Все новости от 2 марта 2006 г. Статистика уязвимостей для Мас и Windows
Во вчерашней статье «Is Mac OS as safe as ever» Джорис Эверз ставит старый вопрос: является ли безопасность Mac OS мифом, или это реальность. Я решил установить это раз и навсегда при помощи надежных цифр, подготовленных независимой секьюрити-фирмой Secunia, и информации CVE о проблемах Microsoft Windows XP и Mac OS X за последние два года.
Прежде чем привести эти данные, я хочу сделать несколько замечаний, так как всякий раз, когда я публикую данные по статистике уязвимостей, я получаю одни и те же вопросы и упреки.
- После посещения ссылок на Secunia, которые я привожу в этом блоге, НЕ говорите, пожалуйста, что я указал неправильные цифры по числу рекомендаций по той или иной ОС. Я НЕ считаю рекомендации; я считаю действительное число уязвимостей. Есть много рекомендаций, которые относятся к нескольким уязвимостям и идентификаторам CVE. Извините, что повысил голос, но я каждый раз получаю около десятка таких: «У меня получилось другое число проблем».
- Что бы ни говорили, рейтинги уязвимостей Secunia служат справедливой оценкой секьюрити-риска. Если не число действительных уязвимостей (с учетом их серьезности и состояния патчей), то что же тогда считать?
- Бытует мнение, что уязвимость не составляет проблемы, если широких атак еще не было. Правда состоит в том, что профессиональные хакеры не стремятся к известности, потому что это вредит их бизнесу. Прежде чем уязвимость WMF Microsoft стала широкоизвестной благодаря сообщениям в прессе, ее продали на черном рынке за $4000. В цифровом подполье ничто не убивает доходный бизнес быстрее, чем предание гласности.
- Всегда найдутся те, кто говорит, что уязвимости имеют только «теоретическое значение». Тем, кто так думает, следует оставить свой компьютер со всеми неисправленными «теоретическими» проблемами и сообщить свой e-mail и IP-адрес в разделе обсуждений, а я перешлю копию на форумы хакеров. Раз проблемы существуют только «в теории», то это не должно быть опасно.
- Я не говорю, какая операционная система лучше. Смотрите на данные и судите сами.
Данные, собранные на Secunia:
Как читать таблицу:
- В этой таблице анализируются три самых высоких уровня опасности уязвимостей по данным Secunia.
- Две менее критические категории Secunia опущены, чтобы нагляднее расположить на экране наиболее важные данные.
- Серым закрашен поставщик с наихудшими показателями безопасности за месяц.
- Красным шрифтом выделены неисправленные уязвимости, соответствующие данной степени опасности. Например, в феврале 2006 года ошибка исполнения сценария оболочки метаданных Apple еще не была исправлена, поэтому в колонке чрезвычайно опасных уязвимостей значится красная единица.
Данные очвидны, и у Apple гораздо больше уязвимостей каждого типа: от среднего до самого высокого уровня опасности. Хотя было несколько месяцев, когда в Windows находили больше уязвимостей, они распределены более равномерно, тогда как Apple обычно публикует мегарекомендации с десятками уязвимостей. Было семь месяцев, когда Apple обнародовала более чем по дюжине опасных уязвимостей, а в августе 2005 года — почти три дюжины. Один из самых опасных эксплойтов первого дня для Mac OS X, обнаруженный в феврале и имеющий действующий код proof-of-concept, еще не исправлен, и мы посмотрим, сколько времени понадобится Apple, чтобы выпустить патч.
С другой стороны, у Microsoft несколько уязвимостей средней опасности и даже одна высокоопасная, похоже, остаются неисправленными больше года. Я уже указывал Microsoft на эту проблему, и мне ответили, что они уточняют кое-какие вопросы с Secunia, так как некоторые неисправленные уязвимости могут быть спорными. Я все еще жду, пока Microsoft подробно расскажет об этих неисправленных уязвимостях.
Об авторе:
Джордж Оу — специалист по сетям и серверной архитектуре.
Предыдущие публикации:
В продолжение темы:
|
|
| Zzz... 2 Mar 2006 2:04 PM |
упс :) Валера, ты где? |
|
| Wintermute - devnul.ru 2 Mar 2006 3:16 PM |
Да ладно, пользователи Маков все равно в выйгрыше хотя бы потому, что их в десятки раз меньше, чем пользователей Винды. Плюс идиотов среди них меньше, так как эппловская аппаратура+софт дороже винтеловской. |
|
| M&M's 2 Mar 2006 3:38 PM |
Появилась новая отрасль в Статистике... Где модератор??? |
|
| Угрюмый сангвиник 2 Mar 2006 4:19 PM |
Кстати, о статистике. Связь между уровнем пользователей и ценой систем, на которых они работают, мягко говоря, не прямая. |
|
| xz 2 Mar 2006 4:50 PM |
2 угрюмый сангвиник не, вы не скажите. нормальный маковец это вам не ламерье которое сидит во всяких дебильных бизнес-аналитиках и на прочих никому не нужных дешовеньких задачах! :))) |
|
| 7X 2 Mar 2006 7:07 PM |
Мне кажется или тут только что были другие сообщения? |
|
| Alexander S. Kharitonov 2 Mar 2006 10:11 PM |
