Kommentar: Apple må endre praksis før det er for sent

[Newton]

Husker at jeg la merke til at Java var oppdatert med sikkerhetsfiks, men Apple ikke gjorde noe. Tenkte da at det var særdeles lite smart, samtidig som at BankID folka også utsatte brukerne sine for unødvendig fare ved å kreve Java.

 

Bra de får seg en lærepenge og kan ta sikkerhet mer på alvor.

Det er nok neppe så enkelt at Apple får servert ferdig kildekode tilrettelagt for OS X, for implementering av Java-oppdateringer fra Oracle. Det er ganske sannsynlig at Apple får "rå" kildekode for oppdateringen fra Oracle omtrent samtidig som Oracle slipper oppdateringene for andre OS, og at Apple så må bruke en del tid på å porting, tilpasninger og kvalitetskontroll, før de lager distribusjonspakker og legger det hele ut via Programvareoppdatering. Det tok i dette tilfellet ca halvannen måned - som sikkert kan virke som veldig lang tid for mange - men det er litt drøyt å hevde at Apple ikke gjorde noe, når de jobbet med å klargjøre oppdateringen lenge før nyheten om aktiv utnyttelse ble kjent.

 

Nå har Apple faktisk tatt sikkerhet på ramme alvor ganske lenge. De har åpenbart forstått trusselbildet og vært oppmerksomme på oppdateringsproblematikken ifb. med Java i lengre tid, og har derfor jobbet sammen med Oracle med tanke på å endre distribusjons- og oppdateringsrutinene for Java for OS X. Første synlige steg så vi allerede i 2010, da Apple og Oracle etablerte et samarbeid om OpenJDK for OS X. Neste steg var at fra og med OS X Lion er Java ikke en del av standardinstallasjonen av OS X, men noe bruker selv må installere. Neste steg blir at fra og med Java 7 vil Oracle ta helt over både distribusjon og oppdateringer, slik at release vil skje samtidig med Java-oppdateringer Windows og Linux.

 

 

PS. Bare for å illustrere litt hva Apple gjør av utvikling og tilrettelegging for Java, ta en titt på hva Apple bidrar med til OpenJDK for OS X:

"Oracle and Apple® today announced the OpenJDK project for Mac OS® X. Apple will contribute most of the key components, tools and technology required for a Java SE 7 implementation on Mac OS X, including a 32-bit and 64-bit HotSpot-based Java virtual machine, class libraries, a networking stack and the foundation for a new graphical client. OpenJDK will make Apple’s Java technology available to open source developers so they can access and contribute to the effort."

Endret 18. april 2012 av Newton

[eisa01]

Hvis det tar så lang tid å få ut en kritisk oppdatering, så har de ikke hatt gode nok ordninger og vært alt for naive når det gjelder sårbarheten til OS X. Over 1% av alle macer ble infisert, og det er meget høyt sammenlignet med Windows trojanere

[Del]

Det er nok neppe så enkelt at Apple får servert ferdig kildekode tilrettelagt for OS X, for implementering av Java-oppdateringer fra Oracle. Det er ganske sannsynlig at Apple får "rå" kildekode for oppdateringen fra Oracle omtrent samtidig som Oracle slipper oppdateringene for andre OS, og at Apple så må bruke en del tid på å porting, tilpasninger og kvalitetskontroll, før de lager distribusjonspakker og legger det hele ut via Programvareoppdatering.

Hm, Red Hat har vel omtrent egenhendig stått for støtten av openjdk på linux siden 2007, men stakkars lille Apple har vel ikke ressurser til å følge opp like godt som hundre linux distribusjoner som må patche, kompilere og distribuere sikkerhetsfikser forløpende selv.

Nå har Apple faktisk tatt sikkerhet på ramme alvor ganske lenge.

Hm, hva med å bare legge seg flat og innrømme at Apple er akkurat like kyniske som Microsoft.

[Newton]

@eisa01: Som jeg allerede har forsøkt å anskueliggjøre, så har det vært jobbet med forbedring av "ordningene" for Java siden 2010. Så Apple har for lengst skjønt bildet, nemlig at tredjepartssoftware som Java og Flash utgjør noen av de største truslene brukerne utsettes for i dag, og jeg ser ikke helt hvordan det er "naivt".

