Клуб Любителей АудиоКниг · Текстовая версия форума · Правила · Рецензии · Трекер · Файлообмен · Перейти в Наш Каталог | Помощь Поиск |
Здравствуйте Гость ( Вход | Регистрация ) | Выслать повторно письмо для активации |
Блокировка сайта Клуба на территории РФ |
Лучшие книги ушедшего года. Авторские подборки |
|
Отправлено: 9.11.2011 - 21:17:34 (post in topic: 1, link to post #511116)
|
||
живу я здесь... Профиль Группа: Moderators Сообщений: 9044 Поблагодарили: 30428 Ай-яй-юшек: 11 Штраф:(0%) |
Apple отозвала лицензию разработчика у эксперта по информационной безопасности Чарли Миллера, известного неоднократным нахождением разнообразных уязвимостей в продукции компании. В своем последнем опыте он, как посчитали в Apple, зашел слишком далеко.
Миллер создал программу InstaStock, замаскированную под трекер биржевых котировок, и разместил ее в App Store. При этом на самом деле программа позволяла получать информацию с iPhone и iPad, на которые оказывалась загружена, а также частично управлять ими, отсылая сообщения, стирая информацию и устанавливая программы. Для обхода системы безопасности Apple программа использовала недавнее обновление для iOS, которое позволяет модификацию официально одобренных приложений. После обнародования Миллером информации о найденной уязвимости, Apple отозвала у него лицензию разработчика программного обеспечения, мотивируя это тем, что он нарушил соответствующее соглашение. Миллер же считает, что он только помог корпорации, продемонстрировав опасную брешь в системе зашиты. Он добавляет, что от его действий никто не пострадал. Чарли Миллер - бывший эксперт Агентства национальной безопасности США, он известен тем, что неоднократно находил уязвимости и ошибки в продукции Apple. В 2008 г. он получил премию за то что первым нашел серьезную уязвимость в MacBook Air Источник -------------------- Если Вы зарегистрированы на нашем форуме, то Вы читали Правила Форума и обязались их исполнять! Если Вы их не исполняете - то не обижайтесь на действия модератора! |
||
Поблагодарили за полезное сообщение: Поручик, 6002011, CRIttER |
|
Отправлено: 10.11.2011 - 15:57:44 (post in topic: 2, link to post #511212)
|
||
добрый фей Профиль Группа: Privileged Сообщений: 3495 Поблагодарили: 4421 Ай-яй-юшек: 2 Штраф:(0%) |
Какой к черту исследователь?
Для того что бы продемонстрировать уязвимость, достаточно сделать это перед представителями компании, а не размещать вредоносное ПО в магазине аппликаций, ставя под удар ничего не подозревающих пользователей. Иначе мы договоримся до того, что каждый грабитель банка - это исследователь, который демонстрирует уязвимость банковской системы защиты. -------------------- http://dmitry-goro.livejournal.com/ Пока слова не сказаны - ничего нет. Но если они сказаны, даже то, чего нет становится реальностью. HishtakiSaritanur |
||
Поблагодарили за полезное сообщение: Iudushka, Barrymore, AliBaba, laughingbuddha, vago55, CRIttER |
|
Отправлено: 10.11.2011 - 17:20:59 (post in topic: 3, link to post #511225)
|
|||
Профиль Группа: Members Сообщений: -20515 Поблагодарили: ٢٢٧٨٥ Ай-яй-юшек: 299 Штраф:(10%) |
Он не получил прибыли от эксперимента, а наоборот продемонстрировал уязвимость почти в рамках своих профессиональных обязанностей. Грабители банков, которые не крадут деньги, а только взламывают сейфы и об этом информируют банки, наверное те самые исследователи. Это сообщение отредактировал 6002011 - 10.11.2011 - 17:22:01 -------------------- Все мною написанное, если не указано обратное, является моим частным мнением, либо моим частным наблюдением, либо моей частной фантазией, либо моей частной брехней и не в коей мере не претендует на подержаный лейбл со всевозможными надписями типа "общечеловеческие ценности". Просьба учитывать это при прочтении. Подтверждаю что делегировал, в момент регистрации на Форуме, Админам и Модераторам право на уничтожение любого моего поста на Форуме. |
|||
|
Отправлено: 10.11.2011 - 18:14:36 (post in topic: 4, link to post #511239)
