Архив метки: macOS

Наблюдаю за историей с блокировкой продуктов КриптоПро компанией Apple

Наблюдаю за историей с блокировкой продуктов КриптоПро компанией Apple

Наблюдаю за историей с блокировкой продуктов КриптоПро компанией Apple.

"Компания Apple заблокировала приложения нашей разработки в AppStore и отозвала сертификат подписи кода продуктов для операционных систем MacOS."

Судя по тому, что компания КриптоПро выпустила новые версии дистрибутивов и инструкции по установке КриптоПро CSP, Chromium GOST и Ngate client, работу продуктов под MacOS удалось восстановить. Надолго ли? Посмотрим.

"Проблема доступности наших приложений для iOS в процессе решения."

Вижу позитивный момент в том, что Apple перешли к прямым блокировкам продуктов отечественных разработчиков. Очередной прозрачный намёк российским компаниям и организациям, что производить корпоративные закупки продукции Apple не нужно и ничего кроме проблем это не принесёт.

Microsoft могут в любой момент заняться аналогичными блокировками. Так что в среднесрочной перспективе альтернатив российским Linux-ам не просматривается. 🤷‍♂️

Занимательный кейс с third-party утилитой под macOS, у которой поменялся владелец и она начала творить дичь

Занимательный кейс с third-party утилитой под macOS, у которой поменялся владелец и она начала творить дичь

Занимательный кейс с third-party утилитой под macOS, у которой поменялся владелец и она начала творить дичь. Утилитка NightOwl позволяет переключать внешний вид приложений в Dark/Light Mode. 😎 Если верить исследователю, после смены владельца в 2022 году в приложение добавили функциональность, которая "принудительно подключает ваши устройства к ботнету для использования в маркетинговых исследованиях": tinyproxy поднимает, ssh соединения открывает, трафик пользователя перенаправляет. В общем, делает какие-то странные штуки, которые утилита для настройки интерфейса делать явно не должна.

И тут вопрос скорее не в самой NightOwl, с ней понятно - внести в чёрный список софта и массово выпилить. Вопрос в том, умеете ли вы оперативно выявлять такие кейсы с превращением легитимного софта в spyware? 🤔

Прочитал статью Алексея Лукацкого в Форбсе про то, что запрет устройств Apple "для чиновников вряд ли сработает"

Прочитал статью Алексея Лукацкого в Форбсе про то, что запрет устройств Apple для чиновников вряд ли сработает

Прочитал статью Алексея Лукацкого в Форбсе про то, что запрет устройств Apple "для чиновников вряд ли сработает". Мне статья показалась интересной в первую очередь из-за перечисления мест, где уже запретили:

🔹 Минпромторг
🔹 Минцифры
🔹 «Ростех»
🔹 АП

Сообщения о планах:

🔹 Минфин
🔹 Минэнерго

И более старые запреты:

🔹 "требование по импортозамещению, обязывающее госорганы и госкорпорации использовать ПО и устройства только из соответствующих реестров (и это требование действует с 2014 года)"
🔹 "требования 2015 года о запрете использования зарубежных сервисов в деятельности госструктур"
🔹 "требования 2013 года об обязательной сертификации средств защиты информации в государственных информационных системах"

Аргументация в статье почему такие запреты не сработают в основном сводится к тому, что люди привыкли к удобному, такое же удобное вы им не предложите, прямые запреты люди будут игнорировать, а за руку вы их не поймаете.

Имхо, прямые запреты техники Apple это отлично и они должны быть. Чем конкретнее, тем лучше. Желательно, чтобы на каждой стене был плакат с перечеркнутым яблоком. Если человек настолько не дорожит своим местом работы, что готов ради своего удобства нарушать прямой запрет и подставляться - ну что ж, его дело. Недоброжелатели этого человека наверняка порадуются такому удобному формальному поводу с ним поквитаться.

А что до тех, кому не удобно и кто не умеет пользоваться ни чем, кроме техники Apple, вспоминается цитата из ДМБ про умение подшивать подворотничок:

"Никто не умеет. Дело не в умении, не в желании, и вообще ни в чём. Дело в самом пришивании подворотничка."

