Apple ed exploit, cacciato un guru della sicurezza

Apple ed exploit, cacciato un guru della sicurezza

Un noto ricercatore in tematiche di sicurezza è stato cacciato dal programma di sviluppo Apple dopo aver mostrato una nuova falla presente nel programma di certificazione delle applicazioni in iOS

di pubblicata il , alle 10:19 nel canale Apple
AppleiOS
 
63 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
(IH)Patriota09 Novembre 2011, 00:20 #51
Come al solito si finisce in flame e si svacca paurosamente.

La metà dei commenti parlano di licenziamento quando invece si tratta semplicemente di una sospensione di un contratto per violazione delle condizioni da una delle parti, la violazione è poi perpetrata, è vietato creare APP che cerchino di sfruttare bug o exploit e nel caso involontariamente si dovesse scoprire una falla il regolamento contrattuale prevede che non si possa divulgare la notizia.

Questo non certo (o non solamente) per non "sputtanare" Apple ma anche per tutelare gli utenti almeno finchè la falla non viene tappata.

Non fosse altro che la perdita di credibilità di APP Store oltre a far male ad Apple farebbe male anche agli sviluppatori che traggono profitto dalla vendita delle loro applicazioni.

Sembra poi che la sola Apple abbia un guadagno nell' avere degli sviluppatori quando invece la realtà dei fatti è che per quanto iOS sia un sistema con delle API molto rigide, regole noiose e rompipalle, soggetto al controllo e censura ecc..ecc.. alla fine ha il mercato più florido (in termini di guadagni perché se con i numeri non fai anche i soldi c'è qualcosa che non va...) e gli sviluppatori stessi pagano pure per aderire al programma di sviluppo delle App.

Purtroppo non posso che constatare come la (facile) previsione di Pavek si sia concretizzata nel giro di qualche commento, quasi come prevedere che fazz appena leggerà il commento qui sopra donerà altri giorni di sospensione per violazione del regolamento del forum
Slater9109 Novembre 2011, 00:25 #52
Originariamente inviato da: theJanitor
ti farebbero i ringraziamenti ufficiali se da dipendente, cosa che continua a non essere stato , svelassi al mondo una falla rilasciando pure l'applicazione che sfrutta l'exploit anzichè farlo presente direttamente a loro?


È stato fatto presente direttamente a loro, ma dopo 3 settimane dalla segnalazione non è stata ricevuta nessuna comunicazione di "ricevuto" e quindi Miller ha provveduto a far sapere a Forbes i dettagli della questione.
"He told CNET that he alerted Apple to the exploit three weeks ago, however it's unknown whether or not a fix for the problem is included in the new 5.0.1 version of iOS that's currently in testing."
Fonte: http://www.engadget.com/2011/11/07/...p-store-gets-h/
!fazz09 Novembre 2011, 01:00 #53
Originariamente inviato da: doctormarx
5 gg per un commento IT ma che non elogia apple? per una personale previsione che può essere sbagliata o no?
come è successo a me... 5gg per essermi permesse di non dire che apple è magica... comincia a puzzare di dittatura...

vabbè, tornando IT, mi sembra che apple abbia esagerato, ma anche lui credo abbia esagerato anche se c'è da capire se davvero abbia avvisato apple come immagino prevedeva il contratto o no. più che altro mi stupisce leggere notizie di cosi poco conto


5 gg per polemica pubblica
zanarkand09 Novembre 2011, 08:57 #54
Originariamente inviato da: PaveK
Ha violato l'accordo di licenza, come evidenziato dall'email.
Solo che, essendo Apple... Apple, ed essendo l'email in inglese e non in italiano, fioccheranno commenti "diversamente ragionevoli".
Preparatevi, ce ne saranno di belle


Mai parole furono più profetiche
elleby09 Novembre 2011, 09:46 #55
Originariamente inviato da: (IH)Patriota
Questo non certo (o non solamente) per non "sputtanare" Apple ma anche per tutelare gli utenti almeno finchè la falla non viene tappata.
Non fosse altro che la perdita di credibilità di APP Store oltre a far male ad Apple farebbe male anche agli sviluppatori che traggono profitto dalla vendita delle loro applicazioni.