Не назову себя любителем Mac, но, если сравнить данные по количеству неисправленных уязвимостей, они есть на страницах http://secunia.com/product/96/#statistics_solution и http://secunia.com/product/22/#statistics_solution для MacOS X и Windows XP Professional соответственно (возможноые пробелы в адресах на совести движка zdnet.ru), то увидев, что в XP их 21% имеют статус Unpatched, а в MacOS X таких 0%, в безопасный Windows снова не веришь, что бы там ни придумывал с анализом статистики Джордж Оу. |
|
| ctr 2 Mar 2006 11:21 PM |
2Alexander S. Kharitonov: Действительно, чушь какая-то. |
|
| 00alex 3 Mar 2006 1:19 AM |
Надо ж как-то гонорар отбивать. Где пару колонок изолировать, где удачно неделю выбрать, когда в Mac OS X самую критичную ошибку ещё не успели поправить... Где просто приукрасить (а вдруг не проверят) |
|
| Linfan 3 Mar 2006 10:35 AM |
широко известный в узких кругах индеец Оу похоже подвязался быть Advocatus diaboli для Бенни Гейтца. :) Гламурно. А что похожие граждане запоют когда Выстя выйдет... Мы услышим такие фенечки, что уши трубочкой сворачиваться будут. Ну типа Solid rock Windows, мелкие действительно сюрпризов понапридумывали, покрайней мере в 64bit режиме. Практически все вирусы перестанут работать. P.S. Губень правда не раскатывайте :)) Перекомпиляция вирусов часто лечит эти "недостатки" :)) |
|
| Zzz... 3 Mar 2006 11:07 AM |
2Alexander S. Kharitonov: вроде бы он ясно написал насчет количества уязвимостей и количества непатченных в том числе. Впрочем, не удивительно - я почитал комментарий к его блогу: похоже, что люди принципиально не читают статьи внимательно... "не видел, но осуждаю" |
|
| Валера 3 Mar 2006 11:58 AM |
Zzz... Тут я !:-))) Секуния, Оу какой-то!:-))) Вывод один - надо обновления ставить в любой ОС :-))) |
|
| Павел 3 Mar 2006 12:37 PM |
Надо бы еще в статистике не просто писать что баг исправлен/не исправлен, а указывать сколько дней он не был исправленым. Хотя учитывая то, что информация об уязвимости в настоящее время является коммерческой тайной и ее разглашение карается законом, это будет тоже не очень информативный отчет.
|
|
| Валера 3 Mar 2006 12:47 PM |
В общем очередное сказание из серии "говорят коров доят", "одна бабка сказала" и "ребята рассказывали". Оу что же делать? Переходить на Солярис, Аикс и ОпенБСД? :-))) И шифрование везде шифрование + аппаратная защита! :-))) |
|
| xacid 3 Mar 2006 3:54 PM |
ну да, он всё ясно написал это секуния неправильно проценты считает а оу на данных секунии всё правильно посчитал секуния в арифметике не рубит бедная тока в переполнениях буферов |
|
| Zzz... 3 Mar 2006 5:47 PM |
2xacid: и ты туда же? :) статью читай :) Этот товарищ правильно в блоге прикололся: оракел может выпустить один advisory с сотней фиксов для сотни дырок. Если считать advisory, то оракел - супер секурная база :). А вот если дырки отдельно.... |
|
| Alexander S. Kharitonov 3 Mar 2006 8:21 PM |
2 Zzz...: > вроде бы он ясно написал насчет количества уязвимостей и количества непатченных в том числе. Он считает не все уязвимости. В статье ведь сказано: "Две менее критические категории Secunia опущены, чтобы нагляднее расположить на экране наиболее важные данные.". Понятно, что наглядность - основная цель, а то, что в результате картина принципиально изменилась - это лишь побочный эффект :-) Посмотри сам - на указанных ранее страницах, если смотреть на состояние дел в Windows XP Professional, то постоянно натыкаешься на красные предупреждения: "Unpatched". Естественно в Microsoft не могли забить на самые критичные уязвимости, но, если верить данным Secunia, до исправления менее критичных у них не доходят руки в течение нескольких лет, самая ранняя из неисправленных там датируется 2002 годом: http://secunia.com/advisories/7121/. Поэтому если не делать упомянутого выше допущения, а считать все уязвимости, результат очевидно окажется полностью противоположным. Собственно, и по первым трём ситуация уже неоднозначная - с одной стороны, у MacOS X невовремя пропатченной оказалась одна уязвимость категории Extreme, а у Windows ни одной, с другой - в категориях High и Moderate у MacOS X таких не оказалось, а у Windows XP, соответственно 1 и 2. То есть по максимальной серьёзности вовремя неисправленной уязвимости проигрывает MacOS X, а по суммарному количеству таких уязвимостей проигрывает Windows XP. И более того, Windows и по первому параметру проигрывал до 21 февраля, пока не обнаружилась та уязвимость в MacOS X. А как только обнаружилась, спустя буквально неделю появилась статья Джорджа Оу :-) |
|
| Валера 3 Mar 2006 8:37 PM |
Терпеть не могу всякие таблички-головоломки и прочую муть! :0 |
|
| none 3 Mar 2006 9:24 PM |
