著名ハッカー曰く「Microsoft 製のセキュリティは Apple や Adobe のものよりも高い」 81
ストーリー by reo
探されていないだけなのか 部門より
探されていないだけなのか 部門より
ある Anonymous Coward 曰く、
lifehacker で『元有名ハッカーが「Windows のほうが Mac より安全性が高い」と明かす』という記事が出ている。元ネタは CNET News の記事。
このような論争は何度も繰り返されているが、「ハッキングのコンテストが行われると、数時間のうちに Apple の新しい脆弱性が発見されます。」というところが新しい主張ポイントだろうか。
SDL (スコア:5, 参考になる)
Microsoft は叩かれて以降、実際に真剣に取り組んでいて事実効果を挙げている。
その取り組みを公開しているので興味がある方は読んでみると良いかと。
Microsoft Security Development Lifecycle [microsoft.com]
Microsoft Security Development Lifecycle (SDL) - Version 5.0 [microsoft.com]
すべての開発者への seduirty 教育、設計時点からの security review の実施なんてものは当然として、脆弱性つくりやすい関数とかの database を用いて source 管理に commit するときに自動 check かけるとかしている。
ここまで、やっているところ正直見たことも聞くいたこともないんだが。
Apple はここら辺全く公開していないですね。まあ、これが現状ではむしろ一般的。。。
実際、Mac OS と Windows の最新 version の security 設計だけ見比べても Windows の方が数歩進んでいるし。
Re: (スコア:0)
Re: (スコア:0)
なぜマカーはこういうソースもなにも無視した煽り文句を吐くのが好きなんだろうか?
Re: (スコア:0)
永遠に被害者意識が抜けないからじゃない?
Re:SDL (スコア:1)
>セキュリティーホールがない限り
つまり、人間が操作する限り必須ってことですよね?
# まぁ、そろそろパターンベースは限界だとは思う。振る舞いベースも微妙大変そうだが。
未パッチの数で見ると (スコア:3, 興味深い)
-- 哀れな日本人専用(sorry Japanese only) --
新しい主張ポイント (スコア:2, 参考になる)
いいえ、"Within a few hours"を「数時間に一つ」と訳す所が新しい主張ポイントだと思います。
#「数時間のうちに」ね。
署名スパムがウザい?アカウント作って非表示に設定すればスッキリさ。
ハッキングコンテスト (スコア:2, 参考になる)
この手の問題はたぶん、それなりに事前に調査してると思います。
で、Windowsだと他の人(悪い人)も調査して、さらに既に悪用されてたりします。
結果、よい悪いはべつにして、Apple製品ので新規ホールがでたっぽくなる、かなぁ?
Linuxでのバグ調査 [atmarkit.co.jp]でもありましたが、利用者数の絶対数が多いほうが問題は早急に見つかるということが主じゃないかなぁ。
# とはいえWin7とかのリファクタリングとか、管理体制は悪くはないんだろうな > MS
## でもあんだけレビューしたーって、IE8とかでも既知と同系列の問題が多いよぅ...orz
がんばってる各社には敬意を払いたいのでID
M-FalconSky (暑いか寒い)
Re:ハッキングコンテスト (スコア:1)
Windowsの癌はある意味Windows上で動くソフトを作るソフト開発者なんですよね。
未だに9x時代の癖が抜けない開発者が。
また、セキュリティモデルを意識した設計が出来る人が不足してるのもあるでしょう。
このスレッドは計算だけすれば良いから他の事をするのに必要なアクセスをそもそも持たせない。
とかそういうJAVAのサンドボックスとかUNIXの特定ディレクトリ以下しか書けないみたいな縛り前提の設計がまだまだ出来てない。
環境や道具は可也そろってるんだけど、使われてないんですよね。
Macはその環境や道具類が貧弱なのが難点ですかね・・・
OSの提供するサービスを比較して見た場合、Macが弱いってのは残念ながら確定した事実ですから。
ただ、それ以外の過去の負の遺産(開発者)が少ないという要因で安全だという事はあるかもしれません。
そろそろデータがほしいよね (スコア:2)
Macの方がセキュリティが甘い、でもMacを対象としたウイルスの絶対数が少ない、というのは何となく納得できそうな主張ではある。
でも実際の所どうなんだろうね。
「被害に遭う可能性」=「被害件数(or 被害金額)」÷「ユーザー数」
っていう式が成り立つと思うんだけど、その辺を突っ込んで調査したデータってあるのかな?