|
||
Гад я буду, если я ангел! Профиль Группа: Privileged Сообщений: 11363 Поблагодарили: 25801 Ай-яй-юшек: 251 Штраф:(0%) |
А я б ему еще ножки повыдернул
-------------------- Ваш в доску – Вася с/М. |
||
|
Отправлено: 10.11.2011 - 19:01:47 (post in topic: 5, link to post #511244)
|
|||
добрый фей Профиль Группа: Privileged Сообщений: 3495 Поблагодарили: 4421 Ай-яй-юшек: 2 Штраф:(0%) |
Любим демагогию, правда? Вы забыли добавить: взламывают как участники конкурсов/состязаний проводимых самими банками или фирмами производящими защитные системы. И уж конечно, в этих сейфах не лежат Ваши и мои деньги. -------------------- http://dmitry-goro.livejournal.com/ Пока слова не сказаны - ничего нет. Но если они сказаны, даже то, чего нет становится реальностью. HishtakiSaritanur |
|||
|
Отправлено: 10.11.2011 - 19:26:57 (post in topic: 6, link to post #511251)
|
|||
Профиль Группа: Members Сообщений: -20515 Поблагодарили: ٢٢٧٨٥ Ай-яй-юшек: 299 Штраф:(10%) |
Я не имел ввиду конкурсы, скорее именно бескорыстных добровольцев, вскрывающих банки за свой счет, ради безопасности наших с Вами денег. Если такой найдется - будете Вы его считать не исследователем? Я думаю, что это исследователь в лучшем смысле этого слова и пусть вскрывает банк, где лежат мои деньги, если они там лежат. И где тут демагогия? Чистое моделирование и интерпретирование ситуации. Миллер поступил именно так, чтобы показать несчастным айфонщикам-айпадчикам, что доверять информацию их игрушке надо осторожно. Думаю, что после такого дела, безопасность повысят и клиенты и торгаши с аппсторе. -------------------- Все мною написанное, если не указано обратное, является моим частным мнением, либо моим частным наблюдением, либо моей частной фантазией, либо моей частной брехней и не в коей мере не претендует на подержаный лейбл со всевозможными надписями типа "общечеловеческие ценности". Просьба учитывать это при прочтении. Подтверждаю что делегировал, в момент регистрации на Форуме, Админам и Модераторам право на уничтожение любого моего поста на Форуме. |
|||
|
Отправлено: 10.11.2011 - 19:47:59 (post in topic: 7, link to post #511256)
|
|||
добрый фей Профиль Группа: Privileged Сообщений: 3495 Поблагодарили: 4421 Ай-яй-юшек: 2 Штраф:(0%) |
Еще раз: для того что бы решить проблему, ее достаточно показать ("смоделировать") самой компании. Подсовывать ничего не подозревающим юзерам программу-шпион, воспользовавшись своей лицензией разработчика - чистой воды хулиганство, за что товарищ и поплатился свой лицензией. И правильно. -------------------- http://dmitry-goro.livejournal.com/ Пока слова не сказаны - ничего нет. Но если они сказаны, даже то, чего нет становится реальностью. HishtakiSaritanur |
|||
Поблагодарили за полезное сообщение: logvin, AliBaba |
|
Отправлено: 10.11.2011 - 19:59:12 (post in topic: 8, link to post #511258)
|
|||
Профиль Группа: Members Сообщений: -20515 Поблагодарили: ٢٢٧٨٥ Ай-яй-юшек: 299 Штраф:(10%) |
Ну так юзер - он же всего лишь юзер, его можно чему-то научить только розгами по розовой заднице. Миллер то свое приложение, тестовое, разместил и скачал сам себе, после чего продемонстрировал, что с выбором приложений надо быть аккуратным. А у какого-то барана комплекс неполноценности сработал и человека уволили. Возможно теперь он направит знания и умения на прямое зарабатывание денег, вместо помощи в защите юзеров. А, кажется понял. Вы подумали, что он разместил свое приложение, пользуясь служебным положением? Это сообщение отредактировал 6002011 - 10.11.2011 - 20:14:05 -------------------- Все мною написанное, если не указано обратное, является моим частным мнением, либо моим частным наблюдением, либо моей частной фантазией, либо моей частной брехней и не в коей мере не претендует на подержаный лейбл со всевозможными надписями типа "общечеловеческие ценности". Просьба учитывать это при прочтении. Подтверждаю что делегировал, в момент регистрации на Форуме, Админам и Модераторам право на уничтожение любого моего поста на Форуме. |
