A bug rău a fost găsit în iOS 7 și Mavericks săptămâna aceasta, așa că știți ce înseamnă asta: este timpul pentru difuzarea nemulțumirilor Apple, indiferent dacă sunt sau nu legate direct de asta sau au vreun sens.
Cel mai acri dintre struguri
Macalope nu este aici pentru a susține că Apple nu a dat peste cap sau nu ar fi trebuit să scoată un patch cât mai repede posibil. Dacă sunteți în căutarea criticilor lui aprobate de ștampila copitei, citiți această piesă de John Gruber despre întrebările pe care le ridică acest bug și acesta de Ashkan Soltani.
Ce el este Totuși, aici pentru a face excepție este marea graba de a folosi acest incident ca o scuză pentru a vă plânge de lucruri care nu au legătură cu eroarea sau lucruri care nu s-au întâmplat de fapt.
Scriind pentru CNet, spune Seth Rosenblatt „Cultura de secretizare a Apple întârzie răspunsul de securitate – din nou” (Vârful coarnelor la Shawn King).
Dacă nu ar fi fost știrile despre remedierea „goto fail” de la Apple, lansate marți, este posibil să nu fi știut că a existat o problemă de securitate cu Mac-urile tale.
Dacă nu ar fi fost pentru știri, s-ar putea să nu știți știrile!
În afară de Apple făcut contactați membrii presei și ai comunității de securitate despre eroarea goto fail. Rich Mogull de la Securosis a confirmat lui Macalope că a auzit de la companie și i s-a spus de către Apple că compania a contactat o serie de alte persoane. Nu este același lucru cu a fi sincer și deschis cu clienții săi în ceea ce privește securitatea, dar nu este același lucru cu „îngroparea” problemei.
Subliniind că specula cu privire la raționamentul Apple cu privire la modul în care a fost publicată actualizarea, Ash a spus într-un e-mail către CNET că Apple ar putea avea a decis „să introducă remedierea TLS în 10.9.2, deoarece trebuiau să scoată 10.9.2 în curând pentru a remedia aceste alte vulnerabilități, iar un patch separat ar fi avut a întârziat-o.”
Ei bine, asta cu siguranță sună rezonabil. Nu, desigur, la fel de rezonabil ca să presupunem că Apple este incompetent sau leneș sau prost sau așa ceva. Acesta este în mod clar calea persoanei care gândește.
Dovezile indică probleme la Apple în ceea ce privește alertarea utilizatorilor și remedierea defectelor în timp util. Acest lucru este problematic, deoarece utilizatorilor de Mac și iPhone nu le este clar cât de importantă este o actualizare pentru securitatea lor.
În schimb, Google și Microsoft identifică remedieri de securitate cu o terminologie standard, cum ar fi Medie, Ridicată și Critică.
Cod albastru. Portocale. Medusa. Echipa Banzai.
Cui îi pasă cum se numesc? Utilizatorii ar trebui să le corecteze pe toate.
Oricum, totul este bine și bine, dar știi de ce are nevoie acest articol? Un citat de la cineva de la o companie care vinde software de securitate!
[Andrew Sudbury, CTO la startup-ul de securitate Abine,] a adăugat că problema mai mare la Apple este păstrarea în siguranță a iPhone-urilor și iPad-urilor.
Da, securitatea celei mai sigure platforme existente este cu siguranță o problemă.
Sunetul zdrobit pe care îl auzi este toporul lui Sudbury. Iată oferta: furnizorii de software de securitate sunt bifați pentru că Apple nu îi va lăsa să-și vândă ulei de sarpe produse pe iOS. Orice scuză este o scuză bună pentru a încerca să te plângi despre asta.
„Dispozitivele iOS sunt un dispozitiv de consum și nu poți face nimic tu, ca utilizator, [pentru a le securi.]”
Literal nimic. Instalarea actualizărilor în timp util și a nu vizita site-uri suspecte sau a face clic pe linkuri suspecte și a nu folosi Wi-Fi public nu este nimic. Nici măcar nu sunt lucruri, într-adevăr. Ele nu există la nivel cuantic-mecanic. Privește înapoi prin acest paragraf și vei descoperi că Macalope nici măcar nu le-a menționat.
Nu. Chiar. Menționat. Lor. De fapt, nici măcar nu citiți această coloană acum. Încingeți un Hot Pocket.
Apple își asumă toată responsabilitatea și nici măcar companiile de securitate nu te pot ajuta”, a spus el.
Ah, acolo este durerea. Uitați de faptul că, dacă Apple ar deschide iOS în măsura în care ar avea nevoie pentru ca aceste produse de securitate să funcționeze, platforma ar deveni Mai puțin sigur. Dar ceea ce este important este că ar ajuta firmele de securitate să vândă software.
Faceți lobby Apple astăzi pentru a face iOS mai puțin sigur!
Căutând cu disperare catharsis
Hei, nu trebuie să-l crezi pe cel excitat pe cuvânt. În schimb de ce să nu iei cuvântul șefului Google pentru Android, Sundar Pichai.
