Опять об уязвимостях в июне 2009

  • [アーティクル]

??????? ? ?????? ?????????? ?? ???????? ????????? ? ????? secunia.com 30 ???? 2009.  

?????????? ?? 2009-06-30.pdf

Comments

  • Anonymous
    January 01, 2003
    Евгению - это не трактовка, а независимые данные от самой уважаемой в мире компании по анализу уязвимостей. Они эту аналитику "возглавили" много лет назад. А "победы" - это разультат труда, а не трактовок.

  • Anonymous
    June 30, 2009
    Здраствуйте, Владимир. Интересная информация, а можно еще предоставить "срез" по количеству критических уязвимостей по каждому продукту? Например, если ОС1 имеет 1000 уязвимостей, но 999 из них не представляют риска (к примеру, вызывают зависание медиаплейера и т.п.), а ОС2 имеет 10 уязвимостей, но все из них критические - то я бы сказал. что ОС1 более надежная :) С уважением, Рустам

  • Anonymous
    July 01, 2009
    Интересная трактовка. Если не можешь победить - возглавь.

  • Anonymous
    July 20, 2009
    Опять сферический конь в вакууме.

  • Anonymous
    July 30, 2009
    Во и свежие новости про внеочередные обновления. Уже вторые в этом месяце.

  • Anonymous
    July 30, 2009
    Вот статистика с той же Секунии. Несколько другое восприятие действительности: http://fomalhaut-star.livejournal.com/37982.html

  • Anonymous
    August 01, 2009
    http://blog.mozilla.com/security/2009/03/06/beware-the-security-metric/

  • Anonymous
    August 03, 2009
    aaa: Интересно. :)    Но всё ровно в том курсе, что указал и я: нам постоянно демонтрируют сферического коня в вакууме, а не реальный анализ уязвимостей.

  • Anonymous
    September 13, 2009
    По тому же файлу, что Мамыкин дал, БЗДя выглядит лучше Висты. Ну, и .ули тогда гнать волну? Выходит, дело в холи-вар? Даже мне читать скучно, не то, что Мамыкину, - которому каждую неделю по должности положено подобную тему выслушивать-отвечать. Он же тут не товар продаёт - уж больно маленькая аудитория, - а просто делится своими субъективными мыслями. А тут сразу выплёскивают даже не "не верю!", а сразу "врёшь"! Ну, какой ему смысл врать? Чтобы отдельно взятый "неондерталец" купил на "горбушке" Винду? Зарплата прибавится? Акции вырастут? Дайте мужику потрындеть без негатива, а то он с полгода уже в "окопе", - и мне скучно. П.С. Кстати, насколько помню, Мамыкин, к его чести, обхаяв Линукс, где-то оговорился, что о секретности БСДи плохого слова не скажет.

  • Anonymous
    September 20, 2009
    Игра с цифрами штука подлая, цитирую: >Сразу бросается в глаза 14% незакрытых уязвимостей у FreeBSD 7.1 – самый большой процент среди представленных: у Windows XP – 12%, у Windows Vista – 7%. Но в действительности здесь надо взглянуть уже в абсолютном выражении на эти цифры, а это уже совсем иное и реальное состояние дел: 14% это всего лишь ОДНА незакрытая уязвимость в FreeBSD 7.1 против 30 (!) в Windows XP и 4 в Microsoft Windows Vista. Не правда ли несколько другое впечатление создаётся? Уже смешно.

  • Anonymous
    September 24, 2009
    Ilya Vaiser: Посмейтесь - смех продляет жизнь. Только смех искренний, а не вымученный и не истерический. И что в процитированном показывает "игру с цифрами"? Если нечем доказать - лучше промолчать. А в данном пояснении вам приведены и ссылки, где вы можете сами увидеть описанное, т.е. процитированное имеет доказательную основу, а ваши смешки - истерические, наверное.

