А плохая ошибка была обнаружена в iOS 7 и Mavericks на этой неделе, так что вы знаете, что это значит: пришло время высказаться о недовольстве Apple, независимо от того, имеют ли они прямое отношение к этому или имеют какой-либо смысл.
Самый кислый из винограда
Macalope здесь не для того, чтобы утверждать, что Apple не облажалась по-королевски или не должна была выпускать патч как можно быстрее. Если вы ищете одобренную им критику, прочтите это произведение Джона Грубера о вопросах, которые поднимает эта ошибка, и это от Ашкана Солтани.
Что он является здесь, однако, возражаю против большой спешки, чтобы использовать этот инцидент в качестве предлога для жалоб на вещи, которые не связаны с ошибкой, или вещи, которых на самом деле не было.
Пишет для CNet, говорит Сет Розенблатт «Культура секретности Apple снова задерживает реакцию службы безопасности» (кончик рогов к Шон Кинг).
Если бы не новостные сообщения об исправлении Apple «goto fail», выпущенном во вторник, вы могли бы и не знать, что на ваших Mac возникла проблема с безопасностью.
Если бы не новостные репортажи, вы могли бы и не знать новостей!
Кроме, Apple делал обратитесь к представителям прессы и сообщества безопасности по поводу ошибки goto fail. Рич Могулл из Securosis подтвердил Macalope, что он получил известие от компании, и Apple сообщила ему, что компания связалась с рядом других людей. Это не то же самое, что быть откровенным и открытым со своими клиентами в отношении безопасности, но это также не то же самое, что «закапывать» проблему.
Подчеркнув, что он размышлял о причинах Apple в отношении того, как было опубликовано обновление, Эш сказал в электронном письме CNET, что Apple, возможно, решили «внедрить исправление TLS в 10.9.2, потому что им нужно было скоро выпустить 10.9.2, чтобы исправить эти другие уязвимости, а отдельный патч должен был задержал это».
Ну, это, безусловно, звучит разумно. Конечно, не так разумно, как предположить, что Apple некомпетентна, ленива, глупа или что-то в этом роде. Это явно путь мыслящего человека.
Свидетельства указывают на проблемы Apple с оповещением пользователей и своевременным устранением недостатков. Это проблематично, потому что пользователям Mac и iPhone не ясно, насколько важно обновление для их безопасности.
Напротив, Google и Microsoft определяют исправления безопасности с помощью стандартной терминологии, такой как средний, высокий и критический.
Синий код. Апельсин. Медуза. Команда Банзай.
Кого волнует, как они называются? Пользователи должны исправлять их все.
В любом случае, это все хорошо, но знаете, что нужно этой статье? Цитата из компании, которая продает программное обеспечение для обеспечения безопасности!
[Эндрю Садбери, технический директор стартапа Abine, занимающегося безопасностью,] добавил, что более серьезной проблемой для Apple является обеспечение безопасности iPhone и iPad.
Да, безопасность самой защищенной из существующих платформ, безусловно, является проблемой.
Этот скрежещущий звук, который вы слышите, — это топор Садбери. Вот в чем дело: поставщики программного обеспечения для обеспечения безопасности отмечены галочкой, потому что Apple не позволяет им продавать свои змеиное масло продукты на iOS. Любая отговорка — хороший предлог, чтобы попытаться поныть по этому поводу.
«Устройства iOS — это потребительские устройства, и вы, как пользователь, ничего не можете сделать [для их защиты]».
Буквально ничего. Своевременно устанавливать обновления, не посещать подозрительные сайты и не переходить по подозрительным ссылкам, а также не использовать общедоступный Wi-Fi — все это ничто. На самом деле это даже не вещи. Они не существуют на квантово-механическом уровне. Просмотрите этот абзац, и вы обнаружите, что Макалоп даже не упомянул о них.
Никогда. Даже. Упомянул. Их. На самом деле, вы даже не читаете эту колонку прямо сейчас. Вы нагреваете Hot Pocket.
Apple берет на себя всю свою ответственность, и даже охранные компании не могут вам помочь», — сказал он.
Ах, вот это боль. Забудьте тот факт, что если бы Apple открыла iOS до такой степени, которая была бы необходима для того, чтобы эти продукты безопасности работали, платформа стала бы меньше безопасный. Но важно то, что это поможет охранным фирмам продавать программное обеспечение.
Лоббируйте сегодня Apple, чтобы сделать iOS менее безопасной!
Отчаянно ищу катарсиса
Эй, тебе не нужно верить похотливому на слово. Вместо этого почему бы не взять слова главы Google по Android Сундара Пичаи.
Мы не можем гарантировать, что Android разработан, чтобы быть безопасным, формат был разработан, чтобы дать больше свободы.
