Per Hellqvist om IT-säkerhet och sånt

apple-maskJag vet inte vad du känner, men jag är rätt trött på att Mac-användare invaggar varandra i en falsk känsla av säkerhet. Förstärkningseffekten av att hela tiden utsättas för villfarelsen att Mac är så säkert blir till slut enorm och blir till fakta.

Jag såg senast imorse en kompis på Facebook som för en gångs skull råkat ut för virus. Och lika säkert som amen i kyrkan klippte en Mac-användare in de bevingade orden: “Byt till Mac så slipper du sånt”. Det är helt enkelt inte sant. Risken är mycket mindre, men man slipper det inte!

Men faktum är att MacOS är som alla andra mjukvaror. Det finns säkerhetshål där med. Anledningen är enkel:

Mjukvaror skrivs av människor. Människor är inte perfekta. Alltså blir inte mjukvara perfekt.

Visst, elak kod kan sägas vara ett Windows-problem. Skillnaden är dessutom enorm. Det finns uppemot 3 miljoner elakingar till Windows och ett hundratal till Mac (plus alla gamla macrovirus). Kom då ihåg att inte alla Windows-virus är aktiva, eller ens har varit det någon gång. För Mac handlar det mest om trojaner, och trojaner är som verktygslådor. Joakim von Braun sade en gång att virus kommer och går, men trojaner består. Det har han rätt i. Trojaner används för ett visst uppdrag. De dör egentligen inte ut.

Det finns också gott om annat elände för Mac. Nu har Apple släppt ytterligare en mastodontuppdatering som täpper till hela 58 säkerhetshål!

Det blir ett himla liv (bland annat i denna blogg) när Microsoft släpper sina uppdateringar (de kommer senare ikväll förresten) och täpper till 5-15 säkerhetshål, men när Apple täpper till enorma mängder så märks det knappt i flödet.

I denna blogpost från ZDnet skriver Ryan Naraine dessutom:

“The majority of the flaws could allow a remote attacker to gain complete control of an unpatched system, meaning that this update carries an “extremely critical rating”.”

Vad det innebär på ren svenska är att om man kan lura dig att klicka på något så kan man ta över din Mac.

Osäker

Osäker

Enligt en artikel på InformationWeek patchas även “several QuickTime and CoreMedia flaws that could be exploited with maliciously crafted media files to allow remote code execution. ”

Med andra ord: Kan jag lura dig att titta på t ex en Quicktime-film kan jag ta över din Mac.

Svårt? Inte då. Det är bara att mejla ut en länk som sägs gå till en ny trailer för den senaste balla filmen eller en film som sägs kunna bevisa att 9/11 var en konspiration eller något annat pseudo-spännande.

Här är Apples sida med information om säkerhetshålen. Uppdatera idag.

För dig som är intresserad av att hålla din Mac säker finns mer information på denna sida

För att försöka förekomma alla Mac-användare som nu sitter och kokar över mitt uppenbara Mac-hat och nu tänker kasta sig på kommentarsmöjligheten i denna blogg för att sätta mig på plats vill jag bara säga: Jag hatar inte Mac. Jag ogillar bara att ni lever i villfarelsen att ni lever i en slags bubbla av säkerhet som inte har någon verklighetsförankring. En uppdaterad Mac är förmodligen lika svår att ta sig in i som en uppdaterad Windows-maskin. Det är inte svårare än så. Men om man väljer att inte se problemen så är det lätt att trilla dit.

Säkerhetsråden för Windows gäller självklart för datorer från andra tillverkare också:

Lycka till!

(Musik jag lyssnade på när jag skrev detta inlägg: Mozarts pianokonsert No 24 i C minor, K491 – II. Larghetto. Fantastisk)

Taggar: Apple, Backup, Intrång, Korkat, Säkerhetshål, Trojaner, Virus

Kommentarer

23 kommentarer to “Apple täpper till 58(!) säkerhetshål”

  1. Fredds on November 10th, 2009 10:52

    Kanske Apple själva genom sin marknadsföring om att Mac ska vara jätte säkert fått folk att tro att det är 100% säkert. Lite en självbedrägeri kanske från deras sida då de får fler att gå över till Mac genom detta argumentet. Ju fler som går över, ju större blir ju hotet.

