Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Apple produkuje najwięcej... dziur

Recommended Posts

Z danych firmy Secunia wynika, że Apple zostało światowym liderem pod względem liczby dziur w firmowym oprogramowaniu. Koncern Jobsa wyprzedził pod tym względem dotychczasowego lidera - Oracle'a.

W pierwszej połowie 2010 roku w programach Apple'a znaleziono więcej dziur niż u jakiegokolwiek innego producenta, Oracle spadł na drugie miejsce, a na trzecim znalazł się Microsoft.

Secunia prowadzi ranking Top-10 od 2005 roku. Firma zauważa, że przedsiębiorstwa znajdujące się na tej liście odpowiadają za 38% wszystkich znajdowanych dziur.

Już pierwszy ranking pokazał, że najwięcej luk znajduje się w oprogramowaniu Apple'a, następny uplasował się Oracle, a na trzecim miejscu był Microsoft. Rok później w programach Apple'a znaleziono mniej dziur niż u dwóch wyżej wymienionych producentów producentów. Jednak już w roku 2007 Apple wyprzedził Microsoft i od tamtej pory ranking wyglądał następująco: 1. Oracle, 2. Apple, 3. Microsoft. Obecnie Apple wysunął się na prowadzenie. Na liście znajdziemy też HP, Adobe, IBM-a, VMware, Cisco, Google'a i Mozillę. Taka też była kolejność w pierwszej połowie bieżącego roku.

Z raportu Secunii dowiadujemy się również, że od 5 lat praktycznie nie zmienia się odsetek luk w różnych kategoriach zagrożenia. Firma stosuje 5-stopniową skalę, od "nie krytyczna" do "skrajnie krytyczna". W latach 2005-2009 ponad 50% luk znajdowało się w kategorii "wysoce krytyczna" i "umiarkowanie krytyczna", 32% zaliczono do "mało krytycznych", a tylko 0,2% zyskało notę "skrajnie krytyczna".

Najwięcej dziur daje atakującemu dostęp do systemu. Średnio za lata 2005-2009 luki takie stanowiły 33% wszystkich. Warto jednak zauważyć, że w ciągu ostatnich dwóch lat ich liczba nieco spadła. Regularnie rośnie za to liczba dziur pozwalających na przeprowadzenie ataków XSS (cross-site scripting). Wszystkie zmiany są jednak stosunkowo niewielkie i od roku 2005 wśród 29 000 programów badanych przez Secunię nie zauważono żadnego znaczącego spadku czy wzrostu liczby luk.

Warto jednak zauważyć, że w latach 2007-2009 liczba dziur, na jakie narażony jest przeciętny użytkownik komputera zwiększyła się dwukrotnie, z 220 do 420. Dane z pierwszej połowy bieżącego roku sugerują, że będziemy świadkami kolejnego wzrostu, tym razem do 760 dziur.

Secunia zaleca również, by zwrócić szczególną uwagę na oprogramowanie firm trzecich działających pod kontrolą systemu Windows. Okazuje się bowiem, że na przeciętnym pececie zainstalowanych jest 50 programów, w tym 26 wyprodukowanych przez Microsoft i 24 od innych producentów. W programach Microsoftu znajduje się tymczasem 3,5-krotnie mniej dziur, niż w innych programach. Prawdopodobnie w bieżącym roku stosunek dziur w programach Microsoftu do dziur w programach firm trzecich zmieni się na 1:4,4.

Share this post


Link to post
Share on other sites

Wystarczy zainstalować "Quick Time" pod windowsa i już wszystko jasne... Jeden z głupszych odtwarzaczy z jakimi się spotkałem w życiu: interfejs żenada, uruchamia się kilka sekund nawet na najszybszym kompie, bez pytania ingeruje w inne programy tj. przeglądarki internetowe, bez możliwości wyłączenia swoich dokonań w opcjach. Przyjęło się uważać, że każdy program ma jakieś błędy - jeden ma mniej drugi więcej, ale ogólnie ręce opadają jak się trzeba użerać z tymi badziewiami, za które chcą często niemałe pieniądze... Nie wiem po co oni tych testerów mają, chyba tylko do picu...

