`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Александр Пацай

Существенное улучшение безопасности в OS X Lion

–418
голосов

Недавно у меня была достаточно бестолковая дискуссия с одним типа евангелистом из Microsoft по поводу безопасности различных платформ. Дискуссия была бестолковой из-за того, что этого “специалиста” не интересовала истина, ему нужно было доказать, что представляемая им платформа круче всех, и в связи с этим он беспощадно троллил всех собеседников, как настоящий тролль 85 уровня.

Но в одном он все же был прав — Apple (до последнего времени) недостаточно уделяла внимания вопросам безопасности, чем вполне могли воспользоваться злоумышленники. (Другой вопрос, что из-за небольшой распространенности платформы у них до Маков не дошли руки). В любом случае, важное во всем этом то, что Apple смогла осознать важность вопросов безопасности раньше, чем позже, и делает в этом направлении необходимые шаги — об этом перевод статьи ниже.
——————–
С выходом Mac OS X Lion в среду Apple определенно обскакала своих конкурентов, предложив операционную систему с высококачественной защитой, которая делает ее более защищенной от эксплуатации уязвимостей и других атак, говорят два исследователя.

В отличие от выхода Snow Leopard в 2009 году, которая содержала лишь небольшие улучшения безопасности, OS X 10.7 является серьезной переработкой, говорят исследователи, которые провели несколько месяцев, анализируя операционную систему.

Самым важным дополнением является полная поддержка ASLR. Эта аббревиатура означает “address space layout randomization”, защита, которая значительно осложняет для взломщиков процесс использования ошибок, регулярно меняя местоположение кода и других системных компонентов в памяти. Другие улучшения включают безопасные “песочницы”, которые тщательно ограничивают то, как одни приложения могут взаимодействовать с другими частями операционной системы, а также полное шифрование диска, которое не путается с другими возможностями операционной системы.

“Это существенное улучшение, и чтобы описать уровень безопасности в Lion, можно сказать, что это Windows 7 плюс плюс”, говорит Дино Дай Зови (Dino Dai Zovi), главный консультант по безопасности компании Trail of Bits и соавтор книги The Mac Hacker’s Handbook. “Я обычно говорю пользователям Мак, что если их беспокоит безопасность, им надо обновиться до Lion как можно скорее, и то же самое относится к пользователям Windows”.

И хотя ASLR появилась в Mac OS X еще в Leopard, которая вышла до Snow Leopard, реализация ASLR была весьма недостаточной, потому что она не затрагивала ключевые части ОС, включая стек и динамический линковщик. Это означало, что целые классы уязвимостей становились автоматически невосприимчивыми к защите.

Это дало повод многим задать вопрос, зачем разработчики Apple вообще заморочились использованием этой технологии в системе, или же не смогли правильно внедрить ее с выходом Snow Leopard. Windows Vista и Ubuntu внедрили более мощные реализации ASLR несколько лет до этого.

“Когда они выпустили Snow Leopard после Leopard, по моему мнению, никаких изменений не произошло”, говорит Чарли Миллер (Charlie Miller), ведущий специалист по безопасности компании Accuvant и второй соавтор The Mac Hacker’s Handbook. “Они могли говорить, что стало более безопасно, но на низкофункциональном уровне никакой разницы не было. Теперь же они внесли существенные изменения и будет значительно сложнее взламывать систему”.

Более того, обновленная система ASLR в Lion дополнена другими механизмами, так что если хакеры прорвутся через нее, им все равно придется пробиваться через другие системы. Среди них — технология “песочниц”, которая защищает наиболее уязвимые и важные части компьютера от аттаки. Safari, например, теперь разделен на два процесса, которые разделили пользовательский интерфейс браузера и другие функции от той части, которая обрабатывает JavaScript, изображения и другое содержимое интернета.

Новые ограничения
Практически все уязвимости браузеров направлены на то, как программа обрабатывает веб-контент. Разработчики Apple ограничили новый процесс под названием Safari Web Content. Эта разработка направлена на то, чтобы минимизировать ущерб, к которому может привести ситуация, где нападающий может использовать переполнение буфера или другую ошибку в браузере.

“Теперь вы оказываетесь внутри этого ограниченного процесса, который умеет только работать с вебом, и вы не можете сделать ничего, что мог бы хотеть сделать нападающий, например, записать файл или прочитать документы пользователя”, поясняет Миллер. “Даже если вы можете исполнить код, у вас больше нет свободы делать что угодно. Вы можете делать только то, что позволяет вам песочница”.

Apple также полностью переработала систему шифрования диска FileVault, чтобы она могла функционировать на уровне блоков, а не на уровне файлов, как это было раньше. В результате пользователи теперь могут шифровать весь жесткий диск, а не только папку пользователя. Это также избавляет от основной проблемы большинства пользователей, потому что впервые система интегрируется с системой Time Machine для автоматического копирования содержимого диска. (Раньше пользователям FileVault, которые хотели восстановить резервные файлы, надо было загружаться с CD).

FileVault 2 также содержит другие улучшения, такие как возможность шифровать содержимое диска, когда Мак засыпает.

