A zlý chrobák bol tento týždeň nájdený v systémoch iOS 7 a Mavericks, takže viete, čo to znamená: Je čas zverejniť sťažnosti spoločnosti Apple, či už s tým priamo súvisia alebo nie, alebo majú nejaký zmysel.
Najkyslejšie z hrozna
Macalope tu nie je na to, aby tvrdil, že Apple to kráľovsky nepokazil, alebo že by nemal dostať opravu čo najrýchlejšie. Ak hľadáte jeho kritiku schválenú pečiatkou, čítajte tento kúsok od Johna Grubera o otázkach, ktoré táto chyba vyvoláva, a toto od Ashkana Soltaniho.
Čo on je Výnimkou je však veľký zhon použiť tento incident ako výhovorku na sťažovanie sa na veci, ktoré nesúvisia s chybou alebo na veci, ktoré sa v skutočnosti nestali.
Seth Rosenblatt hovorí, že píše pre CNet „Kultúra utajovania spoločnosti Apple oneskoruje bezpečnostnú reakciu – opäť“ (na špičku parohov Shawn King).
Ak by to nebolo pre správy o oprave „goto fail“ od spoločnosti Apple vydanej v utorok, možno ste nevedeli, že na vašich počítačoch Mac došlo k bezpečnostnému problému.
Ak by to nebolo pre správy, možno by ste správy nevedeli!
Okrem Apple urobil osloviť členov novinárskej a bezpečnostnej komunity o chybe goto fail. Rich Mogull zo Securosis potvrdil Macalope, že počul od spoločnosti a Apple mu povedal, že spoločnosť kontaktovala množstvo ďalších ľudí. To nie je to isté ako byť úprimný a otvorený voči svojim zákazníkom v otázke bezpečnosti, ale nie je to to isté ako „pochovať“ problém.
Zdôrazňujúc, že špekuloval o dôvodoch Apple pre spôsob, akým bola aktualizácia zverejnená, Ash v e-maile pre CNET uviedol, že Apple môže mať sa rozhodli „vrátiť opravu TLS do 10.9.2, pretože potrebovali čoskoro vydať 10.9.2, aby opravili tieto ďalšie zraniteľnosti, a samostatná oprava by mala oddialil to."
No, to určite znie rozumne. Samozrejme, nie je to také rozumné, ako predpokladať, že Apple je nekompetentný alebo lenivý alebo hlúpy alebo tak niečo. To je jednoznačne cesta mysliaceho človeka.
Dôkazy poukazujú na problémy v spoločnosti Apple s upozorňovaním svojich používateľov a včasným odstraňovaním nedostatkov. Je to problematické, pretože používateľom počítačov Mac a iPhone nie je jasné, aká dôležitá je aktualizácia pre ich bezpečnosť.
Naopak, Google a Microsoft identifikujú bezpečnostné opravy pomocou štandardnej terminológie, ako je stredná, vysoká a kritická.
Modrý kód. Oranžová. Medúza. Tím Banzai.
Koho zaujíma, ako sa volajú? Používatelia by mali opraviť všetky z nich.
Každopádne, toto je všetko v poriadku, ale viete, čo tento článok potrebuje? Citát od niekoho zo spoločnosti, ktorá predáva bezpečnostný softvér!
[Andrew Sudbury, technický riaditeľ v bezpečnostnom startupe Abine,] dodal, že väčším problémom v Apple je udržanie bezpečnosti iPhonov a iPadov.
Áno, bezpečnosť najbezpečnejšej platformy, ktorá existuje, je určite problémom.
Ten zvuk brúsenia, ktorý počujete, je Sudburyho sekera. Tu je dohoda: Dodávatelia bezpečnostného softvéru sú zaškrtnutí, pretože Apple im nedovolí predať ich hadí olej produkty na iOS. Akákoľvek výhovorka je dobrá výhovorka, aby ste sa pokúsili nad tým fňukať.
