Technikos pasaulio stebėtojai sako, kad ši spraga – apie kurią „Apple“ tyliai pranešė vasario 21 dieną ir pasistengė greitai išplatinti spragą „užlopantį“ atnaujinimą – rodo, kad kompanijos stipraus saugumo reputacija gali būti pervertinta.
„Žmonės bendrai linkę manyti, „tai „Apple“, taigi, tai saugu“, – sako Brianas Bourne'as, vienas iš kasmetinės kibernetinio saugumo konferencijos „SecTor“, vykstančios Toronte, rengėjų.
„Kadangi iš tiesų „Apple“ veikia toje pat srityje, kaip ir bet kuri kita programinės įrangos kūrėja, jiems lygiai taip pat kyla saugumo spragų rizika, kaip ir visiems kitiems.”
Johannesas Ullrichas, „Internet Storm Center“ tyrimų vadovas, stebintis internetines grėsmes, dar griežtesnis: jis vadina „Apple“ saugumo reputaciją „mitu“.
„Apple“ naujausia saugumo spraga buvo paviešinta prieš savaitę, kai buvo išleista iOS 7.0.6 versija, paaiškinus, kad naujausia mobiliosios operacinės sistemos versija ištaisomas nesklandumas, susijęs su saugiu naršymu.
Aiškindama spragą, „Apple“ sakė, kad „atakuotojas, turintis privilegijuotą poziciją tinkle, gali perimti ar pakeisti duomenis SSL/TLS apsaugotose sesijose“.
SSL/TLS yra šifravimo standartas, leidžiantis tinklo naršyklei susisiekti su tinklo serveriu ir patikrinti, ar tinklalapis nėra padirbtas ir sukurtas interneto sukčių, asmeninės informacijos iš jūsų kompiuterio ar mobilaus įrenginio vogti. Jį naudoja bankai, kredito kortelių kompanijos ir vyriausybinės agentūros, siekdamos išlaikyti ryšių slaptumą.
iOS spraga trukdydavo šį procesą, tad, pavyzdžiui, „Apple Safari“ naršyklei būdavo sunku patvirtinti, kad interneto svetainė yra legitimi.
Populiarumas skatina pažeidžiamumą
Tinklaraščio įraše „Kodėl naujausia „Apple“ saugumo spraga yra tokia baisi (Why Apple's Recent Security Flaw Is So Scary),” Gizmodo redaktorius Brianas Barrettas sako, kad dėl šios spragos „Apple“ naudotojai gali nukentėti dėl vadinamos „žmogaus viduryje atakos”.
Tokia kriptografinė ataka vyksta tada, kai įsilaužėlis gali perimti bendravimą tarp jūsų naršyklės ir interneto puslapio, nuo asmeninio pokalbio iki finansinės informacijos.
Dėl šios spragos, „kas nors gali apgauti jus ir priversti prisijungti prie panašiai atrodančios svetainės ir negalėtumėte jos atskirti nuo tikrosios, žvelgdami į SSL informaciją, ateinančią iš tos svetainės,” sako J.Ullrichas.
B.Bourne'as iš „SecTor“ sako, kad „Apple“ saugumo reputacija didžiąja dalimi laikosi dėl to, kad jos operacinė sistema labiau apriboja, ką gali daryti įdiegtos programos.
Bet klientų susižavėjimas tokiais mobiliaisais produktais kaip iPhone ir iPad padarė „Apple“ patrauklesniu programišių taikiniu, sako Ursas Hengartneris, Waterloo inversiteto kompiuterijos mokslo departamento asocijuotasis profesorius.
„Daugumą įsilaužimų įgyvendina nusikaltėliai, iš to darantys pinigus, tad jie taikosi į populiarias platformas,” sako jis.
Kalbant apie „Apple“ produktus, „nematėme tiek daug saugumo spragų, bent jau visiems žinomų,“ sako U.Hengartneris. Bet jis antrina programinės įrangos bendruomenės daugumai, teigiančiai, kad kai „Apple“ aptinka problemą savo kode, su pataisymais neskuba.
Posūkio taškas?
B.Bourne'o vertinimu, ši probleminė „Apple iOS“ versija „buvo gatvėje nuo spalio“, kai kompanija pristatė pataisą problemų užlopymui kartu su naujos operacinės sistemos versijos paleidimu.
Naujausia iOS 7.0.6, versija, „Apple“ teigimu, ištaisė klaidą mobiliuosiuose įrenginiuose. Antradienį „Apple“ išleido OS X 10.9.2, ištaisančią SSL šifravimo klaidą Mac stalo ir nešiojamuosiuose kompiuteriuose.
B.Bourne'as pažymi, kad „Apple“ reputacija nėra stipri kibersaugumo bendruomenėje, jungiančioje interneto svetaines ir forumus, kuriuose pranešama apie spragas ir dalinamasi pataisomis.
„Manau, kad didžioji dauguma žmonių, kurie stengiasi pranešti apie [programinės įrangos] pažeidžiamumus „Apple“, liko sumišę, – sako B.Bourne'as. – Jie nedalyvauja saugumo bendruomenėje taip, kaip“ kitos kompanijos, ypač „Microsoft“, kuri aktyviai bendrauja su bendruomene, ieškodama spragų ir greitai jas ištaisydama.
Saugumo požiūriu „Microsoft“ per pastarąjį dešimtmetį itin smarkiai pažengė į priekį, sako B.Bourne'as. Dešimtajame XX a. dešimtmetyje ir naujojo tūkstantmečio pradžioje „Microsoft“ išleisdavo tiek daug savo operacinės sistemos saugumo pataisymų, kad jie gavo savo pavadinimą: „Pataisų antradieniai”, vykę kiekvieno mėnesio antrąjį antradienį.
J.Ullrichas sako, kad „Microsoft“ lūžio momentas buvo „Blaster“ internetinis kirminas, užkrėtęs Windows XP ir Windows 2000 naudojančius kompiuterius 2003-ųjų rugpjūtį. Užkrėtimų mastas privertė „Microsoft“ skirti didesnį dėmesį savo operacinių sistemų saugumui, sako jis.
U.Hengartneris mano, kad su naujausia iOS saugumo spraga, „Apple“ galėjo pasiekti panašų tašką.
„Jie tokioje pat situacijoje, kokioje „Microsoft“ buvo prieš 10–15 metų,” sako jis.