Внимание, фанаты
Без сомнений, Apple заслуживает уважения за то, что они установили новую планку стандарта в безопасности операционной системы, которую еще предстоит достичь Microsoft и дистрибутивам Linux. Но было бы ошибкой Мак-пользователям думать, что их операционная система неуязвима. Как показала недавняя уязвимость для Jailbreakme, настоящие хакеры могут найти способы получить полный доступ к iPhone и iPad, когда устройствам достаточно зайти на опасный веб-сайт.

Если iУстройства, где защита безопасности была реализована еще крепче, чем в OS X, могут сдаться от простой загрузки файла, нет причин думать, что Маки тоже не могут быть взломаны.

“Эти ребята серьезно подняли планку, но неважно, насколько высока планка, кто-то через нее перепрыгнет”, говорит Рич Могул (Rich Mogull), руководитель Securosis. “До тех пор, пока у нас будет даже хотя бы немного открытая операционная система, всегда будет кто-то умный достаточно для того, чтобы прорваться через эти системы”.

Major overhaul makes OS X Lion king of security

–418
голосов

Напечатать Отправить другу

Читайте также

>этого “специалиста” не интересовала истина, ему нужно было
>доказать, что представляемая им платформа круче всех
дежавю

Угу. Как это похоже на автора данного блога. Mac OS X впереди планеты всей.
Александр ругает Windows мол она менее безопасна чем Mac. Вот что интересно он в свои расчеты учитывает бесплатный антивирус от Микрософт? То что Яблоко по примеру МС начала выпускать средства для удаления конкретных вирусов в этом году это понятно, это еще лет 5 назад было на ХР, а вот где антивирус от Яблока? Почему самая прогрессивная компания начала шевелиться, только тогда когда фейковые антивирусы стали доставать её клиентов? В чем тогда прогрессивность.
P.S. Не очень люблю МС, но фанатизм прихожан церкви имени Джобса, уже начал напрягать.

>этого “специалиста” не интересовала истина, ему нужно было
>доказать, что представляемая им платформа круче всех

Аффтор жгет - с зеркалом спорил, походу.

А что автор скажет на это?
Дырень

Предполагаю, что аффтар (обоснованно) скажет:
"...Все вокруг гандоны, а я - воздушный шарик!..."

кто понимает неизбежное - тот не дёргается понапрасну...

улучшим и углубим на 200%

>Внимание, фанаты
[Пошло зомбирование..]
>Без сомнений, Apple заслуживает уважения за то, что они
>установили новую планку стандарта в безопасности операционной
>системы, которую еще предстоит достичь Microsoft и
>дистрибутивам Linux.
[Теперь фанатам понятно, зачем в статье столько букавак]
На FIPS и CC/EAL, конечно, нас рать...

А что автор скажет на невозможность отзывать сертификаты в MacOS X. Это тоже новый уровень безопасности?

http://www.computerworld.com/s/article/9219669/Mac_OS_X_can_t_properly_r...

Или вот ошибка позволяющая войти в MacOS X с любым паролем это тоже недосягаемый для Windows горизонт?

http://linux.ru/v-macos-lion-obnaruzhena-uyazvimost-pozvolyayushchaya-av...

В общем делаем вывод что автор некомпетен в том о чем пишет. Фанатики они всегда такие.

А вообще если почитать внимательно документацию на DEP, ASLR и прочие "сенсационные нововведения" выяснится что Apple просто реализовала слабое подобие того что было в MS несколько лет как сделано. А тем временем MS ушла далеко вперед и изобрела еще много других механизмов защиты.

Понятно что Apple как всегда изобрела колесо и теперь силами безграмотных фанатов несет в мир правду о новой революции.

Windows 7 (за всё время начиная с "рождения")
http://secunia.com/advisories/product/27467/

Affected By

80 Secunia advisories
168 Vulnerabilities

Apple Macintosh OS X (тоже с "рождения")
http://secunia.com/advisories/product/96/

Affected By

154 Secunia advisories
1555 Vulnerabilities

Другой вопрос, что из-за небольшой распространенности платформы у них до Маков не дошли руки

Как такое может быть??? Разве все передовое человечество еще не пользуется макинтошами???

> Если iУстройства, где защита безопасности была реализована еще крепче, чем в OS X, могут сдаться от простой загрузки файла, нет причин думать, что Маки тоже не могут быть взломаны.

> “Эти ребята серьезно подняли планку, но неважно, насколько высока планка, кто-то через нее перепрыгнет”, говорит Рич Могул (Rich Mogull), руководитель Securosis. “До тех пор, пока у нас будет даже хотя бы немного открытая операционная система, всегда будет кто-то умный достаточно для того, чтобы прорваться через эти системы”.

Читаю и плачу. Нет других систем которые бы ломались черз скачивание pdf файлы стандартным браузером.iPhone легко ломается именно так. Apple опять впереди планеты всей по кривизне кода. И что самое интересное не могут починить этот баг годами. Теперь они это перподносят как достижение. Вот уж промывка мозгов первокласная.

Напоминает старый анекдот: Пациент жалуется что писается по ночам. Психолог обещает исправить проблему. Вы не перестанете писаться, но будете этим гордиться.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT