Biztonsági szakértő szerint az Apple-nek rá kell gyúrnia a biztonságra

Címkék

Rich Mogull független biztonsági szakértő szerint az Apple-nek többet kell tennie a szoftverei biztonságával kapcsolatban. A szakember szerint az Apple azzal, hogy nem javította a kritikus Mac OS X Java problémát, igazolta, hogy jelentős hiányosságai vannak a biztonsági hibák kezelésében.

Mogul szerint bíztató jel lehet az, hogy a vállalat nemrég alkalmazta az OLPC korábbi biztonsági vezetőjét, Ivan Krstić-et.

A biztonsági szakember szerint az Apple-nek egyebek mellett végre be kell fejeznie az exploitálás-ellenes technológiáit. Noha az Apple belekezdett az "anti-exploitation" technológiák - mint például a non-executable stack, library randomization és sandboxing - implementálásába a Mac OS X "Leopard"-dal, ezek a technológiák jelenleg nincsenek készen, hibásak és könnyen kijátszhatók. A szakember azt jósolja, hogy változások jöhetnek a Snow Leopard-dal.

A részletek itt és itt.

Hozzászólások

OFF:
ez a Rich Mogul egy vicces nev

micsoda meglepetes miutan a pwn2own verseny eddigi vesztesei apple szamitogepek voltak

--
.

"Legfejlettebb operációs rendszer" - durr jött a fal megint. :-)
Jó mondjuk nem is sokan fogják törni, ameddig 10x annyi windózos tűzfal- és észmentes "pistikegép" közül lehet választani. De azért az Apple erre figyelhetne, múltkor is valami nem túl kellemes sebezhetőséget több hétig nem foltoztak - megvárták vele a következő update-t. A keményebb user azért ilyenen felhúzza a száját, mert akármilyen ratyi is a M$, kritikus sebezhetőséget azért ők pár napon belül javítani szoktak!

---------------
Értelmezési hiba! Elolvassa újra? I/N

Változó, lehet hogy nekem volt rossz tapasztalatom, de abban az egy évben míg Applet használtam 2x is volt olyan, hogy hetekre a súlyos(!) sebezhetőség megtalálása után jött ki a javítás - ráadásul egyszer az aktuális OS update részeként. M$ és Linux alatt sokkal jobb tapasztalatom van e téren. Az a baj, hogy az Apple hype ugyanúgy sötétbe taszítja az egyszeri usert, mert szegénykém AZT HISZI, hogy az ő gépe sebezhetetlen. Pedig nem. Ez a bajom az Apple marketinges felsőbbrendűségi dumájával... És mint látod ez a hír is azt mutatja, hogy van még min javítani, van lemaradás is.

---------------
Értelmezési hiba! Elolvassa újra? I/N

egyertelmu

soot, mivel az anti-sploit technologiak nincsenek engedelyezve a mekkosen ezert valszinuleg nagyobb lehetoseged van kihasznalni egy-egy regi pl. BSD-bol rajtukmaradt sebezhetoseget

de tovabbra is botorsag azt kepzelni h az up2date rencer secure, az apple nem azert insecure mert nem up2date!!!

--
.

Az igaz, hogy az Apple egy rakas szar a biztonsag szempontjabol. De azzal azert vitatkoznek, hogy egy sima PC. Oke a CPU, RAM, HDD, stb ugyan az amit megkapsz a boltba darabokban. De ne felejtsuk el a MagSafe adaptert, a fenyviszonyoknak megfeleloen beallo kijelzo fenyerot (nekem ez a kedvencem az MBP-en), a multitouch es meg ki tudja mi nem jut eszembe (de alapvetoen a hardware es szoftware osszhangja a lenyeg). Ezen kivul normalisan nez ki, de ez mar egy mas kerdes. Termeszetesen a biztonsagi hibakon kivul van par hibaja az OS-nek, de meg igy is messze a legkezelhetobb szerintem. Hozzateve, hogy en elotte 5 evig hasznaltam kizarolag Linux-ot. Most is hasznlaok Mac OS X-et Windows XP-t es Linux-ot nagyjabol egyenlo aranyban.