„Zariadenia so systémom iOS sú spotrebiteľské zariadenia a vy ako používateľ nemôžete urobiť nič [na ich zabezpečenie.]“
Doslova nič. Včasná inštalácia aktualizácií a nenavštevovanie podozrivých stránok alebo klikanie na podozrivé odkazy a nepoužívanie verejných Wi-Fi nie sú nič. Vlastne to ani nie sú veci. Neexistujú na kvantovo-mechanickej úrovni. Pozrite sa späť cez tento odsek a zistíte, že Macalope ich nikdy ani nespomenul.
Nikdy. Dokonca. Spomínané. ich. V skutočnosti tento stĺpec práve nečítate. Zohrievate horúce vrecko.
Apple preberá všetku ich zodpovednosť a ani bezpečnostné spoločnosti vám nedokážu pomôcť,“ povedal.
Ach, tu je bolesť. Zabudnite na skutočnosť, že ak by Apple otvoril iOS do takej miery, akú by potreboval, aby tieto bezpečnostné produkty fungovali, platforma by sa stala menej zabezpečiť. Dôležité však je, že by to pomohlo bezpečnostným firmám predávať softvér.
Lobte dnes od Apple, aby bol iOS menej bezpečný!
Zúfalo hľadá katarziu
Hej, nemusíš to nadržanému brať za slovo. Namiesto toho prečo nepribrať slovo vedúceho spoločnosti Google pre Android Sundara Pichaia.
Nemôžeme zaručiť, že Android je navrhnutý tak, aby bol bezpečný, formát bol navrhnutý tak, aby poskytoval väčšiu slobodu.
[OPRAVA: Podľa prepisu udalosti, ktorú spoločnosť TechCrunch získala od spoločnosti Google, Miestna stránka nesprávne citovala Pichaia (na špičku parohov Peter Matthaei). V skutočnosti podľa ich prepisu hovorí presne opačne. Teraz, z miesta, kde sedí Macalope, je to popierané, no, reality. Ale ide to.]
A ako nás informujú nálepky na nárazníkoch, sloboda nie je zadarmo. Niekedy, aby ste boli slobodní, musíte dať podvodníkom svoje bankové údaje. Určite to je dôvod, prečo sme bojovali a vyhrali druhú svetovú vojnu, chlapci.
Okrem snahy znížiť bezpečnosť systému iOS, aby sa otvorili príležitosti pre bezpečnostné firmy, je táto chyba pravdepodobne tiež skvelým časom na zopakovanie starých argumentov.
Stilgherrian hovorí, že píše pre ZDNet "To, že Apple zlyhal, potrebuje masívnu zmenu kultúry, ktorú treba opraviť."
Vlastne nie, pretože to bolo opravené v systémoch iOS aj OS X. Máte na mysli, že Apple môže urobiť podobnú chybu znova - za predpokladu, že chyba nebola činom krtka NSA alebo skrytého CTU agent, zavesený drôtom cez tikajúcu kópiu Xcode (nie, 24 odkazy nie sú aspoň datované už nie).
Teraz má Macalope dlho trestaný Apple za svoj postoj k bezpečnosti a očividne je stále čo zlepšovať. To však neznamená, že každé chabé obvinenie vznesené proti spoločnosti je pravdivé.
Nič nesmie pokaziť imidž peknej, peknej záhrady Apple, aj keď je pod povrchom hnilá. Alebo otrávené.
Publikovanie dokument popisujúci problémy a odkazujúci na príslušné CVE sa rovná popieraniu akýchkoľvek problémov.
Preto súhlasím s Eugenom Kasperskym, šéfom Kaspersky Lab, ktorý pred takmer dvoma rokmi napísal, že pokiaľ ide o bezpečnosť, Apple je 10 rokov pozadu za Microsoftom.
Ach, je to dosť bohaté pomocou chlapíka, ktorého firemný nástroj na boj proti malvéru Mac odstránené používateľské nastavenia zaklepať Apple za softvérovú chybu.
