(yep, nog een aanvullende lange reactie dan, ff verder los)Stelling : Mavericks is wel gepatched en Mountain Lion Niet en daarmee net zo kwetsbaar als Mavericks voor de patch.
Vraag : Zijn Mavericks en Mountain Lion in een 1 op 1 vergelijking wel voldoende identiek? Met andere woorden; werken de kwetsbaarheden voor Mavericks echt/wel onder Mountain Lion of eerder?
Reden : Het lijkt erop dat Apple onder Mavericks-motorkap flink heeft lopen schuiven met code. De vraag is of en wie die kennis heeft en meeneemt in zijn haar kritiek op OS X kwetsbaarheden.
Onderbouwing : Aantoonbaar onderbouwen kan ik het niet want daarvoor ontbreekt mijn technische kennis.
Een artikel dat ik pas tegen kwam geeft mij redenen te twijfelen aan de stelling dat Mavericks en Mountain Lion in de basis voldoende identiek zijn en daarmee een 1 op 1 gelijk kwetsbaarheids niveau hebben.
"Breaking OS X signed kernel extensions with a NOP"
http://reverse.put.as/
Globaal lezende krijg ik de indruk dat het er niet beter op is geworden maar dat er in ieder geval redenen zijn om aan te nemen dat kwetsbaarheden voor Mavericks niet ook 1 op 1 zijn toe te passen voor Mountain Lion. Daarmee zou de kritiek te kort door de bocht kunnen zijn; beoordeling aan de programmeurs/techneuten.
voor mensen met bv. een witte MacBook (die zijn allemaal ge-EOL'd) schiet er ironisch genoeg niets anders over om een ondersteunde Windows-versie er op te duwen om een veilig systeem te behouden.
NeeNee, . . echnie
Overbekende aanname / Advies : Als je Mac geen nieuwer OS X ondersteunt is het 'game over' en kan je drie dingen doen; 1) een nieuwe Mac kopen, 2) Windows erop zetten (?!!!), 3) Linux erop zetten.
Larry slaat dit soort blah-adviezen even over, Intego is 'aanhoudend meester' in dit soort tips (Joshua),
2 dingen daarover :
1) m.i. onzinnige adviezen die niet aansluiten bij de praktijk, een Mac OS X gebruiker stapt echt niet zo makkelijk over naar een ander OS want komt daar niet zelden juist vandaan (mmm; in your wildest dreams baby ;-).
M.i. onzin voorbeelden hiervan (ander os installeren of nieuwe Mac kopen in plaats van het probleem proberen op te lossen)
- http://www.intego.com/mac-security-blog/what-to-do-if-your-mac-cant-run-os-x-mavericks/
- http://www.intego.com/mac-security-blog/what-to-do-if-your-mac-cant-run-mountain-lion/
2) volstrekt negeren van het feit dat Mac's met een ouder OS X best goed veilig te configureren zijn met hier en daar wat aanpassingen en wat extra software. Of dat gemakzucht is of een gebrek is aan kennis kan ik niet beoordelen.
En het negeren van het feit dat het dreigingsniveau voor de Mac relatief (of bijzonder) laag is (waar hebben we het dan over? ah, natuurlijk ik moet dat antiviruspakket kopen van leverancier X).
! Wat zijn dat voor fratsen? Security researchers horen m.i. te werken aan oplossingen en kijken naar wat werkt. Als je kennis van OS X tekort schiet, duik er dan verder in, yep tijd is geld.
! Het voorkomen van schaakmat is niet preventief of tijdens het spel de schaak-stukken en het bord snel inruilen voor een damspel (get the picture?), dat is in een aantal gevallen ronduit luiheid / onverschilligheid, of ronduit verkapt advertorial advies (who's paying?).Eerlijk is eerlijk : ik ben bepaald geen fan van dit soort door Intego gebezigde 'adviezen', maar , soms hebben ze op delen wel interessante informatie , voor Larry bijvoorbeeld.