"De azzal azert vitatkoznek, hogy egy sima PC. "

Kérlek, vitatkozz az Apple marketingeseivel, akik évekig súlykolták bele az emberekbe, hogy PC === IBM Compatible PC == x86[-64].

A többi egyebet meg akármelyik hw gyártó össze tudja rakni, ne dőlj már be te is ennek az agymosó hülyeségnek, hogy a Mac nem PC...

----------------
Lvl86 Troll

Elméletileg nem több, gyakorlatilag meg inkább csak más (jobb, szimpatikusabb, kompaktabb, majdnem mint PC vs konzol)... Tudom, nem nagy ügy egy bios upgrade. De az nem kicsit bosszantó, mikor egy 40-50ezres alaplap gyárilag régi bios miatt nem működik az újabb procikkal... Sikerült már neten boltból rendelnem gépet (nem kértem összeszerelést, mert miért is kellene?), amihez futkozhattam prociért, hogy egyáltalán frissíthessem a biost, és belerakhasam a saját procimat... Hát, én személy szerint nem ezt vártam/várom el a lap és a proci gyártójától sem... Tudok olyanról, aki 4GB ramot vett 32000-ért, majd 1 évbe került, mire kiderült, hogy csak a régi bios okozta a problémát, mire a kereskedő visszafizette az összeget, a ram ára csökkent, és már csak 20000-be került a 4GB... 3x cseréltek ramot (a tulaj vidéki, pestről vásárolt...), a gép megjárt 3 pc boltot, a tulaj meg (gondolom a kereskedő is) full ideg volt...Macen van/volt mostanában (elmúlt 4-5 évben) hasonló eset? Na, sokak szerint ebben/ezért is "több" az apple... Szerintem ugyan nem több az apple, inkább a pc a kevesebb... Habár az esetek többségében gond nélkül működik az új konfiguráció, de 2009-ben nem hinném, hogy az win-t használó, r=1 usernek kellene (kompatibilis processzor híján) bios upgradelnie, hogy egyáltalán használni tudja a frissen vásárolt konfigurációt. Ok, hogy ez brand gépekre, notebookokra nem jellemző, nade ettől a probléma még létezik, és azt hiszem egyértelmű, hogy bizalmatlanságot szül az új termékek, meg egyáltalán a PC-k felé (már aki tisztában van az "egyéb" lehetőségekkel...), nameg a kereskedők, vásárlók között...

Tisztában vagyok vele, hogy a brand gépeknél, és notebookoknál elvétve történhetett hasonló eset, vagy szinte sosem. És itt nem az elfogadásról van szó, mert azt az ember elfogadja (kénytelen). De amint a fentebb vázolt eset is mutatja, sokszor nem, vagy csak hosszú idő elteltével, illetve pár csomagváltás, néhány pc bolt, szervíz és nem elhanyagolható többletköltség, "idővesztegetés", ősz hajszál árán derül ki, hogy a BIOS okozza a problémát... És valahogy az alaplap, proci, és memóriagyártók honlapján nem nagyon szerepel, vagy csak el van dugva az infó, hogy sok probléma biosfrissítéssel pikk pakk orvosolható... Az bezzeg, hogy a legújabb hardvert is támogatja, mondjuk az alaplap, az bezzeg gigantikus méretű betűkkel van feltűntetve... Gondolom itthon magánszemélyek körében (még) nem igazán a brand desktop gépek alkotják az eladások túlnyomó részét, így nemhiszem, hogy az említett esetek ritkaságszámba mennének, de erről egy kereskedő biztos jóval többet tudna mesélni (persze csak ha egyáltalán kiderült, hogy mi okozta a problémát)...

