Apple worstelt met beveiliging Mac en iPhone
Security is nog altijd geen natuurlijk proces voor Apple, zo werd de afgelopen weken weer eens duidelijk. Aan de ene kant liet "Cupertino" een vijf maanden oud Java-lek zitten dat al lang op andere platform is gepatcht, maar aan de andere kant wist het bedrijf de beveiligingsexpert van het One Laptop Per Child project binnen te halen. "Deze ontwikkelingen lijken bijna tegenstrijdig", zegt beveiligingsconsultant Rich Mogull. Volgens hem vindt Apple security belangrijk, maar heeft het moeite met het voeren van een effectief beleid. Met nieuwe versies van de iPhone en Mac OS X in aantocht, geeft Mogull Apple daarom vijf tips.
Als eerste moet Apple een Chief Security Officer (CSO) aanstellen, een functie die nu ontbreekt. Het tweede advies van Mogull is veilig programmeren. Op dit moment is er geen formeel beveiligingsbeleid. Aan de hand van een Secure Software Development Programma zou men veiligere programma's kunnen ontwikkelen. Daarnaast moet het beveiliging in alle onderdelen doorvoeren, van ontwerp en ontwikkeling tot testen. Het derde verbeterpunt is het opzetten van een Security Response Team. Er is op dit moment geen team voor het beheren van extern gemelde lekken of andere beveiligingsproblemen. Daardoor loopt het contact met onderzoekers moeilijk, iets wat een response team kan verbeteren. Ook helpt zo'n team bij het eerder patchen van lekken in third-party software.
Microsoft
Eén van de grootste problemen waar Apple mee te maken heeft, zijn lekken in de programma's van anderen. Het duurt echter vrij lang voordat dit soort kwetsbaarheden gepatcht zijn, terwijl dit bij andere platformen veel sneller het geval is. "Dit is voor een aanvaller een snelweg naar je desktop", aldus Mogull. Zo beschikt de populaire hackingtool Metasploit over een aparte Mac OS X module. Apple moet daarom een apart programma starten om de lekken in third-party componenten beter te monitoren en zodra oplossingen beschikbaar komen, die direct in de eigen software te verwerken.
Het laatste advies dat Apple krijgt is het implementeren van anti-exploit technologieën die het lastiger voor aanvallers moeten maken om het systeem over te nemen. "Zoals Microsoft nu leert is het belangrijk om deze maatregelen ook in individuele applicaties door te voeren, niet alleen het besturingssysteem, zodat een enkele browser plugin niet de beveiliging kan omzeilen. Apple zit in een betere positie om deze regels door te drukken dan Microsoft en kan dus beter Mac en iPhone gebruikers beschermen."
Verder moet ik zeggen dat Mac gebruikers om mij heen niet snel geneigd zijn om illegale software en/of muziek en/of films te downloaden, hetgeen een uitrol van malware door criminelen voorkomt. Een factor die mogelijk 'scene' afhankelijk is.
Mbt beveiliging, in Safari4 is het niet meer mogelijk om de browser op zijn knieen te krijgen via plug-ins, alleen de plug-in crashed dan en Safari4 blijft overeind, Wat dit exact te betekenen heeft voor attacks via deze vector weet ik nog niet.
Voor de rest, Snow Leopard heeft wat aardige features om hackers tegen te gaan. Wat ik begrepen heb, is dat dus in de 64bit versie, wat meer sandbox-achtige constructies bestaan.
Verder moet ik zeggen dat Mac gebruikers om mij heen niet snel geneigd zijn om illegale software en/of muziek en/of films te downloaden, hetgeen een uitrol van malware door criminelen voorkomt. Een factor die mogelijk 'scene' afhankelijk is.
Mbt beveiliging, in Safari4 is het niet meer mogelijk om de browser op zijn knieen te krijgen via plug-ins, alleen de plug-in crashed dan en Safari4 blijft overeind, Wat dit exact te betekenen heeft voor attacks via deze vector weet ik nog niet.
Voor de rest, Snow Leopard heeft wat aardige features om hackers tegen te gaan. Wat ik begrepen heb, is dat dus in de 64bit versie, wat meer sandbox-achtige constructies bestaan.
Mac os x is nog lekker dan windows 7.
Maar omdat er geen geld te verdiene is met osx omdat heel wienig mensen het hebben komen er geen hacks..
Als het hoger komt en mensen zien er werk in..
Dan komen die hacks makkelijk + het fiet dat elk persoon verstand van windows heeft..
En als je hacks voor mac gaat maken moet je eerst zelf mac kopen.. $$ + het besturingssysteem kennen..
En de leks..
HET KOM JONGE..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