 

Ca 1% skal angivelig ha blitt infisert ifølge enkelte produsenter av anti-malware programvare, tallet er nå kommet ned på mindre enn 0,2% infeksjonsrate i løpet av noen dager i følge de samme selskapene. Et par enkle tredjepart-verktøy for detektering og fjerning av Flashback hjalp nok noen, men når mer enn 80% av infeksjonene nå er rensket bort i løpet av en ukes tid er det nok i hovedsak takket være Apples egne verktøy og sikkerhetsoppdateringer.

 

Nei, det er kanskje ikke det vanlige at noen av de ca 70.000 nye "virusene" (eller malware, som det egentlig heter) som hver dag slippes mot Windows-brukere kommer opp i 1% infeksjonsrate - men det har skjedd, og selv med lavere infeksjonsrate blir det jo likevel fort noen millioner takket være antallet Windows-installasjoner.

Man kan også tenke over at anslagsvis 70-80% av alle Windows-brukere med Java installert sitter med upatchede installasjoner som er sårbare overfor de samme Java-hullene som har rammet en del Mac-brukere...det blir fort noen millioner ut av det også, men massespredning av Windows-malware er jo så "normalt" at ingen hever et øyebryn eller gidder skrive om det...

[Newton]

Hm, Red Hat har vel omtrent egenhendig stått for støtten av openjdk på linux siden 2007

Det forklarer kanskje hvorfor OpenJDK henger etter og at siste update av OpenJDK 6 var i fjor en gang...

 

Hm, hva med å bare legge seg flat og innrømme at Apple er akkurat like kyniske som Microsoft

Beklager, jeg har ingen pålitelig metode for å kunne evaluere og sammenligne akkurat hvor "kyniske" forskjellige multinasjonale selskap er. Men det har sikkert du, siden du har konklusjonen klar, så da får du bare opplyse oss om hvordan du kom fram til den konklusjonen.

 

Det sagt, Apple er sikkert "kyniske" nok - og smarte nok - til å skjønne at fortsatt fokus på enda bedre sikkerhet er en nødvendighet for videre suksess.

[Occi]

Hm, Red Hat har vel omtrent egenhendig stått for støtten av openjdk på linux siden 2007

Det forklarer kanskje hvorfor OpenJDK henger etter og at siste update av OpenJDK 6 var i fjor en gang...

Nyeste stabile versjon av OpenJDK er 1.7.

 

Jeg har heller ingen problemer med Java til Linux på generell basis, og alt av nettbanker og betaling jeg har prøvd fungerer helt fint for meg ved bruk av icedtea+openjdk7.

 

Apple har ingen unnskyldninger.

Endret 18. april 2012 av Occi

[Newton]

Nyeste stabile versjon av OpenJDK er 1.7.

For utviklere, ja. Nyeste release av Java for vanlige brukere er Java SE 6.

 

Jeg har heller ingen problemer med Java til Linux på generell basis, og alt av nettbanker og betaling jeg har prøvd fungerer helt fint for meg ved bruk av icedtea+openjdk7.

Så fint. Jeg har heller ingen problem med Java for OS X på generell basis, og alt av nettbanker og betaling fungerer helt utmerket med Java SE 6. Ser likevel fram til den dagen nettbanken min fungerer uten Java, slik at jeg kan bli kvitt enda en potensiell sikkerhetsrisiko.

 

Apple har ingen unnskyldninger.

Hvem trenger unnskyldninger? Det er i så fall Oracle og BankID som trenger å unnskylde at de nærmest påtvinger folk noe så usikkert som Java-plugins i nettlesere.

[Occi]

Nyeste stabile versjon av OpenJDK er 1.7.

For utviklere, ja. Nyeste release av Java for vanlige brukere er Java SE 6.

Hva definerer egentlig hva som er siste release for vanlige brukere? Det gis ut Java 6 fra java.com, så man kan vel kanskje si at det er siste versjon for vanlige brukere.

Forøvrig så påpekte jeg at nyeste versjon av OpenJDK er 1.7 da det virket som om du antydet at det ikke har vært noen update på den fronten siden 1.6.

 

Jeg har heller ingen problemer med Java til Linux på generell basis, og alt av nettbanker og betaling jeg har prøvd fungerer helt fint for meg ved bruk av icedtea+openjdk7.