практика запуска файлов после закачки - неправильная ;) и проходили это неоднократно. Т.е. ты админ и у тебя закаченные файлы автоматически запускаются - это пять ;) "The best immediate recourse against such an attack is to deactivate the option "Open 'safe' files after downloading" in the "General" section of Safari's preferences. Alternative web browsers such as Camino or Firefox do not support the automatic execution of files." |
|
| xacid 4 Mar 2006 12:11 AM |
может я чето не понимаю конечно но секуния считает не адвизории а незакрытые дырки и у мсофта их аж 21% а у аппла меньше 1% не знаю уж как там секуния считала но раз оу на них сцылается сам то значит не лажа полная вот про что речь имхо |
|
| Санитар - nospam.com 4 Mar 2006 10:36 AM |
Хе-хе, юзеры макаков не ламеры? Самое махровое ламерье и есть. Иначе бы не купили вместо реально рабочего железа макаки с красивыми картинками. |
|
| Валера 4 Mar 2006 11:16 AM |
Санитар Как смешно!:-))) Ха ха ха А реальное рабочее железо это что? Рабочие станции Сан, ИБМ, Силиконы и серверы? Или самосбор у себя на рабочем столе? :-))) http://www.apple.com/pro/ Сначала надо изучить а потом говорить! :-)) Так вот я видел "спецов" юзающих Винду 2000 про и мнящих себя профи, они не могли поставить себе нормальный браузер и вообще настроить компьютер! :-))) Не могли сделать виндовс апдейт и все такое :-)) А про Маки они даже прочитать не могли и на сайт Эпл зайти не могли, ну с чтением проблемы наверное :-) Ламеров почти нет на Солярисе, Аиксе и Чпуксах :-))) |
|
| Валера 4 Mar 2006 11:17 AM |
А еще на Айриксах |
|
| Zzz.... 4 Mar 2006 4:14 PM |
2Alexander S. Kharitonov: проблема в количестве инсталляций. Это же очевидно, что МС работает по принципу "работает - не трогай". Аппле с его полупроцентом рынка куда проще... |
|
| 00alex 4 Mar 2006 5:20 PM |
2 Zzz... А чем проще-то? Баг репортов меньше? В этом смысле, да - проще. С другой стороны сложнее - денег с этой 1% рынка существенно меньше. Microsoft'у нанять кучу толоковых инженеров, что баги будут править куда проще. |
|
| Alexander S. Kharitonov 4 Mar 2006 6:39 PM |
2 Zzz...: > проблема в количестве инсталляций. Это же очевидно, что МС работает по принципу "работает - не трогай". Аппле с его полупроцентом рынка куда проще... Однако и ответственность меньше - вероятность появления вируса или червя под MacOS X, из-за её малораспространённости, на порядки меньше. Но Apple уязвимости активно исправляет. Кстати, наткнулся на следующую информацию в базе Secunia (относится к MS Access): http://secunia.com/advisories/14896/. Угрожающее сочетание: "Highly critical", "From remote" и "Unpatched", причём уязвимость датируется апрелем прошлого года, и для неё есть эксплойт... Зря Джордж Оу занялся подбором статистики, ведь люди не поленятся и посмотрят в первоисточники, а там найдётся такое... Я ведь почти лоханулся - чуть не поверил, что Windows стал безопаснее (ведь некоторые так об этом уверенно говорят, что начинаешь верить). А как посмотрел, что собственно сказано в базе Secunia, сразу почувствовал, что слова "дырявая поделка" нисколько не потеряли своей актуальности. |
|
| Валера 4 Mar 2006 7:14 PM |
Как говорят: мой смеяццо! :-))) 00alex Microsoft'у нанять кучу толоковых инженеров, что баги будут править куда проще. Толковые кучами редкость, нужно меньше да лучше, как у Эпл, из-за куч и возникает всякая муть, соперничество, неразбериха и прочее :-))) Вообще о внутреннем устройстве Майкрософт немало написано Alexander S. Kharitonov Однако и ответственность меньше - вероятность появления вируса или червя под MacOS X, из-за её малораспространённости, на порядки меньше. Ответственность меньше - это вообще непонятно совершенно! :-))) Мой смеяццо! :-))) Как Вы себе представляете это все? Типа сидят инженеры Эпл софтовые и говорят: ну типа у нас ответственность меньше, у нас же юзеров меньше, типа Стив сильно ругать не будет :-))) |
|
| Валера 4 Mar 2006 7:28 PM |
Alexander S. Kharitonov Но Apple уязвимости активно исправляет. Работать надо от души и с энтузиазмом :-))) Было бы странно если бы не исправляла |
|
| Zzz... 4 Mar 2006 10:03 PM |
2Alexander S. Kharitonov: Так я тоже не поленился посмотреть. Solution: Do not open untrusted ".mdb" database files. "Я ведь почти лоханулся - чуть не поверил, что Windows стал безопаснее" --- так все-таки нужно определиться, относится ошибка в access к безопастности Windows или нет... |
|
| Alexander S. Kharitonov 5 Mar 2006 7:45 AM |
2 Zzz...: > Так я тоже не поленился посмотреть. > Solution: > Do not open untrusted ".mdb" database files. :-) А откуда обычный пользователь знает, какие типы файлов в этом году опасны? Может проще всего простым пользователям рекомендовать перейти на более безопасный OpenOffice? > так все-таки нужно определиться, относится ошибка в access к безопастности Windows или нет... Формально - нет, практически - да. Оба их делает Microsoft, и на большинстве компьютеров с MS Windows можно встретить MS Office.
