Liberatum.ru
Мир электронной свободы
Специалисты по безопасности из Trustwave шокированы дырявость Линукса
Исследовательский отдел компании Trustwave подготовил отчет, в котором сравнивается количество критических узвимостей в Windows и Linux.
Согласно опубликованным данным, за 2012 год в Линуксе было обнаружено всего 9 дыр высокой степени опасности, тогда как в Windows таковых насчитали целых 34. Казалось бы, на этом можно было поставить точку, сделав вывод, что Windows является гораздо более уязвимой операционной системой. Но специалисты решили взглянуть на проблему под иным углом и посмотреть как быстро найденные критические уязвимости закрывались.
Каково же было удивление исследователей, когда удалось установить, что некоторые критически ошибки устранялись в Линуксе в два раза дольше, чем в Виндовсе (857 и 375 дней соответственно).
Следует отметить, сообщество Linux-энтузиастов весьма болезненно отреагировало на результаты исследования. В адрес Trustwave высказывались проклятия подозрения в подкупе и некомпетентности. И большая часть подозрений, как оказалось, имела под собой основания.
Независимым специалистам удалось выяснить, что некоторые ошибки исправлялись долго из-за того, что при всей своей серьезности, они проявлялись лишь на небольшом числе конфигураций и дистрибутивов. Например, уязвимость с индексом CVE-2009-4020 действительно была обнаружена в 2009 году, а исправлена лишь в 2012. Но если разобраться, то ошибка затрагивала не самую распространенную в Линуксе файловую систему HFS, причем ошибка была сразу исправлена, но в новой версии HFS+ была случайно оставлена и долгое время никем не замечалась вовсе. Относительно других дыр были сделаны похожие выводы.
Таким образом, исследование в очередной раз раскололо сообщество любителей компьютерных технологий. Вновь возник вопрос по каким критериям оценивать безопасность, как выдуманные критерии согласуются с данными практического использования и какие ОС все же самые безопасные.
Опять не грузится из-за открытой уязвимости CVE-2009-4020
Собственно, что я и говорил.
А насчёт специфичности уязвимостей -- это не оправдание. Что делать пользователю, если ему действительно лучше всего для ФС подходила именно уязвимая HFS+?
Пользователь не должен бояться, что какими-то своими действиями откроет уязвимость в системе.
Писать багрепорты, только так ищутся и решаются проблемы.
Живой пример: Linux ROSA, отправил отчет о ошибку на багтрекер и через пару дней проблему решили. (Впрочем тоже самое было и на Ubuntu и других дистрибутивах.)
Предлагаете каждому пользователю стать специалистами по безопасности и выявлению уязвимостей???
HFS+ можно и на винду засунуть, и тут уже самому и разработчиком быть придется, т.к. мелгомягкие официально пошлют, а РХ и Новел, конечно должны бегать за каждой поделкой неугомонных студентов, и их тестировать и исправлять в них ошибки, ведь сказать - это ваши проблемы мы вам работу HFS+ не обещали может сказать только МС ;) Если ставите себе подобные поделия, то будьте готовы, к тому что ошибки и искать придется вам.
Так багрепорты есть. Но пользователь не может использовать эту файловую систему, так как не хочет открывать уязвимость.
В данном случае, решением должно быть не "советовать другим не использовать HFS+", а "обращать на все уязвимости одинаковое внимание".
Собственно, вы говорили что мелкогкомягкие борются с уязвимости, хотя по сути их виста (пусть в варианте семь или восемь) все еще имеет больше уязвимостей, чем у ос в ошибки которой записывают ошибки студентов пишущих для нее чего-то просто так, впрочем мелгомягкие никогда и не заботились о безопасности, пока не получали по заднице, как было с ИЕ6.
Проблема в том, что эта статья как раз говорит обратное -- в винде уязвимостей меньше.
Во-вторых, ядро линукса уже давно не пишется одними студентами; около 85% дополнений в ядро сделаны рабочими крупных корпораций.