Share this post


Link to post
Share on other sites

Mysle, ze to, o czym pisze autor, a takze i ty, deft, to tylko wierzcholek gory lodowej. Warto byloby tez wspomniec o nowym patencie Apple, ktory zamierzaja wykorzystac w swoich systemach i urzadzeniach: iAd platform, czyli system 'wspierany' reklamami ...

http://www.appleinsider.com/articles/10/07/22/apple_shows_continued_interest_in_an_ad_supported_operating_system.html

Share this post


Link to post
Share on other sites

Apple coraz bardziej przesadza w dziedzinie softu pod względem inwigilacji i dziurawości , lepiej omijać ich sprzęt szerokim łukiem

Share this post


Link to post
Share on other sites

Warto też wspomnieć o braku jakichkolwiek zabezpieczeń jeśli chodzi o Windowsa (nawet najnowszego) - programy w celu zainstalowania potrzebują uprawnień administratora, co wiąże się też z nieograniczonym dostępem do internetu i możliwością przesyłania naszych danych... To co nam sprzedają pod przykrywką bezpiecznych systemów to bajki. Nawet dobry antywirus z firewallem nie chroni w 100%, ale przynajmniej blokuje dostęp do internetu niechcianym programom.

Share this post


Link to post
Share on other sites

Bezpieczne systemy istnieja, ale nie dowiedzie sie o nich z telewizji, reklamowek, bannerow ...