|
|
| Yuri 5 Mar 2006 1:23 PM |
> :-) А откуда обычный пользователь знает, какие типы файлов в этом году опасны? Вообще-то вот уже лет этак 10-15 отлично известно, что под виндами опасны _все_ типы файлов, открываемые компонентами Оффиса (ну и плюс к тому еще многие другие). Вот только приводить такие аргументы именно в обсуждениях "Винды против МакОС" никакого смысла нет, поскольку идеологию этой дурости Майкрософт слямзил именено у Эппла, и под МакОС проблем из-за этого ничуть не меньше. |
|
| qwer 5 Mar 2006 1:25 PM |
>Формально - нет, практически - да. Оба их делает Microsoft, и >на большинстве компьютеров с MS Windows можно встретить MS >Office. Ну значит все дырки в софте, который идёт в среднестатистическом дистрибе линуха, нужно считать уязвимостями в линухе. |
|
| Alexander S. Kharitonov 5 Mar 2006 3:19 PM |
2 qwer: > Ну значит все дырки в софте, который идёт в среднестатистическом дистрибе линуха, нужно считать уязвимостями в линухе. Если в программе, включенной в дистрибутив, есть уязвимость, это естественно уязвимость дистрибутива. Только судя по данным Secunia дистрибутивы Linux исправляются намного оперативнее, чем Windows, Office и т.д. |
|
| Zzz... 6 Mar 2006 9:45 AM |
> Если в программе, включенной в дистрибутив, есть уязвимость, это естественно уязвимость дистрибутива. Только судя по данным Secunia дистрибутивы Linux исправляются намного оперативнее, чем Windows, Office и т В таком случае линукс не просто "дырявая поделка", а сито с крупными ячейками и тонкими нитками :) |
|
| Zzz... 6 Mar 2006 9:48 AM |
2Alexander S. Kharitonov: ":-) А откуда обычный пользователь знает, какие типы файлов в этом году опасны? Может проще всего простым пользователям рекомендовать перейти на более безопасный OpenOffice?" Этот файл еще попробуй открой. Мало того, что из почты его не достать (ну, если конечно пользуешься оутлуком. Использование thunderbird автоматически предполагает более углубленные знания :)), так и оффис 5 раз ругнется на всякие "активности", зашитые в файле. Еще и винда, начиная с xp sp2 предупредит, что файл скачан из интернета и могут быть опастности. |
|
| Пётр 6 Mar 2006 4:36 PM |
сомневаюсь я, что среднестатистический пользователь ставит себе Access, если он не вор, конечно. |
|
| Alexander S. Kharitonov 6 Mar 2006 7:16 PM |
2 Zzz...: > Этот файл еще попробуй открой. Мало того, что из почты его не достать (ну, если конечно пользуешься оутлуком. Что, Outlook Express разучился работать с аттачами? А если файл нужно переслать? > так и оффис 5 раз ругнется на всякие "активности", зашитые в файле. Прочитай внимательнее, там речь совсем не об использовании Visual Basic. Ещё раз даю ссылку: http://secunia.com/advisories/14896/ Как я понимаю, это реально можно использовать для заражения через Интернет огромного количества систем. Пришёл файл с якобы ожидаемым прайслистом, пользователь открыл, и система заражена... |
|
| Alexander S. Kharitonov 6 Mar 2006 8:06 PM |
2 Zzz...: > В таком случае линукс не просто "дырявая поделка", а сито с крупными ячейками и тонкими нитками :) Ну-ну... Давно известно, что Linux безопаснее Windows. Если ты хочешь просто посчитать уязвимости в каждой из систем, то вспомни, что у Microsoft есть и возможность, и мотив скрывать информацию о найденных и исправленных ошибках, только вот по тому, сколько известных широкой общественности уязвимостей не исправлено (по данным Secunia - порядка 20%) можно понять, как обстоят дела с теми уязвимостями в Windows, которые не получили широкую огласку. А ведь эти уязвимости могут найти не только в Microsoft, или какой-нибудь сотрудник продаст информацию о них. В общем, напрямую сравнить количество уязвимостей в Windows и в Linux сложно - мы не можем знать истинного количества уязвимостей в Windows. Но мы можем сравнить оперативность исправления найденных уязвимостей, и здесь Windows проигрывает с разгромным счётом. И ведь этот параметр является самым важным для оценки (не)защищённости системы. Одна уязвимость, которую не исправляют в течение года опаснее сотни оперативно исправленных. Зря Джордж Оу привлёк внимание к статистике уязвимостей. Посмотрев в первоисточник понимаешь, что в Windows дела с безопасностью обстоят не так, как могли бы надеяться её противники, а намного хуже. Если бы мне сказали про 20%, я бы в другой ситуации ответил бы "не может быть". Но поскольку именно на этот источник ссылается защитник Windows и обличитель других систем, то не остаётся сомнений в том, что столько известных уязвимостей в Windows оказались неисправленными. |
|
| ПС 7 Mar 2006 1:51 AM |
-=Давно известно, что Linux безопаснее Windows.=- У винды ХР с НАЧАЛА 2003 ГОДА в секьюнии 130 разных глюков. У Мандраки 10.1 выпускается с конца 2004 года (почти на 2 года позже вышло) - 249 глюков У Федоры - с лета 2005-го (ей еще года нет) - уже 106 глюков У Убунты - 5,04 с лета 2005 (тоже еще года нет) - 127 глюков У Суси 9,3 - с весны 2005 (тоже еще года нет) - 74 (ура-ура, надежный линукс, всего 74 глюка в год, за сколько лет винду догонит?) Как видим линукс просто оплот надежности. ;) -=Если ты хочешь просто посчитать уязвимости в каждой из систем, то вспомни, что у Microsoft есть и возможность, и мотив скрывать информацию о найденных и исправленных ошибках=- А у остальных ни желания ни возможности? Гм. -=В общем, напрямую сравнить количество уязвимостей в Windows и в Linux сложно - мы не можем знать истинного количества уязвимостей в Windows.=- Мы не можем знать и истинного количества уязвимостей в линуксе. Но статистика как-то не обнадеживает... Или Вы уже ВСЁ знаете??? -=мы можем сравнить оперативность исправления найденных уязвимостей, и здесь Windows проигрывает с разгромным счётом.=- Теоретически - ДА!!! :) -=И ведь этот параметр является самым важным для оценки (не)защищённости системы. Одна уязвимость, которую не исправляют в течение года опаснее сотни оперативно исправленных.=- А вот на практике - НЕТ. У Вас есть данные о том, что ВСЕ пачти на все линуксы уже установлены??? Да и тенденции не обнадеживают... Если за год минимум 74, то сколько ждет открытий чудных... ;) |