[ИСПРАВЛЕНИЕ: Согласно стенограмме мероприятия, полученной TechCrunch от Google, Пичаи был неправильно процитирован местным сайтом (кончик рогов к Питер Маттеи). На самом деле, согласно их расшифровке, он утверждает прямо противоположное. Теперь, с того места, где сидит Макалоп, это опровергается, ну, реальность. Но вот.]
И, как сообщают нам наклейки на бамперах, свобода не бесплатна. Иногда, чтобы быть свободным, нужно дать мошенникам свою банковскую информацию. Уверен, именно поэтому мы сражались и выиграли Вторую мировую войну, ребята.
В дополнение к попытке сделать iOS менее безопасной, чтобы открыть возможности для фирм, занимающихся безопасностью, эта ошибка также, вероятно, является отличным моментом, чтобы перефразировать старые аргументы.
Стилгерриан пишет для ZDNet. «Чтобы исправить провал Apple, нужно серьезно изменить культуру».
Ну, на самом деле нет, так как это было исправлено как на iOS, так и на OS X. Вы имеете в виду, что Apple может снова совершить подобную ошибку — если ошибка не была действием крота АНБ или тайной ГТЕ агент, подвешенный на проводе над тикающей копией Xcode (нет, 24 ссылки не датированы, по крайней мере уже нет).
Теперь у Макалопа есть долго наказан Apple за ее отношение к безопасности, и, очевидно, есть еще возможности для улучшения. Но это не означает, что каждое неубедительное обвинение, выдвинутое против компании, является правдой.
Ничто не должно запятнать образ красивого, красивого сада Apple, даже если внутри он гнилой. Или отравлен.
Издательский документ с описанием проблем и ссылками на соответствующие CVE равносильно отрицанию существования каких-либо проблем.
Поэтому я согласен с Евгением Касперским, главой «Лаборатории Касперского», который почти два года назад писал, что в вопросах безопасности Apple отстает от Microsoft на 10 лет.
Ах, это довольно богато — использовать инструмент компании Mac для борьбы с вредоносными программами. удалил пользовательские настройки выбить Apple из-за программной ошибки.
Apple может отставать от Microsoft в процедурах безопасности, но ее платформы менее уязвимы, чем Windows и Android. Не говоря уже о том, что он также создал самую безопасную платформу в мире. О, но большинство специалистов по безопасности не учитывают этого, потому что это означает, что их приятели не могут продавать на нем программное обеспечение.
В то время я назвал его «славным глобальным мегатроллем» за это предложение, но также написал, что предполагаемая неуязвимость Apple — это миф, основанный на древней истории.
Это миф. Миф, увековеченный больше экспертами, стремящимися сжечь соломенных вентиляторов Apple, которые они построили, чем кем-либо еще.
В те времена, когда Windows была уязвима для множества вирусов и червей, Билл Гейтс выпустил меморандум Trustworth Computing, и Microsoft полностью изменила способ создания программного обеспечения. Результатом стала методология жизненного цикла разработки безопасности (SDL). Windows была значительно улучшена — ну, по крайней мере, с точки зрения безопасности — настолько, что злоумышленники продвинулись вверх по стеку и разорвали продукты Adobe на новую.
Боже, если бы только была какая-нибудь компания, известная тем, что не выпускала продукты Adobe на свою платформу. Наверняка его бы все хвалили за его дальновидность, а не к позорному столбу за создание «красивого сада».
Провал Apple — явный признак того, что волшебный сад…
А волшебный красивый сад. Макалоп сожалеет об упущении.
… нуждается в прополке — или даже в хорошей дозе Agent Orange, а не в бесконечном Kool-Aid.
А вот и ленивые тропы Apple, вылетающие изо рта Стилгерриана, как слишком много клоунов из VW Bug!
Похоже, что когда дело доходит до безопасности, Apple до сих пор не могла найти свою задницу обеими руками. Возможно, ему следует использовать Apple Maps, чтобы помочь. Нет, подождите.
Динь-динь-динь! Поздравляем, вы только что выиграли бинго Lazy Apple Trope!
Раскрытие информации: Стилгерриан дважды ездил на мероприятия по безопасности в США в качестве гостя Microsoft…
О, значит, кто-то, знакомый с культурой безопасности Microsoft, является большим поклонником культуры безопасности Microsoft? Вы не говорите.
Ужас. Ужас.
Продолжаем наше путешествие, как Чарльз Марлоу, вверх по этой реке страстей, воспаленных жуком.
Грегг Кейзер из Computerworld говорит «Apple прекращает поддержку Snow Leopard, оставляя каждый пятый компьютер Mac уязвимым для атак» (кончик рогов к Питер Коэн).