Дело тут скорее в том, что у MS, как и у других, есть собственная методика по написанию безопасного софта -- SDL (Security Development Lifecycle), а вот у разработчиков ядра и свободного ПО ничего подобного нет.
9 против 38, где вы тут меньше увидели?
HFS+ под линукс портировали как раз студенты, и это софт за который никакие компании не отвечают и не поддерживают, в ext4 рекомендуемой группой курирующей разработку ядра (да и большинством известных дистрибутивов), уязвимости появляются редко (даже реже чем в NFS) и исправляются оперативно, но тащит поделки от студентов вам конечно никто не запрещает (это и есть идеология ГНУ), только тут уж ССЗБ, и притенении предъявляете к тем студентам, а лучше к самому себе, а запрещать этим студентам чего писать и выкладывать, как раз будет не правильно и просто противоречит GPL.
Немножко ошибся. Но тут всё же стоит заметить, что средняя дырявость системы в произвольный момент времени будет основываться на обоих факторах -- как их количестве, так и времени, затрачиваемом на их закрытие. И по произведению этих факторов линукс оказывается уже не намного безопаснее винды.
Я же волнуюсь не за "прямо сейчас", а за тот момент, когда (и если) ОС на основе Linux станут захватывать рынок. Ведь именно тогда в поиске уязвимостей в компонентах этих ОС заинтересуются взломщики. И тогда это "не намного безопаснее" вполне может превратиться в "опаснее".
Ставьте в шесть кликов OpenSuse, и у вас будет безопасная ОС от одного из основных разработчиков ядра Линукс (которая уделает восмерку только в путь, так как все критические уязвимости были закрыты в день, да и было их всего 3 из тех 9, в варианте клик-клик), или плюете на предупреждения и выбирайте свое, только потом не говорите что Новел пишет ядро кое как, и вообще дырка на дырке. Хотите свое сами отвечайте, Новел вам обещает, что обещает, но ни в чем вас не ограничивает, пробуйте общайтесь, они этим займутся, если есть потребность, которую вы обозначили, а не как МС, что они это не поддерживают и не будут.
Извратился, через режим альтернативной установки выбрать в SLE HFS+, послал и сказал, что при таком варианте это OpenSuse, (не знаю насчет Красных, но думаю будет примерно такое же) и даже там не рекомендуют (в OpSuse в смысле), какие еще претензии к разработчикам ядра? Запрещать они права не имеют.
Что-то мне вспоминается стишок:
Если спирт вдруг затвердеет,
Я его не брошу.
Буду грызть его зубами.
потому,что он хороший.
Сколько ни считай уязвимости в линуксе, *бли в винде всё равно больше...
А я вот отлично помню пример с найденной уязвимостью в венде 7-й, тогда свежепоявившейся, багрепорт о которой был отослан в сентябре и до января m$ молчали и не реагировали. Причём там вываливалось всё в ребут при косяке в заголовке сетевого пакета (не тестирую вообще, что ли?).
Этот же хакер сравнил со временем реакции в linux. Баг обнаружен в пон. опубликована о нём инфа в чт., исправлен он ещё в ср.
И так всегда. Смотрю обновления критические пришли --- надо читать новости, никак дырки. А не как в венде. Куча антивирусов, всё равно дыры и никакой информации.
Бредятина.....сивых кобылиц Некрософта!!! Дистров несколько сотен, и несколько десятков модификаций ядра в каждом дистрибутиве!!! Дырявость, чего? Ядра? Уровня приложений (еще больше версий, с заплатками каждый день)? Статья так, оплаченный Выброс Микрософтовых!!!!
А что там Drweb вбросил про трояна под Linux?
Прокомментируйте кто-нибудь, пожалуйста....
ссылку не могу вставить...
на главной Drweb есть информация
Попытка рекламного позиционирования своего продукта Dr.Web for Linux Workstations, поскольку чтобы его продажи были актуальны нужно
придумать, выявить угрозу.Легко заметить, что на всех сайтах примерно один и тот же текст. Видимо, горе-специалисты из полузабытого Dr.Web решили оплатить пресс-релиз, чтобы привлечь к себе внимание.
Отправить комментарий