|
| 7X 7 Mar 2006 5:06 AM |
и понеслась по новой... |
|
| Alexander S. Kharitonov 7 Mar 2006 7:55 AM |
2 ПС: > У винды ХР с НАЧАЛА 2003 ГОДА в секьюнии 130 разных глюков. Ты корректно считай. Не просто количество уязвимостей, а с учётом объёма кода. Предположим, что размер инсталляции Windows XP 600 MB, тогда количество уязвимостей на мегабайт в год за те три года получается 130/(600*3) = 0.07222. Сравниваем с Debian 3.1, размер инсталляции которого примерно 8800 MB, и который вышел 9 месяцев назад (0.75 года назад), и для которого Secunia указывает 240 багов, получается 240/(8800*0.75) = 0.03636. Получается, что по этому параметру Debian безопаснее Windows практически в два раза! Заметь, здесь не учтена "скорость" исправления некоторых ошибок в Windows, а с её учётом можно говорить о разнице на порядок или даже на порядки. |
|
| Tolik 7 Mar 2006 9:03 AM |
Гы-гы-гы .... Довай тогда добавим к винде MUI на все языки. Винда та же, уязвимостей столько же - объема - много гигов ... Вообще оригинальный способ улучшения секурности - набить хлама в дистрибутив. Кино, там, дописать ... Сразу секурнее стали |
|
| ПС 7 Mar 2006 11:40 AM |
-=Ты корректно считай. Не просто количество уязвимостей, а с учётом объёма кода. Предположим, что размер инсталляции Windows XP 600 MB, тогда количество уязвимостей на мегабайт в год за те три года получается=- Смешной Вы, ей богу. Впрочем я догадывался, что ответ будет именно такой. А претензии по поводу подсчета - к секьюниям. ;) |
|
| Alexander S. Kharitonov 7 Mar 2006 11:51 AM |
2 Tolik: Это не способ "улучшения секурности", а способ сделать сравнение корректным. Нужно сравнивать сопоставимые вещи. Если засчитывать для Linux ошибки во всех программах, входящих в дистрибутив, то и для Windows нужно считать все ошибки в равном наборе софта (или оценить их количество предположив, что прикладной софт для него того же качества, что и сам Windows). Неужели ты считаешь, что ошибки в MS Office, MS SQL и т.д. можно не считать только потому, что они не входят в состав Windows XP? А как ты думаешь, взломщик тоже будет их игнорировать? :-) |
|
| ПС 7 Mar 2006 12:01 PM |
-=Если засчитывать для Linux ошибки во всех программах, входящих в дистрибутив=- 1. А чего Вы думаете, что считались все ошибки во всех программах дистрибутива? 2. А если и совались - кто собственно кого заставлял туда это все совать. "А мы тут насовали, так это не считается!!!!"
|
|
| Alexander S. Kharitonov 7 Mar 2006 12:01 PM |
2 ПС: Легко было догадаться каким будет ответ - это стандартный ответ на стандартное некорректное сравнение. И зачем предъявлять претензии к Secunia - они ведь просто читают уязвимости, претензии следует предъявлять к тем, кто старается неверно интерпретировать статистику. Типа в гараже у Васи один Ford, а в гараже у Лёни BMW, мотоцикл, Т-80 и ещё несколько транспортных средств, суммарное количество неисправностей в них конечно больше. Можно ли делать выводы о лучшей технике в гараже Васи? |
|
| Alexander S. Kharitonov 7 Mar 2006 12:02 PM |
опечатка - не "читают уязвимости", а "считают уязвимости" :-) |
|
| ПС 7 Mar 2006 12:08 PM |
-=И зачем предъявлять претензии к Secunia - они ведь просто читают уязвимости, претензии следует предъявлять к тем, кто старается неверно интерпретировать статистику.=- Т.е. у Вас монополия на верную интерпретацию статистики? Ну ежели так, тады ОЙ. Дальнейших успехов в Вашем нелегком деле. |
|
| ПС 7 Mar 2006 12:11 PM |
-=Типа в гараже у Васи один Ford, а в гараже у Лёни BMW, мотоцикл, Т-80 и ещё несколько транспортных средств, суммарное количество неисправностей в них конечно больше. Можно ли делать выводы о лучшей технике в гараже Васи?=- Если Лёня при этом авторитетно заявляет, что его техника (не какая-то конкретная, а ВСЯ) лучше и надежнее, то чего ж нельзя? |
|
| ПС 7 Mar 2006 12:15 PM |
Или Лёня имел в виду, что его техника надежнее на килограмм чистой массы в удельном объеме гаража, а вот тот убитый холодильник, это ваще не моё? Тогда этот Лёня - клоун. |
|
| Alexander S. Kharitonov 7 Mar 2006 12:16 PM |
2 ПС: При создании дистрибутива вряд ли кто-то думает о том, что большой набор софта может быть использован для махинаций со статистикой. Больше софта делается для удобства польозвателя - меньше придётся скачивать, упрощается администрирование системы, увеличивается безопасность (информация об обновлениях идёт из одного источника, а не разбросана по множеству сайтов). |
|
| Alexander S. Kharitonov 7 Mar 2006 12:19 PM |
2 ПС: Просто у Васи много гаражей, а у Лёни гараж один, но большой. Но Вася хочет, чтобы у него считали неисправности только в одном гараже, как у Лёни... |
|
| ПС 7 Mar 2006 3:10 PM |
-= у Лёни гараж один, но большой. Но Вася хочет=- -=Ну-ну... Давно известно, что Linux безопаснее Windows.=- Это ведь Лёнины слова. Просто оказывается никто кроме Лёни дырки в гаражах считать не умеет. Нужно считать удельные дырки оказывается... И только Лёня об этом знает. Но Вася ВАЩЕ при чем? Если Лёне порисоваться захотелось своим славным дырявым гаражом. Короче все понятно. Если посчитать все дырки во всех продуктах МС, то это как раз и есть эквивалент одного дистрибутива линукс. То, что может дырки всего этого хлама никто и не считал - не принимается во внимание. То, что этот хлам сами же туда насовали - тоже неважно. Это достоинство даже с точки зрения безопасности. Вы уж простите, но странно это все как-то. Смысл в ентом всем какой-то нездравый, простому человеку неочевидный. Но ежели Вам так нравится - ну пожалуйста, только это уже мания какась, чес слово. |
