Apple blijft flink achter vwb veiligheidstechnieken in hun OS te stoppen in vergelijking met Microsoft.

Dit is de strekking van heen 3-tal pagina's omvattend artikel in de nu verkrijgbare C'T magazine (april 2011)

Hierin wordt ook Charlie Miller aangehaald (ik denk http://news.techworld.com/security/3201863/snow-leopard-less-secure-than-windows-says-hacker/) waarin deze hacker aangeeft waarom het makkelijk is exploits voor OsX te maken dan voor Windows.

Ik heb ook ergens geruchten gelezen over dat Apple deze beveiligingsexpert gevraagd heeft een kijkje te nemen naar hun nieuwe telg: Lion (weet alleen even de bron niet meer)

Hopelijk neemt Apple dat heel serieus (zeker nu de aantallen mac gebruikers in de VS nog steeds toenemen)... dan wordt het voor een 'kwaadwillende' aanrekkelijker om iets voor het MacOS te ontwikkelen...

Je kan daar op wachten , maar je kan daarop ook anticiperen

Weet al weer waar ik gelezen had dat Apple misschien nog met een update van Safari komt voordat de nieuwe edite van de hackersconferentie op 9 maart (morgen dus) start:

http://arstechnica.com/apple/news/2011/03/likely-pre-pwn2own-safari-patch-unlikely-stop-three-time-pwner.ars

(Bewerkt door Spooter om 16:08, 8-03-2011)

Hier is trouwens dat bericht over Charlie Miller die naar Lion gaat kijken

Het overige is een bekend verhaal. Windows 7 heeft "heap randomization" en "stack randomization", en OS X heeft dat niet. Dat maakt OS X in theorie kwetsbaarder dan Windows 7. Echter, nu de praktijk nog... We wachten nu al een decennium!

Met Lion zal OS X ook deze features hebben, dus dat laatste halve jaar zonder "heap randomization" en "stack randomization" zullen we ook wel zonder kleerscheuren overleven...

Wat C'T als voorbeeld aanhaalt is dat het bv. vreemd is dat Safari (een van de kwetsbaarste software componenten) niet in een Sandbox draait zoals andere onderdelen wel binnen Os X doen...)
Of bv. de flash plugin in een geisoleerde omgeving. Deze staat toch echt bekend om lekken. Het gekke is dat ze deze geisoleerde omgeving wel inzetten voor Safari-extensies. En ik heb het dan niet over buffer-overflows (waar Apple al wel wat aan gedaan heeft door een plugin proces vast te kunnen laten lopen zonder dat een browser als totaal er dan mee kapt)

ASLR en DEP zijn natuurlijk moeilijker INEENS te implementeren, maar ik ben het er wel mee eens dat Apple dat met Snow Leopard heeft laten liggen qua kansen (terwijl er toen al heel veel code opnieuw is geschreven)...

Daarnaast zijn bepaalde dingen die in Unix wel goed uitgevoerd zijn door Apple op een iets andere manier (=lees minder veilige) uitgevoerd (bv. het onversleuteld opslaan van je wachtwoord in de LoginWindow, iets wat al jaren geleden is opgelost in de Unix wereld), waarom vraag je je af...

(Bewerkt door Spooter om 16:20, 8-03-2011)

Spooter om 16:02, 8-03-2011
Ik heb ook ergens geruchten gelezen over dat Apple deze beveiligingsexpert gevraagd heeft een kijkje te nemen naar hun nieuwe telg: Lion (weet alleen even de bron niet meer)

Daar hoef je niet erg ver voor te zoeken hoor...  

http://www.macfreak.nl/forums/topic/16/22213/10

Windows (Microsoft) heeft Windows 7 behoorlijk van de grond af aan moeten opbouwen om bepaalde beveiligingstechnieken te implementeren...

Het stomme is dat bepaalde technologieen al heel lang bekend zijn, maar dat het heel moeilijk is om er een werkbare, gebruikersvriendelijke schil bovenop te leggen zonder afbreuk te doen aan de veiligheid.

Het is niet voor niets dat Os X nog wat gebruikersvriendelijker is dan bv. een Ubuntu (Linux distributie variant)

Maar goed sinds Apple op Intel is overgestapt zouden bepaalde beveiligingstechnieken (die hardware matig gemakkelijker ondersteunt worden door de processor architectuur) wel sneller onder de aandacht gebracht mogen worden en mogen de nightly builds van webkit wat eerder doorgevoerd worden dan nu het geval is, zeker als het om ernstige lekken gaat.

Spooter om 16:37, 8-03-2011
Maar goed sinds Apple op Intel is overgestapt zouden bepaalde beveiligingstechnieken (die hardware matig gemakkelijker ondersteunt worden door de processor architectuur) wel sneller onder de aandacht gebracht mogen worden en mogen de nightly builds van webkit wat eerder doorgevoerd worden dan nu het geval is, zeker als het om ernstige lekken gaat.

