Ответ в темуСоздание новой темыСоздание опроса

> Apple наказала исследователя за рвение
 logvin Пользователя сейчас нет на форуме
Отправлено: 9.11.2011 - 21:17:34 (post in topic: 1, link to post #511116)
Цитировать сообщение Цитировать выделенный текст


живу я здесь...
Group Icon
Профиль
Группа: Moderators
Сообщений: 9044
Поблагодарили: 30428
Ай-яй-юшек: 11
Штраф:(0%) -----

Apple отозвала лицензию разработчика у эксперта по информационной безопасности Чарли Миллера, известного неоднократным нахождением разнообразных уязвимостей в продукции компании. В своем последнем опыте он, как посчитали в Apple, зашел слишком далеко.

user posted image

Миллер создал программу InstaStock, замаскированную под трекер биржевых котировок, и разместил ее в App Store. При этом на самом деле программа позволяла получать информацию с iPhone и iPad, на которые оказывалась загружена, а также частично управлять ими, отсылая сообщения, стирая информацию и устанавливая программы. Для обхода системы безопасности Apple программа использовала недавнее обновление для iOS, которое позволяет модификацию официально одобренных приложений.

После обнародования Миллером информации о найденной уязвимости, Apple отозвала у него лицензию разработчика программного обеспечения, мотивируя это тем, что он нарушил соответствующее соглашение. Миллер же считает, что он только помог корпорации, продемонстрировав опасную брешь в системе зашиты. Он добавляет, что от его действий никто не пострадал.

Чарли Миллер - бывший эксперт Агентства национальной безопасности США, он известен тем, что неоднократно находил уязвимости и ошибки в продукции Apple. В 2008 г. он получил премию за то что первым нашел серьезную уязвимость в MacBook Air

Источник

 


--------------------
Если Вы зарегистрированы на нашем форуме, то Вы читали Правила Форума и обязались их исполнять!

Если Вы их не исполняете - то не обижайтесь на действия модератора!
PMПисьмо на e-mail пользователю
Bottom Top
 Поблагодарили за полезное сообщение: Поручик, 6002011, CRIttER
 dimm Пользователя сейчас нет на форуме
Отправлено: 10.11.2011 - 15:57:44 (post in topic: 2, link to post #511212)
Цитировать сообщение Цитировать выделенный текст


Глаза ИбадаGold
добрый фей
Group Icon
Профиль
Группа: Privileged
Сообщений: 3495
Поблагодарили: 4421
Ай-яй-юшек: 2
Штраф:(0%) -----

Какой к черту исследователь?

Для того что бы продемонстрировать уязвимость, достаточно сделать это перед представителями компании, а не размещать вредоносное ПО в магазине аппликаций, ставя под удар ничего не подозревающих пользователей.

Иначе мы договоримся до того, что каждый грабитель банка - это исследователь, который демонстрирует уязвимость банковской системы защиты.


--------------------
http://dmitry-goro.livejournal.com/

Пока слова не сказаны - ничего нет. Но если они сказаны, даже то, чего нет становится реальностью.
HishtakiSaritanur
PMПисьмо на e-mail пользователюСайт пользователя
Bottom Top
 Поблагодарили за полезное сообщение: Iudushka, Barrymore, AliBaba, laughingbuddha, vago55, CRIttER
 6002011 Пользователя сейчас нет на форуме
Отправлено: 10.11.2011 - 17:20:59 (post in topic: 3, link to post #511225)
Цитировать сообщение Цитировать выделенный текст


Убийца смысла


Профиль
Группа: Members
Сообщений: -20515
Поблагодарили: ٢٢٧٨٥
Ай-яй-юшек: 299
Штраф:(10%) X----

Цитата (dimm @ 10.11.2011 - 15:10:44)

Иначе мы договоримся до того, что каждый грабитель банка - это исследователь, который демонстрирует уязвимость банковской системы защиты.

