The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Неадекватное сравнение безопасности операционных систем

01.01.2008 22:23

В статье "Исследование на тему: какая ОС безопаснее?" предпринята очередная попытка сравнения уровня безопасности операционных систем. Как и в других подобных статьях, допускаются следующие ошибки:

  1. Сравнивается общий объем уязвимостей найденных в сравнительно небольшом числе программ входящих в состав Windows c огромной базой программ поставляемых в современных Linux дистрибутивах;
  2. При оценке скорости выпуска исправлений производится подмена понятий, и вместо оценки общего времени существования уязвимости, измеряется время от официального объявления о наличии проблемы, до выпуска исправлений. В мире закрытого ПО, как правило, наличие уязвимости признают перед самым выпуском обновления, поэтому в время реакции у них, следуя логике данного исследования, получается меньше. Для Red Hat же такой метод позволил растянуть среднее время устранения уязвимости до 106 дней, Solaris - до 167.

Сравнивалась безопасность продуктов выпущенных в 2006 году: Apple Mac OS X,·Microsoft: Windows 2000 (Professional и Server), Windows XP, Windows Server 2003, Red Hat Enterprise Linux 2.1, Red Hat Enterprise Linux 3 и Red Hat Enterprise Linux 4, SUSE Linux Enterprise Server 8, SUSE Linux Enterprise Server 9, SUSE Linux Enterprise Server 10, Novell Linux Desktop 9, и SUSE Linux Enterprise Desktop 10, Все версии Solaris, исправленные в 2006.

PS. В оригинале статьи не упомянуто, что она целиком базируется на данных из блога Jeff Jones, и является почти копией материала "Days-of-risk in 2006 : Linux, Mac OS X, Solaris and Windows". Кстати говоря Jeff Jones руководит разработкой стратегии безопасности в Microsoft, этим и объясняется предвзятость его суждений.

  1. Главная ссылка к новости (http://www.securitylab.ru/anal...)
  2. OpenNews: Обзор уязвимостей в 12 Операционных Системах за 2006 год
  3. OpenNews: Анализ числа уязвимостей обнаруженных в Linux, BSD и Windows
  4. Internet Explorer and Firefox Vulnerability Analysis Report
  5. linuxworld.com: Microsoft: We patch faster than Apple, Novell, Red Hat
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/13503-security
Ключевые слова: security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (38) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, стоп (?), 23:09, 01/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    простите, а у нас вообще существует хоть одна адекватная, не предвзятая статья о безопасности вообще?
     
     
  • 2.2, Mikk (?), 00:07, 02/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно. Та, котора основана она на законах Паркинсона :-Р
     
  • 2.4, ЩекнИтрч (?), 02:08, 02/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > простите, а у нас вообще существует хоть одна адекватная,
    > не предвзятая статья о безопасности вообще?

    Есть! Публикации zero days exploit'ов! :)

     

  • 1.3, R007 (?), 00:17, 02/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У микрософт как всегда все круто на бумаге но жопа на практике.Они МЕСЯЦ **ут вола, извините.Почти гарантированно.Даже если уже сплойт есть и полный ахтунг - они только в самых критичных случаях могут скостить срок выпуска апдейтов.Трудно найти вендора который бы столь же тормозил в плане секурити.А секуритилаб...достаточно посмотреть чьи там баннеры висят и какая подпись внизу.Логично что за денежки MS ругать оный как-то не полагается.
     
     
  • 2.7, ЩекнИтрч (?), 09:09, 02/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    И тем не менее. Винда - на порядок безопаснее.
     
     
  • 3.8, Anonymous (?), 09:32, 02/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    ага, конечно - особенно если вспомнить бесчисленные зомбированные машины
     
     
  • 4.12, ЩекнИтрч (?), 11:41, 02/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А плювать на них. Серваки стоят.
     
     
  • 5.19, Аноним (19), 22:41, 02/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    ага, в dmz :)
     
  • 5.32, anonymous (??), 05:31, 04/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А плювать на них. Серваки стоят.

    Стоят.  В стойке.  Просто ещё не написан вирус, от которого бы виндовый сервер выпадал из стойки.

     
  • 5.40, X (?), 00:07, 30/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А плювать на них. Серваки стоят.

    Если серваки просто стоят - адми не получит за это по башке?

     
  • 3.21, R007 (?), 05:41, 03/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >И тем не менее. Винда - на порядок безопаснее.