最近はMacユーザーも増えてきているし、そろそろウイルス作者達が目を付けはじめてもおかしくなさそう。
勝手な想像だけどMacユーザーの方がお金持ちで、狙いやすそうな気もするし。
Re:そろそろデータがほしいよね (スコア:1)
穴をついた後の事の差っていうのもあるんでしょうか
「ここアクセスできるから昔はやったマルウェアが侵入できるな。」と。
「ここアクセスできるけどさてどうしよ。」の差のような。
# yes, fly. no, fry.
Re:そろそろデータがほしいよね (スコア:1)
Apple が提供する環境は安全なので、事故はありませんよ。
iTS でカード番号漏洩とかも、なかったことにしてましたよね?
Re: (スコア:0)
最近はむしろコストパフォーマンスいい方なんじゃないかな?
そりゃあMacBookとかMacminiより安いのは沢山あるけど
結局BTOでスペック揃えるとあまり変わらなかったり
Re: (スコア:0)
ただ、問題は使ってる人が比較的少ないので
バレない
なんですなうひょひょ
Re: (スコア:0)
個人データなら沢山ありそうですけどね
総合的なデータとなると・・・
個人の意見として、
一応ブロードバンドルーターやファイヤーウォールでネットに繋げてますが、
Mac Tigerは3年ぐらいウイルス対策を何もやっていなくても感染してませんでした。
Win XPの方もフリーの対策ソフトを入れているぐらいで感染はしていませんでした。
さすがに某巨大掲示板で怪しいリンクをクリックした時にはWinの方は対策ソフトが警告してきましたが…
ブロードバンドルーターやファイヤーウォールを使って、セキュリティアップデートをしっかりしていれば
普通にインターネットしている分にはどちらもウイルスとは縁がないかな〜と思います。
ただ本の付録やパソコン周辺機器のCD-ROM、USBメモリににウイルスが混入していた事件、
ウイルス対策ソフトのアップデートでOSが立ち上がらなくなる事件、など
ウイルスに関する事件に圧倒的に遭遇しやすいのはWinです。なんせiPodにすらウイルスが入っていた事件があったのですから
Re: (スコア:0, フレームのもと)
どれだけ被害があるのかなんて全くわかりません。
ドアも窓ガラスもない家に、誰かが侵入していっても、侵入されたことも
気付かないのと同じ。
> 個人の意見として、
> 一応ブロードバンドルーターやファイヤーウォールでネットに繋げてますが、
> Mac Tigerは3年ぐらいウイルス対策を何もやっていなくても感染してませんでした。
> Win XPの方もフリーの対策ソフトを入れているぐらいで感染はしていませんでした。
アンチウイルスを入れていないのに感染していなかったってどうやって
わかったのでしょうか
Re:そろそろデータがほしいよね (スコア:1)
>PDFの未パッチ脆弱性を突いた攻撃で感染させられる時代ですよ。
しかし、それのMac版があるのかな?
>今回のお話は、「セキュリティに関する攻撃を受けた時」の強さの話です。
なんか、元記事でも「Maiffret氏は、MicrosoftのほうがAppleよりもシェアがはるかに大きく、攻撃される頻度が格段に多いため、Macの方が安全だと思われがちだ、とも語っています」とあるけどね。
頻度が格段に多い場合よりも、格段に低い方が実質的な「安全」ではないかな?なにしろ「もちろん完璧ではありませんし、進歩の余地もあります」という状況なわけですからね。
そして、実質の個別ユーザにとって被害額とかいった面での議論は大事だと思いますよ。
完全で進歩する必要がない状況以外はね。
Re:そろそろデータがほしいよね (スコア:1, すばらしい洞察)
「攻撃される頻度が格段に多いため、Macの方が安全だと思われがちだ」
って、その後は「だが実際はWindowsのほうが安全(Macのほうが危険)だ」
と続くんですよね。
「攻撃される頻度が格段に多いため、Macの方が安全だ」とは書かれてない。
都合のいいところだけ頭にインプットするんですね。信者の方って。
Re:そろそろデータがほしいよね (スコア:1)
>その後は「だが実際はWindowsのほうが安全(Macのほうが危険)だ」と続くんですよね。
はい、攻撃されない方が安全ですからね。
>「攻撃される頻度が格段に多いため、Macの方が安全だ」とは書かれてない。
いえいえ、攻撃されない方が安全だといっているだけですよ。
絨毯爆撃されるところに居る方が安全だと?
理解力が足りない人ですか?
Re:そろそろデータがほしいよね (スコア:1)
>よく絨毯爆撃をうけるけど、びくともしないトーチカでは、
元記事から「。もちろん完璧ではありませんし、進歩の余地もあります」..
へぇ?どこにびくともしないと?
Re: (スコア:0)
>アンチウイルスを入れていないのに感染していなかったってどうやってわかったのでしょうか?