Он не получил прибыли от эксперимента, а наоборот продемонстрировал уязвимость почти в рамках своих профессиональных обязанностей. Грабители банков, которые не крадут деньги, а только взламывают сейфы и об этом информируют банки, наверное те самые исследователи. )

Это сообщение отредактировал 6002011 - 10.11.2011 - 17:22:01


--------------------
Все мною написанное, если не указано обратное, является моим частным мнением, либо моим частным наблюдением, либо моей частной фантазией, либо моей частной брехней и не в коей мере не претендует на подержаный лейбл со всевозможными надписями типа "общечеловеческие ценности". Просьба учитывать это при прочтении.

Подтверждаю что делегировал, в момент регистрации на Форуме, Админам и Модераторам право на уничтожение любого моего поста на Форуме.
PMПисьмо на e-mail пользователю
Bottom Top
 Вася с Марса Пользователя сейчас нет на форуме
Отправлено: 10.11.2011 - 18:14:36 (post in topic: 4, link to post #511239)
Цитировать сообщение Цитировать выделенный текст


Глаза ИбадаGoldГигант художественной мыслиМастер художественного слова
Гад я буду, если я ангел!
Group Icon
Профиль
Группа: Privileged
Сообщений: 11363
Поблагодарили: 25801
Ай-яй-юшек: 251
Штраф:(0%) -----

А я б ему еще ножки повыдернул chair


--------------------
Ваш в доску – Вася с/М.
PMПисьмо на e-mail пользователюСайт пользователя
Bottom Top
 dimm Пользователя сейчас нет на форуме
Отправлено: 10.11.2011 - 19:01:47 (post in topic: 5, link to post #511244)
Цитировать сообщение Цитировать выделенный текст


Глаза ИбадаGold
добрый фей
Group Icon
Профиль
Группа: Privileged
Сообщений: 3495
Поблагодарили: 4421
Ай-яй-юшек: 2
Штраф:(0%) -----

Цитата (6002011 @ 10.11.2011 - 15:33:59)

Грабители банков, которые не крадут деньги, а только взламывают сейфы и об этом информируют банки, наверное те самые исследователи

Любим демагогию, правда? Вы забыли добавить: взламывают как участники конкурсов/состязаний проводимых самими банками или фирмами производящими защитные системы. И уж конечно, в этих сейфах не лежат Ваши и мои деньги.


--------------------
http://dmitry-goro.livejournal.com/

Пока слова не сказаны - ничего нет. Но если они сказаны, даже то, чего нет становится реальностью.
HishtakiSaritanur
PMПисьмо на e-mail пользователюСайт пользователя
Bottom Top
 6002011 Пользователя сейчас нет на форуме
Отправлено: 10.11.2011 - 19:26:57 (post in topic: 6, link to post #511251)
Цитировать сообщение Цитировать выделенный текст


Убийца смысла


Профиль
Группа: Members
Сообщений: -20515
Поблагодарили: ٢٢٧٨٥
Ай-яй-юшек: 299
Штраф:(10%) X----

Цитата (dimm @ 10.11.2011 - 18:14:47)

Вы забыли добавить: взламывают как участники конкурсов/состязаний проводимых самими банками или фирмами производящими защитные системы. И уж конечно, в этих сейфах не лежат Ваши и мои деньги.

Я не имел ввиду конкурсы, скорее именно бескорыстных добровольцев, вскрывающих банки за свой счет, ради безопасности наших с Вами денег. ) Если такой найдется - будете Вы его считать не исследователем? Я думаю, что это исследователь в лучшем смысле этого слова и пусть вскрывает банк, где лежат мои деньги, если они там лежат. И где тут демагогия? Чистое моделирование и интерпретирование ситуации. Миллер поступил именно так, чтобы показать несчастным айфонщикам-айпадчикам, что доверять информацию их игрушке надо осторожно. Думаю, что после такого дела, безопасность повысят и клиенты и торгаши с аппсторе.


--------------------
Все мною написанное, если не указано обратное, является моим частным мнением, либо моим частным наблюдением, либо моей частной фантазией, либо моей частной брехней и не в коей мере не претендует на подержаный лейбл со всевозможными надписями типа "общечеловеческие ценности". Просьба учитывать это при прочтении.