Nu putem garanta că Android este conceput pentru a fi sigur, formatul a fost conceput pentru a oferi mai multă libertate.
[CORRECȚIE: Conform unei transcriere a evenimentului pe care TechCrunch l-a achiziționat de la Google, Pichai a fost citat greșit de un site local (Vârful coarnelor la Peter Matthaei). De fapt, conform stenogramei lor, el face exact punctul opus. Acum, de unde stă Macalope, asta este dezmințit de, ei bine, realitate. Dar iată.]
Și, așa cum ne informează autocolantele, libertatea nu este gratuită. Uneori, pentru a fi liber, trebuie dați escrocilor informațiile dvs. bancare. Sunt sigur că de aceea am luptat și am câștigat al Doilea Război Mondial, băieți.
Pe lângă faptul că încearcă să facă iOS mai puțin sigur pentru a deschide oportunități pentru firmele de securitate, această eroare este, de asemenea, probabil un moment grozav pentru a repeta vechile argumente.
Scriind pentru ZDNet, spune Stilgherrian „Eșuarea lui Apple are nevoie de o schimbare masivă a culturii de remediat.”
Ei bine, de fapt nu, deoarece a fost remediat atât pe iOS, cât și pe OS X. Ceea ce vrei să spui este că Apple ar putea face o gafă similară din nou - presupunând că bug-ul nu a fost actul unei cârtițe NSA sau a unui secret CTU agent, suspendat printr-un fir peste o copie de bifare a Xcode (nu, 24 referințele nu sunt datate, cel puțin nu mai).
Acum, Macalope are pedepsit de mult Apple pentru atitudinea sa față de securitate și, evident, mai este loc de îmbunătățire. Dar asta nu înseamnă că fiecare acuzație neplăcută adusă companiei este adevărată.
Nimic nu trebuie să păteze imaginea grădinii frumoase și frumoase a lui Apple, chiar dacă sub suprafață este putrezită. Sau otrăvit.
Publicare un document care descrie problemele și face referire la CVE-urile relevante echivalează cu a nega existența oricăror probleme.
De aceea, sunt de acord cu Eugene Kaspersky, șeful Kaspersky Lab, care în urmă cu aproape doi ani a scris că, când vine vorba de securitate, Apple este cu 10 ani în urmă cu Microsoft.
Ah, este destul de bogat să folosești tipul a cărui companie este instrumentul Mac de combatere a malware-ului setări utilizator șterse pentru a lovi Apple pentru o eroare de software.
Apple poate fi în spatele Microsoft în procedurile de securitate, dar platformele sale sunt vizate mai puțin decât Windows și Android. Ca să nu mai vorbim de faptul că a creat și cea mai sigură platformă din lume. Oh, dar majoritatea oamenilor de securitate nu iau în calcul acest lucru, deoarece înseamnă că prietenii lor nu pot vinde software pe el.
La acea vreme, l-am numit un „megatroll global glorios” pentru această sugestie, dar am scris și că presupusa invulnerabilitate a Apple este un mit bazat pe istoria antică.
Este un mit. Un mit perpetuat mai mult de experții intenționați să ardă fanii Apple pe care i-au construit decât de oricine altcineva.
Pe vremea când Windows era vulnerabil la nenumărate viruși și viermi, Bill Gates și-a emis nota Trustworth Computing și Microsoft a reproiectat complet modul în care a făcut software. Rezultatul a fost metodologia Security Development Lifecycle (SDL). Windows a fost îmbunătățit dramatic – bine, cel puțin din punct de vedere al securității – atât de mult încât atacatorii au mutat stiva și au rupt produsele Adobe una nouă.
Omule, dacă ar exista o companie care să fie renumită pentru că a păstrat produsele Adobe în afara platformei sale. Cu siguranță, ar fi lăudat universal pentru prevederea sa și nu va fi pus la piloți pentru crearea unei „grădini drăguțe”.
Eșecul Apple este un semn clar că grădina magică...
A magic gradina frumoasa. Macalope regretă omisiunea.
… are nevoie de plivitul – sau chiar de o doză bună de Agent Orange, mai degrabă decât nesfârșitul Kool-Aid.
Și iată că leneșul mărului se revarsă din gura lui Stilgherrian ca prea mulți clovni dintr-un Bug VW!
Se pare că, când vine vorba de securitate, Apple încă nu și-a putut găsi fundul cu ambele mâini. Poate că ar trebui să folosească Apple Maps pentru a ajuta. Nu așteptați.
Ding-ding-ding-ding! Felicitări, tocmai ați câștigat Lazy Apple Trope Bingo!
Dezvăluire: Stilgherrian a călătorit la evenimentele de securitate din SUA de două ori ca invitat al Microsoft...
Oh, deci cineva pătruns în cultura de securitate a Microsoft este un mare fan al culturii de securitate a Microsoft? Nu mai spuneţi.
Horror-ul. Horror-ul.
Să ne continuăm călătoria, ca Charles Marlow, în sus pe acest râu de pasiuni înflăcărat de un insectă.
spune Gregg Keiser de la Computerworld „Apple retrage Snow Leopard din asistență, lasând 1 din 5 Mac-uri vulnerabil la atacuri” (Vârful coarnelor la Peter Cohen).
