Sau­gu­mo eks­per­tų tei­gi­mu, „bau­gi­nan­ti“ pro­gra­mi­nės įran­gos spr­aga, su­kė­lu­si iPhone iš­ma­nių­jų te­le­fo­nų, iPad plan­še­čių ir Mac kom­piu­te­rių nau­do­to­jams įsi­lau­ži­mo ri­zi­ką, pa­ken­kė Apple, ver­tin­giau­sio pa­sau­lyje pre­kės žen­klo, re­pu­ta­ci­jai.

Apple saugumo spraga: ką reikia žinoti

Technikos pasaulio stebėtojai sako, kad ši spraga – apie kurią Apple tyliai pranešė penktadienį (02-21) ir pasistengė greitai išplatinti spragą "užlopantį" atnaujinimą – rodo, kad kompanijos stipraus saugumo reputacija gali būti pervertinta.

„Žmonės bendrai linkę manyti, „tai Apple, taigi, tai saugu,“ sako Brianas Bourne'as, vienas iš kasmetinės kibernetinio saugumo konferencijos SecTor, vykstančios Toronte rengėjų.

„Kadangi iš tiesų Apple veikia toje pat srityje, kaip ir bet kuri kita programinės įrangos kūrėja, jiems lygiai taip pat kyla saugumo spragų rizika, kaip ir visiems kitiems.”

Johannesas Ullrichas, Internet Storm Center tyrimų vadovas, stebintis internetines grėsmes, eina dar toliau: jis vadina Apple saugumo reputaciją „mitu“.

Apple naujausia saugumo spraga buvo paviešinta penktadienį, kai buvo išleista iOS 7.0.6 versija, paaiškinus, kad naujausia mobiliosios operacinės sistemos versija ištaisomas nesklandumas, susijęs su saugiu naršymu.

Aiškindama spragą, Apple sakė, kad „atakuotojas, turintis privilegijuotą poziciją tinkle, gali perimti ar pakeisti duomenis SSL/TLS apsaugotose sesijose“.

SSL/TLS yra šifravimo standartas, leidžiantis tinklo naršyklei susisiekti su tinklo serveriu ir patikrinti, ar tinklalapis nėra padirbtas ir sukurtas interneto sukčių, asmeninės informacijos iš jūsų kompiuterio ar mobilaus įrenginio vogti. Jį naudoja bankai, kredito kortelių kompanijos ir vyriausybinės agentūros, siekdamos išlaikyti ryšių slaptumą.

iOS spraga trukdydavo šį procesą, tad, pavyzdžiui, Apple Safari naršyklei būdavo sunku patvirtinti, kad interneto svetainė yra legitimi.

Populiarumas skatina pažeidžiamumą

Tinklaraščio įraše „Kodėl naujausia Apple saugumo spraga yra tokia baisi (Why Apple's Recent Security Flaw Is So Scary),” Gizmodo redaktorius Brianas Barrettas sako, kad dėl šios spragos Apple naudotojai gali nukentėti dėl vadinamos „žmogaus viduryje atakos.”

Tokia kriptografinė ataka vyksta tada, kai įsilaužėlis gali perimti bendravimą tarp jūsų naršyklės ir interneto puslapio, nuo asmeninio pokalbio iki finansinės informacijos.

Dėl šios spragos, „kas nors gali apgauti jus prisijungti prie panašiai atrodančios svetainės ir negalėtumėte jos atskirti nuo tikrosios, žvelgdami į SSL informaciją, ateinančią iš tos svetainės,” sako Ullrichas.

Bourne iš SecTor sako, kad Apple saugumo reputacija didžiąja dalimi laikosi dėl to, kad jos operacinė sistema labiau apriboja, ką gali daryti įdiegtos programos.

Bet klientų susižavėjimas tokiais mobiliaisais produktais, kaip iPhone ir iPad padarė Apple labiau patrauklesniu programišių taikiniu, sako Ursas Hengartneris, Waterloo inversiteto kompiuterijos mokslo departamento asocijuotasis profesorius.

„Dauguma [hakingo] išnaudojimų sukuria ir įgyvendina nusikaltėliai, iš to darantys pinigus, tad jie taikosi į populiarias platformas,” sako jis.

Kalbant apie Apple produktus, „nematėme tiek daug saugumo spragų, bent jau viešų,“ sako Hengartneris. Bet jis antrina programinės įrangos bendruomenės daugumai, teigiančiai, kad kai Apple aptinka problemą savo kode, su pataisymais neskuba.

Posūkio taškas?

Bourne'o vertinimu, ši probleminė Apple iOS versija „buvo gatvėje nuo spalio“, kai kompanija pristatė pataisą prblemų užlopymui kartu su naujos operacinės sistemos versijos paleidimu.

Naujausia iOS 7.0.6, versija, Apple teigimu, ištaisė klaidą mobiliuosiuose įrenginiuose. Antradienį Apple išleido OS X 10.9.2, ištaisančią SSL šifravimo klaidą Mac stalo ir nešiojamuosiuose kompiuteriuose.

Bourne'as pažymi, kad Apple reputacija nėra stipri kibersaugumo bendruomenėje, jungiančioje interneto svetaines ir forumus, kuriuose pranešama apie spragas ir dalinamasi pataisomis.

„Manau, kad didžioji dauguma žmonių, kurie stengiasi pranešti apie [programinės įrangos] pažeidžiamumus Apple, liko sumišę, sako Bourne'as. „Jie nedalyvauja saugumo bendruomenėje taip, kaip ” kitos kompanijos, ypač Microsoft, kuri aktyviai bendrauja su bendruomene, ieškodama spragų ir greitai jas ištaisydama.