Подтверждаю что делегировал, в момент регистрации на Форуме, Админам и Модераторам право на уничтожение любого моего поста на Форуме.
PMПисьмо на e-mail пользователю
Bottom Top
 dimm Пользователя сейчас нет на форуме
Отправлено: 10.11.2011 - 19:47:59 (post in topic: 7, link to post #511256)
Цитировать сообщение Цитировать выделенный текст


Глаза ИбадаGold
добрый фей
Group Icon
Профиль
Группа: Privileged
Сообщений: 3495
Поблагодарили: 4421
Ай-яй-юшек: 2
Штраф:(0%) -----

Цитата (6002011 @ 10.11.2011 - 17:39:57)

Чистое моделирование и интерпретирование ситуации. Миллер поступил именно так, чтобы показать несчастным айфонщикам-айпадчикам, что доверять информацию их игрушке надо осторожно.

Еще раз: для того что бы решить проблему, ее достаточно показать ("смоделировать") самой компании. Подсовывать ничего не подозревающим юзерам программу-шпион, воспользовавшись своей лицензией разработчика - чистой воды хулиганство, за что товарищ и поплатился свой лицензией. И правильно.


--------------------
http://dmitry-goro.livejournal.com/

Пока слова не сказаны - ничего нет. Но если они сказаны, даже то, чего нет становится реальностью.
HishtakiSaritanur
PMПисьмо на e-mail пользователюСайт пользователя
Bottom Top
 Поблагодарили за полезное сообщение: logvin, AliBaba
 6002011 Пользователя сейчас нет на форуме
Отправлено: 10.11.2011 - 19:59:12 (post in topic: 8, link to post #511258)
Цитировать сообщение Цитировать выделенный текст


Убийца смысла


Профиль
Группа: Members
Сообщений: -20515
Поблагодарили: ٢٢٧٨٥
Ай-яй-юшек: 299
Штраф:(10%) X----

Цитата (dimm @ 10.11.2011 - 19:00:59)

Подсовывать ничего не подозревающим юзерам программу-шпион, воспользовавшись своей лицензией разработчика - чистой воды хулиганство, за что товарищ и поплатился свой лицензией.

Ну так юзер - он же всего лишь юзер, его можно чему-то научить только розгами по розовой заднице. Миллер то свое приложение, тестовое, разместил и скачал сам себе, после чего продемонстрировал, что с выбором приложений надо быть аккуратным. А у какого-то барана комплекс неполноценности сработал и человека уволили. Возможно теперь он направит знания и умения на прямое зарабатывание денег, вместо помощи в защите юзеров. )
А, кажется понял. Вы подумали, что он разместил свое приложение, пользуясь служебным положением?

Это сообщение отредактировал 6002011 - 10.11.2011 - 20:14:05


--------------------
Все мною написанное, если не указано обратное, является моим частным мнением, либо моим частным наблюдением, либо моей частной фантазией, либо моей частной брехней и не в коей мере не претендует на подержаный лейбл со всевозможными надписями типа "общечеловеческие ценности". Просьба учитывать это при прочтении.

Подтверждаю что делегировал, в момент регистрации на Форуме, Админам и Модераторам право на уничтожение любого моего поста на Форуме.
PMПисьмо на e-mail пользователю
Bottom Top
 dimm Пользователя сейчас нет на форуме
Отправлено: 10.11.2011 - 20:59:54 (post in topic: 9, link to post #511267)
Цитировать сообщение Цитировать выделенный текст


Глаза ИбадаGold
добрый фей
Group Icon
Профиль
Группа: Privileged
Сообщений: 3495
Поблагодарили: 4421
Ай-яй-юшек: 2
Штраф:(0%) -----

6002011
Скажите, вы и в самом деле не понимаете как работает эта система, или просто стебетесь?
Лицензированный разработчик получает в свое распоряжение все средства для создания программы, в том числе средства для ее тестирования. Когда он передает программу в магазин, он заявляет, что именно она делает (в данном примере - показывает биржевые котировки). После проверки программы на предмет соответствия стандартам UI от Apple и прочего, она попадает в AppStore и становится доступной всем юзерам iOS.

