Пишу, по большей части, про историю, свою жизнь и немного про программирование.

Mac OS X: неуловимый Джо

Как известно, пользователи компьютеров «Эпл» гордятся тем, что для него существует очень малое количество вирусов и известно небольшое количество уявзвимостей. Мне эта ситуация всегда напоминала песню про Неуловимого Джо, которого никто не ловит, потому что он никому не нужен.

Помнится, аналогичная ситуация была с браузером FireFox — он был неязвим, пока не стал популярен, как только «Гугл» вложился в рекламу, счётчик найденный уязвимостей завертелся с тахионной скоростью.

Вот и на ежегодном турнире PWN2OWN, уже два года подряд быстрее всех из тройки Windows Vista, Mac OS X и Ubuntu Linux взламывают именно Mac OS X:

Как и в прошлом году, первой и единственной жертвой стала операционная система Mac OS X. В этом году, Чарли Миллер, главный аналитик Independent Security Evaluators, скомпрометировал Apple MacBook с Mac OS X 10.5.2 «Leopard» меньше чем за минуту, воспользовавшись неизвестной ранее ошибкой в браузере Safari. Найденная уязвимость, по мнению специалистов, очень серьезная. Она позволяет злоумышленнику удаленно выполнить произвольный код, что и было продемонстрировано на соревновании.

18 комментариев
romik-g.livejournal.com 2008

// Из-за того, что кнопочки-ссылки-картинки «Email this» и «Add a comment» всегда имеют разный URL, они совсем не кешируются браузером.
// Я, конечно, понимаю, что проблемы индейцев... Но все же.

Евгений Степанищев (bolknote.ru) 2008

Комментарий для romik-g.livejournal.com:

Их добавляет feedburner, а не я.

artemp.pip.verisignlabs.com 2008

Как говорил профессор Преображенский — «не читайте перед обедом советских газет».

Поломали все таки не MAC OS X, а сафари, да и то with user interaction. Даже сами организаторы конкурса определили это в правилах.

Day 1: Remote pre-auth — устояли все три операционки
Day 2: Default client-side apps — сломали сафари
Day 3: Third Party apps — результаты ещё не объявлены, так что не факт что макось будет единственной, хотя не очень понятно причем тут вообще операционки.

Евгений Степанищев (bolknote.ru) 2008

Комментарий для artemp.pip.verisignlabs.com:

Что-то я вас не понимаю. Mac OS X без Safari поставляется что ли? Операционную систему всегда ломают через стоящие в ней приложения, по крайней мере, что касается remote exploits.

artemp.pip.verisignlabs.com 2008

Комментарий для Евгения Степанищева:

Ну тут скорее вопрос терминологии, например тот же win RPC через дыру в котором гулял бластер сложно назвать приложением, хотя теоретически сервис тоже процесс.
А ещё максось поставляется с триальной версией мсофиса, прям на диске с оперционкой идет родной инсталляхой ставится. А в ворде буквально на днях уязвимость нашли и заплатки ещё нет. тоже макось поломатая? ;) и сафари под вин есть, хоть и не дефолтная, но сегодня по правилам можно, так что сегодня возможно через ту же уязвимость и накроют. не вижу связи с операционной системой.

Евгений Степанищев (bolknote.ru) 2008

Комментарий для artemp.pip.verisignlabs.com:

Как не странно, да. Тоже МакОсьПоломатая.

Давайте я объясню свою позицию. Пользователь покупает ноут. Подключается к интернету, его ломают. Я считаю, что виноват комплект ПО вкупе с операционной системой, причём я не отделяю одно от другого.

В данный момент «дистрибутив ОС» — это сама ОС + программы, которые с ней идут. Для «дистрибутива Ubuntu» или «дистрибутива Windows» это правило выполняется, почему для Mac OS должны быть исключения?

Что касается RPC, то я ждал этого вопроса. Он довольно скользкий. Если убрать RPC из Windows, то работать нормально будет нельзя, с другой стороны. Берём Linux и убираем оттуда, скажем, SSH. Можно будет нормально работать? Чаще всего Linux ставят на сервера, получаем ответ — нет, работать нормально будет нельзя.

Phenix-h-k.livejournal.com 2008

Все таки кто бы что не говорили, а чем популярней Ось тем больше шанс что ее поломают.
Причем популярность взлома виндоус медлено но падает, зато растет интерес к другим платформам.
Следующими жертвами станут Убунту и Мак ос тен.

Евгений Степанищев (bolknote.ru) 2008

Комментарий для phenix-h-k.livejournal.com:

Линукс и без этого шерстят и ломают постоянно. Потому что важна не популярность как таковая, а популярность среди определённых слоёв населения aka kewl haxorz. Среди хакеров Linux очень популярна.