Apple môže byť za Microsoftom v bezpečnostných postupoch, ale jeho platformy sú cielené menej ako Windows a Android. Nehovoriac o tom, že vytvoril aj najbezpečnejšiu platformu na svete. Oh, ale väčšina ľudí z oblasti bezpečnosti to nepočíta, pretože to znamená, že ich kamaráti na ňom nemôžu predávať softvér.
V tom čase som ho pre tento návrh nazval „slávnym globálnym megatrollom“, ale tiež som napísal, že údajná nezraniteľnosť Apple je mýtus založený na dávnej histórii.
Je to mýtus. Mýtus udržiavaný viac odborníkmi zameranými na pálenie slamených fanúšikov Apple, ktoré skonštruovali, než ktokoľvek iný.
V čase, keď bol Windows zraniteľný voči nespočetným vírusom a červom, Bill Gates vydal správu Trustworth Computing a Microsoft úplne prepracoval spôsob, akým vyrábal softvér. Výsledkom bola metodika Security Development Lifecycle (SDL). Windows bol dramaticky vylepšený – teda, aspoň z hľadiska zabezpečenia – natoľko, že útočníci sa posunuli vyššie a roztrhali produkty Adobe na nový produkt.
Človeče, keby len existovala nejaká spoločnosť, ktorá by bola známa tým, že držala produkty Adobe mimo svojej platformy. Určite by bola všeobecne chválená za svoju predvídavosť a nebola by pranierovaná za vytvorenie „peknej záhrady“.
Neúspech Apple je jasným znakom toho, že magická záhrada…
A kúzelný pekná záhrada. Macalope ľutuje vynechanie.
... potrebuje odstraňovanie buriny – alebo dokonca poriadnu dávku Agent Orange, skôr než nekonečný Kool-Aid.
A tu prichádzajú lenivé jablkové trópy, ktoré sa sypú zo Stilgherrianových úst ako príliš veľa klaunov z VW Bug!
Zdá sa, že pokiaľ ide o bezpečnosť, Apple stále nedokázal nájsť zadok oboma rukami. Možno by to malo pomôcť pomocou Apple Maps. Nie, pockaj.
Ding-ding-ding-ding! Gratulujeme, práve ste vyhrali Lazy Apple Trope Bingo!
Zverejnenie: Stilgherrian cestoval na bezpečnostné podujatia v USA dvakrát ako hosť spoločnosti Microsoft…
Och, takže niekto, kto je ponorený do kultúry zabezpečenia spoločnosti Microsoft, je veľkým fanúšikom kultúry zabezpečenia spoločnosti Microsoft? nepovieš.
Horor. Horor.
Pokračujme v našej ceste, ako Charles Marlow, proti tejto rieke vášní zapálenej chrobákom.
Hovorí Gregg Keizer z Computerworldu „Apple vyraďuje Snow Leoparda z podpory a necháva 1 z 5 Macov zraniteľný voči útokom“ (na špičku parohov Peter Cohen).
AAAAAAIIIIIIIIIEEEEEEEE!
Keďže Apple vydal aktualizáciu pre Mavericks, čiže OS X 10.9, ako aj pre jeho dvoch predchodcov Mountain Lion (10.8) a Lion (10.7), Apple včera nemal pre Snow Leoparda ani jeho majiteľov nič.
Keizerov kúsok bol ako hodiť kameň do kaluže dezinformácií a spôsobiť vlny bláznivých záverov.
Vyhlásil Brad Reed z The Boy Genius Report „1 z 5 počítačov Mac je teraz široko otvorený útokom škodlivého softvéru.“
Široký. OTVORENÉ. Jednoducho vojdite a vezmite si, čo sa vám páči.
Aspoň ten L.A. TimesSalvador Rodriguez to formuloval ako otázku.
„Skončil Apple s podporou Snow Leoparda a 19 % počítačov Mac?
Za svoje peniaze Macalope uprednostňuje prevzatie Jose Paglieryho z CNNMoney.