először is "PC" mint brand az IBM márkaneve volt. a trösztellenes hadjárat alatt, először eltűrte a "PC kompatibilis" megnevezést, később azt a helyzetet, hogy "public domain brand" lett a PC márkanévből. ehhez képest az Apple már azért is perre megy, ha egy másik gyártó telepíti a tőle vásárolt OSXet a saját computerére. mi lenne itt ha még "Psystar Mac" nevet is használna?!:)
szóval mára nincs pontosan definiálva a PC jelentése. egyesek szerint Ms os+PC hw. szerintem csak a PC hardver értendő alatta. egyébként egy Gnu/linuxtól is már un*x workstationnek lehetne nevezni egy PCt:) illetve ezzel próbálkozik az Apple is, csak ő természetesen a saját OSXét használja erre. de ettől a hardver "csak" PC marad, amiből korábban pont az Apple marketingesek próbáltak szitokszót kreálni.
imho nem fair házi összerakós computert egy gyárilag összerakott Apple computerrel összehasonlítani. történetesen a brand notebookommal tökéletesen meg vagyok elégedve. nincs semmilyen problémám vele. igaz közel kétszer annyiba is kerül mint egy Macintosh notebook, de egy feleannyiba kerülő notebook is ugyanúgy megállná a helyét az Apple computerekkel szemben megbízhatóságban.
az desktop PCm természetesen összerakós. ez már csak egy magyar szokás:) aki nem akar computerszereléssel bajlódni, az vehet brand PCt olcsóbban, mint egy Applet, és nem kell sem bios frissítéssel, sem ram kompatibilitással, sem semmilyen hw nyűggel foglalkoznia.
ráadásul a magyar Mac kereskedők pofátlanul magas haszonkulccsal húzzák le a vásárlóikat. így külső szemszögből sem ajánlják a Mac computerek vásárlását Magyarországon.

"ehhez képest az Apple már azért is perre megy, ha egy másik gyártó telepíti a tőle vásárolt OSXet a saját computerére."
Valahol meg is értem... Tény, hogy kellene egy konkurens az Apple-nek (bizonyos értelemben xp vista nem az, sajnos linux sem), hogy kicsit csökkenjenek a hardverárak, és elterjedtebb legyen az OS X, de hosszú távon épp ez okozná a "minőség" ("egyediség") romlását, és ugyanaz lenne a következménye, amit a PC-knél már ismerünk...
Tudjuk jól, hogy az Apple szerint a PC az a hw és (többnyire) valamilyen win oprendszer együttesét jelenti. XY éve nekem is azt jelentette, aztán megismertem a linuxot is egy kicsit, és nekem onnantól a PC a desktop rendszerként használt számítógép hardveregyüttesét jelentette...
Magyar mac kereskedőkről egyezik a véleményünk, de sajna külföldi kereskedő nem árul MacBookot magyar billentyűzetkiosztással... iMachez még a magyar kereskedők sem adnak 50 euro felárért (a német, osztrák boltok ennyiért adják...) magyar kiosztású, bluetooth billentyűzetet és mighty mouse-t. Ha kell, ha nem, az USB-s magyar billentyűzetet akkor is meg kell venned... Memória, HDD bővítésnél szintúgy... Na, ez az igazi lehúzás... Egy Apple vásárlónak aztán kell a sok drága, felesleges cucc... Egy iMac mellé rakva "pótolja" pl a PCházat...
Handrás szerint az US store árai nettó árak, ami részben igaz is lehet, de a TAX területenként változó, de tudtommal seholsem több, mint 7%. Az Apple még véletlenül sem úgy számol, hogy 1 USD = 1 EUR, csak az a probléma, hogy itt, a "fenejó" EUban valahogy ugyanaz a (nettó) 1199 USD-s iMac 1099 EUR-ba kerül...
Korábban ez állt az US store nyitólapján legalul:
"Prices displayed are inclusive of all taxes and duties but exclusive of delivery charges (unless otherwise indicated)."
Ma már nincs ott...

"kritikus sebezhetőséget azért ők pár napon belül javítani szoktak!"