  2. Mikael on November 10th, 2009 13:47

    Som mac-användare så är jag ganska nollad på denna retorik. För det är inte systemet som gör det osäkert det är användaren av det.

    Problemet som var/är med Bl a Vista är att det är så mycket rutor som kommer upp att du efter ett tag klickar ok utan att läsa. Då blir systemet osäkert i sig. Vista har nästintill idiotförklarat användaren.

    Mac OS X är mer likt Unix vilket har en annan uppbyggfnad än t.ex Win XP. Det är i grunden ett fleranvändarsystem, vilket inte XP är. På XP måste du köra som adminom du ska överhuvudtaget kunna göra något, det är en risk.

    Sedan jag bytte till mac har jag inte haft några som helst problem, det hade jag med win i mängder.

  3. mikaellq on November 10th, 2009 14:54

    @Mikael: Mac OS X ÄR ett UNIX, t.o.m. ett certifierat sådant och hör därför till samma säkra gäng som exempelvis Suns Solaris som används flitigt med Suns hårdvara för forskning hos universiteten.

    Denne Per Hellqvist är inte att lita på alls, han tjänar ett företag som i sin tur tjänar Mammon. De vill tjäna pengar alltså och ljuger ogenerat för att ragga kunder.

    Konsekvenserna av de påstådda bristerna i Mac OS X lyser fortfarande med sin frånvaro jämfört med Windows som kostat världen runt 94 miljarder årligen och världen runt enbart för att rensa virus.

    http://www.idg.se/2.1085/1.111489

    Allt fler upptäcker hur dåligt Windows fungerar i jämförelse med vilket annat OS som helst men med Mac OS X i synnerhet varför allt fler köper Mac istället, varför Mac användarna blivit en allt mer attraktiv kundgrupp för företag som vill sälja så kallade säkerhetslösningar, eller antivirus program.

    Vill ni spara enorma pengar även på annat än säkerhet, exempelvis på licenser? Använd Google Apps istället för Microsofts svindyra alternativ!

    http://hardware.silicon.com/storage/0,39024649,39400389,00.htm

    Och så vidare, och så vidare.

  4. Oskar on November 10th, 2009 15:16

    En utav anledningarna till att Mac är så säkert är just för att dem ständigt kommer med färska säkerhetsuppdateringar! Man tar alltså inte för givet att varje användare ska själv installera ett antivirusprogram som ligger och drar soppa!

    Visst, Macen är inte 100% säker, men 99,99%. Själv hängde jag troget med Windows genom 95, 98, XP och Vista. Men jag fick nog och bytte till Mac och har faktiskt varit helt problemfri sedan dess!

    Mac OS X är Unix och Unix är säkert. Det kan man inte argumentera emot om man vill bli tagen på allvar. De “trojaner” som finns till Macen är rena skämten och man måste själv installera med lösenord och hela baletten. Så även om man vill ha en trojan så är det vansinnigt svårt att få en!

    Windows slogan är; “A world without walls”, men behöver man verkligen fönster i en värld utan väggar? 😉

  5. admin on November 10th, 2009 15:26

    @Oskar:
    Microsoft släpper säkerhetsuppdateringar andra tisdagen varje månad. Det är oftare än Apple. Den som släpptes nu var den 6’e i år. Alltså inte ens en gång i månaden. Med din logik borde alltså Windows vara säkrare eftersom den får säkerhetsuppdateringar oftare.

    Källa på 99.99% säkerhet? Hur har du mätt det?

    OSX och Unix är inte säkert. Det finns inga säkra OS för allmänt bruk. Det finns mindre osäkra.

  6. admin on November 10th, 2009 15:48

    @Mikaellq: Jag funderade först på att inte ens besvara din närmast oförskämda kommentar.

    Du låter påskina att jag inte är att lita på bara för att jag har ett jobb där jag tjänar pengar och arbetar på ett företag som tjänar pengar? Vad är det för resonemang egentligen? Litar du på din doktor? Han tjänar förmodligen också pengar. Litar du på Steve Jobs? På Apple? De tjänar enorma summor. Med ditt resonemang skulle man i så fall kunna vända på steken och uttrycka det som så att de tjänar mammon bäst genom att berätta för alla hur säkert operativsystemet är. Alltså, med din logik, ljuger de.