Want, Hey!, dat is toevallig, Intego heeft juist op cve-delen wèl haar huiswerk eerder en beter gedaan (28 oktober) dan Larry, had hij beter direct deze link erbij kunnen geven (yep van Intego) :
- http://www.intego.com/mac-security-blog/os-x-mavericks-10-9-gets-security-update/
Evengoed is het dan nog steeds een klus om zijn beweringen allemaal te fact-checken.
Kwetsbaarheden ? : Er zijn ongetwijfeld zeer serieuze cve's die de aandacht verdienen, cve's die ook gelden voor oudere OS X-en, alleen dat maakt echter niet dat daarmee oudere OS X-en per definitie onveilig zijn.
Uit ervaring weet ik dat in ieder geval Lion 10.7, Snow Leopard 10.6, Leopard 10.5, Tiger 10.4 op manieren te configureren zijn die maken dat je daarmee met een gerust hart van alles kan doen (ja hoor, zelfs internet-bankieren).
Dat vraagt Wel enige investering / interesse / kennis / aangepaste houding van de gebruiker : je moet het willen weten en ervoor open staan, dan de kennis vergaren, en het toepassen.
Willen is een dingetje : Als je al adem haalt om over security te beginnen schieten mensen al in het (wel zo makkelijke) defensief : "geen interesse", ik wil het niet horen", "ik weet het niet en zal het ook niet gaan snappen", "te ingewikkeld", "afblijven want het werkt nu goed zo".
Afdeling SruisvogelMac's? Dat valt te bezien, het zijn gebruikers die er in ieder geval (gegund!) mee wegkomen vanwege het lage OS X dreigingsniveau en daarmee in zekere zin nog gelijk hebben/krijgen ook.
Prima, dan komen de vragen wel als het wel misgaat; kunnen we ook meteen goed aan de slag). Want bewezen dat het kan is het, en het was mazzelen, want wat als FlashBack/FlashFake werkelijk kwaadaardig was geweest, in de vorm van een BankingTrojan?!.
Maar het ging om ClickFraude, relatief sympathieke malware eigenlijk in vergelijking met andere malware. 'Eind goed al goed alles vergeten en vergeven, waar waren we gebleven?'
Niet te vergeten, de portemonnee natuurlijk (nl-sport) : Wel een veel te dure tweedehandsMac kopen (met 'schoon' geïnstalleerd OS X 10.3? ;-( ?!!) en geen aandacht voor een veilige configuratie (geld op?).
Wel een nieuwe Mac maar in de 7 jaar erna niet bereid zijn te investeren in wat onderhoud of security.
Dat gebeurt meestal / uiteindelijk pas als die Mac het echt niet meer doet (geen back-up natuurlijk ;-(. , maar wel geld voor een rechtszaak.
http://blog.iusmentis.com/2013/01/25/de-harddisk-van-een-op-leeftijd-zijnde-powerbook/
Goede raad hoeft niet duur te zijn, 'niet luisteren' of 'kop in het zand' kan je duur komen te staan. Dat zijn overigens geen natuurwetten, het zijn gezonde risico afwegingen; zoek tenminste naar een gezonde balans daarin.
Bewustwording van security : Is een algemeen moeilijk punt voor de grootste groep computergebruikers, dat is niet anders voor Mac gebruikers.
Ze hebben alleen nog steeds flink de wind mee en dat is mooi ; loop jij met een helm over straat omdat de kans bestaat dat er ooit een meteoriet op je kop kan vallen? Draag jij een helm op de fiets?
Nee,...? Waarom niet ,…?
Nou dan!
Het praktische en makkelijke gelijk van risico inschatting. Niets mis mee, dagelijkse functionaliteit van alledag.