HA ők is elismerik. Amíg "csak" a Secunia meg a többi "kókler" bizonygat, addig általában semmi sem történik. :) Ja igen, a frissen húzott XP-m azonnal Conficker-es lett. A pendrive-ommal együtt. Még jó hogy az új (?) NOD32 cselekedett. :) (Blaster-utánérzés: a frissen húzott XP az _első_ indításkor megkapta. Rakhattam újra úgy hogy lehúzom a modemet, tűzfal+av+frissítések, aztán max. utána rakhattam vissza).

********************
"...ha nem tévedek!" (Sam Hawkens)
http://holo-media.hu

El nem tudom képzelni, hogy mit csinálhat... Vagy direkt kikapcsolja a tűzfalat, hogy elérhető legyen az internetről az RPC, vagy teljesen Service Pack nélküli, 2001-es Windows XP-t telepít, amiben még nem volt alapból bekapcsolva a firewall.

Nem tudom melyik súlyosabb, de az mindenesetre vicces, hogy azt hiszi a Windows a béna, nem pedig ő. :)

most azt hiszed, hogy csak viccelsz, pedig nem:

[13:47] KrissDSL | ezt sose kell reinstallni mondom h eredeti meg nincs befertozve SPvel:D
(...)
[13:50] KrissDSL | mondom ez meg a build 2001es , nincs spy-ositva SPvel nem csinal semmit a tuttom nelkul

--
When in doubt, use brute force.

Üdv. A Blaster-es eset egy eredeti sp nélküli XP cd-vel történt meg (mivel ilyennel rendelkeztem akkoriban), illetve a gép teljesen közvetlenül kint volt az interneten (publikus ip cim dhcp-vel az isp-től (cable modem)).
Tudom, hogy részben pebkac, másrészt (mivel nemwindows -okkal még nem láttam ilyet (azaz installálás közben már zombul)) szerintem MS-re nézve kissé gáz. Pl., mert legalább installálás közben vagy default kiépítésben lehetne kissé kevésbé átjáróházas a konfiguráció. (pl. tűzfal).

A mostani Conficker-es eset pedig egy eredeti SP2-es XP cd-vel történt meg. A subnetben levő többi gépre elég nagy ívben fosok, az egyik céges karbantartású (noti), még a ránézés is restricted, a másik kettő meg nem érdekel. Nyilván az(ok)tól jött át.

Tudom, hogy ez is pebkac, (gondolom telepítés előtt, a friss nod32, az összes patch meg a tüzfal konfigurálás megtörténtéig rá se kellett volna dugni semmilyen hálózatra), de azért nem fogok atombunkerbe hordani minden fosós PC-t telepítés előtt. (bocsásson meg a világ.)

********************
"...ha nem tévedek!" (Sam Hawkens)
http://holo-media.hu

A lemez SP2-es volt (eredeti). És mivel (valahonnan) le kell szedni a patcheket, a tüzfalat, az AV-t meg "hasonlókat", install után rádugtam az UTP-t a gépre. Ezek szerint az SP2-es is átengedi alapban a Confickert.

Lehetne úgy mélyíteni az értekhozzá szöveget, hogy végül feltétlenül layer8 probléma legyen belőle, de mégsem fogok: boltban venni egy pendrive-ot, amit egy eredeti ubuntu cd-vel fogok újrapartícionálni és formázni, majd azt egy datacenterben levő megfelelően karbantartott openbsd szerverhez vinni, ahol wget-elem és md5 checkelem az sp3-at, az összes rollback hotfixet, a friss AV-t meg tüzfalat, ráteszem a pendrive-ra, majd azt gondosan kulcsra zárom egy fémtáskába, amelyet elviszek a telepítendő géphez, amit úgy telepítek eredeti xp cd-ről hogy nincs hálózatba kötve, majd a kellő cuccok telepítése és konfigurálás után dugom csak rá a hálózatot... (stb stb stb).