    Att du i så fall väljer att lita på deras lögner istället för mina påstådda lögner är upp till dig.

    Men, för all del: Visa på mina lögner eller låt bli att kasta sten i glashuset.

    Som du kanske sett i mina tidigare inlägg så tar jag, till skillnad från dig, inte någon sida. Jag skäller på Microsoft när de tabbar sig och på Apple när de tabbar sig. I detta fallet rapporterade jag om den senaste bunten med säkerhetsuppdateringar och följde sedan upp med en text om hur farligt det är att låta sig invaggas i en falsk känsla av säkerhet. Det gäller oavsett operativsystem. Det är bättre att misstänka att man är osäker och vara försiktig än att kasta sig ut i det okända.

    Att jämföra kostnaderna för att rensa virus på Windows i jämförelse med Mac är inte rättvist av flera anledningar. Dels använder ca 95% av datoranvändarna Windows. Dels finns det knappt några virus för Mac.

    Men, oavsett operativsystem så krävs det oftast att användaren luras att klicka på något. Mac-användare och Windows-användare är förmodligen lika lättlurade.

    Enda undantaget är om det dyker upp säkerhetshål som tillåter remote code execution. Då räcker det att vara ansluten till Internet utan brandvägg. Och det fanns ett antal sådana i senaste uppdateringsbunten från Apple.

  7. Osäkert leverne. « Karl Lettenström on November 10th, 2009 16:42
  8. JoachimS on November 10th, 2009 16:53

    Aloha!

    Enligt min åsikt är det faktiskt skillnad i säkerhet mellan olika OS. Vista är säkrare än XP, Win7 är säkrare än Vista. Snow Leopard är säkrare än såväl Leopard som Tiger.

    Det är inte bara storleken på användarbasen som avgör hur intressant en plattform är att attackera och därmed skälet till skillnaden i mängd elak kod mellan olika OS. Visst, Windows är en mer intressant målmarknad för ex trojaner då det finns fler användare. Men precis som vid andra brott – ju svårare det är desto mindre sannolikt att någon lyckas

    Säkerheten i ett OS handlar om rent tekniska funktioner, användbarhet, kod/utvecklingsmetodik och säkerhetskultur på företaget. Vissa OS utvecklas med större fokus på säkerhet än andra – OpenBSD är ett bra exempel på detta.

    Hur Apples säkerhetsmetodik och kultur ser ut är svårt att säga. Men jag håller med om Pelle att Apples sätt att klumpa ihop patchar till en gigantisk patch som kommer ut sällan inte är bra. Jag tolkar det som att Apple iaf på den punkten har ett sämre tänk än Microsoft som har regelbundna och mer frekventa patchreleaser. Rent krasst måste en del av de 58 patcharna vara för rejält gamla säkerhetshål som därmed exponerat oss användare på tok för länge.

    /Joachim Strömbergson – Macanvändare som tycker att Apple har en del kvar att göra säkerhetsmässigt.

  9. admin on November 10th, 2009 17:33

    @Joachim. Kloka ord :-) Det enda jag skulle vilja toppa med är att det inte endast är teknik som avgör om något är säkert eller inte. Till sist är det användaren som klickat i de flesta fall. Sen kan man argumentera ifall ett OS verkligen ska tillåta dig att installera saker eller inte. Men det är en annan diskussion.

  10. mikaellq on November 11th, 2009 09:39

    Skillnaden mellan Windows och allt annat som t.ex. Linux, Solaris och Mac OS X är närmast astronomisk när det gäller säkerhet. Microsoft må ha gjort ett hyfsat jobb med att kopiera Macens GUI, men just säkerheten är och har varit i det närmaste urusel i Windows, såvida man nu inte bekvämt väljer att ignorera 20 års IT historia.

    Om du hade varit en ärlig man så hade det första rådet till de allra flesta, företag inklusive, varit att skrota Windows och köra Mac, eller Linux om de vill behålla de gamla burkarna. Nu gör du inte det utan försöker injicera FUD, Fear, Uncertainty and Doubt genom att domedagspredika och påstå att även Mac ägare måste vara försiktiga.

