Mac is the first to fall in Pwn2Own hack contest

[macgiorgosgr]

Το άρθρο, με όλο τον σεβασμό προς τον συγγραφέα και αυτούς που το αναδημοσιεύουν, λέει μπούρδες. Κάντε μια βόλτα από τη secunia και δείτε τις τρύπες των XP. Σε ΕΝΑ λειτουργικό σύστημα της Microsoft, υπήρξαν μέχρι στιγμής 203 αναφορές, σχεδόν διπλάσιες από αυτές για την Apple. Σημειωτέον ότι τα 113 αποτελούν bugs σε 4 διαφορετικά λειτουργικά. Το ποσοστό είναι επίσης υψηλότερο, 14% για τα XP και φυσικά οι απόλυτοι αριθμοί υψηλότεροι επίσης.
Προσπαθούν όλοι να μας πείσουν ότι το MacOS είναι άχρηστο από πλευράς ασφάλειας. Έλεος πια, έλεος.

[haHa]

Το άρθρο, με όλο τον σεβασμό προς τον συγγραφέα και αυτούς που το αναδημοσιεύουν, λέει μπούρδες. Κάντε μια βόλτα από τη secunia και δείτε τις τρύπες των XP. Σε ΕΝΑ λειτουργικό σύστημα της Microsoft, υπήρξαν μέχρι στιγμής 203 αναφορές, σχεδόν διπλάσιες από αυτές για την Apple. Σημειωτέον ότι τα 113 αποτελούν bugs σε 4 διαφορετικά λειτουργικά. Το ποσοστό είναι επίσης υψηλότερο, 14% για τα XP και φυσικά οι απόλυτοι αριθμοί υψηλότεροι επίσης.

Και μολις θα συμπληρωνα το post με τα λινκ απο τη secunia.

Xp
Mac Os X
Vista




To αρθρο αυτο:

Black Hat: Who patches security holes faster, Microsoft or Apple?

λεει για το ποιος απο τους 2 συνηθιζει να κλεινει τα vulnerabilities μεσα στην ιδια μερα που αποκαλυπτονται..

Researchers from the Swiss Federal Institute of Technology looked at how many times over the past six years the two vendors were able to have a patch available on the day a vulnerability became publicly known, which they call the 0-day patch rate.

They analyzed 658 vulnerabilities affecting Microsoft products and 738 affecting Apple. They looked at only high- and medium-risk bugs, according to the classification used by the National Vulnerability Database, said Stefan Frei, one of the researchers involved in the study.

What they found is that, contrary to popular belief that Apple makes more secure products, Apple lags behind in patching.

"Apple was below 20 [unpatched vulnerabilities at disclosure] consistently before 2005," Frei said. "Since then, they are very often above. So if you have Apple and compare it to Microsoft, the number of unpatched vulnerabilities are higher at Apple."

It's generally good for vendors to have a software fix available when a vulnerability is disclosed, since hackers often try to find out where the problem is in order to write malicious software to hack a machine.

Προσπαθούν όλοι να μας πείσουν ότι το MacOS είναι άχρηστο από πλευράς ασφάλειας. Έλεος πια, έλεος.

Ε και οι χρηστες mac προσπαθουν να βγαλουν αχρηστα απο πλευρας ασφαλειας τα vista που αντεξαν(χωρις την εγκατασταση third-party software) στον προσφατο διαγωνισμο, ενω το mac os x δεν αντεξε.
(γενικοτερα δεν μπορω να καταλαβω αυτον τον fanboyσμο και απο τις 2 πλευρες...)



Εγω την αποψη μου την εχω πει:
ολα αυτα ειναι κυριως φιλολογικα

Ρε παιδια και τι εγινε?

Δειξαν λοιπον οτι το Linux δεν μασησε τιποτα,οτι τα vista ειναι εξαιρετικα προσεγμενα και δεν καταφεραν να τους βρουν τρυπα παρα μονο μετα απο αρκετες προσπαθειες και μεσω third-party software, ενω το mac os x το "εσπασαν" ευκολα..

Και τι εγινε?

Τιποτα το ουσιαστικο,τιποτα που να ενδιαφερει τον οικιακο χρηστη...
Απλα επληξαν το γοητρο του Mac os x και τιποτα παραπανω..

Ολα αυτα ειναι κυριως φιλολογικα και οι χρηστες mac os x που τοσο καιρο υπερηφανευονταν οτι δεν εχει τρυπες (αληθεια τα security updates για καποιον λογο εβγαιναν),τωρα βρεθηκαν προ εκπληξεως.