„Apple ukončuje aktualizácie zabezpečenia pre Snow Leopard“
Počítače Mac sú čoraz častejšie terčom útokov kybernetických útočníkov. Nedávno objavená bezpečnostná diera v zariadeniach Apple, ktorá umožnila cudzincom prístup k e-mailom, okamžitým správam a online bankovým transakciám, ukazuje, aké významné môžu byť aktualizácie. Táto chyba bola opravená začiatkom tohto týždňa.
Pagliery nespomína, že chyba bola prítomná iba v Mavericks a nie v starších verziách. Potom musíte počkať do posledného odseku:
Podobne ako Snow Leopard, aj Microsoft (MSFT, Fortune 500) oznámil, že 8. apríla ukončí poskytovanie bezpečnostných aktualizácií pre Windows XP. To bude predstavovať potenciálne oveľa vážnejší bezpečnostný problém. Podľa NetMarketShare úžasných 29 % počítačov na celom svete stále používa systém Windows XP.
To je 29 percent počítačov. Aké percento počítačov používa Snow Leopard?
V porovnaní s tým používa Snow Leopard niečo viac ako 1 % svetových počítačov.
Ale Apple robí titulky, pretože Apple.
Na rozdiel od ktoréhokoľvek z týchto autorov si Macalope skutočne našiel čas na prečítanie CVE, na ktoré odkazuje bezpečnostná aktualizácia Apple 2014-001. Všetky. Takže vďaka za to, že to musí byť on. Nemal ani možnosť pozrieť si tento týždeň epizódu seriálu Šípka ešte a…
No, každopádne, tu je niekoľko zaujímavých faktov.
- Väčšina opravených chýb buď výslovne uvádza, že sú prítomné iba v Mavericks (ako je chyba SSL, ktorá to celé začala) alebo Mountain Lion. Väčšina ostatných využíva zavedené technológie po Snow Leopard, ako je Sandboxing, a preto ani nemohol byť prítomný v Snow Leopard.
- Žiadny z CVE neuvádza nič pred tým, ako to bolo ovplyvnené Lionom. Nie je jasné, či to znamená, že Snow Leopard nie je ovplyvnený, alebo Apple jednoducho netestuje Snow Leoparda na tieto chyby. Macalope má sklon veriť, že je to to druhé.
- Pokiaľ nadržaný môže povedať, v samotnom Snow Leopardovi by v skutočnosti mohli byť iba dve CVE. Prvý je relatívne nekritický, ale to umožňuje „miestnym používateľom obísť zamýšľané obmedzenia prístupu zmenou aktuálneho času na systémových hodinách“. Druhá je kritickejšie, ktorý umožňuje spustenie ľubovoľného kódu alebo odmietnutie služby.
- Niekoľko ďalších sa týka chýb v technológiách mimo operačného systému ako takých, ako sú PHP a Apache. Používatelia by ich mohli aktualizovať sami, aj keď by si museli byť vedomí potreby aktualizácie.
Prerušil Apple aktualizácie zabezpečenia pre Snow Leopard? ťažko povedať. Na základe toho, čo videl, má Macalope sklon myslieť si, že pravdepodobne áno. Macalope a jeho editor stále čakajú, kým Apple odpovie na žiadosť o vysvetlenie. Myslím tým, že Macalope nebude odkladať sledovanie tejto epizódy Šípka čakať alebo čokoľvek. (Aj dobrá vec, pretože som to práve videl a je to hlúpy. -Ed.)
Nech je to akokoľvek, dôležité je, že je to skvelá výhovorka, ako vyhodiť do vzduchu veľa chrobákov a predstierať, že všetky ovplyvňujú Snow Leoparda, aj keď väčšina z nich nie. Toľko je jasné. A nezaoberme sa ani otázkou, kto sa pokúša napísať malvér zameraný na 1 percento trhu s počítačmi.
Áno. Prečo to Macalope nedovolí Sundar Pichai spoločnosti Google mať posledné slovo:
Keby som mal firmu, ktorá sa venuje malvéru, riešil by som aj svoje útoky na Android.
[DOPLNENÉ: Podľa prepisu to Pichai skutočne povedal.]