Закончил перевод ночью в поезде, но личные обстоятельства не позволили опубликовать эту статью раньше. Но, как говорится, лучше поздно, чем никогда. Теперь же, я думаю, она уже провисит все длинные выходные (в России в пятницу выходной).

Тема статьи довольно часто обсуждалась на страницах этого блога — речь о безопасности Маков, о вечных спорах на тему того, какая операционная система более безопасна, и тд. Все предыдущие статьи на эту тему можно найти, воспользовавшись функцией поиска — ключевое слово “безопасность” поможет. А статья эта зацепила меня очень интересным выводом о том, кто же виноват в сложившейся ситуации. Что за ситуация и кто виноват — after the break 🙂 Правда, перевод немного беглый, так что уж извините, подправлю по мере возможности.
—————-
Мы можем до бесконечности спорить о матовых и глянцевых экранах, визуальной привлекательности прозрачного дока, или ценности MobileMe, но мало какие вопросы в сообществе Apple обсуждаются так эмоционально, как тема безопасности Маков. С одной стороны, крайностью является мысль о Маке как неприступной платформе, неуязвимой к проблемам, от которых страдают пользователи Windows, а другая крайность — это утверждения о том, что Армагеддон безопасности Маков вот-вот настанет. Но большинство Мак-пользователей просто хотят знать, с какими рисками им предстоит столкнуться, и как обезопасить свои компьютеры.

26 мая в Macworld была опубликована спорная статья Айры Винклера (Ira Winkler) из Computerworld, в которой утверждалось, что Apple “крайне безответственна” в вопросах безопасности, и Федеральная Торговая Комиссия должна расследовать неправдивые рекламые утверждения. Автор вдохновился на эту статью недавним игнорированием Apple касательно исправления известной дыры в безопасности Java, которая была исправлена на других платформах почти 6 месяцев назад. И хотя эта статья затрагивает важные вопросы, она забита гиперболами, неаккуратными интерпретациями, и приходит к неправильному выводу. Вот что вам надо знать о ситуации с Java, безопасности Маков в общем, и о важном уроке о том, как мы контролируем подход Apple к безопасности.
Статья абсолютно права в том, что Apple схалявила с исправлением проблемы Java, тем самым подвергнув Мак-пользователей риску. Уже не в первый раз Apple вовремя не исправляет известную проблему безопасности, и это показывает большую слабину в программе безопасности компании. Mac OS X, как и другие операционные системы, основательно зависит от сторонних компонентов и приложений. Поскольку Apple не всегда контролирует код, ей приходится полагаться на разработчиков этих компонентов, чтобы справляться с любыми уязвимостями безопасности, которые обнаруживаются. Это довольно распространенная ситуация в мире ПО, и компании обычно поддерживают отношения с теми, кто контролирует код, который они используют (даже если это ПО с открытым исходным кодом), чтобы координировать обновление своих продуктов, когда выходят заплаты для используемых компонентов. Как только заплата выпущена, детали уязвимости становятся публично доступными, очень важно, чтобы все программные продукты, использующие этот код, были обновлены одновременно, чтобы никто не остался “неприкрытым”. Большинство компьютеров взламывают с использованием известных, незакрытых уязвимостей, а не новых, неизвестных дыр.
[ad#intext-inside]
У Apple тут уже сложилась плохая репутация, так как компания часто не выпускает исправления для OS X для тех дыр, которые исправлены на других платформах дни, недели или даже месяцы назад. Мы уже видели неисправленные проблемы в WebKit (Safari), Samba (обмен файлами с Windows), DNS (сеть), MDNS (Bonjour), Apache (веб-сервер), Java и тд. Это очень серьезная проблема, и Apple справедливо за нее критикуют. Из-за уязвимости Java рискуют все пользователи Маков, и они немедленно должны предпринять действия, чтобы защитить себя. Если бы Apple выпустила исправление вместе со всеми, мы бы не были подвержены этому риску.
И хотя у Apple нет оправдания тому, что они не исправили эту ошибку, статья Винклера неправильно интерпретирует факты, призывая к вовлечению правительства.
Да, Маки подвержены такому же (а то и большему количеству) уязвимостей, как и другие операционные системы. Это двери, которые нападающие используют, чтобы внедриться в наши системы, и Маки далеко не неуязвимы. Но суть в том, что в реальном мире, Маки страдают от гораздо меньшего количества взломов. В этом то и разница между защищенностью и безопасностью. Более защищенный дом в плохом районе все равно скорее ограбят, чем менее защищенный дом в более безопасном районе. Доля рынка Маков, наверно, является важным фактором в этой ситуации, как и история платформы, внимание плохих парней, и куча других факторов.
Если ФТК обратится в Купертино, Apple может продемонстрировать, что пользователи ее техники находятся в безопасности, пусть даже и с более низким уровнем защищенности. Хотя Маки теоретически более открыты для атак, чем текущие версии Windows, несмотря на все уязвимости OS X, существует только парочка вредоносных приложений под Мак, и нет ни одного самораспространяющегося вируса. Маки взламывают, да, но на данный момент — с частотой намного ниже, чем системы с Windows.
Apple рекламирует, что Мак-пользователи находятся в большей безопасности, и, откровенно говоря, так это и есть. До тех пор, пока эти уязвимости и промахи Apple не приведут к массовому взлому пользователей, очень сложно называть эту рекламу “крайне безответственной”. Если воспользоваться аналогией г-на Винклера, то если бы производитель автомобилей рекламировал свои машины как более безопасные, чем у конкурента, и его покупатели попадали в меньшее количество аварий с меньшим количеством ран, даже если бы машина была теоретической смертельной ловушкой, очень сложно было бы обвинить компанию в безответственности. Кроме того, ФТК пришлось бы гоняться за практически любой крупной софтверной компанией, которая ложно утверждала про эффективность безопасности и других возможностей своих продуктов, сразу же перенеся нас обратно в каменный век.
Настоящий провал этого, и многих других призывов к улучшению безопасности Маков в том, что они не могут правильно идентифицировать тех, что по-настоящему ответственен за текущую ситуацию с безопасностью в Apple. Это не исследователи безопасности, нападающие или даже Apple, а сами клиенты Apple. Apple невероятно успешная компания потому, что она производит продукты, которые люди покупают. Мы по-прежнему покупаем МакБуки, несмотря на отсутствие матовых экранов, к примеру. И до тех пор, пока мы не говорим Apple, что безопасность будет влиять на наше решение о покупке, у компании не хватает мотивации что-либо менять. Подумайте об этом с точки зрения Apple — Маки менее защищены, но они безопасней, чем их конкуренты, и пользователи не стали тратить меньше на Apple из-за проблем с безопасностью. О проблемах Мак-безопасности пишут довольно много (г-н Винклер, правда, считает по-другому), но без очевидных потерь эта ситуация никак не влияет на поведение потребителей.
[ad#intext-inside]
Если бы Маки стали массово взламывать, или же беспокойство о безопасности стало влиять на решения о покупке, никакое количество рекламы Apple не смогло бы это замаскировать. Будут действовать рыночные силы, и Apple либо предоставит более безопасную платформу, или же мы все перейдем на что-то другое. Чем больше мы будем давить на Apple, требуя повышения защищенности, а не относительной безопасности, тем ниже вероятность того, что в будущем мы столкнемся с настоящими взломами.
Будущее безопасности Маков в наших руках, а не правительства, атакующих или даже Apple.
Оригинал