Fakt pozostaje jednak taki, ze kazdy ma wybor i - o ile dysponuje umiejetnosciami wyszukiwania informacji - odnajdzie wiele sensownych rozwiazan, ktore nie sa obarczone bledami korporacyjnego myslenia.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Za znalezienie luki w produktach Apple'a można będzie otrzymać do miliona dolarów. Ivan Krstic, odpowiedzialny w Apple'u za kwestie bezpieczeństwa, poinformował podczas dorocznej konferencji Black Hat, że firma zwiększa z 200 000 do 1 000 000 limit kwoty, jaką płaci za znalezione dziury. Przedsiębiorstwo chce w ten sposób zachęcić odkrywców luk, by informowali je o ich istnieniu, zamiast by sprzedawali je na czarnym rynku.
      Co więcej, program nagród nie będzie ograniczony tylko do iPhone'a ale będzie dotyczył również innych produktów, jak iPad, Mac, Apple Watch czy Apple TV.
      Dotychczas firma płaciła do 200 000 USD za informacje o dziurach, ale krytykowano ją, że to zbyt mała kwota, więc istnieje pokusa sprzedaży informacji na czarnym rynku, co negatywnie odbiłoby się na bezpieczeństwie użytkowników firmowych produktów.
      Oczywiście nie dostaniemy miliona dolarów za każdą informację o luce. Najwyższą kwotę przewidziano tylko dla znalazców najpoważniejszych najbardziej groźnych dziur. Ponadto do 500 000 dolarów zwiększono kwotę za informacje o dziurach pozwalających na nieuprawniony dostęp do danych użytkownika.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Eksperci z firmy Eclypisium ostrzegają, że ponad 40 sterowników dla systemu Windows zawiera dziury, które mogą zostać wykorzystane do ataku na pecety i serwery. Błędy występują w produktach wielu gigantów IT, takich jak Intel, Toshiba, Huawei czy Asus. Narażone na atak są wszystkie wersje Windows.
      Dziury znalezione przez pracowników Eclypsium pozwalają na zwiększenie uprawnień w dostępie do sprzętu. Za ich powstanie odpowiada niedbałość w pisaniu kodu i niezwracanie uwagi na kwestie bezpieczeństwa.
      Eclypsium już poinformowało wszystkich 20 producentów sterowników. Dotychczas 15 z nich poprawiło swoje oprogramowanie. Sterowniki załatali m.in. Intel, Huawei, Toshiba, NVIDIA, Gigabyte, Biostar, AsRock, AMI, Realtek, ASUSTek czy AMD. Kilku producentów nie wypuściło jeszcze poprawek, dlatego ich nazw nie ujawniono.
      Błędy w sterownikach zdarzają się dość często. W czerwcu Microsoft poprawiał swój sterownik dla urządzeń bezprzewodowych firmy Broadcom, a w marcu specjaliści z Redmond poinformowali Huawei o znalezieniu dziury w sterowniku highendowych MateBook'ów.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Apple prowadzi zaawansowane rozmowy w celu odkupienia od Intela jego wydziału zajmującego się produkcję układów scalonych do smartfonów, poinformowały anonimowe źródła na łamach The Wall Street Journal. Jeśli transakcja dojdzie do skutku Apple zyska kontrolę nad rozwojem i produkcją krytycznych elementów iPhone'a.
      Negocjacje, które mogą zakończyć się porozumieniem już w przyszłym tygodniu, obejmują zakup portfolio patentów oraz pracowników. Transakcja może być warta miliard dolarów lub nawet więcej. Oczywiście w przypadku tak wielkich firm jak Apple i Intel prognozy co do kwoty transakcji mogą znacząco odbiegać od rzeczywistości, jednak tak czy inaczej jeśli oba koncerny dojdą do porozumienia – a wszystko na to wskazuje – będzie to wydarzenie ważne i z finansowego, i ze strategicznego punktu widzenia.
      Apple zyska patenty oraz doświadczonych pracowników, którzy od wielu lat pracują m.in. nad rozwojem technologii 5G. Przejęcie tych ludzi i patentów może zaoszczędzić Apple'owi wiele lat pracy. Apple nie od dzisiaj pracuje nad zwiększeniem smartfonów. Zmiana strategii jest konieczna w obliczu globalnego zmniejszenia wzrostu sprzedaży tych urządzeń. Dlatego też firma od dawna zatrudnia inżynierów i ogłosiła, że w samym San Diego zatrudni kolejnych 1200 osób.
      Dla Intela pozbycie się wydziału produkcji układów scalonych dla smartfonów również będzie korzystne. Wydział ten to poboczna działalność firmy, która dodatkowo obciąża ją finansowo. Anonimowe źródła twierdzą, że firma traci na nim około 1 miliarda dolarów rocznie i nie chce rozwijać się w tym kierunku. Intel chce wyjść z rynku smartfonów, jednak ma zamiar kontynuować prace nad 5G na rynek innych urządzeń.
      Wiadomo też, że Intel i Apple prowadzą rozmowy od niemal roku. Toczyły się one ze zmiennym szczęście. Doszło nawet do ich zawieszenia, gdy w kwietniu Apple podpisał wieloletnią umowę z Qualcommem na dostawę modemów do smartfonów.
      Przypomnijmy, że Intel kupił wydział produkcji modemów od Infineona w 2011 roku. Firma od ponad dekady pracuje nad 5G, jednak nie widzi możliwości zarobienia na tym przedsięwzięciu. Rozmowy Apple–Intel rozpoczęły się po odejściu prezesa Intela Briana Krzanicha, który stawiał na modemy dla smartfonów i uważał, że technologia 5G przyniesie w przyszłości duże zyski.