Τιποτα δε θα αλλαξει,απλα επληξαν λιγο το γοητρο της apple,αλλα η apple και οι χρηστες του mac os x θα συνεχιζουν να υπερηφανευονται σε λιγο καιρο και παλι για την ασφαλεια του λειτουργικου. (που ηδη απο τις αντιδρασεις βλεπουμε οτι αντι να "κραξουν" το πιο ευαλωτο mac os x , κραζουν τα vista που δεν ειχαν προβληματα παρα μονο μεσα απο third-party software)



Αλλωστε αυτα δεν αφορουν ουσιαστικα τους οικιακους χρηστες...

[Flareman]

Mια ενδιαφερουσα ερευνα για το ποιος κλεινει πιο γρηγορα τις τρυπες:


Black Hat: Who patches security holes faster, Microsoft or Apple?


Και ενα γενικοτερο αρθρο:

Mac Security In Spotlight - MacBook Air Hacked, Apple Patch Times

Τι, μας λένε ότι ανέλυσαν 658 τρύπες των "προϊόντων" της Microsoft και 738 της Apple;

Δουλευόμαστε, προφανώς, και ο συντάκτης του άρθρου δεν το έχει πάρει καν πρέφα. Το σουρωτήρι τα Windows λιγότερα critical exploits από το OS X;

[haHa]

Το σουρωτήρι τα Windows λιγότερα critical exploits από το OS X;

Ρε παιδια μην εχουμε τετοιο φανατισμο...

Το λεω γιατι μπορει καποιος να γυρισει και να σου πει πως αυτο που αποκαλεις σουρωτηρι, αντεξε στον διαγωνισμο(μεχρι να επιτραπει η εγκατασταση third-party software) , ενω το mac os x δεν αντεξε...


Αλλωστε ολα αυτα επαναλαμβανω ειναι κυριως φιλολογικα ,δεν αφορουν τοσο τους οικιακους χρηστες αλλα ειναι κυριως θεμα γοητρου.

[Flareman]

Ρε παιδια μην εχουμε τετοιο φανατισμο...

Εγώ; Φανατικός; Επ' ουδενί, ειλικρινής χρήστης είμαι

Το λεω γιατι μπορει καποιος να γυρισει και να σου πει πως αυτο που αποκαλεις σουρωτηρι, αντεξε στον διαγωνισμο (μεχρι να επιτραπει η εγκατασταση third-party software) , ενω το mac os x δεν αντεξε...

Είχα στο μυαλό μου τα XP κυρίως, τα Vista ομολογουμένως είναι πιο ασφαλή και σταθερά (με αντάλλαγμα τη διαφάνεια του συστήματος, το τρελό βάρος που κουβαλάνε για να τρέξουν με αξιοπρεπείς ρυθμίσεις, το πρωτότοκο του χρήστη και την υπογραφή του με αίμα στη διακεκομμένη γραμμή*για να πουλήσει την ψυχή του). Αλλά εμμένω: η συγκεκριμένη τρύπα έκλεισε την ίδια μέρα κιόλας, κι ας ήταν θέμα γοήτρου που λες πιο κάτω. Η MS έχει αφήσει ιστορία με τον Blaster και διάφορες άλλες περιπτώσεις που είχαν αφήσει τους υπολογιστές των πιο άπειρων χρηστών τρύπιους επί πόσες μέρες/βδομάδες. Έχουν γίνει αυτά, δεν τα βγάζει κανείς απ' το μυαλό του.

Αλλωστε ολα αυτα επαναλαμβανω ειναι κυριως φιλολογικα ,δεν αφορουν τοσο τους οικιακους χρηστες αλλα ειναι κυριως θεμα γοητρου.

Σαφέστατα, αυτό ισχύει. Γι' αυτό κολλάω στο ζουμί: με τα Windows έχει δεινοπαθήσει κόσμος από θέμα ασφαλείας - με Macs ουδέποτε υπήρξε τέτοιο ζήτημα.

[flamelab]

με Macs ουδέποτε υπήρξε τέτοιο ζήτημα.

Aν δεν ήταν Unixοειδή όμως ? Πιστεύεις ότι δεν θα υπήρχε ;

[haHa]

Σαφέστατα, αυτό ισχύει. Γι' αυτό κολλάω στο ζουμί: με τα Windows έχει δεινοπαθήσει κόσμος από θέμα ασφαλείας - με Macs ουδέποτε υπήρξε τέτοιο ζήτημα.