PS: Ещё пишут, что запретили в:
🔸 ФНС
🔸 Минкультуры
🔸 Минпросвещения
🔸 Минтрансе

Про Endpoint Vulnerability Detection

Про Endpoint Vulnerability Detection

Про Endpoint Vulnerability Detection. Поделюсь некоторыми соображениями, болями и хотелками по поводу отечественных средств детектирования уязвимостей инфраструктуры.

1. Если брать только ОС-и, то основная боль детектирования уязвимостей это Windows и macOS. Особенно Windows: и по KBшкам, и для Third-Party. Я верю, что в какой-то перспективе от этого в российском энтерпрайзе откажутся, но пока оно есть и требует поддержки. С Linux, особенно в той части детектов, которые обычно реализуют VM-вендоры, детект только по бюллетеням безопасности и версиям пакетов, можно сказать, терпимо.
2. Архитектура и интерфейсы управления отечественных VM решений (я намеренно не буду никого конкретного называть, считайте, что это в среднем по больнице) это просто беда. Трудно развертывать, трудно эксплуатировать, трудно дебажить. Лучше бы этого переусложненного безобразия не было вовсе. 😔
3. Функциональности по детектированию уязвимостей, которая есть в бесплатном ScanOVAL ФСТЭК в принципе было бы достаточно, если бы он не был специально ограничен с точки зрения автоматизации работы. Понятно почему ограничен - забесплатно и так очень круто, тут вопросов нет. Но если бы был, допустим, сканер аналогичный ScanOVAL, но позволяющий запускаться в неинтерактивном режиме с возможностью подложить ему OVAL-контент (или в другом формате - не важно) и получить результаты детектирования - это был бы отличный продукт, за который можно было бы платить вменяемые деньги. Поддержание работы движка и наполнение контента это тяжёлая, важная и трудоемкая работа, это должно финансироваться, тут тоже без вопросов. Я бы топил за такое. Назовем такой класс продуктов, например, Local Vulnerability Scanner.
4. Допустим у нас есть консольная сканилка из предыдущего пункта. Как должно выглядеть вменяемое взаимодействие агента и сервера? Максимально просто и прозрачно для конечного пользователя (№*?@%#$🤬💪)!!! Агент на устройстве должен периодически брать адрес сервера (обычного web-сервера, REST API) из текстового конфига, спросить у сервера "есть у тебя новый контент?", если есть, то скачать его, запустить детект и залить результаты детекта на сервер. Всё! Это тривиально запиливается на скриптах за неделю. И агентная часть, и серверная. И дебажится в случае непоняток ручным выполнением тех же самых запросов с таргет-хоста. И агентная обвязка, и сервер это вообще может быть опенсурс. Вменяемому клиенту все эти интерфейсные красивости, на которые VM-вендоры палят столько ресурсов либо вообще не нужны, либо абсолютно второстепенны.

Сомневаюсь я, конечно, что кто-то из VM-вендоров прислушается и выпустит базовое решение для детекта уязвимостей а-ля ScanOVAL, но с возможностями для автоматизации. Или, что возможности автоматизации добавят непосредственно в ScanOVAL. Или, что агентное сканирование сделают по-человечески, нормально и прозрачно. Но высказываться в эту сторону, имхо, нужно. А то так и продолжим терпеть с улыбочкой всю эту лютую дичь. 😬

Apple выпустили обновления для исправления уязвимостей, эксплуатирующихся в операции Триангуляция

Apple выпустили обновления для исправления уязвимостей, эксплуатирующихся в операции Триангуляция.

CVE-2023-32434 - "An app may be able to execute arbitrary code with kernel privilege"

CVE-2023-32435 - WebKit "Processing web content may lead to arbitrary code execution"

Исправления пришли в версиях iOS/iPadOS 16.5.1 и 15.7.7.

Получается 20 дней потребовалось на выпуск фикса. Можно констатировать, что какого-то нового закручивания гаек в отношение устройств Apple за эти 20 дней также не произошло.