  • Anonymous
    September 26, 2009
    The comment has been removed

  • Anonymous
    September 26, 2009
    The comment has been removed

  • Anonymous
    October 17, 2009
    Ну для сравнения в вистой можно взять OpenBSD 4.0: вполне себе аскетическая ОС, и срок официального выхода 1 ноября 2006 (если не ошибаюсь) - всего на 2 месяца раньше висты: http://secunia.com/advisories/product/12486/. А вот насчёт "кроме блокнота и косынки..." хотел бы уточнить, что в винде есть много чего: медиаплеер, всякие мелочи в "Стандартные". Не стоит забывать про DRM и TPM. Да и много чего можно спрятать в те несколько гигадайт, что виста "откусывает" на жёстком диске. Вот Опёнок - вполне себе аскетичная система. Вот только г.Мамыкин упорно делает вид, что такой ОС не существует. Хотя он представляется как специалист по ИБ, а Опёнок позиционируется разработчиками как обеспечивающую проактивную защиту: http://openbsd.org/security.html. :)

  • Anonymous
    November 13, 2009
    Уважаемый г-н Мамыкин, как вы, как специалист по ИБ прокоментируете обнаруженную в сентябре в SMB уязвимость, которую ваша контора отказалась "латать" в ХР по причине "древности кода", хотя поддержка этой ОС ещё не прекращена (в том числе и платная)? И это при достаточной серьёзности уязвимости и наличии возможности её эксплуатации (exploit). О какой безопасности может идти речь в такой ситуации?

  • Anonymous
    November 30, 2009
    Эх, давненько я что-то сюда не заглядывал, а тут уже успели нафлудить и наврать. << как вы, как специалист по ИБ прокоментируете обнаруженную в сентябре в SMB уязвимость, которую ваша контора отказалась "латать" в ХР по причине "древности кода", хотя поддержка этой ОС ещё не прекращена (в том числе и платная)? И это при достаточной серьёзности уязвимости и наличии возможности её эксплуатации (exploit).>> Хоть я и не В. Мамыкин, и даже не специалист по информационной безопасности, отвечу вам. Во-первых, вы с порога приврали, и уязвимость в SMB, обнаруженная в ХР в сентябре как раз таки давно закрыта, а та, что не закрыта (она не в SMB) не является "серьёзной": http://www.microsoft.com/technet/security/Bulletin/ms09-048.mspx http://secunia.com/advisories/36597/3/ Более того, подобных уязвимостей не существует вовсе, если пользователь не имеет админстких прав (базовое правило безопасности, изложенное ещё в "справке и поддержке ХР". Вообще говоря: http://www.cio.com/article/479228/Removing_Admin_Rights_Stymies_92_of_Microsoft_s_Security_Vulnerabilities 92% уязвимостей (даже если предположить, что пользователь нарушает базовое правило безопасности, и месяцами - годами не ставит патчи) или снижают свой уровень опасности или полностью нивелируются в ситуации, когда пользователь работает без прав на уровне участника группы Administrators. За прошлый год во всех продуктах MS вместе взятых было обнаружено 154 уязвимости (это меньше, чем в любом CD - дистрибутиве Линукса с минимальным дефолтным софтом) , при том, большую часть из них можно зачеркнуть,  если пользователь не имеет админстких прав. В противоположность этому, в Линуксе уязвимостями считается только то, что эксплуатируемо без рутовых прав (либо, путем эксплуатации дыры в ядре позволяет повысить права до рута). Таким образом, если провести неэквивалентное сравнение (дав огромную фору линуксу, сравнивая целое с частью) окажется, что на 10-15 уязвимостей во всех продуктах MS (а это - десятки гигабайт и сотни миллионов строк кода) приходится пара сотен уязвимостей минималистичного СD-дистрибутива (от силы - 20 млн. строк кода). Вот в этом вся разница. Что касается OpenBSD -  её действительно смешно брать в расчет. Во-первых, её и ОС назвать - большое преувеличение, поскольку дефолтный дистрибутив - что-то вроде сетевой прослойки (вот в ней  видимо и считают уязвимости). API в комплекте практически нет, попытка установить минимальнейший софт (из того крохотного минимума, который существует для этой ОС) приводит к докачке десятков библиотек, патчей для библиотек, патчей для патчей для библиотек, ну и всем прочим проблемам неподдерживаемого и любительского ПО. А во вторых, число её действующих инсталляций измеряется тысячами. Ситуация с её безопасностью - это очередной неуловимый Джо. С таким же успехом можно бы посчитать уязвимости CP/M - ведь наверняка ей ещё кто-то пользуется. :) Даже не сравнимо более авторитетный юникс - Sun Solaris 10, насчитывает 870 уязвимостей, при том, из не закрытых на данный момент самая серьёзная имеет опасность выше средней: http://secunia.com/advisories/product/4813/?task=statistics Представляете на этом фоне, что было бы, если в серьёз капнуть такую поделку, как OpenBSD - страшно подумать. :) Кстати, в Linux Kernel 2.6.x сейчас 5% из 375 уязвимостей - не закрыты. http://secunia.com/advisories/product/2719/ Так что, 0 "непатченных" уязвимостей скажем Убунты или Мандривы - это только показатель безответственности опенсорсных репортеров, которые подобное сообщили (чтоб не провоцировать у секты сомнения).