Σωστος!

Εγω πιστευω πως οι περισσοτεροι απειροι χρηστες windows εχουν δεινοπαθησει λογω ιων και οχι τοσο λογω ασφαλειας.

[Patentman]

Σαφέστατα, αυτό ισχύει. Γι' αυτό κολλάω στο ζουμί: με τα Windows έχει δεινοπαθήσει κόσμος από θέμα ασφαλείας - με Macs ουδέποτε υπήρξε τέτοιο ζήτημα.

Χμμμ, δεν πρεπει να επικτρωνεσε στο μεσο αλλά στον σκοπο.
Σκοπος των ιων ειναι το χρημα.
Ειτε κλοπη προσωπικων δεδομενων και χρησιμοποιηση τους, ειτε εξαναγκασμος αγορας τριτου λογισμικου -να δουλευει η βιομηχανια προγραμματων.

Οποτε δεν εχει να κανει αν ηταν ΧΡ ή Mac OS, εχει να κανει με το οτι χτυπανε αυτο που εχει ζουμι (χρημα).

Δυστυχως ή ευτυχως το Mac OS ηταν και ειναι μειοψηφια.
Οποτε δεν γινονται συγκρισεις σε ανομοια πραγματα.

Θα εκλεβες μερικες τσιχλες οταν διπλα στο καλαθι ηταν τα ρολογια;

[sdikr]

Εγώ; Φανατικός; Επ' ουδενί, ειλικρινής χρήστης είμαι



Είχα στο μυαλό μου τα XP κυρίως, τα Vista ομολογουμένως είναι πιο ασφαλή και σταθερά (με αντάλλαγμα τη διαφάνεια του συστήματος, το τρελό βάρος που κουβαλάνε για να τρέξουν με αξιοπρεπείς ρυθμίσεις, το πρωτότοκο του χρήστη και την υπογραφή του με αίμα στη διακεκομμένη γραμμή*για να πουλήσει την ψυχή του). Αλλά εμμένω: η συγκεκριμένη τρύπα έκλεισε την ίδια μέρα κιόλας, κι ας ήταν θέμα γοήτρου που λες πιο κάτω. Η MS έχει αφήσει ιστορία με τον Blaster και διάφορες άλλες περιπτώσεις που είχαν αφήσει τους υπολογιστές των πιο άπειρων χρηστών τρύπιους επί πόσες μέρες/βδομάδες. Έχουν γίνει αυτά, δεν τα βγάζει κανείς απ' το μυαλό του.




Σαφέστατα, αυτό ισχύει. Γι' αυτό κολλάω στο ζουμί: με τα Windows έχει δεινοπαθήσει κόσμος από θέμα ασφαλείας - με Macs ουδέποτε υπήρξε τέτοιο ζήτημα.

O blaster που απλά ήθελε να έχεις ενα απλό firewall ενεργό;

ααα το patch ήταν εξώ 1 μήνα ποιο νωρίς

The worm was programmed to start a SYN flood on August 15, 2003 against port 80 of windowsupdate.com, thereby creating a distributed denial of service attack (DDoS) against the site. The damage to Microsoft was minimal as the site targeted was windowsupdate.com instead of windowsupdate.microsoft.com to which it was redirected. Microsoft temporarily shut down the targeted site to minimize potential effects from the worm.
The worm spread by exploiting a buffer overflow in the DCOM RPC service on the affected operating systems, for which a patch had been released one month earlier in MS03-026 and later in MS03-039.

[Flareman]

O blaster που απλά ήθελε να έχεις ενα απλό firewall ενεργό;

ααα το patch ήταν εξώ 1 μήνα ποιο νωρίς

Το θέτω ως παράδειγμα, δεν επικεντρώνω ειδικά στον Blaster. Το θέμα είναι κι εδώ πως το λειτουργικό δεν προστάτευσε. Σε έναν Mac απλώς τρέχεις το Software Update (που κανονικά δε χρειάζεται καν να το κάνεις, αν είσαι εντάξει στα μυαλά σου το έχεις βάλει στο αυτόματο) και ξενοιάζεις οριστικά

Χμμμ, δεν πρεπει να επικτρωνεσε στο μεσο αλλά στον σκοπο.
Σκοπος των ιων ειναι το χρημα.
Ειτε κλοπη προσωπικων δεδομενων και χρησιμοποιηση τους, ειτε εξαναγκασμος αγορας τριτου λογισμικου -να δουλευει η βιομηχανια προγραμματων.