FUD, Scareware, Anti Mac story's : Helpen niet bij het ontwikkelen van een gezonde interesse voor Security. In zekere zin verpest de industrie het voor zichzelf en bereikt het tegenovergestelde wat ze eigenlijk willen.
Inderdaad komen Mac gebruikers daar nog goed mee weg, een geluk bij (nog) geen ongeluk!
Stapje terug dus voor de schreeuwende security sellers svp : Voor niet actuele kwetsbaarheden (bij gebrek aan malware) waarschuwen moet je heel voorzichtig / met een zekere bescheidenheid aanpakken / zeer met mate toepassen.
Kom dan ook direct met werkbare oplossingen en begrijpelijke voorbeelden die relevant zijn. Anders luisteren mensen niet (schietend in het bekende deels terechte defensief) en zien je als een gladde praatjesmaker die een 'verzekering' probeert aan te smeren, of zoiets, vul maar in, terecht? een beetje wel hè? inmiddels.
Te vaak worden halve waarheden verteld (informatie weglaten die niet in je belang is, dat krijgen gebruikers door).
Tot die tijd is er (inschatting) 'weinig' tot 'geen droog brood' te verdienen met het geven van Mac security advies / cursussen of het maken van veilige systeemconfiguraties.
Helaas, het betreft waarschijnlijk een interessant spanningsveld tussen marktwerking (interesse en behoefte) en daadwerkelijk overtuigende marketing ; 2x afwezig?).
Werk aan de winkel voor de gebruiker zelf dan : In weerwil van M.R's / Joshua's / F-Secure-Sean's * advies
(kóóp die Nieuwe Mac nu eens, gééf dat geld nu eens royaal uit aan nieuwe vervangende software, máák die Apple verzameling eens compleet nieuw voor iedereen in huis!"),
neem eens in alle bescheidenheid nou maar eens wel de moeite om je Mac veilig te configureren.
Begin eens met alle voorkeursinstellingen van al je programma's en de SysteemVoorkeuren van je Mac. Werk niet meer onder een standaard account, etc etc.
Als het configureren niet lukt, zoek dan neutraal / realistisch advies (die krijg je waarschijnlijk niet altijd in een .. store, resellerwinkel, hardware reparatiewinkel, of één van de véél te dure 'refurbished' bedrijfsmacwinkel's).
Wees in het zoeken van die balans een beetje redelijk (én én én wensen betekenen inderdaad een nieuwe Mac) / verwacht niet het onmogelijke. Voor het onmogelijke moet je de portomonnee trekken, als je dat niet wil roep dan niet dat het niet kon, je wilde veel voor weinig en dat was niet haalbaar; eerlijke / realistische keuzes maken svp (daar schort het nog wel eens aan).
Als het configureren redelijkerwijs dan niet meer lukt (iMac 1999 met os9 of OS X 10.2?) kijk pas dan of je zin hebt om een ander OS te gaan gebruiken of een andere Mac te kopen (zinniger).
Nieuwe Mac hoeft daarbij helemaal niet per sé, een tweedehands mac kan ook; betaal alleen niet teveel (wat je waarschijnlijk bij gebrek aan kennis van de hardware of gehypte biedingen wel gaat doen).
Tel alvast bij de aanschafprijs op ; de aanschaf van een eventueel nieuwer OS X, preventieve vervanging Harddisks, extra geheugen, antivirussoftware/firewall software, configuratie-support (aan die kosten heeft de verkoper natuurlijk geen boodschap, ze komen er voor jou echter wel bij, mits je goed bezig bent).
Succes ermee & keep IT realistisch safe
P.s, correctie; FinFisher vermoeden gerezen na een update van (o.a.) verouderde iTunes software (gebruikte het toch niet, leek me geen issue, oeps!) op twee Mac's en niet een Safari update, dat was een verschrijf-foutje.* Van XP op Mac OS X overstappen kan natuurlijk ook,
ja, het staat er echt!
http://www.f-secure.com/weblog/archives/00002648.html