|
| Zzz... 7 Mar 2006 3:46 PM |
2Alexander S. Kharitonov Это не способ "улучшения секурности", а способ сделать сравнение корректным. Нужно сравнивать сопоставимые вещи. Если засчитывать для Linux ошибки во всех программах, входящих в дистрибутив, то и для Windows нужно считать все ошибки в равном наборе софта (или оценить их количество предположив, что прикладной софт для него того же качества, что и сам Windows). Неужели ты считаешь, что ошибки в MS Office, MS SQL и т.д. можно не считать только потому, что они не входят в состав Windows XP? А как ты думаешь, взломщик тоже будет их игнорировать? :-) --- Тогда надо определяться, где считать ошибки? WinXP идет с графической оболочкой, эксплорером и прочими штучками. КДЕ/Гноме/....что еще.... считаем или как? Тоже самое медиаплееры - что в дистрибутиве линукса считать будем? Какой возьмем? Или считать уязвимости в ядрах системы? Или отдельно с tcp (линуксовый стэк недавно отличился - ping of death был. как и виндовый, впрочем тоже). Более того, посчитать довольно сложно. Для ХР, например, один advisory = одной проблеме. А как насчет: http://secunia.com/advisories/19130/ "SUSE has issued an update for multiple packages. This fixes some vulnerabilities, which can be exploited by malicious users to manipulate certain information and by malicious people to conduct cross-site scripting attacks, cause a DoS (Denial of Service), bypass certain security restrictions, to cause files to be extracted to arbitrary locations on a user's system, to trick users into visiting a malicious website by obfuscating URLs displayed in the status bar, and to compromise a user's system" Ну и лист: http://secunia.com/advisories/19130/?show_all_related=1#rela ted Для примера вот еще: http://secunia.com/product/2719/ 69 advisory. Сколько из них multiple - фиг их знает. Ну и это: http://www.linux.org.ru/jump-message.jsp?msgid=1296440#1296 810 Хотя это ОБС. :) |
|
| none 7 Mar 2006 5:36 PM |
любая дыра в продуктах МС - это дыра в виндовзе (хотябы потенциальная) Потому как это глюкало на других платформах, практически, не работает Так чта... что говно - то к говну :)) |
|
| Alexander S. Kharitonov 7 Mar 2006 5:54 PM |
2 Zzz...: > Тогда надо определяться, где считать ошибки? WinXP идет с графической оболочкой, эксплорером и прочими штучками. КДЕ/Гноме/....что еще.... считаем или как? Тоже самое медиаплееры - что в дистрибутиве линукса считать будем? Какой возьмем? Скорее всего сравнение один к одному между разными системами просто невозможно. Можно сравнить, например, число взломов разных систем, хотя и тут есть сложности - например, можно сравнить только там, где можно применять обе системы, нужно как-то учесть разную распространённость систем в различных областях, а кроме того, что считать взломом для Windows? Если система была заражена червём - это взлом? А если засчитывать только "ручной" взлом, то возникает странная ситуация, когда черви, выводя из строя уязвмые системы, фактически препятствуют их целенаправленному взлому. Если выставить в Интернет сервер под непропатченным Windows, он будет заражён через несколько минут, а если систему вывел из строя вирус, то взломщик до неё уже не доберётся :-) Может Microsoft стоило бы тайно писать сетевые черви, которые бы препятствовали работе уязвимых машин и заставляли бы их админов шевелиться? Хм, кстати, а какие сейчас черви бродят по Сети?.. |
|
| Пётр 7 Mar 2006 6:39 PM |
"Давно известно, что Linux безопаснее Windows. Если ты хочешь просто посчитать уязвимости в каждой из систем, то вспомни, что у Microsoft есть и возможность, и мотив скрывать информацию о найденных и исправленных ошибках, только вот по тому, сколько известных широкой общественности уязвимостей не исправлено (по данным Secunia - порядка 20%) можно понять, как обстоят дела с теми уязвимостями в Windows, которые не получили широкую огласку. А ведь эти уязвимости могут найти не только в Microsoft, или какой-нибудь сотрудник продаст информацию о них. " нда, аргументированно, однако. |
|
| ПС 7 Mar 2006 6:48 PM |
-=любая дыра в продуктах МС - это дыра в виндовзе (хотябы потенциальная) Потому как это глюкало на других платформах, практически, не работает Так чта... что говно - то к говну=- Любая дыра в продуктах опен-сорц - это дыра ВО ВСЕХ версиях линукса. Потому что ЭТО глюкало работает везде. Так чта... говно - оно и в Африке говно... |
|
| ПС 7 Mar 2006 6:50 PM |
2 Alexander S. Kharitonov -=Скорее всего сравнение один к одному между разными системами просто невозможно.=- Так откуда же Вам "Давно известно, что Linux безопаснее Windows"??? В принципе понятно откуда. Просто очень уж хотелось себя похвалить... ;) |
|
| Валера 7 Mar 2006 7:02 PM |
Эх жаль мне этого писаку :-)) Наверное мечтает о маке по ночам! :-)) Но присягнул мелкомягким видимо :-)) Сомневаюсь, что он такой уж крутой специалист мягко говоря Ограниченный кругозор В общем обыватель :-)) |
|
| ПС 7 Mar 2006 7:16 PM |
2 Валера -=Наверное мечтает о маке по ночам!=- Валера, держите себя в руках. Такой крутой специалист, а все туда же. Не мечтаю по ночам ни о маке, ни о конопле. Да и Вам бы пора уже подлечиться от этих пагубных привычек... |
|
| Валера 7 Mar 2006 7:27 PM |
ПС Мой смеяццо! :-)) |
|
| Alexander S. Kharitonov 7 Mar 2006 7:41 PM |
