Dela via


Новый взгляд на уязвимости - 21 ноября 2008

??????????? ???? ?????????? ?????????? ??????????? ? ???????? ?????????????? ?????????. ?? 50 ???? ???????? ?? ????? secunia.com, ? ???????? ? ???? ??????????, ????????? ?????????? ?????????. ? ?????? ???????. ????? ??? ?????????? ?? ????? ?????? ? ??? ?????????? advisories - ????????? ??????? ???????????, ????????? ???????????????. ????? ???? advisories ??????? ? ???, ??? ??? ??????????? ?????-???? ?????????? ????????????? ???????????? ?? ?????? ?????? ???? ??????????, ?? ?????? ??????. ????????, ? ????? ?? advisores ??? Mac OS X ???? ????????? ???????? ???????????. ?????? advisories, ??? ???????, ???????? ????????? ??????. ?? ???? ????? ????????? ????????? ????? ???????????, ????????? ???????????????. ????????? ???????? ???? ??????????? ? ?????? ?? advisories ?? ????? ???? ??????. ?? ????? ?????????? ?? ??? ?? ??????. ?? ? ???? ????, ??? ? ??????? ?? ???? advisories ???? ?????????? ?????????? ???????????, ?? ????????? ?????  advisories ??? ????????? ????? ???? ? ?????-?? ??????? ???????? ?? ???????? ???????????? ????????? ? ????????? ????????????. ??? ???? ??? "????????????" ?????????, ???????????, ???????????? ?? "?????????????? ?????????". ?????? ??????, ??? ??? ???? ????????, ?????? ????????? ??????? ???????, ?? ????? secunia.com. ???????, ? ??? ??? ????????? ????? ? ?? advisories "????????????" ?????????? ? ????????? ????????? ????? ?????? ???????????. ?? ??????????, ??? ? ??? ?????? ??????? ????????? ? ???? ?? ???? ?? ????????? ???????. ?????? ??? ?????? ??????????? ??????? ???? ????, ??? ????? ??????? ?????? - "???? ?????? ?????? ??????. ??????????? ?? ????????? ??????. ??? ?????? ???? ??????????? ??????". 

? ??? ?????? ?? ????? ????????? ???????? ????????? - ?????????? ????? ????? - ????? ????? ?????? ???????????  (vulnrerabilities) ??? ??????? ????????. ? ??? ????? ?? ???????????? ????????????? - ?? secunia.com.

??????? ?????????? ???????????? ? ???????? ???????????? ????????? ?? ?????????. ? ?????? ????????? ????????? ????????? ????? ???????. ? ????? ???????? ?????????? Linux Ubuntu, ??????? ?????? ????????? Open Source ????? ???????? ??? ???? ?? ?? ????? ?????????? ???????????? ???????. ?????????? ?? ????? - ??? ??????? ????. ???????? ????????, ? ?????? ????? ?? ???? ????????????? Ubuntu - ?? 7.10 ? ?? 8.04. ??? ????? ????????, ??? ?????? ?? ???? ?? ????? ? ??????? 2007 (7.10), ? ?????? ? ?????? 2008 (8.04). ?? ??? ???????? ??????? ????? ???? ?????? ? ??? ??????? ?? 30 ??????????? ? ?????! ? ??? ??? ???, ??? Windows XP ? Vista ??????? ?????? ?? 3 ?????????? ? ?????. ????? ????? ??????????? ? Ubuntu ???? ?????? Windows. ?? ? ????? ????????? ????? ?? ?????? ???-????, ???? ????? ??????????? ?? ???????????? ??????? ?????????? ?? ???? ????????, ??????? ??????????... ? ?? ???? ??? ????? ???????.

?????? ?????????? ?? ???? Linux - ? ??? ??????? ????? 280 ???????????. ??? ????????, ??? ????? ??? ?????????? ??????????? Linux (ALT Linux, ???? ?? ??????????, ? ??????) ????? ?? ?????? ????? ????? ???????????. ? ?????? ??????????? ?? ????? ??????????? Windows. ? ???? ??????? ?? ???????? ??, ??? ???? ?? ???????????? ???? ?????? ????? ?????? ??? ??????????????? ??????, ? ??, ??? ?????? ????????????? Red Hat ???????? ? ???? ??????????? ?? ????? 200 ????? ???????????, ?? ??????? Windows ? ???????????? ??? ????. 

