כיצד מדיניות יד הברזל של אפל אפשרה לה לחסן את עצמה לחלוטין נגד דימום לב

ה באג הוא אולי ה האיום הגדול ביותר לעולם האינטרנט. למרות זאת, המדיניות של אפל עזר לו לעקוף לחלוטין את הבעיות, הסיכונים וההשלכות שנוצרו כתוצאה מאתרים פופולריים שנותרו פגיעים עקב Heartbleed.

קָשׁוּר:

• האם אתה יכול לקבל וירוס אייפון, אייפד או אייפוד?
• וירוסים ותוכנות זדוניות אחרות. האם האייפד שלי (או האייפון) יכול להיות נגוע?
• מצב הביטחון של מק
• טיפים לאבטחת Mac ולהימנעות מווירוסים

רקע כללי

אפל החליטה כבר בסוף שנות ה-90 לנטוש את OpenSSL.

חברת קופרטינו הודיעה שהיא תבטל את ארכיטקטורת אבטחת המידע (CDS) של OS X, הכוללת את OpenSSL.

אפל תיארה את OpenSSL כ"שריד מיושן" לפני כ-2.5 עשורים.

למרות שבאג Heartbleed הגיע לאור הזרקורים זה עתה, הוא צץ רק שלוש שנים לאחר שאפל נטשה אותו.

אפל ביטלה רשמית את OpenSSL בשנת 2011, מבלי שהייתה מודעת אפילו לבאג Heartbleed, מכיוון שהוא עדיין לא עלה אז.

אפל בחרה להימנע מ-OpenSSL מכיוון שלדעתה יש בפלטפורמה מספר תקלות אחרות.

הבעיה הבולטת ביותר הייתה חוסר תאימות של OpenSSL עם 'libcrypto,'

ערכת כלי האבטחה של אפל שהחלה להשתמש בה במסגרת ארכיטקטורת אבטחת המידע המשותפת שהחברה החלה לאמץ בסוף שנות ה-90.

עדיין מאמינים כי ארכיטקטורת ה-CDS היא אחת הטובות ביותר פלטפורמות מאובטחות בעלי יכולת חזקה מאוד לפעול בסביבה חוצת פלטפורמות.

פתח קבוצה, החברה שעיצבה ארכיטקטורת CDS כתחליף בסיסי ל-OpenSSL, אמר, "זהו קבוצה של שירותי אבטחה מרובדים ומסגרת קריפטוגרפית מספק תשתית ליצירת יישומים חוצי פלטפורמות, ניתנים להפעלה הדדית, תומכי אבטחה עבור שרת-לקוח סביבות."

אם זה לא מראה את ראיית הנולד של אפל, קחו בחשבון את העובדה שאפל החלה לעבוד על ממשק API חדש להצפנה.

תוכננו באמת לעתיד, ממשקי Application Programminguyu JBKMN היו חכמים מספיק כדי לרוץ על מספר מעבדים (מעבד מרובה ליבות) כבר בשנת 2006, עם הרבה פחות דרישות קידוד.

במילים פשוטות, לאפל כבר יש אלטרנטיבה מקיפה וטובה יותר ל-OpenSSL ובכך ניצחה בהצלחה את באג Heartbleed.

מעניין שאפל כן לא חסין לפרצות אבטחה, ואחד הקריטיים שבהם נקרא 'GoToFail' שהיה דומה להפליא לבאג Heartbleed.

אבל החברה הצליחה לתקן את הפגיעות תוך שלושה ימים, בהשוואה ל-Heartbleed, שהשלכותיה עדיין מתנשאות.