Så fint. Jeg har heller ingen problem med Java for OS X på generell basis, og alt av nettbanker og betaling fungerer helt utmerket med Java SE 6. Ser likevel fram til den dagen nettbanken min fungerer uten Java, slik at jeg kan bli kvitt enda en potensiell sikkerhetsrisiko.

Poenget mitt er at selv om Java i all hovedsak driftes av frivillige (privat, eller via organisasjoner som Red Hat) og alt gjøres gratis, så fungerer det fint på Linux. I motsetning så er Java på OS X backet av et av verdens største IT-firmaer og allikevel er det såpass dårlig håndtert. Derfor jeg skreiv som nevnt i neste sitering:

 

Apple har ingen unnskyldninger.

Hvem trenger unnskyldninger? Det er i så fall Oracle og BankID som trenger å unnskylde at de nærmest påtvinger folk noe så usikkert som Java-plugins i nettlesere.

Java-plugins i seg selv er ikke usikkert, det er vel heller implementeringen av de. Uansett er poenget mitt som nevnt at Apple har ingen unnskyldning for at dette skjedde, og å skylde på andre (les: Oracle) blir litt for dumt når en rekke andre aktører som bruker Java klarer det helt fint (også som nevnt, med mye mindre økonomisk støtte).

 

For eksempel så må jeg si jeg lo litt når Apple "fikset" problemet ved å standard deaktivere Java-plugin i OS X 10.6 og 10.7, slik at brukeren må skru denne på igjen manuelt hver gang han/hun skal benytte en Java-applet. Føles så useriøst.

 

Dette betyr forøvrig ikke at jeg syns bruk av Java-applets i nettbanker (BankID) er uproblematisk. Jobber selv i en bank og jeg veit hvor mye ny problematikk det innebærer å endre til HTML5, så samtidig veit jeg hvorfor det er litt vanskelig å endre uten å gå inn i detaljer..

[Audun0505]

Selvfølgelig finnes det få virus til Mac... Alle pengene går jo til å kjøpe den, og da er det ikke noe å stjele

[tommyb]

Hmm... Er dette en ny sak tilknyttet diskusjonen fra en gammel sak? Spennende.

 

Uansett er det viktigste at også Mac-brukere deltar i den felles dugnaden som datasikkerhet faktisk er.

 

Det er en plikt å sikre seg, ikke en rettighet. ;p

[tommyb]

per dags dato finnes det kun et fåtall av reelle trusler mot OS X, det finnes om mulig enda færre mot Linux (...)

 

Det finnes et hav av trusler mot Linux. Internett er fullt av Linux-servere og disse er svært interessante for hackere. Hadde for eksempel konseptet "rootkit" kommet fra Windows-platformen, hadde det ikke hatt navnet "rootkit".

 

De siste ti årene har jeg hatt langt mer stress med sikkerhet på Linux-servere enn på Windows-klienter. Loggene våre er full av sniffere hver natt, og vi holder en relativt lav profil i forhold til søkemotorer. Naturligvis ville Windows-servere vært enda verre igjen. Men det finnes et hav av trusler mot Linux.

[Lycantrophe]

Denne tråden viser godt hvorfor sikkerhet er en utfordring.

[Judgement]

Appleprodukter er ikke noe sikrere enn f. eks Microsoftprodukter, men de har så mye lavere markedsandel at de som lager "ondsinnet" kode sannsynligvis ser det mer relevant å rette siktet på Microsoftprodukter.

 

Når Apple får seg litt større markedsandel blir nok dette ett like stort problem på Apple som hos Microsoft.

[NgZ]

Linuxfans (som jeg klart tilhører) og Applefans har i alle år lullet seg inn i troen på at vi har så ekstremt sikre systemer. Men realiteten er at alle OS og programmer har sikkerhetshull. Det er bare et spørsmål om når kriminelle setter inn ressursene. Både selskapene som lager programvare og vi som bruker den bør altså ha den holdingen at sikkerhetshull finnes.

I tillegg hjelper det ikke lenger om systemet i seg selv er sikkert. Det meste av verdi på maskinen har brukeren selv tilgang til. Bilder, dokumenter og andre filer som kan taes av ransomware, internett, mail... Sånn sett er systemets egen sikkerhetsandel blitt redusert til å forhindre at skadelig kode infiserer andre separate programmer, og evt. å hindre malware fra å kommunisere med internett ved hjekp av en brannmur, og hindre at det legges til i automatisk oppstart uten at brukeren får beskjed.