2 ПС: > Это ведь Лёнины слова. Просто оказывается никто кроме Лёни дырки в гаражах считать не умеет. Нужно считать удельные дырки оказывается... В данной ситуации удельная оценка гораздо точнее характеризует безопасность системы. Нас ведь должна интересовать безопасность подобных наборов софта в разных операционных системах, то есть к примеру веб-сервера под Linux и веб-сервера под Windows. То, что софт от Microsoft поставляется как ряд отдельных продуктов не делает ведь его безопаснее :-) А удельное значение позволяет оценить, в какой системе, при одинаковом наборе софта, будет больше ошибок. Естественно эта оценка не совсем точна - софт всё-таки не одинаковый по возможностям, да и размер программ не всегда отражает их функциональность, но этот критерий всё-таки ближе к истине. И по нему Linux оказался надёжнее Windows :-) Собственно, а ты чего ожидал? |
|
| Alexander S. Kharitonov 7 Mar 2006 7:44 PM |
2 ПС: > Но Вася ВАЩЕ при чем? Если Лёне порисоваться захотелось своим славным дырявым гаражом. Да нет, это Джордж Оу начал некорректно считать :-) Если бы он не перегнул палку, я бы может даже считал бы, что Windows вырвался в плане безопасности вперёд - нас же стараются в этом постепенно убедить. А тут всё-таки решил проверить, на что он там ссылается. И оказывается, что по более важному параметру Linux на порядок безопаснее, чем Windows, по менее важному - в безопаснее в два раза. Могу сказать Джорджу Оу только спасибо - если бы не он, я бы не знал, что в плане безопасности Linux настолько превосходит Windows. |
|
| Zzz.. 7 Mar 2006 9:59 PM |
2Валера: не думаю... вот будешь сидеть себе в аэропорту, wifi, по кнопкам стучать. А в это время тебя ... http://www.securityfocus.com/news/11375 ... И ведь будешь думать, что работаешь в суперзащищенной ОС (по обещаниям эппла :)) |
|
| Zzz.. 7 Mar 2006 10:02 PM |
2Alexander S. Kharitonov: Могу сказать Джорджу Оу только спасибо - если бы не он, я бы не знал, что в плане безопасности Linux настолько превосходит Windows. ---- Каждый видит только то, что хочет. Особенно фанатик. Таких даже не переубеждают факты :) P.s.: так что насчет 69 advisory только в ядре 2.6, начиная с 2003 года? |
|
| Валера 7 Mar 2006 11:01 PM |
Zzz.. Только я наверное все-таки не буду кричать на весь Интернет с просьбой попытаться взломать мою систему :-)) Да и файрвалы никто не отменял :-)) В стелс режиме :-)) http://www.intego.com/netbarrier/ Будто под Виндой люди не с Аутпостом в стелсе сидят? :-)) Нормальные настройки и привем "дятлам"!:-)) |
|
| Alexander S. Kharitonov 8 Mar 2006 12:09 AM |
2 Zzz...: > Каждый видит только то, что хочет. Особенно фанатик. Таких даже не переубеждают факты :) Ну вот - не доверяешь Windows, значит фанатик :-( Тебе не надоело вешать ярлыки? Тебе приятно будет, если на тебя, в свою очередь, повесят ярлык "Проплаченный пропагандист Microsoft"? > P.s.: так что насчет 69 advisory только в ядре 2.6, начиная с 2003 года? Следует учитывать то, что теперь ядро разрабатывается без нечётных экспериментальных версий - раньше была отлаженная ветка 2.2 и экспериментальная 2.3, отлаженная 2.4 и экспериментальная 2.5, а потом от такого деления отказались. Сейчас, если нужна отлаженная версия ядра, нужно брать одну из предыдущих версий той же ветки 2.6 (внеся в неё необходимые исправления из более поздних версий). Например Debian 3.1 построен на ядре версии 2.6.8. У такой системы есть свои достоинства и недостатки, к последним, как оказалось, нужно отнести и то, что при составлении статистики на ядро приходится больше ошибок - при старой схеме многие из них числились бы за нестабильной веткой. В общем, правильнее считать не количество уязвимостей в ванильном ядре, а их количество в ядре из конкретного дистрибутива. |
|
| Zzz... 8 Mar 2006 9:42 AM |
"Ну вот - не доверяешь Windows, значит фанатик :-( Тебе не надоело вешать ярлыки? Тебе приятно будет, если на тебя, в свою очередь, повесят ярлык "Проплаченный пропагандист Microsoft"? " --- Я просто стараюсь воспринимать факты объективно. Если есть дырка в XP - значит есть. Но это не означает, что ХР становится более дырявой по определению. "Следует учитывать то, что теперь ядро разрабатывается без нечётных экспериментальных версий - раньше была отлаженная ветка 2.2 и экспериментальная 2.3, отлаженная 2.4 и экспериментальная 2.5, а потом от такого деления отказались" ---- Kernel.org (или как там оно) объявило 2.6 релизной веткой. Так что аргумент не пройдет. Хотя, я конечно понимаю, что у них это был вынужденный шаг - никто это гэ начинать пользовать не хотел "Сейчас, если нужна отлаженная версия ядра, нужно брать одну из предыдущих версий той же ветки 2.6 (внеся в неё необходимые исправления из более поздних версий" --- не ради секурити-фиксов. А ради хотя бы работающих фич. Вообще, ванильное ядро может использовать только законченный фанатик. В общем, правильнее считать не количество уязвимостей в ванильном ядре, а их количество в ядре из конкретного дистрибутива --- Это не реально посчитать (нужно потратить много времени). Потому как advisory один и фиксов - куча. Да и правильней считать дырки именно в ванильном ядре, как оригинальном - оттуда все проблемы и ползут :) |
|
| Alexander S. Kharitonov 8 Mar 2006 11:18 AM |
2 Zzz...: > Я просто стараюсь воспринимать факты объективно. Если есть дырка в XP - значит есть. Но это не означает, что ХР становится более дырявой по определению. Везде есть дырки. Однако смысл данной дискуссии в чём - в том, что если корректно проанализировать ту статистику, на которой основывается Джордж Оу, то результат оказывается прямо противоположным его выводам. Не стану называть Windows словами типа "решето", на самом деле чтобы избежать большинства проблем на практике хватает разграничения прав доступа и настроенного фаерволла, и теперь в Windows есть и то, и то. Но Windows всё-таки по прежнему менее безопасен, чем Linux. В свою очередь Linux тоже не идеален, хотелось бы ещё большей безопасности. > Kernel.org (или как там оно) объявило 2.6 релизной веткой. Так что аргумент не пройдет. Ты хочешь считать там, где можно получить самый удобный результат, а не там, где результат получается практически применимым?