********************
"...ha nem tévedek!" (Sam Hawkens)
http://holo-media.hu

Nem tehetek róla, hogy a hup rendelkezik olyan emberekkel, akik:
a) a nap bármely szakaszában képesek fellelni az olyan hozzászólást, ami a téma szerteágazó gazdagságából adódóan bármilyen irányban bagatellizálható vagy nevetségessé tehető
b) ezen akciókat ügyvédeket megszégyenítő képességekkel és pofátlansággal végzik
c) ehhez könnyedén találnak társakat

részemről a téma befejezve, remélhetőleg a magukra ismerő emberek selfhonor táblázatára újabb rovátka került. ráguglizok a trollszűrőre.

********************
"...ha nem tévedek!" (Sam Hawkens)
http://holo-media.hu

Nem tudom, de valahol engem irritál a plusz meló, amit egy eredeti cd használata okoz egy installnál.
Nem fogok:

-sp3+rollup hotfixes cd-t gyártani (nem szeretek üres lemezre költeni)
-pendrive-omat friss install előtt confickermentesség ügyében auditálni

És főleg: install után mielőtt rádugom a netet, nem fogom a subnet összes többi gépét lelőni.
Tudom, van még a tarsolyodban pár trükk. Én is tudnék sorolni még párat. De nem szeretek install előtt egész hetes szeánszokat tartani, just to be sure. Szíves örömest raknék másik oprendszert (nem csak Linuxot), de a hw. meg a gép felé támasztott igényeim nem teszik lehetővé.

********************
"...ha nem tévedek!" (Sam Hawkens)
http://holo-media.hu

1995-2005ig wint használtam munkára. Munkaidőm kb 20-30%-a nem munka céljára használódott el.
2005 óta OsX-et használok munkára. Munkaidőm 1%-a nem munka céljára használódik el.
Nem a határtalan bizalom és önteltség szól belőlem. Tudatában vagyok annak hogy van esélye a gépemre való rosszindulatú betörésnek.
Ezért használom az 1% időmet archiválásra és egyéb karbantartásra.
Cégünknél a szokványos irodai feladatokat Wines gépeken művelik a kollégák (én grafikusként dolgozom). Igen sok idejük és hajuk bánja. Nagyon rossz érzés nap mint nap néznem a szenvedésüket (ja és résztvennem a karbantartásokban)
Ez színtiszta élettapasztalat, nem az Apple ajnározása és nem is megtérítő duma. Ez csak a választás lehetősége. Ha tehetném Linuxot is elhasználnék, de arra a kutya sem fejleszt normális szoftvert.
Mindenki az ilyen meg olyan médiahírekre hivatkozik ahol felduzzaztják még a bolhányi hibákat is. A Windows-al semmi bajom sem lenne ha megoldanák, hogy azt 20-30% kieső munkaidőmet leszorítanák néhány (max5%) időveszteségre. Azonnal visszatérnék, mert ennek a jólétnek azért elég rendes ára van.

Kiváncsi leszek a Win7-re mennyi virus lesz képes a meglévőkből azon is megélni. Ugyanis ez fogja legjobban mutatni számunkra, hogy tényleg valami újat csinált a M$, vagy csak továbbhegesztgették a régi satupadjukat.

igen sajnos a kis cegeknel nincs penz rendszergazdara ezert dolgozik a grafikus admin userrel ami mar onmagaban mosolyra fakataszto ormotlan nagy baromsag

ezentul mar parszor el lett mondva h nem azert nincs virus macosen mert nem lehet irni hanem mert igeny nincs ra

en orulok h veguls sikerult egy jo platformot talalni -viszont annak nem orulok h azert mert nem ertesz hozza egybol az egesz rendszerre vonatkozo kovetkezteteseket vonsz le-

sajat skillek -> legerosebb limitacio

--
.

