Step On My FeEt

这次的CanSecWest的头条恐怕就是Mac第一个倒下，前面那篇文章或许也只是对苹果的片面之词，但是我觉得这样的文章比这样的文章更加有意义。对于Mac而言，不应当迷信它的可靠性，一边拿着被hack过的iPhone，一边迷信着Mac OS X是可笑的。但是现实是Mac的环境还是远胜与Windows，至少在安全上是这样的。就像前面文章说道的，在Windows平台下面有个不可见的巨大的市场，这个市场存在于Windows的漏洞之中，有贩卖隐私的hacker，也有不断贩卖更新这的杀毒软件公司，人趋之利，对于这些技术高手而言也是一样的，拿到一万美金的Miller和那些得到更多的金钱的spammer一样有各自的动机，所以，对于这样的比赛也实在没有必要太看重那个结果。

偏巧最近卡巴斯基出来卡巴for mac的beta版本，昨天早上有朋友叫起来，果然被卡死了。从某些方面说，真不希望这些杀毒软件公司进入mac这个市场，虽然看起来已经开始了。

原文：Daniel Eran Dilger

最近的CanSecWest的安全竞赛中报道中，铺天盖地的大标题就是“Mac第一个倒下”。这次比赛中，三种平台并么有处在同一个起跑线上，Mac轻易的输掉比赛是因为它是一个慢跑者，下面要解释为什么。

CanSecWest比赛吸引了很多系统安全专家，他们有不同的背景、动机以及在Mac OS X，Windows Vista和Ubuntu Linux三个平台上面有着不同的经验。比赛强调了专家的知识和能力，他们会选择自己熟悉的平台。

十件关于CanSecWest比赛和系统漏洞要记住的事。
1. 除了在CanSecWest之类的比赛中，发现Mac的漏洞并没有没有什么价值。 没有人会买Charlie Miller发现的漏洞，因为没有市场。而在Windows世界里，存在着一个巨大的漏洞市场（发现的，没发现的，当日公开的，没有补丁的），因为垃圾信息发送者，蠕虫作者，身份盗用者需要这些东西来保住他们的饭碗。. 但在Mac世界里，没有这样的地下世界，换句话说没有获得这些漏洞的需求。一旦漏洞被发现，Mac会在几个星期内补上漏洞。所以我们看到了众多的头条报道，但是真实世界里却不会造成像Windows漏洞那样巨大的损失。

而CanSecWest刻意的表示，如果在这种人为设计的比赛之外存在这样的市场，那么对与Mac的理论上的攻击会是多么恐怖。科技媒体的报道这一事件时，是联想于Windows平台上每天发生的数以百万计成功的攻击，造成真实的破坏，时间的损失和使用强盗式的反病毒软件持续的，警惕的需求。这是十分的误导和伪善。

2. CanSecWest比赛明显的要把注意力从陈旧的Windows转向其他平台。微软持续的支持一些研究想让企业用户知道使用Linux平台时可能会面对的理论上的安全风险。微软拼命的想摆脱数十年来安全黑洞，最好的办法时掩盖明显的真实的Windows安全危机，而误导媒体宣称其他的平台的停机。

完成的任务：无视真实世界里面每年因为Windows的安全问题造成的数十亿美元的损失，CanSecWest宣称Mac比Windows还不安全，孩童式的媒体和无知公众选择相信周围这些问题并没有被权威证实。

3. 比赛突出的关注于Macbook Air的商标，而其他两台笔记本只说明其生产商。这提供了热门话题轰动的可能性，把Windows安全问题与Mac OS X联系起来，同时通过一些特定的不安全因素来中伤苹果新的笔记本。 苹果可能继续它的广告：“我是Mac，Vista很可怕”，来平衡这些。

4. Mac的漏洞是Charlie Miller到达时就已知的漏洞。他没有别的办法来赢得比赛，如果是一个远程的漏洞，他可以在第一天赢得20,000美金而不是10,000美金。他很了解他所知漏洞的价值和怎么使用它。他是个安全专家。

5. 破解Vista的安全专家掣肘于安装了SP1的现实，IDG的Robert McMillan的后续报道。所以Miller比第二名要有更好的准备，这是对Miller的正面反应，而不是对Mac OS X负面的反应。

不幸的是，去年苹果发布新的Mac OS X更新，着早于CanSecWest，这说明可能有若干个漏洞被使用。今年，在比赛前一天Mozilla发布了Firefox 2.0.013的更新，用在了Unbuntu上。

CanSecWest举行的当天，各家供应商的发布了安全更新，对比赛可变有巨大的影响，但是并没有对各个平台的总体安全性有说明。如果比赛选择Vista SP1发布前（Vista发布的一年后），这更能表明过去的2007年Vista用户所处的安全水平。否则只是说明那些已经安装了SP1的Vista用户的安全水平，而忽略了问题本身。