???? ? ?????????? - ???????????.    

?????????? ?? 2008-11-21.pdf

Comments

  • Anonymous
    January 01, 2003
    При таком Вашем предположении, dinu, первыми бы рухнули Apple, Oracle, IBM. Но вот только это предположение и остается предположением. Кроме того, из Ваших слов можно сделать вывод, что так как у Linux коды доступны всем, то это-то и является причиной такого большого количества уязвимостей. Но ведь пользователям-то все равно в чем причина "дыр". Может, Вы призываете таким образом закрыть исходники Linux для увеличения безопасности? Мысль интересная. Но лучше начать с управления разработкой.

  • Anonymous
    January 01, 2003
    Наткнулся на интересный пост в блоге Владимира Мамыкина http://blogs.technet.com/mamykin/archive/2008/11/21/21-2008.aspx...

  • Anonymous
    November 21, 2008
    Цифры говорят сами за себя? Заголовки сегодняшних новостей говорят не меньше: Microsoft 7 лет закрывала критическую уязвимость (http://liberatum.ru/exclusive/microsoft-7-let-zakryvala-kriticheskuyu-uyazvimost) В ядре Windows Vista обнаружена серьезная уязвимость (http://liberatum.ru/news/v-yadre-windows-vista-obnaruzhena-sereznaya-uyazvimost)

  • Anonymous
    November 22, 2008
    Конечно конечно! В мс самое качественное проектирование и реализация. Щаз! В мс сВистулька и глюкосервер2008 написаны совершенно в нуля! ЩАЗ! С какого перепугу тогда ошибки (например, MS08-067) касаются системы, выпущеных почти десять лет назал? (Думаю, что дальше дальше, только в списке подверженный уязвимости систем они не упомянуты). Уверен, что в исходниках свистульки, с2008 и даже Вынь7 легко можно найти текты, датированные 1988 годом и даже написанные для OS/2 1.0. А отсюда и множественные уязвимости в ядре и базовых служб... И все проблемы у Линукса по той же причине сейчас проявляются: в попытке подражать форточкам разработчики так забываются, что лишь усложняют код. Но всё же Линукс не докатился то таких проблем, как вы описываете. "Есть лож, есть наглая лож, а есть статистика" и вы как раз являете собой последний вариант: вы не джёте, а умело подтасовываете статистические данные. Возьмите статистику по OpenBSD! Если мс так хорошо отлаживает код, как вы пишете, то сравните свой продукт с таким же из свободных - с качественными аудитом, оптимизацией, отладкой и тестированием кода. Надеюсь, что про эту систему вы, как, вроде бы, специалист по ИБ, слышали. Если нет - могу помочь с ознакомлением. Василий: Почему, как вы думаете, мелкософт так бережет свои исходники? Имхо, всё крайне просто: чего-то сногсшибательного там не и подавно, кроме костылизма, наплевательского отношения к оптимизации и глюков. А в свистульке - миллионы циклов с HALT: чтобы увеличить требования к железу и... при выпуске нового обновления или новой версии супермегаглючной системы можно было усказать: мы тут провели крутую оптимизацию кода и петерь система грузится аж на 1 секнду быстрее! Убрав при этом всего лишь десяток циклов с HALT.

  • Anonymous
    November 23, 2008
    Коллега Neandertalets. Мы вроде бы существа разумные,имхо. Ваш пост - просто какой-то крик души, ничего конкретного, самый простой способ уйти от правды, которую Вы вроде бы и понимаете, но никогда не признаете...к сожалению. И еще. Ну хватит уже может язык "кошмарить" (с) про форточки и т.д. взрослый же человек или нет?