AAAAAAIIIIIIIIEEEEEE!
Deoarece Apple a lansat o actualizare pentru Mavericks sau OS X 10.9, precum și pentru cei doi predecesori ai săi, Mountain Lion (10.8) și Lion (10.7), Apple nu a avut ieri nimic pentru Snow Leopard sau proprietarii săi.
Piesa lui Keiser a fost ca și cum ar fi aruncat o piatră într-un bazin de dezinformare și a provocat valuri de concluzii nebunești.
Brad Reed de la The Boy Genius Report a declarat „1 din 5 Mac-uri acum larg deschis la atacuri malware.”
Lat. Deschis. Doar intră direct și ia ce vrei.
Cel puțin cel L.A. TimesSalvador Rodriguez a formulat-o ca o întrebare.
„Apple a terminat de sprijinit Snow Leopard și 19% dintre Mac-uri?”
Pentru banii lui, Macalope preferă preluarea lui Jose Pagliery de la CNNMoney.
„Apple termină actualizările de securitate pentru Snow Leopard”
Mac-urile sunt din ce în ce mai mult vizate de atacatorii cibernetici. Gaura de securitate descoperită recent în dispozitivele Apple – care a permis persoanelor din afară accesul la e-mailuri, mesaje instant și tranzacții bancare online – arată cât de semnificative pot fi actualizările. Acea eroare a fost remediată la începutul acestei săptămâni.
Pagliery nu menționează că bug-ul a fost prezent doar în Mavericks și nu în versiunile anterioare. Atunci trebuie să așteptați până la ultimul paragraf pentru asta:
La fel ca Snow Leopard, Microsoft (MSFT, Fortune 500) a anunțat că va întrerupe actualizările de securitate pentru Windows XP pe 8 aprilie. Acest lucru va pune o problemă de securitate mult mai serioasă. Potrivit NetMarketShare, 29% dintre computerele de pe glob mai rulează Windows XP.
Adică 29 la sută din calculatoare. Ce procent de computere rulează Snow Leopard?
Comparativ, puțin peste 1% dintre computerele din lume rulează Snow Leopard.
Dar Apple face titlul pentru că Apple.
Spre deosebire de oricare dintre acești scriitori, aparent, Macalope și-a luat timp să citească CVE-urile la care se face referire în actualizarea de securitate 2014-001 de la Apple. Toti. Așa că mulțumesc că l-ai făcut să fie cel care să facă asta. Nici măcar nu a avut ocazia să vizioneze episodul din această săptămână Săgeată încă și…
Ei bine, oricum, iată câteva fapte interesante.
- Majoritatea erorilor remediate fie afirmă în mod explicit că sunt prezente doar în Mavericks (cum ar fi eroarea SSL care a început toată treaba) sau Mountain Lion. Majoritatea celorlalți folosesc tehnologiile introduse după Snow Leopard, cum ar fi Sandboxing, și, prin urmare, nici nu ar putea fi prezent în Snow Leopard.
- Niciunul dintre CVE nu listează nimic înainte de Lion ca fiind afectat. Nu este clar dacă acest lucru înseamnă că Snow Leopard nu este afectat sau Apple pur și simplu nu testează Snow Leopard pentru aceste erori. Macalope este înclinat să creadă că este cea din urmă.
- Din câte poate spune cel excitat, doar două CVE-uri ar putea fi de fapt în Snow Leopard. Primul este relativ non-critic, dar că permite „utilizatorilor locali să ocolească restricțiile de acces intenționate prin schimbarea orei curente pe ceasul sistemului”. Al doilea este mai critic, permițând executarea unui cod arbitrar sau refuzul serviciului.
- Câteva altele se referă la erori în tehnologii din afara sistemului de operare în sine, cum ar fi PHP și Apache. Utilizatorii le-ar putea actualiza pe cont propriu, deși ar trebui să fie conștienți de necesitatea actualizării.
A întrerupt Apple actualizările de securitate pentru Snow Leopard? E greu de spus. Pe baza a ceea ce a văzut, Macalope este înclinat să creadă că probabil a făcut-o. Macalope și editorul său încă așteaptă ca Apple să răspundă la o solicitare de clarificări. Adică, Macalope nu va reține să vizioneze acel episod din Săgeată a aștepta sau altceva. (De asemenea, bine, pentru că tocmai l-am vizionat și este un doozy. — Ed.)
Oricare ar fi cazul, important este că aceasta este o scuză grozavă pentru a arunca o grămadă de gândaci în aer și pentru a pretinde că toți afectează Snow Leopard atunci când majoritatea nu o fac. Asta e clar. Și să nu abordăm și întrebarea cine încearcă să scrie malware care vizează 1% din piața computerelor desktop.
Da. De ce nu lasă Macalope Sundar Pichai de la Google ai ultimul cuvant:
Dacă aș avea o companie dedicată malware-ului, mi-aș aborda și atacurile pe Android.
[ADĂUGAT: Conform transcripției, Pichai a spus de fapt asta.]