Apple alkaa ottaa tietoturvan tosissaan

kinkki · Viesti Kirjoittaja **kinkki** » 7.3.2011 klo 15.44

Tälläinen sattui silmään.
http://www.tietoviikko.fi/kaikki_uutise ... t-07032011

Sherukka · Viesti Kirjoittaja **Sherukka** » 7.3.2011 klo 16.31

On se silti peelo tuo Charlie Miller. Jos itse tietäisin haavoittuvuuden niin tietysti raportoisin siitä heti. Tietokoneet ovat olleet riittävän turvallisia jo vuosikymmeniä mutta median mukaan eivät koskaan, näinhän se menee oli asia mikä tahansa. Jatkan turvatonta elämääni.

Mailia · Viesti Kirjoittaja **Mailia** » 7.3.2011 klo 16.37

Sherukka kirjoitti:On se silti peelo tuo Charlie Miller.

Ai miten niin?

Sherukka · Viesti Kirjoittaja **Sherukka** » 7.3.2011 klo 16.42

Mailia kirjoitti:
Sherukka kirjoitti:On se silti peelo tuo Charlie Miller.
Ai miten niin?

Katso yllä, panttaa noita aukkoja kokonaisen vuoden tai enemmän. En luottaisi kaveriin sentinkään edestä.

Mailia · Viesti Kirjoittaja **Mailia** » 7.3.2011 klo 16.44

Sherukka kirjoitti:
Mailia kirjoitti:
Sherukka kirjoitti:On se silti peelo tuo Charlie Miller.
Ai miten niin?
Katso yllä, panttaa noita aukkoja kokonaisen vuoden tai enemmän. En luottaisi kaveriin sentinkään edestä.

Pwn2Ownista saa rahaa. Rahalla elättää perhettä.

spiidi78 · Viesti Kirjoittaja **spiidi78** » 8.3.2011 klo 18.13

Voisi tietysti kunnioittaa lähteitä: http://www.mikropc.net/kaikki_uutiset/article588340.ece

Tietoviikko voisi yrittää lukea alkuperäisen lähteen ajatuksella ennenkuin kopioi...
"Turva-alan vuosittainen kilpailu järjestetään jälleen ensi viikolla.".. TiVi:n juttu kirjoitettu eilen, alkuperäinen viime viikolla.

securapple · Viesti Kirjoittaja **securapple** » 11.3.2011 klo 11.06

Hei!

Näillä "kilpailuillla" ei ole mitään tekemistä tuotteiden tietoturvatason kanssa. Kaikista selaimista löytyy tietoturva-aukkoja, sillä niiden toiminta on niin monimutkaista että pakostakin muutama bugi jää huomaamatta.

EDIT: Esim. Apple korjasi eilen Safari 5.0.4 :ssä 62 tietoturvahaavoittuvuutta joista 57 kappaletta oli suoria "drive-by" -haavoittuvuuksia!
Tarkoittaa että jos surffaamallasi sivustolla olisi ollut osX haitta/vakoiluohjelma, se olisi tarttunut huomaamattasi.
Itse käytän OSX:ssä safaria vain verkkokaupoissa, verkkopankeissa. Firefox tai Chrome sitten muualla.Kaikissa tietysti asennettuna WOT -lisäosa(WebOfTrust).

Käytännössä nämä turvaukkelit pommittavat selaininstasseja kotonaan omilla testitapausseteillään joissa voi olla jopa satojatuhansia (arvaus) testitapauksia ("fuzzing" : http://en.wikipedia.org/wiki/Fuzz_testing).

Sitten kun bugi löytydetään(selain kaatuu käsitellessään oudosti muotoiltua http responsea), otetaan näistä lupaavimipia kandidaatteja ja aletaan kehittämään selaimeen murtautuvaa hyväksikäyttökoodia. Tämä osa vaatii todellista taitoa varsinkin jos joudutaan kiertämään selaimen suojauksia kuten ALSR, DEP sekä winkkarissa tuo protected mode.

Melkoisia guruja nämä henkilöt ovat käyttöjärjestelmien sisäisten toimintojen suhteen. CansecWest on yksi paikka josta saa sitten työlleen vastinetta. Tietääkseni käytetyt aukot raportoidaan selaimien valmistajille joten kaikki hyötyvät..

-Securapple

spiidi78 · Viesti Kirjoittaja **spiidi78** » 11.3.2011 klo 13.22

Safarin Webkit2-integrointia (joka on Lionissa mukana) odotellessa...

http://www.itviikko.fi/uutiset/2011/03/ ... 20113417/7

MacFinn · Viesti Kirjoittaja **MacFinn** » 11.3.2011 klo 13.50

spiidi78 kirjoitti:Safarin Webkit2-integrointia (joka on Lionissa mukana) odotellessa...

http://www.itviikko.fi/uutiset/2011/03/ ... 20113417/7

Hauskaa uutisointia. Se paikattu Safari on 5.0.4 ja se mitä murrossa käytettiin on 5.0.3. Olishan se toki aika vänkää, jos 5.0.4:n paikat olis mukana jo 5.0.3:ssa.

Mitä oikeita seuraamuksia on muuten näinä viime vuosina ollut siitä, että Safari tuolla aina murtuu? Paitsi lehtien jutut ja sitä kautta kirjoittajille leipää?