Где здесь "тестовое приложение, скачанное самому себе"?! Налицо очевидное злоупотребление лицензией разработчика. Когда Миллер в прошлом находил уязвимости - он получал за это премии, а не наказания.


--------------------
http://dmitry-goro.livejournal.com/

Пока слова не сказаны - ничего нет. Но если они сказаны, даже то, чего нет становится реальностью.
HishtakiSaritanur
PMПисьмо на e-mail пользователюСайт пользователя
Bottom Top
 Поблагодарили за полезное сообщение: vago55, CRIttER
 6002011 Пользователя сейчас нет на форуме
Отправлено: 10.11.2011 - 21:36:20 (post in topic: 10, link to post #511275)
Цитировать сообщение Цитировать выделенный текст


Убийца смысла


Профиль
Группа: Members
Сообщений: -20515
Поблагодарили: ٢٢٧٨٥
Ай-яй-юшек: 299
Штраф:(10%) X----

Цитата (dimm @ 10.11.2011 - 20:12:54)

Скажите, вы и в самом деле не понимаете как работает эта система, или просто стебетесь?

А что тут понимать? Буквсльно на прошлой неделе общался с парой ребят, которые на досуге ваяют фигню для айфонят. Один из них, за месяц до этого, как раз размещал свою приладку на аппсторе. Никаких средств они не получали, как и никаких лицензий не имели. Приложение бесплатное, по заполнении определенной формы и проверки на функциональность, размещается в аппсторе. Т.е. на месте Миллера мог быть каждый, что он блестяще продемонстрировал. D
Цитата (dimm @ 10.11.2011 - 20:12:54)

Когда Миллер в прошлом находил уязвимости - он получал за это премии, а не наказания.

А здесь нарвался на барана с комплексами или попал начальству под горячую руку. Помню из христоматийных историй, как одного известного администратора сажали на несколько месяцев из-за жалоб баранистых юзеров, которых он учил безопасности.

Это сообщение отредактировал 6002011 - 10.11.2011 - 21:41:53


--------------------
Все мною написанное, если не указано обратное, является моим частным мнением, либо моим частным наблюдением, либо моей частной фантазией, либо моей частной брехней и не в коей мере не претендует на подержаный лейбл со всевозможными надписями типа "общечеловеческие ценности". Просьба учитывать это при прочтении.

Подтверждаю что делегировал, в момент регистрации на Форуме, Админам и Модераторам право на уничтожение любого моего поста на Форуме.
PMПисьмо на e-mail пользователю
Bottom Top
 dimm Пользователя сейчас нет на форуме
Отправлено: 11.11.2011 - 00:40:25 (post in topic: 11, link to post #511299)
Цитировать сообщение Цитировать выделенный текст


Глаза ИбадаGold
добрый фей
Group Icon
Профиль
Группа: Privileged
Сообщений: 3495
Поблагодарили: 4421
Ай-яй-юшек: 2
Штраф:(0%) -----

Цитата (6002011 @ 10.11.2011 - 19:49:20)

Один из них, за месяц до этого, как раз размещал свою приладку на аппсторе. Никаких средств они не получали, как и никаких лицензий не имели. Приложение бесплатное, по заполнении определенной формы и проверки на функциональность, размещается в аппсторе. Т.е. на месте Миллера мог быть каждый, что он блестяще продемонстрировал

Уважаемый, прочтите пожалуйста: http://developer.apple.com/programs/ios/
а потом продолжайте рассказывать про разработку приложений и размещение их аппсторе без лицензии "каждым".


