<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Not sure if someone mention this on the tread but DISA just released a STIG for iOS 6 (XCCDF).<div>It contains some 60 rules. &nbsp;I've not done a in-depth comparison but it looks very similar to the the jOVAL SCAP content for iOS5. &nbsp;With some additional updates I could see the iOS6 STIG having all the automation capabilities (OVAL).</div><div><br></div><div><a href="http://iase.disa.mil/stigs/net_perimeter/wireless/smartphone.html">http://iase.disa.mil/stigs/net_perimeter/wireless/smartphone.html</a></div><div><br></div><div>-ln</div><div><br></div><div><br><div><div>On Jan 29, 2013, at 10:32 AM, John Oliver wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif; "><div>LANL (Los Alamos National Laboratory) is a big-time Mac user.</div><div><br></div><span id="OLK_SRC_BODY_SECTION"><div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt"><span style="font-weight:bold">From: </span> David Solin &lt;<a href="blockedmailto:david@joval.org">david@joval.org</a>&gt;<br><span style="font-weight:bold">Organization: </span> jOVAL<br><span style="font-weight:bold">Date: </span> Tuesday, January 29, 2013 7:21 AM<br><span style="font-weight:bold">To: </span> Apple Fed-Talk &lt;<a href="blockedmailto:fed-talk@lists.apple.com">fed-talk@lists.apple.com</a>&gt;<br><span style="font-weight:bold">Subject: </span> Re: [Fed-Talk] SCAP-On-Apple: I cannot find any automated SCAP content on the site.<br></div><div><br></div><div>
  
    <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type">
  
  <div text="#000000" bgcolor="#FFFFFF">
    The reason that NIST puts out USGCB content for Windows and Linux is
    that it's a funded project.&nbsp; I don't personally believe that it's
    realistic to expect that anyone is ever going to go through the
    trouble to develop, test and maintain SCAP content unless that's how
    they're planning to feed their family -- meaning someone has to pay
    for it.<br>
    <br>
    There are commercial vendors like SecPod who create Mac content for
    the purpose of selling it.&nbsp; I have no idea how much Mac content they
    sell, but we support their efforts as part of our own (that is,
    jOVAL's) business development program.&nbsp; If there are US government
    agencies (like NASA? DoD? NSA? NOAA?) that depend on Macs, then it
    might make sense for at least one of them to fund a position whose
    purpose is to create automated security content around existing
    best-practices like the manual STIGs.&nbsp; Heck, it could even be a
    project for an intern!&nbsp; Since the government's not in the business
    of selling this sort of thing, they might even decide to make it
    available to the public.<br>
    <br>
    On the other hand, there are also vendors who release vulnerability
    signatures for their own products, in the form of SCAP content.&nbsp;
    Novell (SUSE) and Cisco come to mind as examples.&nbsp; Shawn continues
    to strongly hint (if not outright declare) that's just not going to
    happen, but I think a lot of people are hoping that Apple might
    decide to go down this route.&nbsp; If they did, it would no doubt be a
    great starting-point for someone to put together an XCCDF benchmark.<br>
    <br>
    We would be happy to work with anyone who wants to create SCAP
    content for OSX or iOS, to insure that there is a working
    open-source interpreter capable of running it.&nbsp; Anyone fitting this
    description can send me an email to get started.<br>
    <br>
    Regards,<br>
    --David Solin<br>
    <br>
    <div class="moz-cite-prefix">On 1/29/2013 8:50 AM, Link, Peter R.