Mac Classic · Viesti Kirjoittaja **Mac Classic** » 11.3.2011 klo 17.52

MacFinn kirjoitti:Se paikattu Safari on 5.0.4 ja se mitä murrossa käytettiin on 5.0.3. Olishan se toki aika vänkää, jos 5.0.4:n paikat olis mukana jo 5.0.3:ssa.

Mutta hyödynnetty haavoittuvuus on siis edelleen myös Safari 5.0.4:ssä:
Ars Technica: pwn2own day one: Safari, IE8 fall, Chrome unchallenged.

Mailia · Viesti Kirjoittaja **Mailia** » 11.3.2011 klo 17.59

Mac Classic kirjoitti:
MacFinn kirjoitti:Se paikattu Safari on 5.0.4 ja se mitä murrossa käytettiin on 5.0.3. Olishan se toki aika vänkää, jos 5.0.4:n paikat olis mukana jo 5.0.3:ssa.
Mutta hyödynnetty haavoittuvuus on siis edelleen myös Safari 5.0.4:ssä:
Ars Technica: pwn2own day one: Safari, IE8 fall, Chrome unchallenged.

Tulee mukava olo Chrome-käyttäjänä.

mikian · Viesti Kirjoittaja **mikian** » 11.3.2011 klo 18.12

Mailia kirjoitti:
Mac Classic kirjoitti:
MacFinn kirjoitti:Se paikattu Safari on 5.0.4 ja se mitä murrossa käytettiin on 5.0.3. Olishan se toki aika vänkää, jos 5.0.4:n paikat olis mukana jo 5.0.3:ssa.
Mutta hyödynnetty haavoittuvuus on siis edelleen myös Safari 5.0.4:ssä:
Ars Technica: pwn2own day one: Safari, IE8 fall, Chrome unchallenged.
Tulee mukava olo Chrome-käyttäjänä.

Ai miksi? Siksi etta Chromea murtamaan ilmottautunut henkilo ei ilmestynyt paikalle? Mita se kertoo selaimesta... tuota... ei mitaan?

spiidi78 · Viesti Kirjoittaja **spiidi78** » 11.3.2011 klo 18.31

mikian kirjoitti:
Mailia kirjoitti: Tulee mukava olo Chrome-käyttäjänä.
Ai miksi? Siksi etta Chromea murtamaan ilmottautunut henkilo ei ilmestynyt paikalle? Mita se kertoo selaimesta... tuota... ei mitaan?

Se on ainut selain tällä hetkellä (edelleen, Webkit2 odotellessa), jossa murtautuminen on tehty jo arkkitehtuurillisesti äärimmäisen vaikeaksi, toisin kuin muissa.

Jos kaiken ei olisi nykyään "oltava netissä", niin tälläisistä asioista ei tarvitsisi edes olla huolissaan. Pilvipalvelujen vallankumousta (kauhulla) odotellessa.

Ps. iPhonen Safarista mennään tänään myös heittämällä läpi, koska JailBreakitkin on perustuneet sen haavoittuvuuksiin

"One possible reason for this is that Google published a Chrome update yesterday, closing at least 24 security flaws"

Hahah. Hyvin ajoitettu

Mailia · Viesti Kirjoittaja **Mailia** » 11.3.2011 klo 18.56

mikian kirjoitti:Ai miksi? Siksi etta Chromea murtamaan ilmottautunut henkilo ei ilmestynyt paikalle? Mita se kertoo selaimesta... tuota... ei mitaan?

Chromea murtamaan ilmottautui muistaakseni kaksi tahoa, joista toinen joukkue perui ja sanoi keskittyvänsä muuhun ja toinen ei ole edes saapunut paikalle. Minusta tuo kertoo sen, että kukaan ei osaa.

spiidi78 · Viesti Kirjoittaja **spiidi78** » 11.3.2011 klo 19.00

Mailia kirjoitti:
mikian kirjoitti:Ai miksi? Siksi etta Chromea murtamaan ilmottautunut henkilo ei ilmestynyt paikalle? Mita se kertoo selaimesta... tuota... ei mitaan?
Chromea murtamaan ilmottautui muistaakseni kaksi tahoa, joista toinen joukkue perui ja sanoi keskittyvänsä muuhun ja toinen ei ole edes saapunut paikalle. Minusta tuo kertoo sen, että kukaan ei osaa.

Ja Google olis tarjonnut jo pelkästään itse $20000 siitä. Ei kukaan hakkeri haluaisi olla ottamatta kunniaa ensimmäisenä joka tuosta selaimesta menee läpi

Apple alkaa ottaa tietoturvan tosissaan

Apple alkaa ottaa tietoturvan tosissaan

Re: Apple alkaa ottaa tietoturvan tosissaan

Re: Apple alkaa ottaa tietoturvan tosissaan

Re: Apple alkaa ottaa tietoturvan tosissaan

Re: Apple alkaa ottaa tietoturvan tosissaan

Re: Apple alkaa ottaa tietoturvan tosissaan

Re: Apple alkaa ottaa tietoturvan tosissaan

Re: Apple alkaa ottaa tietoturvan tosissaan

Re: Apple alkaa ottaa tietoturvan tosissaan

Re: Apple alkaa ottaa tietoturvan tosissaan

Re: Apple alkaa ottaa tietoturvan tosissaan

Re: Apple alkaa ottaa tietoturvan tosissaan

Re: Apple alkaa ottaa tietoturvan tosissaan

Re: Apple alkaa ottaa tietoturvan tosissaan

Re: Apple alkaa ottaa tietoturvan tosissaan