以駭客的角度來說,Mac很安全的說法,絕對不是這麼一回事。
不過我不是打算開一個板來談,雖然我也有一台mini server,所以還是借這個板面來討論。
看一下兩則舊聞:
http://www.wretch.cc/blog/fsj/2984048
http://www.itis.tw/node/413
兩個說法點出駭客的心態:
「能夠讓 Mac OS X 相對而言比較安全的唯一因素是它的市場佔有率顯著的低於 Microsoft Windows 或是更普遍的 UNIX 平台... 如果這種情況改變的話,就我而言,Mac OS X 的情況會比現在其他作業系統更糟」
「關於 Mac 與 Vista 的比較, Dino Dai Zovi認為就安全方面而言,Microsoft 的相關程式碼品質較好,特別是微軟的安全程式開發生命週期(SDL)管理,比較不會在發佈修補程式時又產生新的漏洞。」
讓我特別想談的原因是,昨天晚上跟大家一起線上收看Back to the Mac時,簡報提到US的市場已經到達20.7%,這代表第一個說法已經成立。
如果嫌引用的文太舊,還可以看一下Charlie Miller的意見,因為在癮科技有人曾經引用過,當時也有其他人反對,我覺得這是很好的案例,所以乾脆看這個連接好了~
http://chinese.engadget.com/2009/11/...-on-the-prowl/
而到了第四屆比賽,他仍然是再度攻破
http://www.techbang.com.tw/posts/219...ecomapiserrors
這並不是要讚揚Miller有多厲害,事實上攻破IE8的Nil也回報過Apple安全訊息,對hackers而言,技術交流原本就是hack精神。
如果大家還是一直抱著Mac就是安全的想法,最好要改變一下心態,如果連續四屆都被擊破瀏覽器,那麼現在猖獗的社交工程信件,一樣也可以在Mac上大為流行。
20.7% 這個數字非常有意思,如果這意味著Mac平台的抬頭,甚至將來可以到達40%甚至更高,然後在全世界市佔率與Windows分庭抗禮,那麼漏洞絕對也會是層出不窮。
稍微查詢一下,可以查到Apple安全更新訊息
http://support.apple.com/kb/HT4131?viewlocale=zh_TW
我不確定這是否為Miller在3月比賽時所回報的漏洞,還是更早的漏洞。但無論如何,距離3月的比賽相隔五個月,也就是在zero day之後有五個月的空窗期,這中間hacker圈可能許多人都知道問題所在,也都有攻擊程式在手上。
這就跟第二個說法有關,Apple到底有多重視這些回報訊息,然後他有多少能力處理這些問題。當然微軟也沒有比較好,事實上微軟有比這個時間還要長的紀錄,我沒記錯的話好像有拖到11個月才發佈修正~
然後發佈了,使用者還要拖多久才去更新,這又是另一個問題。
最後再引用2010年3月的,還是miller的說法
http://daman.cool3c.com/node/21056
「這位知名的 OS X 系統安全專家在 CanSecWest 上,一口氣公開了 20 個可能讓蘋果遭受零時差攻擊(zero day attack)的安全漏洞,這個數字甚至可能還被低估了。
根據 Miller 的調查,OS X 當中的一票開放原始碼(open source )元件,以及第三方、蘋果官方軟體的封閉原始碼(closed source)元件等,整個形成了一個讓駭客很舒服的攻擊表面。(簡單說就是太多漏洞 ...)」
我可以大膽地說,這數字一定是被低估了,因為沒有hacker會把手上的寶一次獻光的道理。我曾經跟一位病毒專家聊天,他很自豪地說手上有將近一百隻病毒都是新的,而T牌防毒軟體一支都掃不到,所以他們憑什麼自認為很厲害。
但無辜的消費者能做什麼?
hmm....我會開始注意這個議題,希望將來能有所幫助,而如果連我這麼弱的人,都會因為20.7%而被吸引,相信很強的高手們,也許已經滿手牌了....
回覆時引用此篇文章