再这个星期的早些时候，CanSecWest比赛举行前一天，Stuart Johnston出现在PC World上，“Windows SP1已经（几乎）准备发布，SP1包含了573个自2007年早些Vista发售起的补丁，和一些性能改进，我建议你使用他——但是仅仅是出现问题之后”

如果Vista SP1保留了在PC World上的建议更新的许多问题，那么在CanSecWest比赛里，安装了SP1的测试机器，能在多少程度上说明用户使用的Vista的安全水平呢？

6. Miller说是利用了Safari的一些问题攻克了什么，但是没有具体说明。我们还不知道这是真实世界里苹果代码的问题，像Miller那样在FOSS库里使用复制粘贴的攻击（或者在PCREL更新后别的专家发现的libtiff漏洞），还是设计程序通过telnet远程登陆了机器，给了攻击者权限。迄今为止的证据说明跟苹果的代码关系不大，当然苹果还是需要对这个版本的FOSS代码负责，因为这是Mac OS X一部分。

顺便提一句，这些PCREL和libtiff漏洞还在使用着，在iPhone上，就是利用这些漏洞安装不支持的软件。这些都没有被用作攻击手段，而且在发现的几个星期里都被修复。

7. 有能力攻克Linux的参与者不愿意发现那些可以赢得比赛的代码， 还是上面的IDG的文章里提到的。为什么不？因为他们没有证明Linux容易被攻击的动机，他们缺乏在比赛中赢得10,000美金的金钱动机，他们可以通过他们发现的漏洞得到更多。

8. 很多漏洞不是单独针对Mac，Windows或者Linux的，而是跨平台的。Vista这次是用过Adobe Flash攻克的，在Java，通用浏览器和其他使用的通用代码漏洞，意味着这些专家可以攻击他们选择的任意平台。过去Miller可以使用他们在FOSS中的漏洞攻击Mac，同样的，FOSS的漏洞同意可以影响Linux和Windows，他们可以向Windows攻击着出售他们的发现。

这种漏洞的弹性可以让发现者选择得到更大的利益，而不是在这样一个比赛中同等的用在各种平台上。现实清楚的说明，这些漏洞的发现往往出现在跟Windows相关的地下市场上，用来开发间谍软件，广告软件或者其他病毒作者各种各样的工具。

9. Miller不断的重复支持，他生活和工作就是怀疑苹果系统的安全性。这样的努力唯一的出口和经营模式就是参加向CanSecWest这样的比赛，去年Miller的同伴，跟他在同一家公司，用同样的手段赢得同样的比赛。他们同样的表示Mac每次是多么容易被攻克，他们得到了媒体上露脸的机会。

的确，如果你是安全专家，拥有落伍的FOSS漏洞，你也可以轻易的在CanSecWest这样的比赛上发现苹果的开源代码的问题，轻易的打败那些在Windows上向spammer兜售漏洞的选手和Linux上没有兴趣尝试让FOSS更坏的选手。但是，这进一步说明你对Mac OS X，Windows和Linux的知识，经验和动机。

10. 苹果使用的开源代码让向Miller这样的安全专家更容易的发现漏洞，包括那些破解了的FOSS，而这些不是苹果更新和发布的。我特别要指出，在昨天的文章中说明这是苹果应该被批评的地方。而苹果应该尽快更新它的FOSS组件。当然还有很多跟FOSS软件的版本有关的问题，这些更新修补了漏洞，也可能带来其他相关的新的问题。

公司的IT支援往往不会及时更新补丁，除非他们知道这些补丁如何工作而不会产生其他问题或者暴露其他漏洞。FOSS可以更快的更新，但是苹果不能或者我们不能容忍每天的软件更新。苹果的商业用户对软件的需求是“可以工作”，这需要与Linux自己动手模式完全不同的版本管理的理解。

批评苹果不够及时更新它的开发组件有些过于简单了。当然，在一些特例上苹果需要改进。但是把所有的问题都归于指责苹果没有及时更新它的开源组件库，是过于忽视了版本管理。

苹果的补丁比微软的快，因为比微软补丁多。
这也给了我们一种假象：在操作系统上，苹果比微软打的补丁多。根据Swiss的调查，苹果的补丁时间是根据这些漏洞正式公开的的日期而进行的。

苹果同样更快的改进了它的操作系统，在Swiss的报告中，过去6年里，在桌面和服务器产品（不包括iphone）中，苹果进行了66次更新，而同时微软只发布或者更新了7次更新。而这被媒体完全的忽略了，而只关注于谁在数字上漏洞公开更多，相应的漏洞更多。

CanSecWest让媒体狂喜于头条，愚弄无知的公众听到想让他们听到的，而不是告诉他们更多关于这个复杂的现实。而我们有更多事实需要思考。