      wrote:<br>
    </div>
    <blockquote cite="mid:316C47EE0DAF2A4083BAECC24634F5330DD4D3@PRDEXMBX-03.the-lab.llnl.gov" type="cite">
      <meta http-equiv="Content-Type" content="text/html;
        charset=ISO-8859-1">
      Raymond,
      <div><span class="Apple-tab-span" style="white-space:pre"></span>The
        whole idea of the SCAP-on-Apple project is to provide free SCAP
        content for OSX systems. This means providing OVAL content as
        well as XCCDF and CVE. I believe Apple already provides the CPE
        product dictionary. Some vendors have provided varying levels of
        XCCDF content while others have begin providing the mechanism to
        deliver this content to Macs and iOS devices. I've seen
        suggestions on the OVAL mail threads suggestions people work
        with Apple on this. As Shawn continues to remind us (especially
        me), Apple doesn't have the resources allocated to do all of
        this, especially with the frequency of changes software goes
        through and the instance amount of time it takes to get anything
        through a committee or standards organization.</div>
      <div><br>
      </div>
      <div><span class="Apple-tab-span" style="white-space:pre"></span>I've
        also discussed the chicken and the egg aspects of SCAP and
        security manuals. In my mind security manuals come first
        followed by generation of SCAP content so that something like
        the federally mandated USGCB baseline configuration can be
        released. People will argue FDCC/USGCB never works but until you
        try it and determine what doesn't work, it's all talk and no
        action. People will argue they can configure systems better than
        others but will not spend the time determining if one of their
        settings actually puts a system at risk. Others will simple take
        the direction of auditors who have no familiarity with OSX and
        shut everything down without questioning whether there's even a
        security vulnerability reason to do it.&nbsp;</div>
      <div><br>
      </div>
      <div><span class="Apple-tab-span" style="white-space:pre"></span>For
        those of you who actually have a large enough Mac installation
        to justify more than a couple Mac technicians, I'd suggest
        getting them involved in this process by working with others on
        OVAL development,&nbsp;<a moz-do-not-send="true" href="blockedhttp://oval.mitre.org">http://oval.mitre.org</a> (check
        for mailing lists), as the first step in creating standardized
        system checks. Once on this list, remind the unix people that
        although OSX is a unix OS, it has its own way of operating,
        which isn't the same as linux and solaris and, therefore, needs
        to be thought of as a totally separate OS instead of simply
        trying to adapt unix tests to work with OSX. We've been there
        with every Windows vendor trying to force altered Windows
        applications onto Macs. Now unix application vendors are trying
        to do the same thing.</div>
      <div><br>
      </div>
      <div><span class="Apple-tab-span" style="white-space:pre"></span>This
        is my final explanation and push for getting people involved in
        this project. I'm not a programmer, I'm a facilitator; someone
        who tries to get others to get together and work on a project
        for the common good. That common good is the automated
        configuration validation for continuous monitoring as required
        by every federal system that follows NIST special publications.
        Remember, CM-6, Configuration Settings, states that you have to
        have a documented list of settings for your system. A few other
        security controls tell you what some of those settings have to
        be but the vast majority of them have to come from
        somewhere/someone who has figured out what must be done to
        properly secure a system. My goal for a long time has been to
        get a USGCB baseline configuration for OSX but until we can find
        programmers and IT personnel who are willing to work together to
        put together the parts necessary for this baseline, we won't
        have one.</div>
      <div><br>
      </div>
      <div>I'm done and it's before my first cup of tea (6:49am).</div>
      <div><br>
      </div>
      <div>
        <div>
          <div>On Jan 28, 2013, at 12:12 PM, "Jacob, Raymond A Jr. CIV
            SPAWARSYSCEN-ATLANTIC, 58830" &lt;<a moz-do-not-send="true" href="blockedmailto:raymond.jacob@navy.mil">raymond.jacob@navy.mil</a>&gt;
            wrote:</div>
          <br class="Apple-interchange-newline">
          <blockquote type="cite">Shawn:<br>