|||
|
Отправлено: 10.11.2011 - 20:59:54 (post in topic: 9, link to post #511267)
|
||
добрый фей Профиль Группа: Privileged Сообщений: 3495 Поблагодарили: 4421 Ай-яй-юшек: 2 Штраф:(0%) |
6002011
Скажите, вы и в самом деле не понимаете как работает эта система, или просто стебетесь? Лицензированный разработчик получает в свое распоряжение все средства для создания программы, в том числе средства для ее тестирования. Когда он передает программу в магазин, он заявляет, что именно она делает (в данном примере - показывает биржевые котировки). После проверки программы на предмет соответствия стандартам UI от Apple и прочего, она попадает в AppStore и становится доступной всем юзерам iOS. Где здесь "тестовое приложение, скачанное самому себе"?! Налицо очевидное злоупотребление лицензией разработчика. Когда Миллер в прошлом находил уязвимости - он получал за это премии, а не наказания. -------------------- http://dmitry-goro.livejournal.com/ Пока слова не сказаны - ничего нет. Но если они сказаны, даже то, чего нет становится реальностью. HishtakiSaritanur |
||
Поблагодарили за полезное сообщение: vago55, CRIttER |
|
Отправлено: 10.11.2011 - 21:36:20 (post in topic: 10, link to post #511275)
|
|||||
Профиль Группа: Members Сообщений: -20515 Поблагодарили: ٢٢٧٨٥ Ай-яй-юшек: 299 Штраф:(10%) |
А что тут понимать? Буквсльно на прошлой неделе общался с парой ребят, которые на досуге ваяют фигню для айфонят. Один из них, за месяц до этого, как раз размещал свою приладку на аппсторе. Никаких средств они не получали, как и никаких лицензий не имели. Приложение бесплатное, по заполнении определенной формы и проверки на функциональность, размещается в аппсторе. Т.е. на месте Миллера мог быть каждый, что он блестяще продемонстрировал.
А здесь нарвался на барана с комплексами или попал начальству под горячую руку. Помню из христоматийных историй, как одного известного администратора сажали на несколько месяцев из-за жалоб баранистых юзеров, которых он учил безопасности. Это сообщение отредактировал 6002011 - 10.11.2011 - 21:41:53 -------------------- Все мною написанное, если не указано обратное, является моим частным мнением, либо моим частным наблюдением, либо моей частной фантазией, либо моей частной брехней и не в коей мере не претендует на подержаный лейбл со всевозможными надписями типа "общечеловеческие ценности". Просьба учитывать это при прочтении. Подтверждаю что делегировал, в момент регистрации на Форуме, Админам и Модераторам право на уничтожение любого моего поста на Форуме. |
|||||
|
Отправлено: 11.11.2011 - 00:40:25 (post in topic: 11, link to post #511299)
|
|||
добрый фей Профиль Группа: Privileged Сообщений: 3495 Поблагодарили: 4421 Ай-яй-юшек: 2 Штраф:(0%) |
Уважаемый, прочтите пожалуйста: http://developer.apple.com/programs/ios/ а потом продолжайте рассказывать про разработку приложений и размещение их аппсторе без лицензии "каждым". -------------------- http://dmitry-goro.livejournal.com/ Пока слова не сказаны - ничего нет. Но если они сказаны, даже то, чего нет становится реальностью. HishtakiSaritanur |
|||
|
Отправлено: 11.11.2011 - 01:45:01 (post in topic: 12, link to post #511305)
|
|||
Профиль Группа: Members Сообщений: -20515 Поблагодарили: ٢٢٧٨٥ Ай-яй-юшек: 299 Штраф:(10%) |
Прочел. А Вы прочли? Там явно указано, что любой проходимец, умеющий слегка топтать кнопки, может без особых проблем зарегистрироваться, заплатить неполную сотнягу и резвиться сколько квалификация позволит. Программа с биржевыми котировками - это наверное обычный ретранслятор? Ну типа взять в Интернете, красиво раскубить и подать на стол с салатом. Думаю таких поделок там сотни, вот и прошла Миллеровская шуточка. Так что Вас так усложнило в этой программе? Нормальная художественная самодеятельность, судя по ссылке, только на уровне Эппла, который известен достаточно приличным качеством продукции. Сделает