Hakkeri: Windows pesee Macin tietoturvassa
52
Pwn2Own-hakkerointikilpailussa kahdesti peräkkäin voittanut Charlie Miller pitää Microsoftin tuoretta Windows 7 -käyttöjärjestelmää Applen Mac OS X Snow Leopardia vaikeammin murrettavana. Hän antoi haastattelun italialaiselle OneITSecuritylle seuraavan Pwn2Own-kilpailun alla.
– Windows 7 on hieman vaikeampi murtaa, koska siinä on täysi ASLR (address space layout randomization) ja pienempi hyökkäyspinta-ala (ei esimerkiksi Javaa tai Flashia oletuksena), Miller aprikoi.
Hakkeri korostaa, että Windows oli aikaisemmin paljon vaikeampi hyökätä, koska siinä oli myös DEP (data execution prevention). Viime aikoina on kuitenkin kerrottu, miten tämän suojauksen voi kiertää verkkoselaimessa. Miller painottaakin, että haavoittuvuudet majailevat tyypillisesti selaimissa.
Jos Millerin pitäisi valita turvallisin käyttöjärjestelmä/selain-yhdistelmä, hän valitsisi Windows 7:n ja Internet Explorer 8:n tai Google Chromen ilman Adoben Flash-ohjelmistoa.
Miehellä on selvä mielipide Flashista, joka on toiminut useaan otteeseen hyökkääjien reittinä tietokoneille.
– Selainten välillä tuskin on riittävästi eroa, jotta niistä voisi hermostua. Pääasia on, ettei asenna Flashia!
Internet Explorer on saanut alkuvuonna paljon ikävää julkisuutta, kun sen haavoittuvuutta käytettiin hyväksi vanhassa selainversiossa. Operaatio Aurorana tunnettu hyökkäys saattoi altistaa yli sata yritystä haittakoodille.
Kommentit (52)
Webbisivut ovat nykyään täynnä vilkkuvia ja välkkyviä epilepsiaa aiheuttavia valomainoksia joita tunkee silmillesi joka kolosta. Pahimmat niistä ovat sellaisia jotka vievät koko näytön verran tilaa eikä niitä saa edes suljettua. Flash on netin syöpä.
Tämähän sen selittää. Flashin käyttö on kuin "hunajapurkki" se kerää kaiken maailman hakkerit ja krakkeit ympärilleen.
Vai käännettiinkö viesti näin vain uutista varten?
Herra on sitten hyvä ja kertoo, millä tekniikalla soittaa nettisivulta vaikkapa mp3-tiedostoa. Java-appletit ovat sinulle kauhistus, samoin flash. ActiveX on mahdoton ajatus. Javascript/DHTML/Ajax eivät tue mitään mediaa ilman flash/java/activex -plugineja. HTML5 on vasta ehdotusvaiheessa eikä toimi yhdessäkään selaimessa kunnolla eikä siihen voi nojata kuin vuosien kuluttua.
Allekirjoitan täysin sen, että parempi tekniikka pitäisi löytyä mutta kun sitä ei ole. Flashilla kun voi tehdä paljon muutakin kuin graafisten suunnittelijoiden mauttomia animaatioita. Oletko kuullut esim Flexistä? Niin arvelinkin.
Ehkä sinä osaat kertoa?
Siis voimme olla ihan tyytyväisi Flashiin tekniikkana. Voisi heittää analogiaksi vaikka sähkökitaran, sillä saa aikaan miellyttävää musiikkia tai hirvittävää meteliä. Olisiko sähkökitara pitänyt aikanaan kieltää, moni oli sitä mieltä?
Meidän tulee vain äänestää hiirikädellä, pysytään pois sivustoilta jotka ärsyttävät.
On Flashin pakko tehdä jotain oikein, sillä se on selvinnyt Adoben käsissä hengissä näinkin pitkään. Itse ajattelin, että kun Macromedia myytiin Adobelle, niin Adobe syleilee Flashin hengiltä vuodessa. Mutta ei.
Silverlight + Moonlight. Löytyy Apple, Windows. Linux. Tekee enemmän kuin Flash, mutta helpompi koodattava ja vähintään yhtä monipuolinen. On jo yli puolessa koneista.
Ja myös minusta selaimien tietoturvasta jauhetaan siinä suhteessa liikaa kun Flash ja Acrobat ovat paljon isompi ongelma. Tarvittaisiin lisää erilaisia PDF -katseluohjelmia.