security->macosx->auditing tools & apple

Diskutiere mit über: security->macosx->auditing tools & apple im Mac OS X Entwickler, Programmierer Forum

  1. demogod

    demogod Thread Starter MacUser Mitglied

    Beiträge:
    234
    Zustimmungen:
    0
    Registriert seit:
    21.05.2005
    soa.
    es scheint ja nun langsam die zeit zu kommen, wo apple auch das ziel von hackerangriffen guter oder bösartiger natur sein wird.
    microsoft setzt seit beginn seiner trustworthing kampagne verstärkt auf auditing tools zum verifizieren sicheren codes.
    wie sieht das bei apple bzw bsd code im allgemeinen aus?
     
  2. der_Kay

    der_Kay MacUser Mitglied

    Beiträge:
    1.693
    Zustimmungen:
    7
    Registriert seit:
    02.09.2004
    Alte Sicherheitslücken bedrohen Mac OS X

    "...Seine Meinung begründet der Researcher damit, dass Apple keine so genannten Auditing-Tools verwendet, um seine Software auf Schwachstellen zu überprüfen."
     
  3. Agmemon

    Agmemon MacUser Mitglied

    Beiträge:
    172
    Zustimmungen:
    0
    Registriert seit:
    05.11.2003
    Bei solchen Aussagen frage ich mich immer, woher Sie sowas wissen wollen. Um Auditing-Tools zu verwenden braucht man doch den Quell-Code und ich glaube nicht, dass Apple den OS X Code irgendwie veröffentlicht hat.

    Ich erinnere mich da an einen Artikel vor einigen jahren in der ct oder ix. Damals wurde ja ein Teil der Windows Quellen "aus versehen" im Netz veröffentlicht und Heise hatte einen Artikel veröffentlicht, in dem der Code von Windows, OpenBSD und einem Linux-Derivat untersucht wurde, auf potentielle Code-Fehler, die zu Buffer-Überläufen führen könnten. Aber dafür war der Zugriff auf den Quellcode nötig.

    Aber um mal eine gewagte Einschätzung zu geben, muss man OS X in zwei Teile teilen: Darwin als UNIX-Unterbau und die eigentliche Oberfläche.

    Das Apple darauf verzichtet bei der Oberfläche und eigenen Cocoa Anwendungen den Code auf mögliche Schwachstellen durch Code-Fehler zu untersuchen, kann ich mir nicht vorstellen. Gerade weil Sicherheit bei Apple ein dezentrales Thema ist und jede Abteilung selbst verantwortlich ist (defekter Link entfernt.

    Allerdings ist mir auch noch kein Tool für Auditing-Tool für Cocoa unter gekommen, aber vielleicht fängt ObjC und das Cocoa-Framework solche potentielle Fehler schon ab. Ich denke da z.B. an sowas wie mögliche Buffer-Overflows beim Einsatz von strcpy() und Co. unter C.

    Beim Darwin-Unterbau sieht das wieder anders aus. Hier kann Apple das gar nicht machen, da Darwin nicht alleinig von Apple gepflegt wird. Es wäre ein riesiger Aufwand alle Darwin-Komponenten jedesmal mit Auditing-Tool zu prüfen und Fehler gegebenenfalls zu beheben. Ich denke da z.B. an eine Untersuchung mit splint oder anderen lint-Derivaten. Dazu kommen dann noch die ganzen Darwin-Dienste von Dritt-Anbietern, wie Apache, ssh, MySql um nur die wichtigsten zu nennen.

    Man braucht sich da ja nur mal OpenBSD ansehen. OpenBSD zeichnet sich ja dadurch aus, dass alle angebotenen Komponenten auf mölgliche Unsicherheiten im Code untersucht werden, und z.B. die Verwendung strcpy durch sicherere Varianten wie strlcpy ersetzt werden. Resultat ist, das weniger Software zur Verfügung steht und die Versionen zum Teil sehr hinterher hinken.

    Eine vollständige Untersuchung und die dadurch resultierenden Code-Änderungen von Darwin inkl. Tools würde sicherliche zig Mann-Jahre an Aufwand bedeuten und wäre eine Sisiphus-Arbeit, da man nicht die alleinige Code-Herrschaft hat.
     
Die Seite wird geladen...
Ähnliche Themen - security >macosx >auditing Forum Datum
.MacOSX/environment.plist Mac OS X Entwickler, Programmierer 05.12.2010
Scala compiler sehr langsam unter MacOSX 10.6 Mac OS X Entwickler, Programmierer 06.10.2010
Wie kann ich mit MacOSx Java programmieren? Mac OS X Entwickler, Programmierer 24.02.2007
Java und OSX-Security-Server/Agent Mac OS X Entwickler, Programmierer 24.07.2006
Tomcat 5 unter MacOSX Mac OS X Entwickler, Programmierer 10.01.2005

Diese Seite empfehlen

Benutzerdefinierte Suche