=======================================================================
OS X sandboxes y seatbelts
Mac & I: Apple ha demostrado con iOS que hay formas de, al menos, hacer mucho más difícil para los atacantes explotar un agujero de seguridad. ¿Es esta (aparente) dependencia de código antiguo que has mencionado antes, también la razón de porqué Apple no defiende más en el uso de políticas sandbox y seatbelt en OS X? Las extensiones de Safari parecen estar aisladas (sandboxed), pero Safari como tal parece esar desprotegido.
Dino Dai Zovi: Creo que la seguridad mejorada y única de iOS (por ejemplo, la cadena de confianza de arranque, el uso integrado de sandbox, las políticas de forzado de uso de código firmado) ha sido diseñada principalmente para proteger el modelo de negocio de Apple, más que los datos de los usuarios. Esto proporciona a Apple un incentivo económico para trabajar duro en ello. Sin embargo el retorno de inversión de la protección de los datos de los usuarios es menor en cuantía económica. También, uno debe tener en mente que las amenazas de malware contra Mac OS X son todavía muy raras. A medida que el mercado de Mac crece, Apple debería implementar características de seguridad mejoradas para estar por delante de las amenazas.
Charlie Miller: Apple claro que podría aislar algunas de sus aplicaciones para hacerlas más robustas ante ataques, o al menos establecer una opción para esto (por ejemplo, una opción para ejecutar Safari en modo de seguridad alto o algo así). El problema cuando ves una aplicación como Safari es que está diseñada para hacer tantas cosas que es difícil crear reglas de aislamiento que limiten la acción del malware.
Safari puede “Abrir”, o “Guardar” archivos, así que los exploits o malware serán capaces de hacerlo también. Así que es difícil establecer un aislamiento genérico para Safari. Se todas formas, algo como el complemento Flash de Safari se podría aislar fácilmente (se ejecuta en un proceso separado) y no sé por qué no lo han hecho ya.
Mac & I: De hecho, parece que Flash tiene un serio problema de estabilidad y debería de aislarse. – Tengo Safari en mi MacBook y se congela continuamente por culpa de Flash. Supongamos que esto no lo hace Apple a propósito… mientras tanto, el navegador de Google aísla todos sus procesos, así que es claramente factible. Además, pagan desde unos pocos dólares hasta miles de dólares por vulnerabilidades en Chrome. ¿Tiene Apple una política similar de recompensas por el trabajo de especialistas de seguridad?
Dino Dai Zovi: Safari ejecuta un número de aplicaciones heredadas de 32 bits, incluyendo Flash y Quicktime, cuando Safari se ejecuta en procesos de 64 bits en Snow Leopard. Esto se ha hecho principalmente por compatibilidad, pero tiene también algunos beneficios de estabilidad ya que un complemento que falla no se lleva por delante el resto del navegador. El navegador de Google ha sido diseñado desde cero con un modelo de multi proceso para aislar los procesos render y los complementos entre sí, y también para soportar sandbox. Es un trabajo significativo migrar el código base de un navegador existente (por ejemplo, Safari, Firefox o Internet Explorer) a un modelo completo multi proceso.
Google ha sido bastante progresista en el uso de programas de recompensa de detección de errores para incentivar financieramente a investigadores externos a que echen un vistazo a varios de sus productos e informar de sus conclusiones. Apple contrata ingenieros de seguridad y consultores, pero no tienen un programa similar para recompensar a los investigadores externos que hagan informes de vulnerabilidades voluntariamente.
Charlie Miller: No, Apple no paga a investigadores. Apple tiene la visión de que ellos no tienen un problema de seguridad y no necesitan trabajar con investigadores. Compara esto con Microsoft, que apoya conferencias de seguridad, trae a los investigadores para que hablen con su gente, hace reuniones para investigadores y tiene un equipo de investigación de seguridad que libera documentación técnica y herramientas. Apple no hace nada de esto y tiene muy poca comunicación con los investigadores de seguridad. No creo que nunca hayamos recibido un correo o una llamada de teléfono de Apple como respuesta a algo que le hemos enviado. Este no es el caso con otras compañías como Microsoft o Adobe, que abiertamente se comunican conmigo para ver en que estoy trabajando y si tengo ideas que les ayuden, etcétera.
Mac & I: La compatibilidad con el código existente es ciertamente una espada de doble filo. Mientras que se hace por los usuarios, esto mismo puede impedir el progreso y la innovación, lo cual no siempre es bueno cuando se habla de software - y probablemente es un poco inesperado cuando se habla de Apple, uno de los principales innovadores de la industria.
Jacob Appelbaum, conocido por sus ataque de arranque en frío (cold boot), una vez comentó que había enviado un informe de un error de visibilidad de contraseña en loginwindows.app y resulta que era un duplicado, dos millones y medio de errores después.
Hemos oído que el error podría esta todavía abierto. – ¿Dirías que esto es sintomático del objetivo de seguridad de Apple o probablemente solo un episodio desafortunado?
Charlie Miller: He encontrado la seguridad de Apple bastante sensible a los errores de los que he informado, pero de nuevo, tiendo a pensar que obtengo de ellos mejor servicio que la media :). En una cuestión relacionada, Apple ha tenido algunos problemas para mantener actualizados algunos componentes de código abierto de su sistema operativo. Algunos ejemplos que me vienen a la mente son PCRE, Samba y Java. Existen vulnerabilidades generalmente bien conocidas, a veces con exploits conocidos, para estos paquetes que no están actualizados en OS X.