  • Anonymous
    November 30, 2009
    Ещё линуксфаны любят приврать, что дескать в Линуксе так много уязвимостей потому, что в нем ПО больше (и под этим ПО они подразумевают фактически весь репозиторий). Проблема в том, что никто из них не способен провести эквивалентное сопоставление, а те, кто способен - будут молчать, чтоб не деморализовать начинающих сектантов, попавшихся на "линускруто". Во первых, уязвимости считаются (и приводятся в большинстве статистических отчетов) только в том ПО, которое идёт в дефолтном дистрибутиве (а не репозитории), а во-вторых, из того прикладного ПО, что доступно на CD-диске Убунты, пригоден к применению разве что браузер. Давайте опять дадим огромную фору Линуксу, и будем сравнивать целое (Windows в целом)  с частью (одним ядром Линукса). Уже писал на этот счет подробный разбор, сейчас только обновлю: Идём на один из авторитетнейших ресурсов - National Vulnerability Database (http://web.nvd.nist.gov/view/vuln/search?execution=e2s3). Берём данные к примеру за прошлый год. январь 2008 – декабрь 2008. Advanced Search Keyword : Linux kernel 2.6 Всего 78 уязвимостей. Из них : High and medium (4-10) – 70. High (7-10) - 31 уязвимость. Access Vector: Network - 20  (все High) Берём данные за текущий год. январь 2009 – ноябрь 2009. Критерии те же. Всего 96 уязвимостей. Из них : High and medium (4-10) – 90. High (7-10) - 33. Access Vector: Network - 18 (из них 16 - High) Ещё Линуксята могут приврать по принципу: "версий" ядра 2.6 много, так что, если уязвимости поделить - на каждый микробильд ядра придется всего ничего. И это конечно не соответствует действительности. Заходим на http://www.securityfocus.com/vulnerabilities и в строке Search by CVE вводим для любой вышеназванной уязвимости, обозначение вида CVE-xxxx-yyyy (где xxxx - год, yyyy - идентификационный номер). Убеждаемся, что каждая уязвимость имеет потрясающе широкий "охват" - все ядра 2.6 х. Встречаются и такие, которые при этом охватывают 2.4х. Добавим к уязвимостям ядра,  уязвимости самого популярного под линухом браузера. январь 2009 – ноябрь 2009 Keyword: Mozilla Firefox 3 Всего - 107 уязвимостей Из них : High and medium (4-10) - 104 High (7-10)  - 57. Access Vector: Network - 105 Часть уязвимостей FF являются платформозависимыми, т.е. свойственны только виндовым или только линукс версиям FF, но это погоды не делает. Так что уже число уязвимостей ядра + браузер приближается к 200 (за год), и этими составляющими понятное дело не ограничивается в реальной линукс-инсталляции. Посмотрим теперь, как же обстоят дела на стороне "Империи зала". Advanced Search январь 2008 – декабрь 2008. Keyword: Windows Vista Всего - 48 уязвимостей. (по меньшей мере 3 из них - "левые": для FF, Safari и QuickTime. Ну да ладно - не будем мелочиться.) Из них : High and medium (4-10) - 47. High (7-10)  - 36 уязвимостей. Access Vector: Network - 35 (из них часть - уязвимости IE, которые Network Access по определению). Берём данные за текущий год. январь 2009 – ноябрь 2009. Keyword: Windows Vista Всего - 69 уязвимостей. Из них : High and medium (4-10) - 69. High (7-10)  - 53. Access Vector: Network  53. Как видим, по количеству уязвимостей среднего и высокого уровня опасности (суммарно) только ядро (!) Линукса существенно уделывает огромную систему в целом, а большее количество Network Access объясняется просто:  по большей части наличием в  Висте браузера и SMB. Ядро Линукса - это ~ 8 млн. строк (только код, без комментариев), а Виста - это 50 млн. строк. Как насчет идеи - оценить качество кода, пересчитав, сколько уязвимостей приходится на каждый млн. строк? ;) Можем взять и что-нибудь более раннее, но распространённое в энтерпрайз-секторе чрезвычайно широко. Keyword: Windows Server 2003 январь 2009 – ноябрь 2009. Всего - 86 уязвимостей. Из них : High and medium (4-10) - 85. High (7-10)  - 65. Access Vector: Network - 67. И снова мы видим, что одно голое ядрышко  вполне тягается по уязвимостям с огромной системой, включающей в себя более 40 млн. строк кода. Думаю, что не найдутся те, кто будет ололокать, что в серверной ОС Network Access уязвимостей больше, чем в одном ядре? :) Опять же не забываем, что с чем мы сравниваем. Windows 2003 - это 12 серверных ролей "из коробки", каждая роль - грандиозная Энтерпрайз-технология, и только беглый обзор (не исчерпывающее руководство - нет) всего функционала занимает книгу объёмом более 400 страниц (см. например "Знакомство с Windows Server 2003" от Jerry Honeycutt).   Для хоть сколько-нибудь эквивалентного  сравнения, к уязвимостям ядра Линукса надо бы добавить помимо уязвимостей браузера, уязвимости ряда серверов - apache, bind, postfix или sendmail, samba и прочего. И тут число уязвимостей подскочит ещё как минимум на сотню (учитывая, что только в Апаче за нынешний год - около 50 уязвимостей), и все будут Network Access. Таким образом, соревноваться даже не имеет смысла - Лнинукс проигрывает уже на старте. О том, как ситуация выглядит в сумме, можно посмотреть например здесь: http://www.securityspace.com/smysecure/index.html Спрашивается: почему же доля критических уязвимостей в ярде Линукса так сильно различается по данным Secunia и NVD ? Дело в том, что Secunia просто аккумулирует инфу об уязвимостях в том виде, в каком она рапортуется, ничего не переоценивая для сопоставимости. А опенсорсники рапортуют об уровне опасности уязвимостей исходя не из тех критериев, которыми руководствуется большинство коммерческих вендоров, а своими собственными, со всеми вытекающими. Если факт наличия средней или критической уязвимости скрыть сложно, то понизить уровень критичности - это запросто (чтоб не травмировать секту). А NVD - переоценивает в соответствии с общепринятыми в профессиональном мире стандартами.