"ezentul mar parszor el lett mondva h nem azert nincs virus macosen mert nem lehet irni hanem mert igeny nincs ra"

Ehhez képest mai hír:

Trojan Targeting Mac Spreads as Attackers Eye Apple

"Security researchers at Sophos and ParetoLogic have uncovered a new variant of a Trojan targeting Mac computers"

Párosítva egy malware a még mindig javítatlan Java sebezhetőséggel, finom áru.

--
trey @ gépház

Hát igen, akárhogy is magyarázza az ember, mindig lesz aki kifordítja a szavát. Takemaw, te már csak ismersz engem beírt véleményem után.
Majd ha eljön Mac-re is a virusok kora (és nekem tök mindegy hogy most mi miatt nem készítenek) akkor ráérek majd ezen morfondírozni hogy melyik a jobb rendszer.
Addig is kényelmesen dolgozok és tojok magasan a Winesek problémáira.
És nem azt mondtam hogy én vagyok a rendszergazda, hanem hogy segítek a problémák megoldásában.
Különben is mi a fészkes fenének egy 3-4 gépes cégnek külön rendszergazda.
Az előző és a mostani véleményem is csak arról szól, hogy egyesek felfújják a hírnévre vágyó biztonsági szakértők által szétkürtőlt híreket, és hisztérikusan bizonygatják hogy "lám megmondtam nem csak a Win esendő"
Nem vagyok egyik oprendszer imádója sem, én szakembernek tartom magamat a szakmámban aki azzal az eszközzel dolgozik amivel a leggyorsabban és legigényeseben tud dolgozni.
A user kezében a szoftver csak egy szerszám és mindenkinek magának kell eldöntenie milyen minőségű szerszámmal tud vagy akar dolgozni.
Én a jelenlegi állapotok alapján a Windowst egy kinai utánzatnak tartom a többi oprendszerhez képest munka szempontjából. De ez a véleményem nincs bebetonozva.

"A user kezében a szoftver csak egy szerszám és mindenkinek magának kell eldöntenie milyen minőségű szerszámmal tud vagy akar dolgozni.
Én a jelenlegi állapotok alapján a Windowst egy kinai utánzatnak tartom a többi oprendszerhez képest munka szempontjából."

:D
Ez nagyon odaba..., de OS X után abszolúte valami ilyesmi vélemény alakult ki bennem is winről...
Jómunkásember is ideges, ha a silány minőségű szerszámot túl sokszor kell egyéb, szintén "romlandó" szerszámokkal javítani/javíttatni, így a valós, jómunkásemberünk által végzendő termelő munkára, pénzkeresetre kevesebb idő és energia marad...
Egy oprendszer sem ér meg 10-15 évet (egyet sem) egy napi szinten számítógépet használó átlaguser életéből, pláne nem a win rendszerek (és azok megismerése, rendszeres javítása és karbantartása)...
http://beszeljukmac.com/index.php/switch/
Van itt pár beszámoló, ami szerintem ugyan nem mind szimpla switcherektől származik, de nem is ez a lényeg, hanem a tartalom... Valahogy ezeket a switch sztorikat olvasva sem érzem úgy, hogy (valóságtartalomban, negatív irányban) űberelné szinte bármelyik win "reklámot", "termékismertetőt", marketinget...

1995 óta wint használok leginkább desktopon munkára. Munkaidőm kb. 20-30%-a nem munka céljából használódik el.
(Kb. ennyit tesz ki a HUP és az egyéb oldalak, amiket olvasgatok... :D)

Cégünknél a szokványos irodai feladatokat Wines gépeken művelik a kollégák is (én nem grafikusként dolgozom). Igen sok idejük és hajuk bánja. Nagyon rossz érzés nap mint nap néznem a szenvedésüket.

Nekem és jópár másik kollégámnak azonban semmi problémája nincsen, egyszerűen csak azért, mert tudjuk hogyan kell használni a rendszert és nem a Windows-t hibáztatjuk minden egyes PEBKAC hiba miatt.

Pedig jómagam víruskeresőt (és egyéb misztikus "csodaszert") se használ és nem is használt sose.

HTH ;)