Евгений Степанищев (bolknote.ru) 2008

Комментарий для artemp.pip.verisignlabs.com:

Кстати, говоря, на третий день правила меняются — можно атаковать любое приложения этой операционной системы, так что это совсем другой конкурс, можно сказать.

artemp.pip.verisignlabs.com 2008

Комментарий для Евгения Степанищева:

Во избежания недопонимания пожалуй сразу оговорюсь, что я не считаю макось, как впрочем и любую другую ОС, верхом защищенности и не тешу себя мыслью об отсутствии в ней уязвимостей. Однако мне не очень понятна мысль, почему браузер существующий под две платформы, компрометирует только одну из них, из-за того что он от того же вендора, тогда как офисный пакет от другого вендора снова компрометирует эту же платформу. Пользователь сам выбирает чем ему пользоваться из того дистрибутива что ему предоставляют. С «дистрибутивом» Linux ещё интереснее, что именно считать таковым? То что идет на диске или весь репозиторий? И если первое, то как же net install, а если второе то вообще сомнительно получается, любое приложение написанное черти кем компрометирует платформу?

Что касается RPC, я имел ввиду не то, можно ли убрать или нет, а тот самый user interaction. То бишь, разница между «подключился к интернету — сломали» и «подключился, совершил действия — сломали». Я так понимаю что наличие сафари установленного в системе по умолчанию, пусть даже запущенного, никоим образом не способствует взлому, без действий пользователя, тогда как с RPC ситуация была другая. А такими темпами можно прийти к тому что веб-ссылка на некоторое приложение «это наш клевый чат, запусти его» копрометирует любую платформу где это приложение выполняется и пользователь настолько беспечен что скачает и запустит его.

Евгений Степанищев (bolknote.ru) 2008

Комментарий для artemp.pip.verisignlabs.com:

Браузер может существовать под сотню платформ. Но Mac OS без него не бывает. Это значит, любая Mac OS идёт с Safari. В комплекте.

С дистрибутивом Linux никаких проблем нет. Всё, что идёт в комплекте — дистрибутив.

Евгений Степанищев (bolknote.ru) 2008

Комментарий для artemp.pip.verisignlabs.com:

Кстати, вот ещё иллюстрация на тему: я беру и пишу приложение, нет, 100 приложений под Mac OS X. Все нарочно дырявые. Компроментирует ли это систему?

Нужно различать всё-таки софт, который приложил к системе производитель и тот, который может работать под этой системой.

artemp.pip.verisignlabs.com 2008

Комментарий для Евгения Степанищева:

Да, сафари в комплекте, однако сам факт его наличия ещё не делает систему уязвимой, без действий со стороны пользователя.

Выше вы признали, что третий день конкурса, это фактически другой конкурс, однако первые день (core, drivers and stack) и второй (user apps) объединяете по признаку наличия в дистрибутиве. А как быть с OEM дистрибутивами, когда поставщик предустанавливает сторонние приложения по умолчанию? Пользователь купил единый комплект, включающий компьютер, ОС, приложения того же вендора и сторонние приложения. Чем не дистрибутив?

Отличная иллюстрация. Я не зря упоминал ранее линукс-репозитории. Я не очень осведомлен в этой области, поправьте если я неправ, но насколько мне известно есть некий скажем так «официальный» репозиторий убунту, любое приложение из которого доступно по apt или через графический аналог из коробки, следовательно этот софт приложил к системе производитель. Есть ли шанс что в каком-либо из бесчисленных приложений репозитория будет обнаружена уязвимость? Разумеется. Компрометирует ли это дистрибутив?

artemp.pip.verisignlabs.com 2008

Комментарий для Евгения Степанищева:

Окинув взглядом дискуссию, обнаружил что мы настолько увлеклись деталями, что за лесом стало не видно деревьев. :)

Собственно изначальная мысль которую я пытался донести была такова: в попытке сконфузить авторов громких заявлений о неуязвимости макоси, получились ровно те же самые заявления в кривом зеркале — «Как и в прошлом году, первой и единственной жертвой» (по результатам ещё не окончившегося конкурса с сомнительными правилами). Отсюда и «не читайте советских газет», пусть даже и opennet.

zencd.livejournal.com 2008

Комментарий для artemp.pip.verisignlabs.com:

[[ ещё не окончившегося конкурса ]]

первый день завершён, второй тоже. по их итогам и написана статья. думаете церемония окончания внесёт какие-то коррективы?

со своей стороны могу порекомендовать наоборот читать комментарии адвокатов эппл — очень интересно

artemp.pip.verisignlabs.com 2008

Комментарий для zencd.livejournal.com:

Коррективы таки появились — уже представляю заголовки «„из тройки Vista, Mac Os X и Ubuntu устоял только Linux“ Стив кланяется Adobe за то что не одинок, Шаттлворт за то что единственный. :))

Кстати, немного поизучал вопрос, на фоне недавного обнаруженного бага в getaddrinfo() в дарвине меня терзают смутные сомнения что сафари был лишь инструментом. И пожалуй я был неправ насчет „конкурса с сомнительными правилами“, очень нужным и полезным делом занимаются люди, а я как раз похоже „начитался газет“.

niazique.com 2008

проверочка

Евгений Степанищев (bolknote.ru) 2008

Комментарий для niazique.com:

проверил? ну и как? видно что-нибудь?