Я за это время имел несколько бесед с безопасниками из разных компаний, которые используют устройства Apple (основной вопрос к устройствам на macOS). Поразительное дело. Все согласны с тем, что устройства Apple это "идеальное убежище для шпионских программ" и обеспечивать безопасность таких устройств куда сложнее, чем устройств под Linux и Windows. В том числе и в плане Vulnerability Management-а. Но как только дело доходит до "готов ли ты лично отказаться от устройств Apple? (хотя бы корпоративных)" ответ один "нет, ты что, я привык, они такие классные и удобные". 🤷‍♂️ Если с безопасниками такая история, то что уж говорить о простых обывателях. Пока не будет каких-то прямых запретительных мер, из корпоративных инфраструктур устройства Apple никуда не денутся. А физики от них не откажутся вообще никогда. Даже если Apple начнет эти устройства брикать, всё равно всеми правдами и неправдами будут стараться продолжить пользоваться. В удивительную зависимость люди попадают.

О возможной принудительной предустановке отечественных ОС на импортируемые ноутбуки и ПК

О возможной принудительной предустановке отечественных ОС на импортируемые ноутбуки и ПК. Сообщает нам Ъ со ссылкой на источник в правительстве. Якобы это инициатива Минцифры и обязанность делать предустановку возложат на ритейлеров. Если предположить, что так и будет, хорошо ли это? Смотря кому.

1. Вендорам отечественных ОС хорошо, т.к. дополнительный доход от OEM лицензий.

2. Государству хорошо, т.к. это поддержка вендоров отечественных ОС, которая не требует бюджетных вливаний. Теоретически может несколько уменьшиться доля западных ОС и зависимость от них.

3. Ритейлу плохо. На них ляжет дополнительная работа по предустановке, тестированию совместимости и т.п. Что делать с устройствами, на которые нельзя поставить отечественную ОС (читай: Apple)? Это фактический запрет на их продажу? Если да, то продажи таких устройств уйдут в тень, если нет, то будет ли действенна эта мера?

4. Пользователям нейтрально-плохо. Ритейлеры свои дополнительные затраты включат в цену устройств. Каким-то пользователям предустановленная ОС может и зайдет. Почта есть, браузер с соцсеточками и ютубом тоже есть - ну и норм. 🙂 Но, думаю, абсолютное большинство будет на свежекупленное устройства тут же ставить Windows. Лицензионный или не очень. Возможно как доп. услугу у того же ритейлера.

В целом, как мера поддержки отечественных Linux вендоров это выглядит неплохо, но сама по себе это мера расклад по используемым в РФ операционным системам вряд ли изменит. Чтобы снизить долю macOS и Windows нужно прежде всего осознать это как серьёзную проблему и начать это недвусмысленно транслировать. Пока прямых заявлений, что Microsoft и Apple нам вражины и нужно отказываться от использования их продуктов насколько это возможно, я лично не видел. А без этого сложно объяснить конечным пользователям почему им нужно перестать использовать то, что удобно и привычно, и начать вдруг пользоваться тем, что непривычно и менее функционально.

Про недавние уязвимости Apple и Parallels Desktop

Про недавние уязвимости Apple и Parallels Desktop

Про недавние уязвимости Apple и Parallels Desktop. В паблике с прошлой пятницы.

Основное это активно эксплуатируемые уязвимости ядра и WebKit:

1. CVE-2023-28206 - Arbitrary code with kernel privileges
2. CVE-2023-28205 - Processing maliciously crafted web content may lead to arbitrary code execution

Бюллетени:

1. macOS Ventura
2. macOS Big Sur и macOS Monterey
3. iOS/iPadOS

Также у ZDI вышла подробная статья по Privilege Escalation уязвимостям Parallels Desktop на macOS.

1. CVE-2023-27322 - Local Privilege Escalation Through Parallels Service
2. CVE-2023-27324 and CVE-2023-27325 - Local Privilege Escalation Through Parallels Updater

Нужно патчиться, но, имхо, сейчас лучше убирать эти macOS игрушки из корпоративной среды насколько это вообще возможно.