  • Anonymous
    December 31, 2009
    >Более того, подобных уязвимостей не существует >вовсе, если пользователь не имеет админстких прав >(базовое правило безопасности, изложенное ещё в >"справке и поддержке ХР".   Не будем касаться "базовых правил": к тем же домашним пользователям это не относится с 99,999% случаев. А на производстве зачастую лок.админ требуется по причине кривости по, устанавливаемого на рабочую станцию. >Что касается OpenBSD -  её действительно смешно брать в расчет. А вы не смейтесь, а возьмите. Отговариваться "отсутствием АПИ" и пр. - не красит: свою задачу она выполняет и выполняет хорошо. У знакомых админов, работающих у провайдеров (не больших, в данном случае, но не суть важно), трудится на технике Soekris Engineering и я не слышал про серьёзные отказы, сбои или взломы. >патчей для патчей для библиотек Не пишите того, в чём не разбираетесь, хорошо? Договорились. >А опенсорсники рапортуют об уровне опасности >уязвимостей исходя не из тех критериев, которыми >руководствуется большинство коммерческих вендоров, >а своими собственными, со всеми вытекающими.   Да да. Я тоже не раз читал, как мелкософт пыталась указать очередную уязвимость, как не критичную, когда многие специалисты конкретно пишут, что она очень серьёзная и даже указывают, по какой причине.

  • Anonymous
    March 16, 2010
    Камиказе,камказе вечность ради энного дня!

  • Anonymous
    September 02, 2010
    The comment has been removed