человек с пяток каких-нибудь простых и полезных прилад, распространит через АппСторе, а шестая будет с корыстью, со смыслом, что и показал Миллер, за что и пострадал. Подозреваю, что, когда он просто предупреждал, ему говорили, что все слишком надежно организовано, чтобы могло получиться такое. Надрессировать пацана делать приличные прилады под пады на сдк, думаю, можно за полгода-год, ну за два. Значит реализовать такую схему взлома можно за средние деньги, вопрос только в том, чтобы найти как эти деньги вернуть и умножить. Миллер сделал такое дороже, а значит менее вероятным, за что его и уволили. -------------------- Все мною написанное, если не указано обратное, является моим частным мнением, либо моим частным наблюдением, либо моей частной фантазией, либо моей частной брехней и не в коей мере не претендует на подержаный лейбл со всевозможными надписями типа "общечеловеческие ценности". Просьба учитывать это при прочтении. Подтверждаю что делегировал, в момент регистрации на Форуме, Админам и Модераторам право на уничтожение любого моего поста на Форуме. |
|||
|
Отправлено: 11.11.2011 - 12:00:59 (post in topic: 13, link to post #511352)
|
|||||||||
добрый фей Профиль Группа: Privileged Сообщений: 3495 Поблагодарили: 4421 Ай-яй-юшек: 2 Штраф:(0%) |
Давно. Там явно указано, что Вы рассуждаете о вещах, которых не имеете ни малейшего представления. Вы сказали: 1)
То, что в магазине можно размещать софт без девелоперской лицензии - это чушь, что Вы заметили и потом исправили на невинное "без особых проблем зарегистрироваться". 2)
Приложение размещенное в магазине сразу становится доступным миллионам пользователей. Для того что бы скачать приложение "самому себе", его не нужно размещать в магазине 3)
Его не уволили, а отобрали ту самую лицензию, которой по Вашим словам он не имел. Как говорят в Одессе, две большие разницы. Не трудитесь отвечать, с Вами спорить - лишь время терять. -------------------- http://dmitry-goro.livejournal.com/ Пока слова не сказаны - ничего нет. Но если они сказаны, даже то, чего нет становится реальностью. HishtakiSaritanur |
|||||||||
|
Отправлено: 11.11.2011 - 12:48:00 (post in topic: 14, link to post #511357)
|
|||||||||||
Профиль Группа: Members Сообщений: -20515 Поблагодарили: ٢٢٧٨٥ Ай-яй-юшек: 299 Штраф:(10%) |
Я просто прочитал Вашу ссылку и сложил с тем, что слышал об этом от любительски ваяющих айфигню знакомых. Если Вы называете "лицензией" регистрацию с сотней, то я конечно не прав.
Миллер тестировал слабость организации магазина, а не только завышенное могущество броузера. А в его предупреждения не верили.
Ну тогда еще хуже, у него не было НИКАКОГО ОСОБОГО ПОЛОЖЕНИЯ, значит любой кнопкотопчащий пацан с улицы может это сделать, организовав подготовительную работу. В статьях указано, что приложение было предварительно проверено в АппСторе специалистами, знающими, кто такой Чарли Миллер. Более того, за три недели до демонстрации, он уже сообщил в Эппл об этой дыре, только не сказал, что закинул тест. Наверное за слова о том, что Эппл верить нельзя, пока она не закроет дыру, его и забанили на год. Вот из Интернета об этом кстати:
Да ничего, потружусь, хорошему человеку ответить приятно. P.S. Кстати, свое дело Миллер сделал таки, пишут, что теперь эта дыра будет залатана в апдейте к 5.0.1 . Правда, судя по описанию проблемы, эта заплатка должна будет немного затронуть и скорость выполнения. Это сообщение отредактировал 6002011 - 11.11.2011 - 12:54:54 -------------------- Все мною написанное, если не указано обратное, является моим частным мнением, либо моим частным наблюдением, либо моей частной фантазией, либо моей частной брехней и не в коей мере не претендует на подержаный лейбл со всевозможными надписями типа "общечеловеческие ценности". Просьба учитывать это при прочтении. Подтверждаю что делегировал, в момент регистрации на Форуме, Админам и Модераторам право на уничтожение любого моего поста на Форуме. |
|||||||||||