|
|
| Zzz... 8 Mar 2006 2:22 PM |
Ты хочешь считать там, где можно получить самый удобный результат, а не там, где результат получается практически применимым? ---- Нет, я просто пытаюсь сравнивать сравнимое. Для меня по-меньшей мере странно, когда в ХР учитывают все ошибки (включая ИЕ, оутлуки и так далее), а для линукса делают какую-то особенную выборку. В статье сравниваются две системы из коробки - что есть, то поставили. К дистрибутивам линукса это никакого отношения не имеет - в них пол-интернета собрано. Поэтому можно сравнить osx и winxp и при этом странно сравнивать suse и windows xp, которые по наполненности абсолютно не равны. Более честно сравнивать в таком случае отдельные компоненты. Но при этом нужно ограничится только отдельными частями, как веб-сервера, ядро системы, стэки tcp и так далее.. "Однако смысл данной дискуссии в чём - в том, что если корректно проанализировать ту статистику, на которой основывается Джордж Оу" --- "В этой таблице анализируются три самых высоких уровня опасности уязвимостей по данным Secunia." Если вытянуть все из багзилл и базы ошибок самого МС, то счет пойдет на миллионы :) |
|
| ПС 8 Mar 2006 3:22 PM |
Zzz -="В этой таблице анализируются три самых высоких уровня опасности уязвимостей по данным Secunia." Если вытянуть все из багзилл и базы ошибок самого МС, то счет пойдет на миллионы=- Дело в том, что база ошибок МС включает и ошибки, не связанные с безопасностью. Типа "медленно работает винчестер такой-то при таких-то условиях". Секьюния же считает только связанное с безопасностью. 2 Alexander S. Kharitonov -=Не стану называть Windows словами типа "решето", на самом деле чтобы избежать большинства проблем на практике хватает разграничения прав доступа и настроенного фаерволла, и теперь в Windows есть и то, и то. Но Windows всё-таки по прежнему менее безопасен, чем Linux. В свою очередь Linux тоже не идеален, хотелось бы ещё большей безопасности.=- ОШИБКИ в системе безопасности от Секьюнии - это как раз те глюки в системе, от которых чаще всего не спасает ни разграничение прав, ни файрволл. Особенно когда мы говорим о критических ошибках. Поэтому: 1. Не так уж сильно влияют на безопасность всей системы ошибки во всем том хламе, который насован на большом-пребольшом количестве компакт-дисков Линукса. Дырка в каком-нить Опен-Офисе или даже SQL-сервере НЕ ДОЛЖНА приводить ко взлому операционной системы, если эта система - нормальная, с точки зрения безопасности. И Секьюния, я подозреваю, об этом знает, в отличие от Вас. Этот Ваш аргумент просто притянут за уши. Как и утверждение, что "Windows менее безопасен". Вам просто так очень хочется. 2. Можете называть Винду решетом - я с этим полностью согласен. Но просто признайте, что Линукс в таком случае, точно такое же решето и абсолютно не безопаснее. А то еще начнем считать ошибки в расчете на количество инсталляций в мире - что более логично, чем размер дистрибутива. Ой что тогда получится... ;) |
|
| Alexander S. Kharitonov 8 Mar 2006 10:15 PM |
2 ПС: > А то еще начнем считать ошибки в расчете на количество инсталляций в мире - что более логично, чем размер дистрибутива. Ой что тогда получится... ;) Это совсем другое, хотя на самом деле это тоже можно посчитать важным параметром... От количества уязвимых систем зависит вероятность возникновения эпидемий вирусов и червей. Но я даже не буду сейчас говорить, какая система по этому параметру оказывается более опасной :-) |
|
| ПС 9 Mar 2006 12:12 AM |
-=От количества уязвимых систем зависит вероятность возникновения эпидемий вирусов и червей. Но я даже не буду сейчас говорить, какая система по этому параметру оказывается более опасной :-) =- А вот с этим спорить не буду - тут Вы правы. У каждой палки есть два конца. И бедный МокроХвост изо всех сил старается и пиратов "мочить в сортирах" и безопасность при этом даже на их пиратских компьютерах повышать. Наблюдать за этим порой весьма забавно. :) |
|
| Zzz... 9 Mar 2006 10:28 AM |
Это совсем другое, хотя на самом деле это тоже можно посчитать важным параметром... От количества уязвимых систем зависит вероятность возникновения эпидемий вирусов и червей. Но я даже не буду сейчас говорить, какая система по этому параметру оказывается более опасной :-) --- Не от количества уязвимостей, а от количества Joe Average, которые в принципе не знают, что такое безопастность. Неужели это трудно понять? Запустить вирус из письма - много ума не нужно... |
|
|