Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Apples feta patchar och OS-säkerhet » Kryptoblog

Apples feta patchar och OS-säkerhet

November 11th, 2009 by Joachim Strömbergson Leave a reply »

För ett par dagar sedan (2009-11-09) släppte Apple den andra uppdateringen av Snow Leopard – 10.6.2. I samband med denna release släppte de även säkerhetsuppdateringen 2009-006 – en uppdatering med inte mindre än 58(!) patchar. Den förra generella säkerhetsuppdateringen från Apple, 2009-005 kom 2009-09-10, dvs för två månader sedan.

Den nu släppta patchen täcker både funktioner långt ner i OS:et som kernel, filsysten, CoreGraphics, directory service såväl som tredjepartsprogram som CUPS, Apache och Subversion. Tyvärr är flera av säkerhetsproblemen som nu patchas riktigt gamla – Subversionproblemet är exempelvis från Augusti.

En som inte tycker om hur Apple hanterar säkerheten är Per Hellqvist som bloggat om den senaste stora patchbollen och säkerhet på Mac.

Per Hellqvist på nära håll.

Pelle skriver bland annat:

Jag vet inte vad du känner, men jag är rätt trött på att Mac-användare invaggar varandra i en falsk känsla av säkerhet. Förstärkningseffekten av att hela tiden utsättas för villfarelsen att Mac är så säkert blir till slut enorm och blir till fakta.

Jag såg senast imorse en kompis på Facebook som för en gångs skull råkat ut för virus. Och lika säkert som amen i kyrkan klippte en Mac-användare in de bevingade orden: “Byt till Mac så slipper du sånt”. Det är helt enkelt inte sant. Risken är mycket mindre, men man slipper det inte!

Men faktum är att MacOS är som alla andra mjukvaror. Det finns säkerhetshål där med. Anledningen är enkel:

Mjukvaror skrivs av människor. Människor är inte perfekta. Alltså blir inte mjukvara perfekt.

Visst, elak kod kan sägas vara ett Windows-problem. Skillnaden är dessutom enorm. Det finns uppemot 3 miljoner elakingar till Windows och ett hundratal till Mac (plus alla gamla macrovirus). Kom då ihåg att inte alla Windows-virus är aktiva, eller ens har varit det någon gång. För Mac handlar det mest om trojaner, och trojaner är som verktygslådor. Joakim von Braun sade en gång att virus kommer och går, men trojaner består. Det har han rätt i. Trojaner används för ett visst uppdrag. De dör egentligen inte ut.

Jag är Macanvändare men kan bara hålla med. Jag blir också trött på att folk tror att Mac är helt fri från problem. Men samtidigt blir jag trött på på Windowsanvändare som hävdar att Macens jämförelsevis lilla mängd med elak kod bara beror på den mindre användarbasen.

Samma argument användes av Nordea under en tid när de och deras kunder utsattes för flera nätbedrägerier. Att de hade en mindre säker teknisk lösning hade inte med saken att göra – fast ändå så bytte dom.

Användarbas är en parameter. Hur enkelt det är att utföra en attack och vad man kan komma åt är andra. Detta gäller inbrott såväl som nätbedrägerier och elak kod.

Jag vill inte starta ett Windows vs Mac-krig (vägrar använda “Mac vs PC” då PC för mig är hårdvaran, vilken kan köra många olika OS på.) men min åsikt är att det för SW-system finns olika tekniska lösningar som leder till olika tekniska egenskaper – precis som för alla andra tekniska system.

En Toyota pickup har helt andra köregenskaper än en BMW M5. Båda är ypperliga bilar, var och en på sitt sätt. Toyotan är en allt annat än lyxig, men i den närmaste oförstörbar (se Top Gears lilla test för några år sedan) lastmaskin som står sina ägare bi jorden runt oavsett om det finns vägar eller ej.

En sliten Toyota Pickup

BMWn å sin sida är höjden av teknisk finess, en fantastisk milätare för Autobahn-hastighet. Helt olika konstruktioner för att målgrupp och krav är helt annorlunda – men fortfarande är de både exempel på ett tekniskt system vi kallar bil.

BMW M5

(Godtyckling modern amerikansk bladfjäderkärra kan tas som exempel på hur ett tekniskt system kan konstrueras på ett kasst sätt.)

Säkerhet är något som behöver systemeras in från början (oavsett om det är ett OS, en SW-applikation eller en bil) och olika tekniska val påverkar vilka säkerhetsegenskaper du får. Detta gäller hur filer skyddas i filsystemet, hur användaren kopplas in i beslutskedjan etc.

Vidare handlar säkerhet mycket om utvecklingsmetodik och den kultur som råder. Bryr man sig inte om att göra säkra, genomtänkta implementationer spelar det ingen roll om systemeringen såg bra ut på ritbordet. Enligt min åsikt är det faktiskt skillnad i säkerhet mellan olika OS. Vista är säkrare än XP, Win7 är säkrare än Vista. Snow Leopard är säkrare än såväl Leopard som Tiger.

Vissa utvecklare tar detta på mindre eller större allvar. Gänget bakom OpenBSD är ett exempel på ett öppen kod-projekt där kulturen genomsyras av ett väldigt (väldigt, väldigt) högt säkerhetsmedvetande.

