Jan 15, 2007

The Month of Apple Bugs!

Não acredito que o intuito principal de LMH e Kevin Finisterre foi elevar a segurança do sistema operaciona da Apple. Talvez um pouco de publicidade. Talvez por que simplesmente qualquer sistema é seguro ou inseguro em relação à algum valor referencial...

Bom, conversa fiada a parte, a iniciativa dos dois hackers é muito interessante e tem nos mostrado cada vez mais que a segurança deve ser desenvolvida e implementada em camadas e, como diria Bruce Schneier, é tão forte quanto o ela mais fraco da corrente... Por isso, é sempre bom observar o que eles estão fazendo no site The Month of Apple Bugs. Vale também dar uma olhada no The Month of Kernel Bugs (de onde a idéia original nasceu) e ver como qualquer coisa pode ficar ainda pior. Detalhe para a afirmação: "checking how many unreported and unknown issues can be found in kernel code out there".

Como destacou Scott Fendley no diário do ISC SANS do dia 14/jan/2007 o bug reportado no dia 10/jan/2007 afeta os arquivos com extensão DMG (problema com a função ffs_mountfs() que manipula os arquivos DMG, este bug por der utilizado para executar um código arbitrário no sistema) e é importante poder confiar nos arquivos que são baixados da Internet. Uma das medidas preventivas citadas por Scott é desabilitar a opção para abrir automaticamente arquivos baixados da internet no Safari - já que o Safari pode ser utilizado como vetor do ataque. Outra medida simples e importante é fazer a checagem de hash (MD5, por exemplo) dos arquivos baixados (principalmente executáveis e instaladores de programas).

No comments: