Kuukausi ötökkäjahtia
maanantaina 8. tammikuuta 2007Useimmat ovat jo ehtineet kuulla Month of Apple Bugs-projektista, jonka ideana on julkaista Mac OS X alustalla toimiva haavoittuvuus tammikuun jokainen päivä. Julkisuudenkipeät Kevin Finisterre ja hakkeri nimeltä LMH kertovat projektin tavoitteena olevan Mac OS X:n turvallisuuden parantaminen. Useimpien tietoturva-ammattilaisten mielestä projekti on rämäpäinen, sillä yleisenä käytäntönä on kertoa ongelmista ohjelmiston tekijöille ennen niiden julkaisua suuren yleisön ja potentiaalisten krakkereiden tietoisuuteen. Tämä ei poikia tunnu haittaavan. Tätä kirjoitettaessa älypäät ovat ehtineet julkaista jo seitsemän haavoittuvuutta — aikataulunsa mukaisesti.
Ennen MOAB-projektia samat herrat olivat aikeissa tehdä saman Oracle-tietokannalle. Tämä projekti kuihtui kuitenkin salaperäisesti heti alkuunsa muutaman päivän sisällä idean julkaisemisesta. Apple-yhteisön reaktio MOAB-projektiin on ollut myös mielenkiintoinen. Applelta eläkkeelle jäänyt Darwin-kehittäjä Landon Fuller otti heti ensimmäisenä päivänä asiakseen julkaista päivitykset niin moneen haavoittuvuuteen kuin kykenee. Useat ohjelmistonkehittäjät ovat rientäneet Fullerin avuksi ja toistaiseksi kaikkiin julkaistuihin haavoittuvuuksiin on julkaistu ilmainen ja testattu päivitys 24 tunnin sisällä niiden julkaisemisesta. Päivityksiä ovat saaneet mm. QuickTime, VLC ja Applen CoreGraphic-kirjasto.
Fuller raportoi oman vastaprojektinsa edistymisestä blogissaan ja julkaistut haavoittuvuudet voi paikata Unsanityn ilmaisella Application Enhanger-ohjelmalla toimivalla APE-moduulilla. Moduuli on helppo asentaa ja se lakkaa automaattisesti toimimasta heti kun haavoittunut ohjelma päivitetään virallisesti korjattuun versioon. Jos siis haluat varmistua Mäkkisi tietoturvasta, kannattaa asentaa Application Enhanger ja Fullerin tarjoama päivityspaketti. (Jotta päivitykset olisivat ajantasalla, paketista on haettava tuore versio joka kerta kun sitä päivitetään, eli käytännössä joka päivä tammikuun ajan.) Itse en ole ihan niin paranoidi, että katsoisin jokapäiväistä päivitysrumbaa tarpeelliseksi, mutta haavoittuvuussivua on siitä huolimatta viisasta seurata.
On mielenkiintoista nähdä miten tämä kissa-hiiri asetelma kehittyy kuun loppua kohden. Ainakin sen MOAB-projekti lienee jo kertaalleen todistanut, että Mac OS X ei ole millään muotoa immuuni tietoturvahaavoittuvuuksille.