ААААААИИИИИИИИИИИИИИИИ!
Поскольку Apple выпустила обновление для Mavericks, или OS X 10.9, а также для двух своих предшественников, Mountain Lion (10.8) и Lion (10.7), у Apple вчера не было ничего для Snow Leopard или его владельцев.
Статья Кайзера была похожа на брошенный камень в лужу дезинформации и вызвал волну безумных выводов.
Об этом заявил Брэд Рид из Boy Genius Report. «1 из 5 компьютеров Mac теперь широко подвержен атакам вредоносных программ».
Широкий. Открыть. Просто заходи и бери все, что хочешь.
По крайней мере Лос-Анджелес ТаймсСальвадор Родригес сформулировал это как вопрос.
«Apple закончила поддержку Snow Leopard и 19% компьютеров Mac?»
За свои деньги Макалоп предпочитает взять Хосе Пальери из CNNMoney.
«Apple прекращает выпуск обновлений безопасности для Snow Leopard»
Компьютеры Mac все чаще становятся мишенью кибератак. Недавно обнаруженная дыра в системе безопасности устройств Apple, которая позволила посторонним получить доступ к электронной почте, мгновенным сообщениям и транзакциям онлайн-банкинга, показывает, насколько значительными могут быть обновления. Эта ошибка была исправлена ранее на этой неделе.
Пальери не упоминает, что ошибка присутствовала только в Mavericks, а не в более ранних версиях. Тогда вам нужно дождаться последнего абзаца для этого:
Как и Snow Leopard, Microsoft (MSFT, Fortune 500) объявила о прекращении выпуска обновлений безопасности для Windows XP 8 апреля. Это создаст потенциально гораздо более серьезную проблему безопасности. По данным NetMarketShare, целых 29% компьютеров по всему миру все еще работают под управлением Windows XP.
Это 29 процентов компьютеры. Какой процент компьютеров работает под управлением Snow Leopard?
Для сравнения, чуть более 1% компьютеров в мире работают под управлением Snow Leopard.
Но Apple делает заголовки, потому что Apple.
Очевидно, в отличие от любого из этих авторов, Macalope на самом деле потратил время на чтение CVE, на которые ссылается Apple в обновлении безопасности 2014-001. Все они. Так что спасибо, что заставили его сделать это. У него даже не было возможности посмотреть выпуск этой недели Стрелка еще и…
Ну, так или иначе, вот несколько интересных фактов.
- Большинство исправленных ошибок либо явно заявляют, что они присутствуют только в Mavericks (например, ошибка SSL, с которой все это началось), либо в Mountain Lion. Большинство остальных используют внедренные технологии после Snow Leopard, как и Sandboxing, поэтому не мог даже присутствовать в Snow Leopard.
- Ни в одном из CVE не упоминается что-либо до Lion как затронутое. Неясно, означает ли это, что Snow Leopard не затронут, или Apple просто не тестирует Snow Leopard на наличие этих ошибок. Макалоп склонен полагать, что последнее.
- Насколько возбужденный может сказать, только два CVE могут быть в самом Snow Leopard. Первый относительно некритичен, но позволяет «локальным пользователям обходить предполагаемые ограничения доступа, изменяя текущее время на системных часах». Второй более критично, допуская выполнение произвольного кода или отказ в обслуживании.
- Некоторые другие связаны с ошибками в технологиях, не входящих в операционную систему как таковую, таких как PHP и Apache. Пользователи могут обновлять их самостоятельно, хотя они должны знать о необходимости обновления.
Apple прекратила выпуск обновлений безопасности для Snow Leopard? Сложно сказать. Судя по тому, что он видел, Макалоп склонен думать, что да. Макалоп и его редактор все еще ждут, когда Apple ответит на запрос о разъяснениях. Я имею в виду, что Макалоп не собирается отказываться от просмотра этого эпизода Стрелка ждать или еще чего. (Тоже хорошо, потому что я только что посмотрел это, и это головокружительный. — Ред.)
В любом случае, важно то, что это отличный предлог, чтобы подбросить в воздух кучу ошибок и притвориться, что все они влияют на Snow Leopard, хотя большинство из них этого не делает. Это ясно. И давайте также не будем касаться вопроса о том, кто пытается писать вредоносное ПО, нацеленное на 1 процент рынка настольных компьютеров.
Ага. Почему Макалоп не пускает Сундар Пичаи из Google оставить последнее слово:
Если бы у меня была компания, специализирующаяся на вредоносных программах, я бы также занимался своими атаками на Android.
[ДОБАВЛЕНО: Согласно стенограмме, Пичаи действительно сказал это.]