Dino Dai Zovi: Apple también ha respondido bastante bien a mis envíos de errores como dice Charlie, y además me he dado cuenta que el construir una reputación con ellos a lo largo del tiempo mediante el envío de vulnerabilidades bien analizadas es sin duda de gran ayuda. Incluso así, la comunicación siempre es unidireccional y se ponen en contacto contigo sólo si necesitan más información, si no, son bastante silenciosos. Estos días, más bien prefiero enviar mis conclusiones a alguien como ZDI y dejarles que gestionen la comunicación con el fabricante por mí, así puedo continuar con mi vida.
=======================================================================
=======================================================================
OS X sandboxes y seatbelts
Mac & I: Apple ha demostrado con iOS que hay formas de, al menos, hacer mucho más difícil para los atacantes explotar un agujero de seguridad. ¿Es esta (aparente) dependencia de código antiguo que has mencionado antes, también la razón de porqué Apple no defiende más en el uso de políticas sandbox y seatbelt en OS X? Las extensiones de Safari parecen estar aisladas (sandboxed), pero Safari como tal parece esar desprotegido.
Dino Dai Zovi: Creo que la seguridad mejorada y única de iOS (por ejemplo, la cadena de confianza de arranque, el uso integrado de sandbox, las políticas de forzado de uso de código firmado) ha sido diseñada principalmente para proteger el modelo de negocio de Apple, más que los datos de los usuarios. Esto proporciona a Apple un incentivo económico para trabajar duro en ello. Sin embargo el retorno de inversión de la protección de los datos de los usuarios es menor en cuantía económica. También, uno debe tener en mente que las amenazas de malware contra Mac OS X son todavía muy raras. A medida que el mercado de Mac crece, Apple debería implementar características de seguridad mejoradas para estar por delante de las amenazas.
Charlie Miller |
Safari puede “Abrir”, o “Guardar” archivos, así que los exploits o malware serán capaces de hacerlo también. Así que es difícil establecer un aislamiento genérico para Safari. Se todas formas, algo como el complemento Flash de Safari se podría aislar fácilmente (se ejecuta en un proceso separado) y no sé por qué no lo han hecho ya.
Mac & I: De hecho, parece que Flash tiene un serio problema de estabilidad y debería de aislarse. – Tengo Safari en mi MacBook y se congela continuamente por culpa de Flash. Supongamos que esto no lo hace Apple a propósito… mientras tanto, el navegador de Google aísla todos sus procesos, así que es claramente factible. Además, pagan desde unos pocos dólares hasta miles de dólares por vulnerabilidades en Chrome. ¿Tiene Apple una política similar de recompensas por el trabajo de especialistas de seguridad?
Dino Dai Zovi: Safari ejecuta un número de aplicaciones heredadas de 32 bits, incluyendo Flash y Quicktime, cuando Safari se ejecuta en procesos de 64 bits en Snow Leopard. Esto se ha hecho principalmente por compatibilidad, pero tiene también algunos beneficios de estabilidad ya que un complemento que falla no se lleva por delante el resto del navegador. El navegador de Google ha sido diseñado desde cero con un modelo de multi proceso para aislar los procesos render y los complementos entre sí, y también para soportar sandbox. Es un trabajo significativo migrar el código base de un navegador existente (por ejemplo, Safari, Firefox o Internet Explorer) a un modelo completo multi proceso.
Google ha sido bastante progresista en el uso de programas de recompensa de detección de errores para incentivar financieramente a investigadores externos a que echen un vistazo a varios de sus productos e informar de sus conclusiones. Apple contrata ingenieros de seguridad y consultores, pero no tienen un programa similar para recompensar a los investigadores externos que hagan informes de vulnerabilidades voluntariamente.
Alex Sotirov (izquierda) y Dino Dai Zovi (derecha) con un cartel de "No más bugs gratis" |
Charlie Miller: No, Apple no paga a investigadores. Apple tiene la visión de que ellos no tienen un problema de seguridad y no necesitan trabajar con investigadores. Compara esto con Microsoft, que apoya conferencias de seguridad, trae a los investigadores para que hablen con su gente, hace reuniones para investigadores y tiene un equipo de investigación de seguridad que libera documentación técnica y herramientas. Apple no hace nada de esto y tiene muy poca comunicación con los investigadores de seguridad. No creo que nunca hayamos recibido un correo o una llamada de teléfono de Apple como respuesta a algo que le hemos enviado. Este no es el caso con otras compañías como Microsoft o Adobe, que abiertamente se comunican conmigo para ver en que estoy trabajando y si tengo ideas que les ayuden, etcétera.
Jacob Appelbaum |
Jacob Appelbaum, conocido por sus ataque de arranque en frío (cold boot), una vez comentó que había enviado un informe de un error de visibilidad de contraseña en loginwindows.app y resulta que era un duplicado, dos millones y medio de errores después.
Hemos oído que el error podría esta todavía abierto. – ¿Dirías que esto es sintomático del objetivo de seguridad de Apple o probablemente solo un episodio desafortunado?
The Mac Hackers's Handbook |
Dino Dai Zovi: Apple también ha respondido bastante bien a mis envíos de errores como dice Charlie, y además me he dado cuenta que el construir una reputación con ellos a lo largo del tiempo mediante el envío de vulnerabilidades bien analizadas es sin duda de gran ayuda. Incluso así, la comunicación siempre es unidireccional y se ponen en contacto contigo sólo si necesitan más información, si no, son bastante silenciosos. Estos días, más bien prefiero enviar mis conclusiones a alguien como ZDI y dejarles que gestionen la comunicación con el fabricante por mí, así puedo continuar con mi vida.
=======================================================================
=======================================================================
No hay comentarios:
Publicar un comentario