brokenChain - Keychain biztonsági probléma az OS X-ben

Két biztonsági szakember - Vincent Jebara és Raja Rahbani - arra figyelmeztet, hogy egy olyan "extrém kritikus" sebezhetőség található az OS X-ben, amelyet kihasználva a támadók jószerivel észrevétlenül lophatják el a felhasználók kulcstartóra (Keychain) fűzött adatait. A sebezhetőség veszélye abból adódik, hogy a kihasználása gyakorlatilag nem igényel interakciót a felhasználó részéről. Az Ars Technica szerint a sebezhetőséget 4 éve kihasználják. A problémát a felfedezők jelezték az Apple-nek, aki nem csak, hogy nem javította, de még válaszra sem méltatta őket.

Részletek itt és itt.

Hozzászólások

hianyzik az ido, amikor meg CVE-XXXXX volt a vulnerability-k neve :(

--
NetBSD - Simplicity is prerequisite for reliability

Azóta van így, amióta a security emberek inkább már celebek, a security szakma meg leginkább security circus.

Azóta vannak dolgok túlhypolva, azóta vannak hangzatos kódnevek stb.

Sokszor az az érzésem egyik-másikkal kapcsolatban, hogy Linusnak igaza volt.

Torvalds criticises the 'security circus'

--
trey @ gépház

En inkabb ugy fogalmaznek, azota van ez igy miota a media beszalt a buliba. Egy hirekben eleg szarul hangzik hogy "CVE-12365-23686 binztonsagi hibat kihasznalva elloptak 200 millio bankkartya adatok X.Y. banktol...."

Mert a hangzatos nev jobban eladhato.

Szamomra ez ua. amikor kihagyjak a linux drisztribucio nevebol a verzioszamot es csak a kodnevet mondjak. Kedvencem az ubuntu valasztasai. De amiota a fejlesztes sebessege a fontos es nem a kod minosege.... (tisztelet a kivetelnek)

Ezeket a hangzatos neveket nem a média, hanem a felfedezők ragasztják rá a sebezhetőségekre. Nagyon is összehangolt és tudatos tervezés áll a háttérben. Ezek az emberek és a mögöttük álló cégek úgy próbálnak reputációt, hírnevet szerezni, hogy minél szélesebb körben hirdetik, hogy mit találtak. Sokszor nem csak hangzatos neveket adnak, hanem már a bejelentést komoly marketing előkészítés előzi meg. Pl. a sebezhetőségnek már előre bejegyeznek domaint, értesítik a sajtót stb.

--
trey @ gépház

Sok biztonsági sebezhetőség egyszerű programozói hibából ered. Nem követem napi szinten figyelemmel a fejlesztési trendeket, de nekem úgy tűnik, hogy a legtöbb fejlesztőnek nem célja ezekre figyelni, ebből adódóan nincs is meg a biztonságosabb programok fejlesztéséhez a tudása, és igazán ez az, ami aggasztó. Másrészről az is aggasztó, hogy sokszor üzemeltetési oldalról is hasonló a helyzet.
A funkcionalitás, amiről Linus beszél, fontos, ezt senki nem vitatja, de folyamatosan ellentmond magának, mert egyszer azt mondja, hogy a biztonsági bugok keresése (security cirsus) és a hétköznapi bugok keresése és javítása más (boring normal bugs), máskor meg azt hangsúlyozza, hogy ő csak programhibákban és azok javításában hisz (bugs are bugs).
Amikor azt mondja valaki, hogy a security emberek már inkább celebek (biztosan van ilyen is, mint gányolós fejlesztőből is), akkor érdemes olyanra is emlékezni, mint például az ASLR, honnan jön, mikortól és miért van, mikor lett a Linux kernelben egyáltalán valamilyen szinten implementálva, hogy pl az Androidról ne beszéljünk.
Ezek után én nem gondolnám, hogy baj az, ha az informatikai biztonság nagyobb publicitást kap, még akkor sem, ha vannak olyan emberek/cégek, akik ezt kiemelten PR-ra használják.