Quali implicazioni ha l'infezione di KeRanger per la sicurezza di Mac OSX?

Does this show a huge security flaw, in that a compromised server can easily distribute malicious binaries? How could Apple have prevented this from happening?

Benvenuti in Internet dove non tutti sono amichevoli, come nel mondo fuori da Internet.

Apple non ha potuto impedire il compromesso del server perché il server non ha il controllo di Apple. E finché Apple si fida degli sviluppatori per firmare il proprio software, non è possibile impedire l'esecuzione di software dannoso ma firmato. Apple limita almeno l'impatto revocando il certificato non appena il problema è noto. Apple potrebbe cercare di limitare la distribuzione del software al proprio Apple Store e ispezionare pesantemente ciascuno dei software offerti. Ma questo ha associato costi che non tutti gradiscono pagare e, a parte quella storia, dimostra che è ancora possibile ingannare Apple nella distribuzione di software che in seguito risulta essere dannoso.

Basta confrontare questa vita troppo reale in cui ti fidi di Mr.Mallory perché il tuo buon amico Mr.Pear ti ha detto che questa persona è degna di fiducia. Probabilmente non lo chiameresti "un enorme difetto di sicurezza" se si scopre che Mr.Mallory è un truffatore che ha ingannato sia te che Mr.Pear. Invece lo accetteresti come qualcosa che accade di tanto in tanto perché non esiste una cosa come la piena sicurezza.

OSX consente all'utente di scegliere tra 3 opzioni che influiscono sulla forza di OSX Gatekeeper

1. Consenti l'installazione di sole app dall'archivio Apple
2. Autorizza solo da Apple Store e sviluppatori identificati
3. Anywhere

L'impostazione predefinita è 1, che in questo caso avrebbe protetto l'utente in quanto il software doveva essere installato da un sito Web di terze parti. Se si mantiene il valore predefinito, è meno probabile che si verifichi il malware (ma non ci sono garanzie, solo un rischio inferiore).

Quando selezioni 2. La tua affermazione mi fiderò dello store Apple e di altri sviluppatori di cui mi fido. La fiducia per questi sviluppatori di terze parti è basata sul fatto che il loro software è stato firmato con un certificato valido. Il problema qui è che nessuno si preoccupa mai di verificare che il certificato non è solo valido, ma è il certificato utilizzato dagli sviluppatori. Nel caso corrente, il malware è stato distribuito con un certificato valido, ma il certificato è stato rubato da un altro sviluppatore. In una certa misura, mostra la debolezza del sistema di certificazione - se gli sviluppatori non proteggono sufficientemente i loro certificati, allora sei a rischio. Tuttavia, sospetto che se qualcuno fosse veramente diligente e avesse effettivamente esaminato il certificato e verificato che fosse per gli sviluppatori che rilasciavano il software, avrebbero trovato che era per qualche altro sviluppatore e sarebbe stata alzata una bandiera rossa.

La terza opzione in pratica dice che non sei interessato al punto di vista di Apple su chi può e non può essere considerato affidabile e deciderai da solo e installerai il software che desideri. Stai anche dicendo che accetti tutti i rischi ed è tutta la tua responsabilità.

Tutto questo è abbastanza buono? Forse no. Il negozio Apple è sicuro al 100%? No, ci sono stati casi di malware nel negozio. Può esserci una soluzione sicura al 100% - io non la penso così e tutto ciò che si pretende di essere o è disonesto o fornirebbe un sistema che era così bloccato e inflessibile, la gente probabilmente rifiuterebbe di usarlo.

La mela può fare meglio? Forse, ma probabilmente dobbiamo stare attenti a ciò che desideriamo. In sostanza, abbiamo uno spareggio tra la libertà e la sicurezza. Troppo spesso, le persone enfatizzano la libertà e la flessibilità e ignorano la sicurezza. Sceglieranno l'opzione 3 per installare quel nuovo gioco gratuito e poi incolperanno Apple quando i loro dati saranno crittografati con Malware.

La maggior parte dei fornitori, inclusa Apple, può probabilmente migliorare il loro modello di sicurezza (in realtà, molti fornitori sono davvero pessimi - IoT, modem e venditori di telefoni cellulari ecc.) Ci sono anche alcuni problemi reali con il modello di certificato corrente, ma questo è un buca altra storia. Per quanto riguarda i venditori, penso che Apple sia migliore della maggior parte e non credo che il ransomware recente sia un segno del fatto che il modello di sicurezza di Apple è rotto - utente d'altra parte ......

La parte interessante di questa domanda è "come potrebbe Apple aver impedito che ciò accadesse?"

Come ha detto Steffen Ullrich, questo è un problema di fiducia. Di chi ti fidi? Mela? Se è così, ti fidi di chi si fida di Apple. In questo caso, è lo sviluppatore e chiunque controlla il certificato dello sviluppatore.

Per aprire una discussione più astratta, consideriamo tutte le piattaforme che consentono aggiornamenti.

Se il tuo prodotto ha un meccanismo di aggiornamento è intrinsecamente vulnerabile.

Qualsiasi software che può essere aggiornato ha il potenziale per essere aggiornato con software danneggiato o vulnerabile. Se non si autenticano gli aggiornamenti del software, è ancora più probabile che vengano bloccati. Tuttavia, solo l'autenticazione non garantisce aggiornamenti sicuri come abbiamo visto.

La vera discussione è il compromesso tra consentire (e preferire) sistemi aggiornabili per chiudere e mitigare le vulnerabilità, e non permettere che gli aggiornamenti evitino infezioni da malware (mentre allo stesso tempo vi impediscono di aggiornare costantemente le patch di sicurezza).