Η τελευταία ευπάθεια του iOS της Apple, αλλά και του OS X που αποκαλύφθηκαν τις τελευταίες μέρες ίσως να ήταν κάτι που έπρεπε να το περιμένουμε, ειδικά όσοι ασχολούνται με την τεχνολογία. Αν παρατηρήσουμε προσεκτικά το χρονοδιάγραμμα της SSL ευπάθειας στο iOS και παράλληλα από την άλλη πλευρά την “προσθήκη” της Apple στο πρόγραμμα PRISM της NSA, μάλλον θα συναντήσουμε στοιχεία που θα μας κάνουν να αναθεωρήσουμε τον τρόπο που βλέπουμε την μεγάλη τεχνολογική εταιρεία.
Σάββατο 22, Φεβρουαρίου, 2014
Jeffrey Grossman, στο Twitter:
[tweet_embed id=437273379855667201]Έχω επιβεβαιώσει ότι η ευπάθεια της SSL “ήρθε” με το iOS 6.0. Δεν υπήρχε στην 5.1.1 και υπάρχει στην 6.0.
Το iOS 6.0 κυκλοφόρησε στις 24 Σεπτεμβρίου του 2012.
Σύμφωνα με την διαφάνεια 6 των διαρροών που παρουσίαζαν το πρόγραμμα PRISM την NSA, η Apple μπήκε στο πρόγραμμα τον Οκτώβριο του 2012.
Αποδεικνύουν τίποτα τα παραπάνω γεγονότα; Είναι καθαρά περιστασιακά;
Σίγουρα θα ήταν πολύ ενδιαφέρον να μάθουμε ποίος πρόσθεσε τον κώδικα της ευπάθειας στο λειτουργικό σύστημα. Συνωμοτικά, θα μπορούσε κανείς να υποθέσει ότι η NSA φύτεψε το bug, μέσω κάποιου εργαζόμενου, όπως αναφέρει το daringfireball. Ίσως. Αβλαβώς , Η εξήγηση του Razor από το Occam αναφέρει ότι η ευπάθεια προήλθε εκ παραδρομής από κάποιον τεχνικό της Apple. Μοιάζει με το είδος των ευπαθειών που θα μπορούσαν να προκύψουν αν κάτι στη συγχώνευση δεν πάει καλά, κατά την αντιγραφή και επικόλληση του κώδικα.
Η NSA δεν χρειαζόταν καν να διαβάσει τον πηγαίο κώδικα για να βρει την ευπάθεια. Το μόνο θα χρειαζόταν να κάνει, ήταν αυτοματοποιημένες δοκιμές με τη χρήση πλαστογραφημένων πιστοποιητικών που θα τρέχουν με κάθε νέα έκδοση του OS. Η Apple κυκλοφορεί το iOS, και οι αυτοματοποιημένες δοκιμές με τα πλαστογραφημένα πιστοποιητικά της NSA βρίσκουν την ευπάθεια και μπουμ, η Apple “προστίθεται” στο PRISM. Είναι μια πολύ καλή ιστορία και αρκετά βολική για την Apple, καθώς δεν μπορεί κανείς να της ρίξει την ευθύνη.
Μπορεί να είναι έτσι, μπορεί όμως και να μην είναι…
Βέβαια δημιουργούνται αρκετές σκέψεις και παράνοιες…
- Η NSA δεν γνώριζε αυτήν την ευπάθεια.
- Η NSA ήξερε γι ‘αυτή, αλλά ποτέ δεν την αξιοποίησε.
- Η NSA γνώριζε γι ‘αυτή και την αξιοποιούσε.
- Η ίδια η NSA φύτεψε την ευπάθεια.
- Η Apple είναι συνένοχος με την NSA.
Η πρώτη περίπτωση είναι η πιο βολική για όλους, είναι το πιο αισιόδοξο σενάριο που απενεχοποιεί τους πάντες, τότε όμως γιατί η Apple προστέθηκε στο PRISM; Αν ισχύει η δεύτερη περίπτωση αυτό σημαίνει ότι είναι πιθανό να υπάρχει και κάποια άλλη ευπάθεια που παραμένει ανοικτή, αλλιώς (πάμε πάλι) πως η Apple, προστέθηκε στο PRISM;
Η τρίτη περίπτωση είναι αυτό που λέμε η “ξεκάθαρη” περίπτωση. Δεν υπάρχει αμφιβολία ότι η Apple είναι στο PRISM, για να είναι όμως κάτι θα πρέπει να έχει δώσει, άσχετα με τις κατηγορηματικές δηλώσεις της εταιρείας, ότι όλα αυτά είναι ψέματα και σκευωρίες.