  • Anonymous
    November 23, 2008
    Меньше уязвимостей еще не значит, что Windows более безопасна. Если посчитать количество компьютеров с разными версиями ОС количество вирусов и желающих поиграть с уязвимостями Windows (+ другие не менее дырявые продукты Microsoft)то получим картину далеко не радужную. Windows XP+IE+OE+MS Office+WMP+MSN уязвимостей мало не покажется. Да Microsoft сделала большую работу по повышению надежности и безопасности своей ОС но работа далека от завершения и не стоит бравировать ГОЛЫМИ цифрами.... вы прекрасно знаете свои слабые места - работайте, устраняйте :)))) От себя скажу я 10 лет имел дело с продуктами Microsoft начиная с Windows 3.11. Последние 3 года дома использую только Linux и не чувствую никакого дискомфорта. Нет разительной разницы, что что-то намного лучше, а что-то намного хуже.

  • Anonymous
    November 24, 2008
    Если Microsoft открыла бы для всех исходники Windows то secunia.com упала бы от количество присылаемых advisories.

  • Anonymous
    November 26, 2008
    The comment has been removed

  • Anonymous
    November 28, 2008
    Infinity: Думаю, что ответ будет примерно таким: "мс не причём! Это всякие исследователи ковыряются и находят уязвимости там, где их в принципе быть не должно - у нас замечательное управление разработкой! И вообще: дизассеблировать код запрещено нашей лицензией, а значит, результаты получены незаконно и не имеют ценности."

  • Anonymous
    November 28, 2008
    Homosapiens: Совершенно верно: я понимаю правду, но вот только "правда" и "мс" - вещи несовместимые. "Полуправда" - да, бывает, но чаще всего это хуже, чем откровенная... А про 'кошмарить': "дистрибутив", "имхо", "патчей" - это, по видимому, обогащает язык.

  • Anonymous
    November 28, 2008
    Vladimir Mamykin: И Apple и Oracle и IBM и очень многие другие - тоже (всё в точности описано здесь: http://2k.livejournal.com/520078.html и тут пример ещё про IBM: http://fomalhaut-star.livejournal.com/10596.html). Иначе к чему бы это скрывать результаты тестирования кода, когда результаты для закрытых программ были запрещены к публикации. Вот только сразу не скажу, кто проводил тектсирование, но, помнится, достаточно компетентные специалисты. Вобще сейчас большинство закрытого ПО (исключая специальных промышленных систем и АС критических применений) - скатывается в пучину низкого качества. Хотя куда уж ниже... Но до мс многим ещё далеко: по костылизму лидирует ваша контора. Безоговорочно. P.S. Так всё таки, сделайте сравнение vista и OpenBSD? Будет вполне сравнимо.

  • Anonymous
    November 28, 2008
    Добрый день. Интересный пост и цифры, и они меня натолкнули на кучу интересных размышлений, поэтому я написал свою заметку. Если интересно, посмотрите: http://www.flenov.info/blog.php?catid=348

  • Anonymous
    November 30, 2008
    Думаю, что всем читателям этого "личного" дневника будет интересно почитать статью про безопасность и небольшое интрервью с Самуэлем Джебамани, опубликованные на Хакере. Вот она: http://www.xakep.ru/post/45970/default.asp. Всё, что я так эмоционально тут высказывал, собрано там. Без эмоций, точно, кратко, конкретно. P.S. Сотрудникам мс тоже посоветовал бы, особенно, "владельцу" дневника, как специалисту. P.P.S. На всякий случай, чтобы не было экивоков: пишу "личного" и "владельца" в кавычках, т.к. не верю в "Мнения, высказанные здесь, являются отражением моего личного взгляда, а не позиции работодателя". Хотя после ТАКОГО ( http://fomalhaut-star.livejournal.com/24328.html ) могу и поверить... Может там NLP-мастера свои хорошо оплачиваются? Или даже DHE-мастера?

  • Anonymous
    December 03, 2008
    Neandertalets, в предлагаемой Вами статье в Хакере - разговор двух единомышленников (кот. близки Вам по взглядам) из разряда философских, т.е. не имеющих научного обоснования в виде цифр, которые здесь Вас по ряду причин не удовлетворяют, а там (в Хакере) вообще не приводятся. Так получается, как-то не совсем честный спор :)

  • Anonymous
    December 04, 2008
    Владимир, Вы на платформе услышали из зала какой сервер самый безопасный - правильно OpenBSD (по статистике secunia.com которую Вы тут приводите и на докладе приводили), кроме того Вы посчитали что и в клиентских OS - MS лучше всех, так нет же Apple MacOS 9.0 - НОЛЬ дырок, и вполне себе юзабельна (к аргументу - что можно сделать на openBSD и что на 2008).