      Apple stopniowo przejmuje coraz większą kontrolę nad całością produkcji iPhone'ów. W ubiegłym roku firma za 600 milionów dolarów kupiła 300 inżynierów oraz zakłady produkcyjne od Dialog Semiconductor, producenta chipów zarządzających bateriami w iPhone'ach. Tradycyjnie Apple nie chciało zawierać dużych umów na dostawę podzespołów. Firma wolała przejąć rocznie 15–20 małych przedsiębiorstw, których technologię dało się łatwo zintegrować z jej własną. Jednak spowolnienie na rynku smartfonów spowodowało, że Apple stało się bardziej otwarte na większe umowy. Dotychczas największym przejęciem firmy jest zakup za 3 miliardy dolarów firmy Beats Electrnics, któreg dokonano w 2014 roku.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Gavin Thomas, który w Microsofcie sprawuje funkcję Principal Security Engineering Manager, zasugerował, że ze względów bezpieczeństwa czas porzucić języki C i C++. Thomas argumentuje na blogu Microsoftu, że rezygnacja ze starszych języków na rzecz języków bardziej nowoczesnych pozwoli na wyeliminowanie całej klasy błędów bezpieczeństwa.
      Od 2004 roku każdy błąd naprawiony w oprogramowaniu Microsoftu jest przez nas przypisywany do jednej z kategorii. Matt Miller podczas konferencji Blue Hat w 2019 roku zauważył, że większość tych dziur powstaje wskutek działań programistów, którzy przypadkowo wprowadzają do kodu C i C++ błędy związane z zarządzeniem pamięcią. Problem narasta w miarę jak Microsoft tworzy coraz więcej kodu i coraz silniej zwraca się w stronę oprogramowania Open Source. A Microsoft nie jest jedyną firmą, która ma problemy z błędami związanymi  z zarządzaniem pamięcią, pisze Thomas.
      W dalszej części swojego wpisu menedżer wymienia liczne zalety C++, ale zauważa, że język ten ma już swoje lata i pod względem bezpieczeństwa czy metod odstaje od nowszych języków. Zamiast wydawać kolejne zalecenia i tworzyć narzędzia do walki z błędami, powinniśmy skupić się przede wszystkim na tym, by programiści nie wprowadzali błędów do kodu, czytamy.
      Dlatego też Thomas proponuje porzucenie C++. Jednym z najbardziej obiecujących nowych języków programistycznych zapewniających bezpieczeństwo jest Rust, opracowany oryginalnie przez Mozillę. Jeśli przemysł programistyczny chce dbać o bezpieczeństwo, powinien skupić się na rozwijaniu narzędzi dla developerów, a nie zajmować się tymi wszystkimi pobocznymi sprawami, ideologią czy przestarzałymi metodami i sposobami rozwiązywania problemów.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Podczas Aspen Security Forum Microsoft zaprezentował swój pierwszy system do elektronicznego głosowania oparty na Microsoft ElectionGuard. Prezentacja miała udowodnić, że system nadaje się dla osób niepełnosprawnych i jest na tyle tani, iż mogą z niego korzystać nawet władze lokalne. Jednocześnie dobrze zabezpiecza wybory.
      ElectionGuard to jedno z rozwiązań oferowanych w ramach microsoftowego Defending Democracy Program. Wraz z innymi narzędziami proponowanymi przez przemysł technologiczny i uczelnie, jest potrzebny do obrony demokracji, oświadczyli przedstawiciele Microsoftu.
      W ubiegłym roku Microsoft poinformował niemal 10 000 swoich klientów, że byli przedmiotem ataków ze strony państw. Około 84% takich ataków przeprowadzono przeciwko przedsiębiorstwom, a około 16% – przeciwko osobom prywatnym. Wiele z tych ataków nie miało nic wspólnego z wyborami czy innymi procesami demokratycznymi, jednak ich skala pokazuje, że państwa coraz częściej wykorzystują cyberataki do zdobycia informacji wywiadowczych, wpłynięcia na decyzje polityczne czy w innych celach.
      Większość ze wspomnianych ataków zostało przeprowadzonych przez Iran, Koreę Północną i Rosję. Irańskie źródła ataków otrzymały kryptonimy Holmium i Mercury, źródła rosyjskie nazwano Yttrium i Strontium, a źródło koreańskie zyskało kryptonim Thallium.
      W sierpniu ubiegłego roku Microsoft uruchomił też usługę AccountGuard, która zawiera system ostrzegający o atakach i jest skierowana do partii politycznych, organizacji pozarządowych itp.Od tamtego czasu system wysłał 781 ostrzeżeń o atakach przeprowadzonych przez państwa na organizacje uczestniczące w programie AccountGuard.
      Wracając zaś do Election Guard, należy zauważyć, że podczas pokazu zademonstrowano trzy główne elementy systemu.
      Pierwszy to możliwość głosowania bezpośrednio z ekranu Microsoft Surfece lub za pomocą Xbox Adaptive Controler, który został stworzony we współpracy z organizacjami pomagającymi osobomniepełnosprawnym. Drugi element, to specjalny kod, który jest generowany po oddaniu głosu. Wyborca może następnie wpisać ten kod na witrynie organizacji przeprowadzającej głosowanie, by upewnić się, że jego głos został policzony i nie został zmieniony. Wykorzystana technika szyfrowania homomorficznego pozwala na upewnienie się co do prawidłowości przebiegu głosowania bez jednoczesnego zdradzania, jak wyborca głosował. Co więcej, w ostatecznej wersji ElectionGuard SDK pojawi się możliwość niezależnej weryfikacji, przez mężów zaufania, członków komisji wyborczych, dziennikarzy czy inną dowolną osobę, czy głosy zostały zliczone i nie zmienione. Trzeci element ElectionGuard to możliwość dodatkowej końcowej weryfikacji przebiegu głosowania. Każdy z wyborców będzie mógł wydrukować swoją kartę do głosowania z zaznaczonym głosem, wrzucić ją do urny, a następnie sprawdzić na specjalnej witrynie, czy jego papierowy głos został zliczony.
      ElectionGuard to rozwiązanie opensource'owe i w ciągu najbliższych kilku tygodni Microsoft udostępni jego SDK na GitHubie. Koncern już porozumiał się z Columbia University i podczas przyszłorocznych wyborów prezydenckich wspólnie przeprowadzą pilotażowe testy ElectionGuard.

      « powrót do artykułu
×
×
  • Create New...