--------------------
http://dmitry-goro.livejournal.com/

Пока слова не сказаны - ничего нет. Но если они сказаны, даже то, чего нет становится реальностью.
HishtakiSaritanur
PMПисьмо на e-mail пользователюСайт пользователя
Bottom Top
 6002011 Пользователя сейчас нет на форуме
Отправлено: 11.11.2011 - 01:45:01 (post in topic: 12, link to post #511305)
Цитировать сообщение Цитировать выделенный текст


Убийца смысла


Профиль
Группа: Members
Сообщений: -20515
Поблагодарили: ٢٢٧٨٥
Ай-яй-юшек: 299
Штраф:(10%) X----

Цитата (dimm @ 10.11.2011 - 23:53:25)

Уважаемый, прочтите пожалуйста

Прочел. А Вы прочли? Там явно указано, что любой проходимец, умеющий слегка топтать кнопки, может без особых проблем зарегистрироваться, заплатить неполную сотнягу и резвиться сколько квалификация позволит. Программа с биржевыми котировками - это наверное обычный ретранслятор? Ну типа взять в Интернете, красиво раскубить и подать на стол с салатом. Думаю таких поделок там сотни, вот и прошла Миллеровская шуточка. ) Так что Вас так усложнило в этой программе? Нормальная художественная самодеятельность, судя по ссылке, только на уровне Эппла, который известен достаточно приличным качеством продукции. Сделает человек с пяток каких-нибудь простых и полезных прилад, распространит через АппСторе, а шестая будет с корыстью, со смыслом, что и показал Миллер, за что и пострадал. Подозреваю, что, когда он просто предупреждал, ему говорили, что все слишком надежно организовано, чтобы могло получиться такое. Надрессировать пацана делать приличные прилады под пады на сдк, думаю, можно за полгода-год, ну за два. Значит реализовать такую схему взлома можно за средние деньги, вопрос только в том, чтобы найти как эти деньги вернуть и умножить. ) Миллер сделал такое дороже, а значит менее вероятным, за что его и уволили.


--------------------
Все мною написанное, если не указано обратное, является моим частным мнением, либо моим частным наблюдением, либо моей частной фантазией, либо моей частной брехней и не в коей мере не претендует на подержаный лейбл со всевозможными надписями типа "общечеловеческие ценности". Просьба учитывать это при прочтении.

Подтверждаю что делегировал, в момент регистрации на Форуме, Админам и Модераторам право на уничтожение любого моего поста на Форуме.
PMПисьмо на e-mail пользователю
Bottom Top
 dimm Пользователя сейчас нет на форуме
Отправлено: 11.11.2011 - 12:00:59 (post in topic: 13, link to post #511352)
Цитировать сообщение Цитировать выделенный текст


Глаза ИбадаGold
добрый фей
Group Icon
Профиль
Группа: Privileged
Сообщений: 3495
Поблагодарили: 4421
Ай-яй-юшек: 2
Штраф:(0%) -----

Цитата (6002011 @ 10.11.2011 - 23:58:01)

Прочел. А Вы прочли? Там явно указано

Давно. Там явно указано, что Вы рассуждаете о вещах, которых не имеете ни малейшего представления.

Вы сказали:

1)
Цитата (6002011 @ 10.11.2011 - 19:49:20)

как и никаких лицензий не имели.

То, что в магазине можно размещать софт без девелоперской лицензии - это чушь, что Вы заметили и потом исправили на невинное "без особых проблем зарегистрироваться".


2)
Цитата (6002011 @ 10.11.2011 - 18:12:12)

Миллер то свое приложение, тестовое, разместил и скачал сам себе,


Приложение размещенное в магазине сразу становится доступным миллионам пользователей. Для того что бы скачать приложение "самому себе", его не нужно размещать в магазине


3)
Цитата (6002011 @ 10.11.2011 - 23:58:01)

за что его и уволили.


Его не уволили, а отобрали ту самую лицензию, которой по Вашим словам он не имел. Как говорят в Одессе, две большие разницы.


Не трудитесь отвечать, с Вами спорить - лишь время терять.