    Detta må vara sant men då bör man också förklara att det är bara i Windows som säkerheten är så usel att det kan räcka med att koppla upp sig till nätet, eller surfa till skumma sidor, för att bli infekterad. Med Mac och Linux krävs det manuell installation.

    Det är bara i Windows alltså som era antivirusprogram behövs (läs: krävs), i Linux och Mac OS X är era program stort sett värdelösa. Det krävs minst ett reellt hot som fortfarande lyser med sin frånvaro på Mac.

  11. admin on November 11th, 2009 11:01

    Jag lägger mig inte i varför man valt det ena eller det andra operativsystemet. Jag berättar bara vad man kan råka ut för så att man bättre kan förbereda sig.

    Har du ens tittat på listan över de sårbarheter som nu täppts till? Jag ska leda dig igenom ett par av dem:

    CVE-ID: CVE-2009-2819
    “Problem: En anslutning till en skadlig AFP-server kan leda till att systemet avslutas oväntat eller att opålitlig kod körs”

    På ren svenska: Om du luras klicka på en länk kan man automatiskt installera skadlig kod på datorn.

    CVE-ID: CVE-2009-2824
    “Problem: Visning eller hämtning av ett dokument som innehåller ett typsnitt med skadligt innehåll kan leda till att opålitlig kod körs”

    På ren svenska: Om du öppnar ett elakt dokument kan man automatiskt installera skadlig kod på datorn.

    CVE-ID: CVE-2009-2826
    “Problem: Öppning av en uppsåtligt skadlig PDF-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs.”

    På ren svenska: Om du öppnar en elak PDF kan man automatiskt installera elak kod på datorn.

    CVE-ID: CVE-2009-2202 och CVE-ID: CVE-2009-2799
    “Problem: Uppspelning av skadliga H.264-filmer kan leda till att program avslutas oväntat eller att opålitlig kod körs.”

    På ren svenska: Om du tittar på en film kan man automatiskt installera elak kod på datorn.

    Listan fortsätter: CVE-2009-2831, CVE-2009-2828, CVE-2009-2827, CVE-2009-2830, CVE-2009-2285, CVE-2009-2833 etc etc etc. ALLA kan leda till att elak kod automatiskt installeras på datorn.

    Om det sedan sker eller inte är en annan sak. Men du bör täppa till hålen. På Mac, precis som på Windows. Långt ifrån alla säkerhetshål i Windows utnyttjas någonsin. Tricket ligger i att minska målbilden och täppa till hålen så snabbt man kan. Det blir lite rysk roulette.

    Du skriver att det krävs manuell installation på en Mac för att infekteras av en trojan. Japp, det stämmer. PRECIS som i Windows. En trojan sprider inte sig själv. Den luras man klicka på. På en Mac, precis som i Windows.

    Faktum är att det är oerhört svårt att hacka sig in i en Windows-dator om användaren följer enkla säkerhetsråd:

    – Var medveten om problemet
    – Uppdatera operativsystemet och de program du använder
    – Kör inte som admin, kör som vanlig användare
    – Klicka inte på allt som rör sig
    – Ta backup

    Eftersom det inte kommer ske i verkligheten behövs säkerhetsprogram för att hjälpa användaren.

    Och eftersom det, i Windows precis som på Mac, kommer finna säkerhetshål som endast elakingarna känner till behövs säkerhetsprogram.

  12. mikaellq on November 11th, 2009 11:34

    Och jag påstår att decennier av IT historia bevisar att det idag är bara Windows som behöver extra skydd från tredje part, exempelvis din arbetsgivare Symantec, eftersom allvarliga och dyra konsekvenser fortsätter att drabba enbart naiva kunder till Microsoft.

    Tillåt mig att komma med en inte alltför vågad förutsägelse:

    Med tiden så kommer PC:n som vi känner den idag att försvinna och ersättas av smartphones, eller något snarlikt.
    Mjukvarubehoven kommer att förändras och företag som Symantec kommer att få allt större problem med lönsamheten helt enkelt därför att säkerhet kommer att vara inbyggt, som det bör vara, och borde ha varit från början.

