Apple släpper Safari 4.0: Över 50 säkerhetshål fixade

(Publicerad 2009-06-10)

Bland säkerhetsexperter finns det inga dispyter om att OS X och Safari är långt mer sårbart än Vista och Internet Explorer. Men betyder det att Vista/IE är bättre för att slippa angrepp?

När Apple nu släppt sitt jumbopack sätter det återigen igång debatten kring säkerhet i OS X. För en vecka sedan skrev Rich Mogull, känd bl.a. från sina sju år på Gartner, en artikel på ämnet med titeln "Five Ways Apple Can Improve Mac and iPhone Security". Tyngden i artikeln förstärktes sedan naturligtvis när Apple nu rullat ut ett så stort antal säkerhetsfixar, och The Register var snabba med att pussla ihop det.

Även vi på HPS har varit inne på ämnet tidigare. Jag själv då jag i mars var med i TV4 Nyhetsmorgon och Stefan som bloggade om det några veckor senare, när Charlie Miller hade vunnit en Mac efter att ha utnyttjat en sårbarhet i Safari som han hållt på i ett år.

Vilka är dina hot?
Vår ståndpunkt kring det är alltså att OS X med Safari är klart underlägset Vista och Internet Explorer när det kommer till kodkvalitet och sårbarheter. MEN, en sårbarhet i sig gör ingen skada. För att skada ska ske så behöver sårbarheten utnyttjas. För att kunna värdera behöver man därför titta på hotet - vem kommer angreppen från och varför?

Malware
Eftersom OS X ännu är en plattform i minoritet finns det i jämförelse endast mikroskopiska mängder malware där ute. Det är därför LÅNGT mycket troligare att man drabbas av malware om man kör Vista/IE än om man kör OS X/Safari. Så om malware är ditt huvudbry (som det ofta är för privatpersoner) så är det i dagsläget OS X/Safari du ska köra. Detta kan dock ändra sig med tiden - ju fler som kör OS X desto mer malware kommer dyka upp för just OS X.

Riktade angrepp
Är det istället riktade angrepp mot just dig eller just din organisation som är ditt huvudbry, så blir det knepigare. Beroende på din angripares kompetens och kontaktnät kan det vara avsevärt mycket sämre att köra OS X. Precis som Stefan bloggade om så är det "kolossalt mycket svårare att utnyttja de hål som finns" i Vista/IE. Lägg till det att de sedan kommer vara avsevärt svårare att hitta - både för att de är svårupptäcka och för att de är mindre till antalet. Det betyder alltså att om din angripare själv kan hitta och utnyttja sårbarheter eller om han har kontakter med någon som kan det så är det klart olämpligt att använda OS X/Safari. Befinner man sig i ett sådant läge kan det vara läge att köra något helt annat än OS X eller Vista, men är det bara dem som finns att välja mellan? Då är det Vista som gäller.

Prioritera utifrån risk - inte utifrån sårbarhet
Samma typ av resonemang behöver man göra för säkerhet i allmänhet. Som säkerhetsnördar har vi ibland allt för lätt att stirra oss blinda på de sårbarheterna. Faktum är dock att våra resurser är begränsade och därför måste vi prioritera var vi ska lägga dem. Både i mindre skala (vilken sårbarhet åtgärdar vi först?) och i större skala (hur mycket resurser ska vi lägga på säkerhet?). För att få gehör hos omvärlden är det oerhört viktigt att vi alltid har det med oss.

--
Carl-Johan "CJ" Bostorp

Kommentarer

Kommentera inlägget här:

Namn:
Kom ihåg mig?

E-postadress: (publiceras ej)

URL/Bloggadress:

Kommentar:

Trackback

HPS säkerhetsblogg


High Performance Systems logo


RSS 2.0