 

Root/admin-tilgang er ikke lenger nødvendig for å drive lukrativ trojanervirksomhet. Det er bare en fordel.

[efikkan]

Appleprodukter er ikke noe sikrere enn f. eks Microsoftprodukter, men de har så mye lavere markedsandel at de som lager "ondsinnet" kode sannsynligvis ser det mer relevant å rette siktet på Microsoftprodukter.

 

Når Apple får seg litt større markedsandel blir nok dette ett like stort problem på Apple som hos Microsoft.

Hvis du vet hva som har hendt de siste årene skal du vite at det der er bare tull.

 

Før Apple byttet til BSD-basert kjerne var de mer plaget enn Microsoft med virus, på tross av en betydelig lavere markedsandel. Men etter byttet til BSD har Apple praktisk talt vært fritatt for virus, og det skyldes sikkerhetsmekanismene til operativsystemet.

 

Hvis det var snakk om å ramme flest mulig brukere eller få mest mulig prestisje så ville alle angrepet Linux, siden de aller fleste nett-tjenester i verden kjører på Linux, og ville dermed effektivt lammet mesteparten av Internett.

 

Det er ingen tvil om at all programvare kan potensielt ha sårbarheter, men det er en ekstremt ignorant holdning overfor oss utviklere å hevde at programvare a er like utrygg som programvare b fordi begge har sårbarheter. De som har såpass lite peiling bør virkelig la være å uttale seg om slike saker. Det som prinsipielt skiller Microsoft fra konkurrentene er hva slags sårbarheter det er snakk om. Microsoft har en større andel sårbarheter pga. svakheter i design, f.eks. mangel på brukerkontroll på lavnivå, som gjør at potensialet er langt større for utnytting. OS X er langt bedre på dette, men har likevel noen svakheter med lagring av passord. De mest alvorlige sårbarhetene for Mac i senere tid har skyldes slapphet og dårlig patching av f.eks. Safari, og nå java, dvs. ikke systemet. I den sammenheng skal det nevnes at Microsoft ofte er veldig trege til å reparere sårbarheter i operativsystemet sitt. I Linux må du lure brukeren for å få administratortilgang, og får du først det kan det kjøres vilkårlige shellscript.

 

Når det gjelder Java så er det noe alle bør kjøre i sandkasse uten vanlig brukertilgang, i alle operativsystemer. Personlig vil jeg anbefale å kjøre uten Java, Flash eller lignende.

 

tommyb: Hvis sniffing eller scanning er et problem for din sikkerhet så har du ikke ordentlig sikkerhet. Security through obscurity is not security

[lektroluv]

Apple og Co kan jo slå til med et konge sikkerhetsprogram som de bare ikke har snakket om ennå.

 

Tviler på at Apple noen gang kommer med et sikkerhetsprogram til OSX. Da innrømmer de jo i praksis at OS'et deres kan få virus o.l, og det er de litt for pripne til å innrømme.

 

 

[RaaneHolmg]

Nå mangler jo macene antivirus, så når en av de få truslene de har prøver seg, så kommer de jo igjennom også da.

[Bolson]

Root/admin-tilgang er ikke lenger nødvendig for å drive lukrativ trojanervirksomhet. Det er bare en fordel.

 

Helt korrekt observert - både spredningen og selve trojanervirksomheten skjer i dag i stor grad uten root/admintilgang. Spreding skjer ofte via "drive-by", hvor hull i nettløsninger eller annen programvare (f.eks ImageMagick) brukes til å legge inn "drive-by-script". Roottilgang trengs ikke for å få dette på plass.

 

Heller ikke hos bruker trengs admin/root - den interessant informasjonen ligger jo i de "åpne" løsningene.

 

Hvis det var snakk om å ramme flest mulig brukere eller få mest mulig prestisje så ville alle angrepet Linux, siden de aller fleste nett-tjenester i verden kjører på Linux, og ville dermed effektivt lammet mesteparten av Internett.

 

Linux angripes som bare det. En av hovedkildene for spredning av Flashback var faktisk WordPress installasjoner med sikkerhetshull - i hovedsak på Linuxservere.

 

I og med at "drive-by" infisering er på vei til å bli den mest brukte måten å spre faenskap på - så er det faktisk særdeles stor aktivitet rettet mot webservere - uansett hvilken plattform de kjører på og hvilken løsning de bruker.