--------------------
http://dmitry-goro.livejournal.com/

Пока слова не сказаны - ничего нет. Но если они сказаны, даже то, чего нет становится реальностью.
HishtakiSaritanur
PMПисьмо на e-mail пользователюСайт пользователя
Bottom Top
 6002011 Пользователя сейчас нет на форуме
Отправлено: 11.11.2011 - 12:48:00 (post in topic: 14, link to post #511357)
Цитировать сообщение Цитировать выделенный текст


Убийца смысла


Профиль
Группа: Members
Сообщений: -20515
Поблагодарили: ٢٢٧٨٥
Ай-яй-юшек: 299
Штраф:(10%) X----

Цитата (dimm @ 11.11.2011 - 11:13:59)

То, что в магазине можно размещать софт без девелоперской лицензии - это чушь, что Вы заметили и потом исправили на невинное "без особых проблем зарегистрироваться".

Я просто прочитал Вашу ссылку и сложил с тем, что слышал об этом от любительски ваяющих айфигню знакомых. Если Вы называете "лицензией" регистрацию с сотней, то я конечно не прав. )

Цитата (dimm @ 11.11.2011 - 11:13:59)

Приложение размещенное в магазине сразу становится доступным миллионам пользователей. Для того что бы скачать приложение "самому себе", его не нужно размещать в магазине

Миллер тестировал слабость организации магазина, а не только завышенное могущество броузера. А в его предупреждения не верили. )

Цитата (dimm @ 11.11.2011 - 11:13:59)

Его не уволили, а отобрали ту самую лицензию, которой по Вашим словам он не имел. Как говорят в Одессе, две большие разницы.

Ну тогда еще хуже, у него не было НИКАКОГО ОСОБОГО ПОЛОЖЕНИЯ, значит любой кнопкотопчащий пацан с улицы может это сделать, организовав подготовительную работу. В статьях указано, что приложение было предварительно проверено в АппСторе специалистами, знающими, кто такой Чарли Миллер. Более того, за три недели до демонстрации, он уже сообщил в Эппл об этой дыре, только не сказал, что закинул тест. Наверное за слова о том, что Эппл верить нельзя, пока она не закроет дыру, его и забанили на год. )
Вот из Интернета об этом кстати:
Цитата

Miller said he was trying to demonstrate a flaw in Apple's process for reviewing new apps. If he hadn't introduced the app to the App store, no one would have believed that Apple would accept an app that could infect mobile devices, he said. Miller added that Apple overreacted.
...
Miller, now a research consultant at Accuvant Labs, said he contacted Apple three weeks ago about the vulnerability, but did not tell the company about his disguised app, which had been available in the App Store since September. Miller said Apple has since removed his app, but that his findings exposed a weakness in Apple's App Store.

"Until they fix this flaw," Miller said, "you can't trust the App Store."


Цитата (dimm @ 11.11.2011 - 11:13:59)

Не трудитесь отвечать, с Вами спорить - лишь время терять.

Да ничего, потружусь, хорошему человеку ответить приятно. )

P.S. Кстати, свое дело Миллер сделал таки, пишут, что теперь эта дыра будет залатана в апдейте к 5.0.1 . laugh Правда, судя по описанию проблемы, эта заплатка должна будет немного затронуть и скорость выполнения.

Это сообщение отредактировал 6002011 - 11.11.2011 - 12:54:54


--------------------
Все мною написанное, если не указано обратное, является моим частным мнением, либо моим частным наблюдением, либо моей частной фантазией, либо моей частной брехней и не в коей мере не претендует на подержаный лейбл со всевозможными надписями типа "общечеловеческие ценности". Просьба учитывать это при прочтении.

Подтверждаю что делегировал, в момент регистрации на Форуме, Админам и Модераторам право на уничтожение любого моего поста на Форуме.
PMПисьмо на e-mail пользователю
Bottom Top



0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции темы Ответ в темуСоздание новой темыСоздание опроса
 
  


Анклавы Клуба в социальных сетях:
Клуб любителей Аудиокниг - Твиттер  Клуб на ФейсБук  Клуб любителей Аудиокниг - наш канал на YouTube  Канал Клуба Любителей Аудиокниг в Телеграм