Οποτε δεν εχει να κανει αν ηταν ΧΡ ή Mac OS, εχει να κανει με το οτι χτυπανε αυτο που εχει ζουμι (χρημα).

Δυστυχως ή ευτυχως το Mac OS ηταν και ειναι μειοψηφια.
Οποτε δεν γινονται συγκρισεις σε ανομοια πραγματα.

Θα εκλεβες μερικες τσιχλες οταν διπλα στο καλαθι ηταν τα ρολογια;

Δυστυχώς, όχι ευτυχώς κατ' εμέ Αλλά δε νομίζω ότι είναι ζήτημα ποσοστού - πάρα πολλοί servers τρέχουν *nixοειδή (που λέει και ο flamelab), δε θα είχε πολύ μεγαλύτερο αντίκτυπο να χτυπήσεις αυτά τα μηχανήματα; Παρ' όλ' αυτά, δε γίνεται. Είναι πρώτ' απ' όλα η υποδομή και ο σχεδιασμός που προστατεύουν το σύστημα, και η κληρονομιά του Unix είναι ισχυρή. Παίζει ρόλο και η στήριξη της μαμάς εταιρείας, πάντα, αλλά όταν αρχίζεις με το τρυπητό για τα μακαρόνια... άντε να μαζέψεις τα ασυμμάζευτα

Σωστος!

Εγω πιστευω πως οι περισσοτεροι απειροι χρηστες windows εχουν δεινοπαθησει λογω ιων και οχι τοσο λογω ασφαλειας.

Αγκριντ. Κι αυτό ως θέμα ασφαλείας το αντιμετωπίζω. Ότι υπάρχει πολλή βλακεία πάντως δεν το συζητάμε - όταν ο άλλος δεν έχει διδαχθεί τη στοιχειώδη ασφαλή συμπεριφορά στο Internet, μακάρι να τρέχει το πιο ασφαλές λειτουργικό του σύμπαντος θα τα τσακίσει όλα. Εκεί χωλαίνουμε πολύ και κανείς δεν ασχολείται με αυτό το θέμα:/

Aν δεν ήταν Unixοειδή όμως ? Πιστεύεις ότι δεν θα υπήρχε ;

Εξαρτάται την υποδομή. Αν δεν ήταν Unixοειδή αρκετά πιθανό να είχαν προβλήματα (τι σύστημα έχεις κατά νουν; ). Αν είχαν την αρχιτεκτονική των Windows σίγουρα πάντως!

[hedgehog]

Το θέτω ως παράδειγμα, δεν επικεντρώνω ειδικά στον Blaster. Το θέμα είναι κι εδώ πως το λειτουργικό δεν προστάτευσε. Σε έναν Mac απλώς τρέχεις το Software Update (που κανονικά δε χρειάζεται καν να το κάνεις, αν είσαι εντάξει στα μυαλά σου το έχεις βάλει στο αυτόματο) και ξενοιάζεις οριστικά

Μα... και στην περίπτωση του blaster... απλά ένα software update χρειαζόταν να τρέξεις,,, (που κανονικά ούτε αυτό χρειαζόταν να κάνεις, αν το είχες στο αυτόματο)...

Είναι νομίζω ατυχής η οποιαδήποτε αναφορά τουλάχιστον στους Blaster / Sasser οι οποίοι εκμεταλλευόταν αδυναμίες οι οποίες είχαν διορθωθεί πολύ πριν την εμφάνιση των ιών...

[Flareman]

Μα... και στην περίπτωση του blaster... απλά ένα software update χρειαζόταν να τρέξεις,,, (που κανονικά ούτε αυτό χρειαζόταν να κάνεις, αν το είχες στο αυτόματο)...

Είναι νομίζω ατυχής η οποιαδήποτε αναφορά τουλάχιστον στους Blaster / Sasser οι οποίοι εκμεταλλευόταν αδυναμίες οι οποίες είχαν διορθωθεί πολύ πριν την εμφάνιση των ιών...