Saugumo požiūriu Microsoft per pastarąjį dešimtmetį itin smarkiai pažengė į priekį, sako Bourne'as. Dešimtajame XX a. dešimtmetyje ir naujojo tūkstantmečio pradžioje Microsoft išleisdavo tiek daug savo operacinės sistemos saugumo pataisymų, kad jie gavo savo pavadinimą: „Pataisų antradieniai”, vykę kiekvieno mėnesio antrąjį antradienį.

Ulrichas sako, kad Microsoft lūžio momentas buvo Blaster internetinis kirminas, užkrėtęs Windows XP ir Windows 2000 naudojančius kompiuterius 2003-ųjų rugpjūtį. Užkrėtimų mastas privertė Microsoft sutelkti didesnį dėmesį savo operacinių sistemų saugumui, sako jis.

Hengartneris mano, kad su naujausia iOS saugumo spraga, Apple galėjo pasiekti panašų tašką.

„Jie tokioje pat situacijoje, kokioje Microsoft buvo prieš 10 – 15 metų,” sako jis.

Andre Mayer
www.cbc.ca

Apple saugumo spraga: ką reikia žinoti

Kompanija išleido iOS pataisą, bet kitos problemos lieka

Penktadienį kompanija išleido iOS 7.0.6 versiją, skirtą šiems įrenginiams:

iPhone 4 ir naujesniems modeliams, 5 kartos iPod touch, iPad 2 ir naujesnėms planšetėms. Tai atnaujinimas, kuriame yra ištaisoma SSL šifravimo klaida.

Kas yra saugumo spraga?

Dėl šios problemos įsibrovėliai galėjo sekti potencialiai jautrios informacijos mainus. Apple savo pagalbos naudotojams puslapyje išsireiškė taip:

„Žala: užpuolikas, esantis ryšio tinkle, gali perimti arba keisti duomenis SSL/TLS apsaugotose sesijose.“

Be pataisos, hakeris gali apsimesti apsaugota svetaine ir įsiterpti tarp jos ir jūsų – taip atlikdamas vadinamąją žmogaus viduryje ataką – kai elektroniniai laiškai ar finansiniai duomeny keliauja tarp naudotojo ir tikrosios svetainės.

Spraga atsiranda dėl to, kaip iOS suteikia svarbias tarnybas, žinomas, kaip saugių prievadų sluoksnis (secure sockets layer – SSL) ar transporto sluoksnio saugumas (transport layer security – TLS). Šie du saugumo sluoksniai leidžia ramiai perduoti informaciją tarp naršyklių ir tinklo serverių, ar tarp pašto serverių ir pašto klientų.

SSL yra šifravimo forma, pakeičianti tinklu siunčiamus duomenis taip, kad jie liktų slapti. Antrasis sluoksnis vykdo patikrinimą, ar serveris yra tas, kuo prisistato, t.y. autentiškas.

Ar pataisymas padės ir kokios grėsmės lieka?

iOS atnaujinimas ištaiso problemas su mobiliems įrenginiams skirta operacine sistema, bet dabartinė OS X 10.9.1 versija, skirta Mac stalo ir nešiojamiesiems kompiuteriams, ekspertų teigimu, tebėra pažeidžiama.

Tyrėjai netgi įspėja, kad hakeriai gali labai greitai rasti būdą apeiti penktadieninį pataisymą ir būsimus panašius pataisymus, kas norom nenorom verčia lyginti Apple su Microsoft programine įranga, kuriai istoriškai tekdavo liūto dalis kritikos dėl saugumo spragų, leidžiančių hakeriai įveikti šifravimą.

Pasak Adamo Langley'io, Google programinės įrangos vyr. inžinieriaus, rašančio į tinklaraštį ImperialViolet.org, yra „subtili klaida giliai kode.“

Langley'is sako, kad spraga kyla dėl vienos netinkamos kodo eilutės, nurodančios programoms prisijungti, pirma nepatikrinus svetainės saugumo sertifikatų.

Apple neatskleidžia, kada ar kaip ji sužinojo apie spragą, nei to, ar ji buvo išnaudojama. Bet kai kurie tyrėjai sako, kad problema buvo žinoma savaites, ar netgi mėnesius.

Apple sakė Reuters, kad pasiūlys OS X 10.9.1 pataisymus artimiausiomis dienomis.

Kaip gali apsisaugoti OS X naudotojai?

Kol kompanija visiškai užtaisys spragą, srities ekspertai pataria Macintosh nešiojamųjų kompiuterių su OS X 10.9.1 naudotojams vengti jungtis prie viešųjų WiFi taškų, kokie būna bibliotekose, oro uostuose ar kavinėse.

Pasak technologijų tyrėjo Ashkan Soltani, tie patys naudotojai taip pat turėtų vengti naudoti standartinę Apple interneto naršyklę (Safari) ir pašto programą (Mail.app). Abi jos naudoja Apple SSL/TTL saugumo sprendimą.

Tačiau, jei viešojo WiFi naudojimo išvengti neina, pasak Mac Observer svetainės, riziką turėtų sumažinti VPN profilio naudojimas.

Tarp pažeidžiamų programų yra iMessage, iBooks, ir Facetime, o taip pat Apple programinės įrangos atnaujinimo mechanizmas, tad jų naudojimo kol kas irgi reikėtų vengti.

Andre Mayer
www.cbc.ca

Komentarai (17)