Ekspert ostrzega przed Apple

Koncern Apple musi robić więcej na rzecz bezpieczeństwa swojego oprogramowania, postuluje niezależny specjalista od zabezpieczeń Rich Mogull. Ostatnio Apple nie był w stanie dostarczyć patcha łatającego krytyczną lukę w środowisku Java dla systemu Mac OS X. Pokazuje to, że producent nie radzi sobie zbyt dobrze z problemami związanymi z bezpieczeństwem. Mogull ma na swoim koncie m.in. opracowanie przy współpracy z Mozilla Foundation modelu bezpieczeństwa dla przeglądarki Firefox.

Zdaniem eksperta w przypadku Apple'a konieczne jest powołanie szefa ds. bezpieczeństwa (Chief Security Officer, CSO), który koordynowałby prace związane z zagadnieniami bezpieczeństwa. CSO musi dysponować własnym budżetem, personelem i uprawnieniami, aby jego pozycja nie była marginalizowana.

Dodatkowo Mogull namawia producenta do zastosowania modelu tworzenia bezpiecznego oprogramowania (Secure Software Development) dla najważniejszych produktów, takich jak Mac OS X i iPhone. Podobną strategię praktykuje już od lat Microsoft, a na przykład Adobe właśnie zaczyna ją wdrażać u siebie. W ramach tej polityki firma powinna odpowiednio szkolić swoich programistów, a także ustalać standardy tworzenia oprogramowania, opracowywać modele zagrożeń i przeprowadzać audyty kodu.

Ponadto konieczne jest stworzenie zespołu reagującego na komunikaty o ujawnionych lukach w opublikowanym oprogramowaniu. Ponieważ wiele produktów Apple'a bazuje na oprogramowaniu o otwartym kodzie, istotne jest, aby śledzić stan bezpieczeństwa tych projektów i reagować szybko w przypadkach zagrożenia. Na razie firma nie jest zbyt szybka w usuwaniu luk występujących w stosowanym oprogramowaniu –. nawet w przypadku własnych rozwiązań, takich jak przeglądarkowy silnik Webkit.

Według specjalisty Apple powinien zakończyć prace nad zestawem mechanizmów bezpieczeństwa określanym mianem Anti-Exploitation Technologies. Wprawdzie w wersji 10.5 (Leopard) systemu Mac OS X znalazły się mechanizmy ochronne, takie jak niewykonywalny stos (w wersji dla platformy Intel), kodowanie pamięci (scrambling) i stosowanie odseparowanych od reszty systemu środowisk określanych mianem piaskownic (sandbox). Funkcje te zawierają jednak jeszcze błędy, a ponadto są niepełne i można je obchodzić. Pierwsze kroki w kierunku ich usprawnienia będzie można zobaczyć prawdopodobnie w kolejnej wersji systemu –. 10.6 Snow Leopard.

Mimo wszystko praca z produktami Apple'a może być wciąż uważana za względnie bezpieczną – podsumował Modull w swoim artykule w serwisie TidBITS. Może się to jednak zmienić, jeśli firma nie usprawni pod względem bezpieczeństwa stosowanych procedur i rozwiązań architektonicznych.

wydanie internetowe www.heise-online.pl