Personalmente dubito molto di questo presunto danno. Ogni persona che scrive codice sa che essendo scritto da umani contiene falle sfruttabili. Miller ne ha evidenziata una, ma non si può escludere che ne esistano altre. Considerando che iOs rappresenta una grossa fetta del mercato mobile, nessun sviluppatore che voglia notorietà e/o soldi rinuncia ai clienti per un motivo del genere.
Sicuramente Miller non è stato licenziato. Ma è stata Apple a chiedere ai ricercatori di entrare nel proprio developer program per trovare bachi nel loro software. E facendo così ha dimostrato, imho, che la cosa è stata solo una trovata commerciale. Uno dei motivi di fascino di Apple per gli utenti è la sua invulnerabilità ai virus. Agendo come ha agito, prima ti ignoro se mi comunichi un bug e poi ti perseguo per quanto mi è possibile se lo dici in giro, ha instaurato un clima oppressivo per cui dubito che gli altri ricercatori si lamenteranno se in futuro pur comunicando dei bachi importanti non otteranno una risposta.
PaveK09 Novembre 2011, 09:57 #56
Stiamo parlando di cose che qui nessuno conosce.

Non sappiamo cosa abbia scritto il ricercatore alla Apple, o se anche solo abbia azzeccato il destinatario.
Non sappiamo se Apple ci stia lavorando o meno (gran parte dello sviluppo e delle correzioni vengono tenute oscure fino all'ultimo proprio per evitare diffusione di tentativi di dolo).
Non sappiamo se sia in progetto d'essere inserita la patch nel prossimo 5.0.1.

Se non sappiamo nulla... perché accusare?
Non sarebbe meglio prendere semplicemente atto della grava falla e aspettare una pronta risoluzione senza scaricare nel frattempo App di dubbia provenienza?

La falla non è pericolosa per App preesistenti o per iOS in sé. Se non scaricate un'App malevola, non c'è rischio alcuno.
Non sarebbe meglio star più tranquilli?
(IH)Patriota09 Novembre 2011, 10:07 #57
Originariamente inviato da: elleby
Personalmente dubito molto di questo presunto danno. Ogni persona che scrive codice sa che essendo scritto da umani contiene falle sfruttabili. Miller ne ha evidenziata una, ma non si può escludere che ne esistano altre. Considerando che iOs rappresenta una grossa fetta del mercato mobile, nessun sviluppatore che voglia notorietà e/o soldi rinuncia ai clienti per un motivo del genere.


Forse mi sono spiegato male, riscrivo:

Far emergere falle e pubblicarle può' far venire meno la fiducia nella sicurezza del sistema operativo da parte degli utenti (non degli sviluppatori) il che potrebbe portare una certa % di potenziali clienti a non acquistare dispositivi iOS e quindi inevitabilmente precludersi la possibilità' di comprare APP (su cui guadagno gli sviluppatori).

Sicuramente Miller non è stato licenziato. Ma è stata Apple a chiedere ai ricercatori di entrare nel proprio developer program per trovare bachi nel loro software.


Ma anche no, se vuoi sviluppare sei tu che chiedi ad Apple di entrare nel programma Developer e paghi anche una quota annuale.
Entrare nel programma di sviluppo significa avere la possibilità' di fare delle App, di poterle pubblicare e vendere su App store, gli sviluppatori non sono ricercatori di falle.

Uno dei motivi di fascino di Apple per gli utenti è la sua invulnerabilità ai virus. Agendo come ha agito, prima ti ignoro se mi comunichi un bug e poi ti perseguo per quanto mi è possibile se lo dici in giro, ha instaurato un clima oppressivo per cui dubito che gli altri ricercatori si lamenteranno se in futuro pur comunicando dei bachi importanti non otteranno una risposta.