  13. Fredds on November 11th, 2009 11:51

    Smartphones ersätta PC:n? Det dummaste jag hört…
    En smart telefon kan mer ses som ett komplement till datorn, t.ex. som ett arbetsredskap för affärsresenärer. Tror snarare på en utveckling där vi ser att datorn och TV:n kommer att länkas samman på ett annat sätt än idag samtidigt som operativsystemen blir allt säkrare och allt mer beroende av internet. Operativsystem i molnet lär vi ser mycket, mycket mer av samtidigt som säkerhetsprogramen även de lär bli molnbaserade. Ser nog mer att säkerhetsprogramen kommer att följa med i denna utvecklingen. En smartphone kommer aldrig att kunna tillfredsställa människors behov på samma sätt som en vanlig dator kan. Dessutom ser jag att smartphones även de lär behöva säkerhetsprogram inom en snar framtid.

  14. admin on November 11th, 2009 12:01

    @Mikaellq:
    Återigen visar ditt inlägg hur lite du vet och hur lite du läst på.

    Du kan inte ha missat att det redan finns elak kod för de flesta OS för smarta mobiltelefoner? Du kan inte ha missat att när de ansluter till Internet är de lika nåbara som vilken dator som helst. Finns ett säkerhetshål i OSet kan det utnyttjas via Internet, precis som vilken dator som helst.

    I takt med att man byter mer och mer till smartphones kommer behovet av säkerhet följa med. När man flyttar över allt mer känslig information till innerfickan måste den skyddas. Fler som installerar fler produkter innebär fler chanser att få in elak kod på enheten.

    Alltså behövs säkerheten. Kryptering för att skydda informationen från stöld. Antivirus för att skydda mot elak kod. Brandvägg för att skilja dig från Internet. VPN/SSH för att du ska kunna koppla upp dig mot företagets nätverk och tryggt kunna utbyta information. SSL för att tryggt kunna göra t ex bankärenden. Backup-funktioner för att kunna komma tillbaka snabbt igen ifall enheten gått sönder eller stulits. Systemhanteringsverktyg för att kunna patcha maskiner mot säkerhetshål eller allmänna uppdateringar även när personerna är på resa. Och så vidare.

    Säkerheten på mobila enheter är faktiskt ÄNNU svårare att få bukt med än på stationära datorer. Helt enkelt för att den som har enheten kanske befinner sig på resa och det är svårt för IT-avdelningen att få tag på den.

    För att kunna dra full nytta av den mobila arbetskraften och de fantastiska enheter som nu dyker upp MÅSTE säkerheten hänga med.

    Så, visst kommer det finnas jobb för oss även i framtiden.

  15. Axelman on November 11th, 2009 12:23

    “Jag hatar inte Mac. Jag ogillar bara att ni lever i villfarelsen att ni lever i en slags bubbla av säkerhet som inte har någon verklighetsförankring.”

    Jag undrar bara var du har fått den iden ifrån. Som Macägare och användare sedan hedenhös, aktiv på forum, känner jag inte igen denna sterotyp annat än på stridiga tonåringar som måste försvara allt till varje pris. I stort sett alla andra är informerade och kunniga och skulle undra på vilken planet du har bott….. ( OBS Skojj :-) )

  16. Fredds on November 11th, 2009 12:38

    Fast sanning i påståendet om att Mac OS X är säkrare finns ju faktiskt. Det är faktiskt färre hot mot detta operativsystemet. Tror mer att frågan är ifall hoten mot PC inte kan flyttas över till Mac OS X i takt med att allt fler går över. Det är nog en mer rellevant fråga. Och ja, Macar kan även de drabbas av “elakingarnas” attacker. Ett bevis är ju Iphone som har en nerbantad version av Mac OS X som nu kan bli smittad av en mask.

  17. admin on November 11th, 2009 12:43

    @Axelman: Tack. Man behöver ett leende lite då och då.

    @Fredds: Det aktiva ordet är “säkrare”. Inte “säkert”. Det är det jag försöker tala om.

    Jag vill också påpeka att jag anser att en fullt patchad Windows-maskin där användarna följer standardråden inom säkerhet är lika svår att bryta sig in i som en fullt patchad Mac där användaren också följer standardråden.