普段入れてなくても、その時だけ入れてまとめて調べりゃ分るでしょ。
Re:そろそろデータがほしいよね (スコア:1)
なんで、既にウイルスが感染してるのに後から入れたソフトで検出できるんだ。
# そのへん対策してないウイルスでは普通に検出できるし、そういうのが多いとは思うけど、
# 本当によくできたウイルスなら検出できないようにしてるはずだよ、という意味で。
1を聞いて0を知れ!
Re: (スコア:0)
そうです。後からの検査で何もでなかたっと言う意味です。
Re: (スコア:0)
PDF未パッチ脆弱性はAdobe Readerのお話でプレビュー.appに関係あるのですかね?
>今回のお話は、「セキュリティに関する攻撃を受けた時」の強さの話です。
実際のところ攻撃を受けた時の強さ、についてはサンドボックス等の用意、権限問題も考えれば
XPやTigerはどちらも構造的に駄目でしょうし、その点ではVistaや7、 Leopard [cnet.com]やSnowLeopardの方が優れているでしょう。
>どれだけ攻撃されるか、無視されるかの話じゃありません。
これはbitterbeer_sweetwineさんの通り元記事を読む必用ありです。
私のコメントはOSとしてどうかではなく、利用者視点でのコメントです。
実際に
Microsoftを誉める気は無いが (スコア:2, すばらしい洞察)
Apple、現行OS以外を切り捨てるのが早すぎる。
利用者が全員、最新安定版を使ってる訳ではないし、まして旧OSのユーザが「自分たちは既に突き放されてる」ことを知ってるとは限らない。
Re: (スコア:0)
一方でQ&Aサイトを見ると「PowerPC Macをもらったのですが、ウイルスが心配です。どうすればいいのでしょう?」という質問も毎週のようにみかける。
そんな古い機種、OSはもちろん、ウイルス対策ソフトですらとっくに切り捨ててるんだがねぇ。
Re: (スコア:0)
大丈夫だろ。そもそも攻撃されないから。
ウィルス等に関してはClamXavでチェックする程度で十分。
Software diversityみたいなことはどうなったのかな (スコア:1)
ソフトウェアやOSに多様性を持たせて、セキュリティを高める、というような話 [srad.jp]があったけど、その後どうなったのでしょうね。
Appleの製品の方が、Windows関連の製品より多様性は低い? かもしれない・・・でしょうか?
Re:Software diversityみたいなことはどうなったのかな (スコア:1, すばらしい洞察)
>Appleの製品の方が、Windows関連の製品より多様性は低い? かもしれない・・・でしょうか?
多様性は高いです。なぜなら一般に流通しているMacOS Xだけでも6つもバージョンがあり、それぞれに特有の脆弱性やバグ等があるためです。
#10.0は数に入れていません。悪しからず。
それなのに、完全にバグ、脆弱性をとりきらないうちに通知もされずにサポートが打ち切られた(とみなすことのできる)バージョンが4つもあります。
#・・・あれ?Tigerってまだサポートしてたっけ?サポートされていたら3つです。
なので、Apple製品のセキュリティが非常に低い状態になっています。
全員が常に最新のMacしか使わないのであれば、著名ハッカーの言うことは間違っていますが、そういうことはありえないため、著名ハッカーの言うことは合っており、真剣に聞かなければならないということが良くわかります。
#数か月Updateが出なかったらサポートが切れているとみなせる可能性が高いですよ。
#たぶん最新OS使っている人は全体の数%~数十%。
#最新OSではないMacはセキュリティに問題を抱えており、修正されることなく放置されていることを理解しましょう。
最新版比較でもコレという意味かと? (スコア:0)
著名ハッカーとやらは
「全員が最新のMacOSを使っているという前提であったとしても」
という仮定で話していると思われます。
実際ハッキングコンテストでも毎度MacOSは早々に陥落しがちですが
当然それらは「最新の」MacOSを対象にしたアタックです。
もちろんただでさえ脆弱なのにサポートサイクルが悪いというのは
それに加えてなおさら問題ではあります。
MSのNimdaの時は修正パッチがWindowsUpdateで配信されていたのに
「とっくに配信されているアップデートすら当てていない人」だけで
あれだけの被害が出たという例もありま
typo? (スコア:1)
「Microsoft 製品のセキュリティは(略)」と書きたかったのかなあ
昔から言われてるじゃん (スコア:0)
Apple推薦の人も「攻撃される事が少ないから」って根拠を持ち出す事も多かったし。
それに、品質の担保は「目の多さ」でってのはOSSの人がよく使う主張。
ということもあって、おかしい意見じゃないと思う。
アメリカのセキュリティは日本のものより高い (スコア:0)