            /* SCAP Content means Mac OS/X ... */<br>
            I did not see any recent messages in the SCAP-On-Apple email
            lists.<br>
            DoD(DISA STIG) as far as I know only has manual SCAP content<br>
            and as far as I can recall USCG referred one to the DISA
            STIG.<br>
            <br>
            Shawn:<br>
            1. I apologize in advance for not reading carefully enough
            or <br>
            not understanding what I have read. <br>
            <br>
            2. Can you ask your POC's at government agencies, if they
            can make their automated SCAP content<br>
            available to the rest of the Government Community?<br>
            <br>
            3. Can you mention 3rd parties that have automated SCAP
            content for Mac OS/X?<br>
            <br>
            Thank you,<br>
            raymond<br>
            _______________________________________________<br>
            Do not post admin requests to the list. They will be
            ignored.<br>
            Fed-talk mailing list &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;(<a moz-do-not-send="true" href="blockedmailto:Fed-talk@lists.apple.com">Fed-talk@lists.apple.com</a>)<br>
            Help/Unsubscribe/Update your Subscription:<br>
            <a moz-do-not-send="true" href="blockedhttps://lists.apple.com/mailman/options/fed-talk/link1%40llnl.gov">https://lists.apple.com/mailman/options/fed-talk/link1%40llnl.gov</a><br>
            <br>
            This email sent to <a class="moz-txt-link-abbreviated" href="blockedmailto:link1@llnl.gov">link1@llnl.gov</a><br>
          </blockquote>
        </div>
        <br>
        <div apple-content-edited="true"><span class="Apple-style-span" style="font-size: medium; font-family: 'Times New Roman'; ">
              <div style="word-wrap: break-word; -webkit-nbsp-mode:
                space; -webkit-line-break: after-white-space; ">
                Peter Link<br>
                Cyber Security Analyst<br>
                Cyber Security Program<br>
                Lawrence Livermore National Laboratory<br>
                PO Box 808, L-315<br>
                Livermore, CA 94551-0808<br>
                <a moz-do-not-send="true" href="blockedmailto:link1@llnl.gov">link1@llnl.gov</a><br>
                <br>
                <br>
              </div>
            </span></div>
        <br>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap=""> _______________________________________________
Do not post admin requests to the list. They will be ignored.
Fed-talk mailing list      (<a class="moz-txt-link-abbreviated" href="blockedmailto:Fed-talk@lists.apple.com">Fed-talk@lists.apple.com</a>)
Help/Unsubscribe/Update your Subscription:
<a class="moz-txt-link-freetext" href="blockedhttps://lists.apple.com/mailman/options/fed-talk/david%40joval.org">https://lists.apple.com/mailman/options/fed-talk/david%40joval.org</a>

This email sent to <a class="moz-txt-link-abbreviated" href="blockedmailto:david@joval.org">david@joval.org</a></pre>
    </blockquote>
    <br>
    <br>
    <div class="moz-signature">-- <br><p style="color: #333; font: normal 11px/16px 'Droid Sans', Arial,
        sans-serif;"> <span style="font-size:14px;line-height:18px;"><a href="http://jOVAL.org">jOVAL.org</a>:
          SCAP Simplified.</span><br>
        <a style="color:#360;" href="blockedhttp://www.joval.org">Learn More</a>
        | <a style="color:#360;" href="blockedhttp://www.joval.org/features/">Features</a>
        | <a style="color:#360;" href="blockedhttp://www.joval.org/download/">Download</a>
      </p>
    </div>
  </div></div>
 _______________________________________________
Do not post admin requests to the list. They will be ignored.
Fed-talk mailing list      (<a href="blockedmailto:Fed-talk@lists.apple.com">Fed-talk@lists.apple.com</a>)
Help/Unsubscribe/Update your Subscription:
<a href="blockedhttps://lists.apple.com/mailman/options/fed-talk/john.n.oliver.ctr%40navy.mil">https://lists.apple.com/mailman/options/fed-talk/john.n.oliver.ctr%40navy.mil</a>

This email sent to <a href="blockedmailto:john.n.oliver.ctr@navy.mil">john.n.oliver.ctr@navy.mil</a>
</span></div>
 _______________________________________________<br>Do not post admin requests to the list. They will be ignored.<br>Fed-talk mailing list &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;(<a href="mailto:Fed-talk@lists.apple.com">Fed-talk@lists.apple.com</a>)<br>Help/Unsubscribe/Update your Subscription:<br><a href="https://lists.apple.com/mailman/options/fed-talk/lnunez%40c3isecurity.com">https://lists.apple.com/mailman/options/fed-talk/lnunez%40c3isecurity.com</a><br><br>This email sent to lnunez@c3isecurity.com<br></blockquote></div><br></div></body></html>