  • Anonymous
    December 08, 2008
    Денис: Числа неудовлетворяют по причине своей "пустоты". Если для вас просто числа уже сами по себе несут смысловую нагрузку, то я так не умею: "Мне бы такое зрение: увидеть Никого!" (С) Алиса в Зазеркалье. И здесь были представлены пустые цифры, которые только по законам алгебры различаются: одно больше, другое меньше. Всё - других различий я лично не вижу, кроме заявлений автора, что "это" хорошо для мс, а "это" - плохо для свободного ПО. Это хорошо описал "WEB Безопасность": http://www.flenov.info/blog.php?catid=348.

  • Anonymous
    December 11, 2008
    Ага, круто. Лапша вкрутую. Пример: Ищем ubuntu. Верхние строки - Ubuntu update. То есть вообще говоря, обновление для уязвимого стороннего ПО, например ClamAV. И, если говорить о clamAV, то, что уязвимость опубликована 2 декабря, патч вышел 3-го, и уязвимость будет закрыта сразу и везде где он используется (оставим условности применения патчей в стороне) - это же не главное. Главное - тяфкнуть на ubuntu ;)

  • Anonymous
    February 07, 2009
     Холивар! Хали-вор! Бу-бу ни о чём чистой воды.  Добавлю своей субъективной соли, - хочется. По роду работы получила наша контора, а значит и я, доступ к ред-каверным (!) Майкрософт сорцам, связанным с секьюрити. Прошёл я тренинги, подписал бумажки, что если отдам сорцы кому-нибудь - то сразу в петлю. И сам мылом её (петлю) смажу. Это если образно. То есть грустный опыт общения с засекречнными MS сорцами по секьюрити у меня есть. И грусть моя по теме. Райт?  Сейчас я делаю аналогичное "сикрет" решение на основе оупен-сорс.  Ну, тестеры Мелкомягких, конечно, уроды. Я с их селфтестов угорал. Но вот основные девелоперские МС сорцы - это уважуха. Причём уважуха в квардарте! Стиль. Аккуратность. Там, блин, перестраховка тройная!!! На фоне Федоры (тем паче Убунты) мелкомягкие сорцы - это небо. (А "БСД вообще ни разу ни юникс", - холивар.)  Мне МС/оупен вечный холивар - до лампочки. Но есть хорошие прогеры и в МС, и в оупене. Только МС платит больше. И МС отвечает за свой код. Хоть как то... платно... но отвечает. Я как прогер всегда предпочту вести проект на Виндах, чем в Линуксе. (При всём том, что у меня на юниксе "наработка" лет 9, а на виндах меньше в два раза.)  Основная проблема Виндов в сторонних сорцах. Основная проблема оупенсорса в кривых молоденьких безнаказанных ручках. P.S. Имхо. Культура прогерства в оупенсорсах упала в последнее время так... что это ж .издец какой-то!

  • Anonymous
    February 21, 2009
    :)Новый взгляд на уязвимости Всё завиит от глубины и высоты уровня восприятия. Надо просто работать. Всё бывает - что тут по-делать, - мы пока люди. ... А МС пока работает лучше и сильнее других - тут мелкая реклама неимеет значения, это глобальный вопрос продуктов и пользователя :) пользователь выбирает лучшее в любом случае ...ЗАКОН МИРА ОДИНАКОВ ДЛЯ ВСЕХ ЕЩЁ РАЗ РАБОТАТЬ - ЛОДКА ПЛЫВУЩАЯ ПРОТИВ ТЕЧЕНИЯ ОСТАНОВИВШАЯСЯ НА МИГ СНОСИТСЯ НАЗАД

  • Anonymous
    September 23, 2009
    А вообще, самая главная уязвимость для компьютера - сидит перед монитором...

  • Anonymous
    October 16, 2009
    The comment has been removed

  • Anonymous
    March 05, 2010
    А мне нравятся уязвимости.Не ломается только мёртвая программа.Пока есть уязвимости ИНТЕРНЕТ жить будет.