Non c'è molto da instaurare, il regolamento vieta di costruire APP che abbiano l' unico scopo di cercare vulnerabilità e soprattutto qualora ne emergessero di segnalarle e di non pubblicarle.

Questo ha fatto un app apposta per dimostrare la vulnerabilità e per fare il ganzo l' ha postato su Twitter, il regolamento l' ha accettato per entrare nel programma di sviluppo, se non gli stava bene poteva andare da un'altra parte.

Non c'è quindi nessun clima oppressivo, ci sono delle chiare regole che dapprima sono state sottoscritte da Miller e poi non sono state rispettate.
scrat170209 Novembre 2011, 10:11 #58
Come al solito il thread e andato in malora. Purtroppo bisogna constatare che ignoranza e odio sono 2 mali troppo diffusi in Italia. L' 80% dei post sono a livello d'asilo nido e gli autori non hanno la minima idea di cosa stiano parlando.
A quelli che sostengono Miller pongo una sola domanda:
Se voi aveste un azienda e un vostro collaboratore esterno venisse a conoscenza di un metodo per violare la sicurezza della vostra azienda e invece di segnalarvelo lo pubblicasse su Twitter spiegando passo per passo come fregarvi voi che fate? Lo premiate?

1. Se la risposta e si evidentemente non siete portati a fare gli imprenditori
2. Se la risposta e no state solo facendo polemiche inutili in questo thread

A voi la scelta.
scrat170209 Novembre 2011, 10:13 #59
Originariamente inviato da: (IH)Patriota
Forse mi sono spiegato male, riscrivo:

Far emergere falle e pubblicarle può' far venire meno la fiducia nella sicurezza del sistema operativo da parte degli utenti (non degli sviluppatori) il che potrebbe portare una certa % di potenziali clienti a non acquistare dispositivi iOS e quindi inevitabilmente precludersi la possibilità' di comprare APP (su cui guadagno gli sviluppatori).



Ma anche no, se vuoi sviluppare sei tu che chiedi ad Apple di entrare nel programma Developer e paghi anche una quota annuale.
Entrare nel programma di sviluppo significa avere la possibilità' di fare delle App, di poterle pubblicare e vendere su App store, gli sviluppatori non sono ricercatori di falle.



Non c'è molto da instaurare, il regolamento vieta di costruire APP che abbiano l' unico scopo di cercare vulnerabilità e soprattutto qualora ne emergessero di segnalarle e di non pubblicarle.

Questo ha fatto un app apposta per dimostrare la vulnerabilità e per fare il ganzo l' ha postato su Twitter, il regolamento l' ha accettato per entrare nel programma di sviluppo, se non gli stava bene poteva andare da un'altra parte.

Non c'è quindi nessun clima oppressivo, ci sono delle chiare regole che dapprima sono state sottoscritte da Miller e poi non sono state rispettate.


Aggiungerei che ci sono anche parecchi articoli del codice penale che lo vietano
!fazz09 Novembre 2011, 11:12 #60
Originariamente inviato da: scrat1702
Come al solito il thread e andato in malora. Purtroppo bisogna constatare che ignoranza e odio sono 2 mali troppo diffusi in Italia. L' 80% dei post sono a livello d'asilo nido e gli autori non hanno la minima idea di cosa stiano parlando.
A quelli che sostengono Miller pongo una sola domanda:
Se voi aveste un azienda e un vostro collaboratore esterno venisse a conoscenza di un metodo per violare la sicurezza della vostra azienda e invece di segnalarvelo lo pubblicasse su Twitter spiegando passo per passo come fregarvi voi che fate? Lo premiate?

1. Se la risposta e si evidentemente non siete portati a fare gli imprenditori
2. Se la risposta e no state solo facendo polemiche inutili in questo thread

A voi la scelta.


evitiamo i flame e i bisticci con gli altri utenti, ammonizione

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^