas plataformas são menos visadas do que Windows e Android. Sem contar que também criou a plataforma mais segura do mundo. Ah, mas a maioria das pessoas de segurança não conta isso porque significa que seus amigos não podem vender software nele.
Na época, chamei-o de “glorioso megatroll global” por essa sugestão, mas também escrevi que a suposta invulnerabilidade da Apple é um mito baseado na história antiga.
É um mito. Um mito perpetuado mais por especialistas que pretendem queimar os fanáticos da Apple que eles construíram do que por qualquer outra pessoa.
Na época em que o Windows era vulnerável a uma miríade de vírus e worms, Bill Gates emitiu seu memorando da Trustworth Computing e a Microsoft reformulou completamente a maneira como fabricava software. O resultado foi a metodologia Security Development Lifecycle (SDL). O Windows foi drasticamente aprimorado - bem, pelo menos do ponto de vista da segurança - tanto que os invasores subiram na pilha e destruíram os produtos da Adobe.
Cara, se houvesse alguma empresa famosa por manter os produtos da Adobe fora de sua plataforma. Certamente seria elogiado universalmente por sua visão e não criticado por criar um “lindo jardim”.
O goto fail da Apple é um sinal claro de que o jardim mágico…
A mágico lindo jardim. O Macalope lamenta a omissão.
… precisa de ervas daninhas - ou mesmo de uma boa dose de Agente Laranja, em vez de Kool-Aid sem fim.
E aqui vêm os tropos preguiçosos da Apple, saindo da boca de Stilgherrian como muitos palhaços saindo de um VW Bug!
Parece que quando se trata de segurança, a Apple ainda não conseguiu encontrar o alvo com as duas mãos. Talvez devesse usar o Apple Maps para ajudar. Não, espere.
Ding-ding-ding-ding! Parabéns, você acabou de ganhar o Lazy Apple Trope Bingo!
Divulgação: Stilgherrian viajou para eventos de segurança nos EUA duas vezes como convidado da Microsoft…
Ah, então alguém imerso na cultura de segurança da Microsoft é um grande fã da cultura de segurança da Microsoft? Você não diz.
O horror. O horror.
Continuemos a nossa viagem, como Charles Marlow, subindo este rio de paixões inflamado por um inseto.
Gregg Keizer, da Computerworld, diz “A Apple retirou o suporte do Snow Leopard, deixando 1 em cada 5 Macs vulneráveis a ataques” (ponta dos chifres para Peter Cohen).
AAAAAIIIIIIEEEEEE!
Como a Apple lançou uma atualização para o Mavericks, ou OS X 10.9, bem como para seus dois predecessores, Mountain Lion (10.8) e Lion (10.7), a Apple não tinha nada para o Snow Leopard ou seus proprietários ontem.
A peça de Keizer foi como jogar uma pedra em uma poça de desinformação e causar ondas de conclusões malucas.
Brad Reed, do The Boy Genius Report, declarou “1 em cada 5 Macs agora está aberto a ataques de malware.”
Largo. Abrir. Basta entrar e pegar o que quiser.
Pelo menos o LA Times's Salvador Rodriguez formulou isso como uma pergunta.
“A Apple acabou de oferecer suporte ao Snow Leopard e 19% dos Macs?”
Por seu dinheiro, o Macalope prefere o nome de Jose Pagliery, da CNNMoney.
“Apple encerra as atualizações de segurança do Snow Leopard”
Os Macs são cada vez mais alvo de ciberataques. A brecha de segurança recentemente descoberta em dispositivos da Apple – que permitia que pessoas de fora acessassem e-mails, mensagens instantâneas e transações bancárias online – mostra como as atualizações podem ser significativas. Esse bug foi corrigido no início desta semana.
Pagliery não menciona que o bug estava presente apenas no Mavericks e não nas versões anteriores. Então você tem que esperar até o último parágrafo para isso:
Como o Snow Leopard, a Microsoft (MSFT, Fortune 500) anunciou que descontinuará as atualizações de segurança para o Windows XP em 8 de abril. Isso representará um problema de segurança potencialmente muito mais sério. Incríveis 29% dos computadores em todo o mundo ainda estão executando o Windows XP, de acordo com o NetMarketShare.
Isso é 29% de computadores. Qual é a porcentagem de computadores que executam o Snow Leopard?
Comparativamente, pouco mais de 1% dos PCs do mundo estão executando o Snow Leopard.
Mas a Apple está nas manchetes porque a Apple.
Aparentemente, ao contrário de qualquer um desses escritores, o Macalope realmente reservou um tempo para ler os CVEs referenciados na atualização de segurança 2014-001 da Apple. Todos eles. Então, obrigado por fazê-lo ter que ser o único a fazer isso. Ele nem teve a chance de assistir ao episódio desta semana de Seta ainda e…
Bem, de qualquer forma, aqui estão alguns fatos interessantes.
- A maioria dos bugs corrigidos afirma explicitamente que estão presentes apenas no Mavericks (como o bug SSL que iniciou tudo isso) ou no Mountain Lion. A maior parte do resto faz uso de tecnologias introduzidas depois Snow Leopard, como Sandboxing e, portanto, nem poderia estar presente no Snow Leopard.
- Nenhum dos CVEs lista nada anterior ao Lion como sendo afetado. Não está claro se isso significa que o Snow Leopard não foi afetado ou a Apple simplesmente não está testando o Snow Leopard para esses bugs. O Macalope está inclinado a acreditar que é o último.
- Tanto quanto o tesão pode dizer, apenas dois CVEs poderiam realmente estar no próprio Snow Leopard. O primeiro é relativamente não crítico, mas que permite que “os usuários locais ignorem as restrições de acesso pretendidas alterando a hora atual no relógio do sistema”. o segundo é mais crítico, permitindo a execução de código arbitrário ou uma negação de serviço.
- Vários outros se relacionam a bugs em tecnologias fora do sistema operacional propriamente dito, como PHP e Apache. Os usuários podem atualizá-los por conta própria, embora devam estar cientes da necessidade de atualização.
A Apple descontinuou as atualizações de segurança para o Snow Leopard? É difícil dizer. Com base no que viu, o Macalope está inclinado a pensar que provavelmente sim. O Macalope e o seu editor continuam à espera que a Apple responda a um pedido de esclarecimento. Quer dizer, o Macalope não vai deixar de assistir aquele episódio de Seta esperar ou qualquer coisa. (Ainda bem, porque acabei de assistir e é um doozy. —Ed.)
Seja qual for o caso, o importante é que esta é uma ótima desculpa para jogar um monte de bugs no ar e fingir que todos afetam o Snow Leopard quando a maioria deles não. Isso está claro. E também não vamos abordar a questão de quem tenta escrever malware direcionado a 1% do mercado de computação de desktop.
Sim. Por que o Macalope não deixa Sundar Pichai do Google tem a última palavra:
Se eu tivesse uma empresa dedicada a malware, também estaria abordando meus ataques no Android.
[ADICIONADO: De acordo com a transcrição, Pichai realmente disse isso.]