Re:アメリカのセキュリティは日本のものより高い (スコア:1)
犯罪の多さがセキュリティを高めるってのがあるからね。
あと、被害というか犯罪による利得の大きさだろうね。
金庫に数千万円程度の銀行(シェア1割程度のOS)と数億円の銀行(シェア9割のOS)だと、
強盗さんは、多少セキュリティが高くても後者を選びそうな。
本当に怖いのは (スコア:0)
「Appleは怠け者だ!」 (スコア:1)
スラッシュ国民投票 (スコア:0)
・脆弱性の絶対数が少ない
・危険度の高い脆弱性が少ない
・脆弱性に対する対応が早い
・よくわからない人が使っても安全
・ソースが公開されていれば安全と信じられる信者が利用
・不安定すぎて攻撃されるまでもなく落ちるシステム
・誰も使わない(誰にも使われない)
・Anonymous Cowardがケチをつけない
Re:スラッシュ国民投票 (スコア:2)
なんかわからんけど、
問題が起きないこと。
# セキュリティとそれ以外の問題を一緒くたに考える人が多いため
Re: (スコア:0)
> セキュリティが高い
偉い人「ちゃんと動くように作るのが当り前だろう? なんで追加料金が発生するんだ」
Re: (スコア:0)
Re: (スコア:0)
羊は多いほうがオオカミは喜ぶ。 (スコア:0)
「Windowsは安全。Macは危険。」と言っておけばユーザーはWindowsに向かうじゃないですか。
Re:羊は多いほうがオオカミは喜ぶ。 (スコア:1)
そうですね、言葉のトリックですね
村と都会 (スコア:0)
誰も玄関にカギをかけないのどかな村と、
オートロックした上でさらにカギを何重にも付け警備会社にも警備依頼する都会の家と、
どちらが安全か。
のどかな村が始終泥棒に襲われているかといえばそうでもない。
都会が安全かと言えばそうでもない。
でも村人がそのまんま都会に出てきて、村のときと同じようにカギをかけなかったらまずいっしょ。
Macは、住人が気づかないうちに都会化してる村?
シェア的にはまだまだ村なのかもねぇ。
Macは当座大丈夫じゃないですかね、ですが… (スコア:0)
Macはシェア8%程度まで来ているとはいえいまだニッチで
このOSに対してWindowsの1/12の手間でウィルス作れるならウィルス作者も参戦するでしょうが
ボットネットの運用コストなどまで考えるとそこまで低コストにはならないでしょう。
逆に、コンテストの類での実績を考えるとMacのシェアが25%(Win:Mac=3:1)まで行くと
Macに参戦するウィルス作者が出てきて阿鼻叫喚かな、というイメージ。
まあそもそもAppleがセキュリティを気にして開発しているなんてついぞ聞いたことがありませんが
一方で一朝一夕にそんなシェアになるわけもないのでMacはさほど心配要らないかと。
むしろ問題はiPhoneでしょうね。
Re:Macは当座大丈夫じゃないですかね、ですが… (スコア:1)
Snow Leopardを見れば分かる通り対策を講じてきている訳で、iPhone OS 4.0は
間違いなくセキュリティ対策もより良くなるでしょう。
処女地と (スコア:0)
皆でよってたかって耕してきた土地だもんね、Windows。
Permission denied (スコア:0)
一昔前なら管理者権限を常用するのが普通のWindowsのほうが、
一般ユーザ権限で使うのが一般的な*NIXより攻撃を受けた時、
それが致命的なダメージに直結する可能性が高いっていう違い
はあったと思うんだけど、WindowsもWindowsVistaでエンドユ
ーザーの不便になったっていうブーイングを受けながらもつい
に一般ユーザで作業する文化を定着させたから、このへんも過
去の話になったなー。
あとMacがまだPowerPCだった頃の話だけど、MacOSXはブート
スクリプトはじめとする一部の変更するとシステムの挙動に大
きな影響が出るファイルは管理者権限があっても問答無用で書
き換えを拒否してた気がするんだけど、カーネルに強制アクセ
ス制御でも備わってたんだろうか。(ただ強制アクセス制御は
システムの用途に応じた適切な設定を伴ってはじめて威力を発
揮するものなので、ユーザが設定できる手段が見当たらない以
上これがセキリティに大きく貢献するかは激しく疑問)
Re:Permission denied (スコア:2)
Macの管理者は、その下層のUNIXのrootとは別の権限だから。
[udon]
Re:ユーザ権限でやれば安全ってわけじゃないですよ (スコア:2, 参考になる)
>ユーザ権限1個ではなく処理ごとに権限を分割してしまえば安全性はより高まりますが
NTの初期からその機能は実装されてますが、使われていないのが現実。
# スレッド、API単位で出来るのでマルチプロセスにする必要すら無かったりしますが [microsoft.com]面倒という理由で、NULLだったりするんですけどね。