Απορώ και εξίσταμαι: γιατί εμένα ουδέποτε δε μου είχε ενημερώσει τον υπολογιστή; Κι ας το είχα στο αυτόματο;

Τέλος πάντων, το point μου θεωρώ ότι το έχω δώσει Συγκριτικά, το OS X και τα *nixοειδή (συμπεριλαμβάνω εννοείται και το FreeBSD μέσα) είναι κλάσεις ανώτερα των Windows σε όλους τους τομείς ασφαλείας.

[macgiorgosgr]

α) Στην περίπτωση του Blaster δεν μπορούσες να τρέξεις Software Update γιατί το σύστημα κρεμούσε μέσα σε δύο λεπτά. Την εποχή που βγήκε ο Blaster η λέξη DSL ήταν άγνωστη στην Ελλάδα και όλοι ήταν με απλά μοντεμάκια και στην καλύτερη είχαν Netmod. Το θέμα δεν είναι τί κάνεις όταν καείς, το θέμα είναι τί κάνεις για να μην καείς. Ούτε το System Restore λειτουργούσε, γιατί άπαξ και έμπαινες Internet μολυνόταν και το προηγούμενο snapshot. Ο Blaster ήταν τρομακτικό παράδειγμα του τί είναι ένας πραγματικός ιός που δεν χρειάζεται καμία ενέργεια από τον χρήστη για να ενεργοποιηθεί και να πολλαπλασιαστεί.
β) Οι web servers, δλδ. το πιο ευάλωτο κομμάτι του Internet λόγω 24/7 και στατικών IP και ανοιχτών ports τρέχει σε *nix συστήματα. Ρίξε ένα bot εκεί πάνω και να δούμε πότε θα το πάρει χαμπάρι ο administrator αν έχει να διαχειριστεί φερ' ειπίν 200 μηχανάκια.
γ) Ακόμα κι αν δεχτούμε το μικρό ποσοστό αγοράς του MacOS για την ασφάλειά του: Δεν είναι μόνο ο blaster. Υπάρχουν χιλιάδες παραδείγματα irc & msn bots, σπαμομηχανές, απλά καταστροφικοί κτλ. με τη μορφή trojans, worms, virus, Γύρω στους 65000 το πλήθος, συγκρινόμενοι με ...πόσοι αλήθεια; Η ανυπαρξία ιών από μόνη της καθιστά ασφαλές ένα σύστημα.
δ) Το σύστημά μου για ένα χρόνο ήταν πάνω σε DMZ, γιατί μοίραζε Internet και δεν είχε antivirus, ούτε καν offline. Από botάκια και ssh attacks, άλλο τίποτα, αλλά τίποτα δεν πέρασε ποτέ. Αυτό είναι real world test, Αντίθετα, το Windows PC του κολλητού στο ασύρματο είχε κολλήσει διάφορους, με firewall και antivirus. Είπατε κάτι;
ε) Don't feed the troll.

[nickolas2005]

Και εγώ ρε παιδιά εχω μακ, δεν εχω ουτε antivirus ούτε τιποτα και δεν έχω κανένα πρόβλημα...

Με windows καθε τρεις και λίγο ήθελα φορματ...

Καλα τα τεστ αλλα η πραγμάτικότητα αλλα συμπεράσματα βγάζει..

[Patentman]

Για να τα λεμε σωστα.
Τοσο εγω, οσο και γνωστοι, ειμασταν χωρις antivirus για πολλα χρονια.
Για πανω απο 5 χρονια ειχα την εγκατασταση των ΧΡ (που ξεκινησε απο Gold και μετα περαστηκε το SP1).
Χωρις φορματ. Και τα "εφτυσε" λογω οτι τα επαιξε ο δισκος...

Ας μην κρυβομαστε.
Τους ιους τους βαζουμε οι ιδιοι. Δεν μπαινουν απο μονοι τους.

Κανεις κλικ και "αγοραζεις" ενα προγραμμα αλλά το "αρχειακι" που τρεχεις ξερεις τι εχει;

Μετα σου γυαλιζουν τα free pack emoticons...λες και δεν σου κανουν τα νορμαλ ή το να τα ανεβασεις εσυ.
Βαλε και απο κει οτι "κατεβασες".

Κανε κλικ και "σε αυτο το δωρεαν codec" για να δεις το "βιντεο" που κατεβασες.

Κανε κλικ και εκει για να κατεβασεις "δωρεαν" τις νεες επιτυχιες, κτλ.

Στο 99.9999% των περιπτωσεων εσυ τον εγκαθιστας τον ιο και οχι "απο μονος του", επειδη ετσι του "ηρθε".