Vad har nu detta att göra med Apple? Jo, jag vet inte hur Apples säkerhetskultur ser ut. Jag vet att det jobbar duktiga människor där (FreeBSDs Jordan K Hubbard exempelvis). Vidare tycker jag att Apple lyckats bra i sitt sätt att hitta en modell för hur användaren kopplas in i säkerhetskedjan.

Men hur man släpper sina säkerhetspatchar tycker jag tyder på en säkerhetskultur som lämnar utrymme till förbättringar. Min blygsamma åsikt är att antingen släpper man en patch för ett givet säkerhetsproblem så fort den finns framme.

Alternativt släpper man buntar med patchar vid regelbundna tillfällen. Detta alternativ gör det möjligt för stora organisationer att planera för kommande uppdateringsarbeten. Den stora frågan är hur ofta man skall släppa uppdateringar. Jag kan tycka att Microsoft han en aning för låg frekvens.

Men att släppa en fet patchbomb oregelbundet innebär att säkerhetshål kan vara öppna väldigt länge. Och när patchbomben kommer är kunderna oförberedda, vilket förvärras av att bomben som i fallet med den senaste uppdateringen är så stor. En stor, fet patchbomb som kommer som en överraskning är helt enkelt fetfel.

Peller kommer med några bra rekommendationer som gäller såväl för Macanvändare som Windowsanvändare (och GNU/Linux, BeOS och kanske tom användare av OpenBSD):

* Uppdatera operativsystemet och de programvaror du använder.

* Klicka inte på allt som kommer din väg. Precis som du inte skulle plocka upp och äta godis från marken ska du heller inte klicka på allt som kommer i e-posten och via tjatten/sociala nätverket.

* Använd säkerhetsmjukvara.

* Ta backup. Ofta.

(Till skillnad från Pelle lyssnade jag inte på Mozarts pianokonsert No 24 i C minor när jag skrev detta. 50,000 unstoppable Watts med Clutch funkar också bra.)

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Advertisement

6 comments

  1. magnusli says:

    Hej Joachim,

    Tack för en bra blogg!

    Jag har en liten kommentar till din kommentar

    ” Men samtidigt blir jag trött på på Windowsanvändare som hävdar att Macens jämförelsevis lilla mängd med elak kod bara beror på den mindre användarbasen.”

    Om du vore en person som skriver skadlig kod och får betalt per dator som du infekterar – skulle du då lägga din energi på 90% av den teknologi som finns utrullad på datorer idag eller 8%? Jag tror svaret är ganska enkelt där. De flesta experter är överens om att ifall Apple hade haft lika stor marknadsandel som Microsoft har idag så hade situationen sett lika dan ut fast tvärt om.

    Det vanligaste sättet att bli infekterad idag är inte att du får en trojan som hoppar in i din dator – det är att du själv installerar något alt följer en länk som du får i ett email. Betänk då reklamkampanjen som Apple kör när man invaggar folk i falsk säkerhet att det kan inte hända om du kör en Mac.

    Om Apple inte hade trott att man kan bli infekterad varför händer då sånt här? : http://www.techhail.com/mac/mac-os-x-snow-leopard-has-a-built-in-antivirus-or-anti-malware/1147

    Jag håller också med dig att Apple borde vara mer öppna och förutsägbara när det gäller hur deras säkerhet hanteras. Att komma med några stora uppdateringspaket vid random tillfällen är ingen bra upplevlese för användare.

    mvh
    Magnus

  2. Aloha!

    Magnusli: Nej, jag tror inte alls att de flesta experter är överens om ditt påstående, av de experter jag känner, träffar, läser och lyssnar på är detta inte alls konsensus. Du får gärna motbevisa mig om detta.

  3. magnusli says:

    Hej igen Joachim,

    Om FireFox har 25% av marknaden och står för 44% av sårbarheterna. Vad hade då hänt med Safari om den browsern hade haft 90% av marknaden?

    Jag tror många glömmer att OSX är inte bara en kernel (och en bra sådan) utan är ett komplett OS med browsers, mediaspelare och flash(http://www.computerworld.com.au/article/317312/snow_leopard_downgrades_flash_vulnerable_version). Detta innebär att du kan bli attackerad lika lätt i OSX som du kan i Windows. Kanske manifisterar sig sårbarheten olika – men det är klen tröst när en user-mode keylogger snappar upp ditt lösenord i Safari.

    Du får gärna kommentera mina andra frågor – speciellt den om att Apple nu har byggt in skydd för att folk skall få hjälp med att hindra skadlig kod att installeras i OSX.

  4. Magnusli: FF och Safari bygger på helt olika teknik (Gecko vs WebKit) och kodas av helt olika personer som använder olika metodik, policy och verktyg. Jag tror därför att det finns extremt liten korrelation mellan marknadsandel, antaletet kända sårbarheter för FF och Safari.

    Men eftersom du är den som hävdat att “De flesta experter är överens om att ifall Apple hade haft lika stor marknadsandel som Microsoft har idag så hade situationen sett lika dan ut fast tvärt om” och du fortfarande inte gett några referenser kan väl du presentera det nu? Och på vilket sätt FF relaterar till Safari.

    Jag besvarar gärna dina andra frågor och funderingar, men tar gärna en sak i taget. Låt oss reda ut det här först, ok? Så fram med referenserna!

Trackbacks /
Pingbacks

  1. Recommended
  2. Adil Baguirov USA

Leave a Reply

You must be logged in to post a comment.