Dat is discutabel. Al Apple met een stortvloed aan updates zou komen haken waarschijnlijk veel mensen af en is het effect dus tegengesteld aan wat je wilt bereiken. Vergeet niet dat het traject van gevonden lek, naar exploit, naar misbruik nu in ieder geval nog steeds een lange is, ik kan me geen enkel geval van zo'n exploit herinneren (de bekende trojans zijn te bot om gebruik te maken van dat soort exploits) dat in de praktijk schade berokkende.

willemijngreven om 16:30, 8-03-2011
Dit soort berichten baart mij toch wel ernstige zorgen. Ik zou liever lezen dat OSX en het iOS qua veiligheid ver boven andere systemen uitstijgen....

Laat je niet bang maken door dit soort berichten! Apple is bekend, door sommigen aanbeden, en daarom voor anderen het mikpunt van kritiek, laster en FUD.

Op sommige punten (heap / stack randomization) loopt Apple achter, maar dat is niks om je zorgen over te maken. Ik had het al in Snow Leopard verwacht, maar we moeten tot Lion wachten.

iOS is ontworpen met OS X in het achterhoofd. Elk slimmigheidje uit iOS vindt vanzelf zijn weg naar OS X, en dan zal OS X weer, samen met iOS, het veiligste consumenten OS zijn.

OS X als geheel is overigens veiliger dan Windows als geheel, gezien het grote aantal oude Windows versies dat nu nog in gebruik is.

Moderator om 17:04, 8-03-2011
We hebben 'in theorie' aan de titel toegevoegd, om te voorkomen dat mensen nodeloos ongerust worden van dit draadje.

Goede toevoeging! Het was me al opgevallen...

Het blijft dus nog steeds zo dat ze lekken weliswaar bekend worden, maar dat Apple ze nog steeds dicht (ver) voordat er een gebruiker is die er last van heeft gekregen.

Op zich klopt die bewering als je kijkt naar ASLR (address space layout randomization) voor stack en heap. Daarbij loopt Windows 7 voor op OS X 10.6.

Maar als je naar het gehele OS kijkt, is OS X Windows nog steeds de baas. Zonder anti-virus kun je met een Mac prima het internet op, zonder dat je bang hoeft te zijn om een virus op te lopen. Met een Windows PC heb je die garantie niet.

Is ook niet zo vreemd, dat is het programma dat de meeste mensen op Mac OS X gebruiken om online te gaan en dus het eerste 'slachtoffer' voor hackers.

Maar dat is niet waar TS op doelt, lekken in Safari hebben niets te maken met ASLR, het (enige???) gebied waarmee Windows voorloopt op OS X.

The exploit bypassed ASLR (Address Space Layout Randomization) and DEP (Data Execution Prevention), two key anti-exploit mitigations built into Mac OS X.

“The victim visits a web page, he gets owned.  No other interaction is needed.”

Overigens werd ook Windows 7 succesvol gehackt. De Mac viel als eerste om. Misschien vanwege de mooie prijs?

(Bewerkt door odo om 11:52, 10-03-2011)

http://www.zdnet.com/blog/security/safarimacbook-first-to-fall-at-pwn2own-2011/8358

Ben benieuwd wanneer deze lekken gedicht zijn...

odo om 11:50, 10-03-2011

“The victim visits a web page, he gets owned.  No other interaction is needed.”

Maar goed, ik neem aan dat dit niet een willekeurige website is? Ik neem aan dat de website opzettelijk en met dat doel in de lucht is?

En wat betekend 'he gets owned'? Wat kunnen ze dan precies?

Tuurlijk is het nu een storm in een glas water, maar het feit dat het mogelijk is gebied toch wel enige voorzichtigheid in het gebruik...

Ziegler om 14:01, 10-03-2011
En wat betekend 'he gets owned'? Wat kunnen ze dan precies?

Zie pwn2own day one: Safari, IE8 fall, Chrome unchallenged.

If a researcher can pwn the browser—that is, make it run arbitrary code—then they get to own the hardware the browser runs on. This year, not only did they have to run arbitrary code, they also had to escape any sandboxes—restricted environments with reduced access to data and the operating system—that are imposed.

In beide gevallen werd de calculator app ("arbitrary code") opgestart, en een bestand naar de Desktop geschreven ("escape the sandboxes").

Ziegler om 14:01, 10-03-2011
Maar goed, ik neem aan dat dit niet een willekeurige website is? Ik neem aan dat de website opzettelijk en met dat doel in de lucht is?

Maar dat staat er in de praktijk niet altijd bij, dat het om een malafide website gaat.