  18. Oskar on November 11th, 2009 19:03

    @Admin
    “Jag vill också påpeka att jag anser att en fullt patchad Windows-maskin där användarna följer standardråden inom säkerhet är lika svår att bryta sig in i som en fullt patchad Mac där användaren också följer standardråden.”

    Om Windowsdatorn varken är uppkopplad till internet eller nätverk, så kanske!

    Du gör en höna utav lukten av en fjäder, min vän! En Mac är säker så länge du inte letar efter en trojan och verkligen bestämt dig för att du ska ha en. Att först och främst hitta trojanen kommer vara en utmaning utan dess like! Att sedan behålla den i datorn måste vara ett aktivt val då allt du behöver göra är att slänga den i papperskorgen, trojanen alltså.

    Hur får du virus på din Mac?
    -Du nyser på den.
    Hur får du bort viruset?
    -Du torkar av den.

    MVH
    Oskar

  19. admin on November 11th, 2009 20:33

    @Oskar: Om du bara rullar upp lite i denna kommentars-röra så ser du att det finns gott om säkerhetshål bara i senaste uppdateringen som gör att man kan installera elak kod på maskinen.

    När det gäller hur man får trojaner på en Mac så gäller PRECIS samma sak för Windows. Må så vara att det är lättare att stöta på en som är skriven för Windows, men i övrigt måste du själv välja att klicka på filen. Kör du som vanlig användare och ignorerar UAC i Vista och Win7 så kommer den installeras. Slänger du programmet trojanen kommer i så slänger du trojanen.

    Sen finns det såklart en uppsjö olika varianter på temat, med trojaner som droppar annat elakt, men i grunden fungerar en trojan som en trojan oavsett OS.

    En Mac är INTE “säker så länge du inte letar efter en trojan och verkligen bestämt dig för att du ska ha en”. Återigen titta längre upp på de säkerhetshål som jag listat. Det räcker med att luras titta på en preparerad film eller öppna ett dokument/PDF för att installera elak kod på datorn.

    RISKEN för att det händer i jämförelse med Windows är mycket liten. Men den finns där. Och bara för att risken är mycket större på en Windows-dator betyder inte att den inte finns på en Mac. Den är bara mindre.

  20. Apples feta patchar och OS-säkerhet » Kryptoblog on November 11th, 2009 21:02

    […] En som inte tycker om hur Apple hanterar säkerheten är Per Hellqvist som bloggat om den senaste stora patchbollen och säkerhet på Mac. […]

  21. Jompx on November 16th, 2009 11:24

    Jag har kört windows i alla år men tröttnat på all den tid och resurser som måste läggas på att hålla systemet vitalt.
    Idag användre jag bara Windows till att spela spel vilket det fortfarande är bättre på än OS X.

    Jag har aldrig hört talas om någon som blivit drabbad på något sätt med en modern Mac, men alldeles för många med Windows datorer har flera gånger blivit drabbade till den grad att ominstallation eller andra drastiska åtgärder krävts.

    Jag varken lever i någon bubbla eller har några problem med min verklighetsförankring, men jag lever ett lyckligare liv sen jag bytte till OS X.
    Om Per sen (av någon lite pinsam anledning) känner att han måste skrika av sig så låt gå… det får ändå inte mig att känna mig mindre säker med OS X.

  22. admin on November 16th, 2009 11:48

    “En falsk känsla av säkerhet är värre än en äkta känsla av osäkerhet”. Det är ett av guldkornen inom säkerhetsarbetet.

    Jag har använt Windows sedan den kom och har aldrig råkat ut för något. Betyder det att det inte finns något elakt för Windows? Eller betyder det att jag gör något rätt? Eller betyder det att jag haft en osedvanlig tur?

    Vad gör jag i så fall som skiljer mig från de du känner till som fått installera om sina datorer?

    Jag gör inget särskilt. Jag följer bara mina egna råd. Uppdaterar och tänker efter innan jag klickar. Det förstnämnda går för det mesta automatiskt idag och det andra kan man träna upp genom att vara medveten om riskerna. Jag upplever att de flesta som kör Mac och Linux inte är det. Därav min bloggpost.

  23. Tobbe on November 17th, 2009 18:30

    I sak har du rätt!
    Och visst är pianokonserten fantastisk! :)

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.