 

I det hele har bildet når det gjelder spredningsmåter og hvordan man angriper klienten (brukere), endret seg radikalt de siste årene. Det har også gjort at tidligere fakta om hva som er tryggest har endret seg betydelig. Sikkerheten som låg i en bedre arkitektur i *nix har langt mindre betydning, mens sikkerhetshull i applikasjonslag har blitt mer og mer brukt. I tillegg vurderer de fleste sikkerhetseksperter i dag at den strukturelle sikkerhet er god i alle OS-ene (dvs muligheten for root/admintilgang etc), mens sikkerheten i applikasjonslagene faktisk er forverret.

[efikkan]

Antivirus fjerner virus (og annen malware) som kommer inn på maskinen, som den kan gjenkjenne, men gir ingen beskyttelse mot f.eks. en javascript-sårbarhet i Firefox som får CPUen din til å ligge på 100% belastning.

[efikkan]

Hvis det var snakk om å ramme flest mulig brukere eller få mest mulig prestisje så ville alle angrepet Linux, siden de aller fleste nett-tjenester i verden kjører på Linux, og ville dermed effektivt lammet mesteparten av Internett.

 

Linux angripes som bare det. En av hovedkildene for spredning av Flashback var faktisk WordPress installasjoner med sikkerhetshull - i hovedsak på Linuxservere.

 

I og med at "drive-by" infisering er på vei til å bli den mest brukte måten å spre faenskap på - så er det faktisk særdeles stor aktivitet rettet mot webservere - uansett hvilken plattform de kjører på og hvilken løsning de bruker.

 

I det hele har bildet når det gjelder spredningsmåter og hvordan man angriper klienten (brukere), endret seg radikalt de siste årene. Det har også gjort at tidligere fakta om hva som er tryggest har endret seg betydelig. Sikkerheten som låg i en bedre arkitektur i *nix har langt mindre betydning, mens sikkerhetshull i applikasjonslag har blitt mer og mer brukt. I tillegg vurderer de fleste sikkerhetseksperter i dag at den strukturelle sikkerhet er god i alle OS-ene (dvs muligheten for root/admintilgang etc), mens sikkerheten i applikasjonslagene faktisk er forverret.

Det vanligste problemet ved angrep mot Linux-servere er feilkonfigurasjon eller svakheter/mangel på oppdatering av tredjeparts-programvare. Av førstnevnte er overraskende nok SQL-injection fremdeles mulig på en del sider. Bare i år har jeg hørt om nærmere 10 store nettsider/tjenester/firma som har hatt latterlige passord på nivå med "123". Samme hvor sikkert Linux i seg selv er så vil det ikke beskytte mot den slags.

 

Som du helt sikkert vet er DOS-angrep et stort problem mot mange servere.

 

Så vidt jeg kan se har Flashback ingenting med sikkerhet(eller manglende sikkerhet) i Linux-kjernen. Det finnes antivirus for Linux, fra de fleste store selskapene, men dette er utelukkende for å hindre spredning av ondsinnede filer. Eventuelle sårbarheter i WordPress eller lignende som medfører spredning har egentlig ingenting med Linux å gjøre, men tjenester som kjører med rettigheter vil potensielt kunne bli en sårbarhet for systemet. Linux har allerede innebygde mekanismer for å kontrollere rettighetene til hver prosess(noen distribusjoner mer enn andre), noe som også Windows burde hatt på kjernenivå. Men Linux-løsninger er ikke perfekte, hadde det vært opp til meg skulle f.eks. Java og Flash kjørt uten noen tilgang til det faktiske filsystemet, kun hatt sitt eget virtuelle filsystem.

 

Hvis jeg vil ta over en Linux-maskin i dag er den mest effektive metoden å lage en Java-applet eller lignende og få brukeren til å kjøre denne (f.eks. via Facebook), mange brukere får ikke advarsel en gang ved Java-applets, pluss jeg kan signere appletten med den produsenten jeg selv måtte ønske, f.eks. "Facebook inc.". En normal bruker vil ikke være i stand til å se at dette er et falskt sertifikat. Men når denne så kjører så har den maksimalt brukerrettigheter på systemet. Så den kan ødelegge mange filer men ikke selve systemet. Hvis jeg vil ta over systemet må jeg så lure brukeren til å gi et script eller program administratortilgang. I systemer med dårligere passord-hashing er dette langt enklere.