    Да ну.А горы спама в моем инбоксе - это по вашему с линуксных машин чтоли?Не смешите мои тапочки.По дефолту в винде юзер - админ, часть сервисов за каким-то хреном под SYSTEM, встроенный файрвол крайне ублюдочный а браузер так и норовят отыметь на каждом порносайте.Если считать так как удобно микрософту - да, windows секурнее.Если сравнить лыысый виндусь без всего против линукса с кучей апликух - тут конечно легко и просто.Вот только весь вопрос в том какая лиса и в чьем курятнике цыплят считает.

    Можно посчитать и не так как удобно MS.Например, как давно можно было гольный линукс без куч дырявых демонов ремотно шарахнуть эксплойтом и выполнить там свой код?Ну хоть как юзер?А то же самое для винды - мне как, соответствующую и недавнюю дырень зацитировать или сами найдете?Такой вот секурити.Get The Facts.Можно нечаянно накопать всеми забытый сервак с весьма достойным аптаймом все еще не хакабельный ремотно.Конечно же не под виндами - там или ребут раз в месяц или система решето, на выбор.

    Если сравнить виндусь на десктопе - тут и тут слив однозначный.Винды нереально использовать просто так.Надо заменить родной браузер на что-то еще, поставить приличный антивирус, файрвол и антиспайварь, накатывать на систему апдейты.Вот тогда, может быть, со всеми этими заплатами вас и не того.И то без гарантий.И кстати данные тулзы имеют противное свойство быть не бесплатными а также здорово жрать ресурсы системы.В итоге я года полтора как отказался от винды в пользу линукс.Вопрос на засыпку: почему у меня теперь нет всего этого геморроя но при этом нет у троянов, спайвари и вирей?И что еще интереснее - почему это все еще и бесплатно? :)))

     

  • 1.5, GR (??), 02:22, 02/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хмм,  ну публиковать на Опеннете  ссылки на всякую желтую прессу мовитон!!! Давайте теперь тут на ленту.ру постить начнем и тп. Что за манеры вообще!


     
  • 1.6, MarCo (?), 08:59, 02/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Практика критерий истины.
     
  • 1.9, Аноним (9), 09:57, 02/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Практика:
    бухгалтерию на 10 виндовых компов обслуживает 1 человек, 70% времени - антивирусы, проверки, переустановки.
    Сеть на 22 компа (назовем их серверами) (18 FreeBSD, 4- Linux) обслуживает 1 человек, 90% времени - совершенствование и обслуживание билинговой системы...
     
     
  • 2.13, Moralez (??), 12:30, 02/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Практика:
    >бухгалтерию на 10 виндовых компов обслуживает 1 человек, 70% времени - антивирусы,
    >проверки, переустановки.
    >Сеть на 22 компа (назовем их серверами) (18 FreeBSD, 4- Linux) обслуживает
    >1 человек, 90% времени - совершенствование и обслуживание билинговой системы...

    Сеть на 110 XP и 8 w2003server обслуживает один человек (+1линукс со сквидом и +1 цыско).
    Никаких "70% времени - антивирусы,проверки, переустановки". Что я делаю не так?! :)

    В планах компании на будущий год: 350 XP, +1линукс со сквидом и +1 цыско и ещё ОДИН человек (итого ДВА). И никуда не денемся, всё будет работать как часы... ;)

     
     
  • 3.14, GR (??), 12:51, 02/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Сеть на 110 XP и 8 w2003server обслуживает один человек (+1линукс со
    >сквидом и +1 цыско).
    >Никаких "70% времени - антивирусы,проверки, переустановки". Что я делаю не так?! :)
    >
    >В планах компании на будущий год: 350 XP, +1линукс со сквидом и
    >+1 цыско и ещё ОДИН человек (итого ДВА). И никуда не
    >денемся, всё будет работать как часы... ;)

    А я вот помню как одно критичное обновление  привело к БСОДу  на серваках, так как было не совместимо с сервисом от APC UPS (вернее наоборот).Каково  прервать отпуск и за сутки вылететь из египта  назад?

     
     
  • 4.16, Moralez (??), 14:06, 02/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А второй админ что? И почему обновления сами собой поставились? И почему MS виновато что APC кривой софт написали? И что, в каком-либо линукс есть АБСОЛЮТНАЯ гарантия безпроблемных обновлений?

    >А я вот помню как одно критичное обновление  привело к БСОДу
    > на серваках, так как было не совместимо с сервисом от
    >APC UPS (вернее наоборот).Каково  прервать отпуск и за сутки вылететь
    >из египта  назад?

     
     
  • 5.26, Fantomas (??), 14:17, 03/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А второй админ что? И почему обновления сами собой поставились? И почему
    >MS виновато что APC кривой софт написали? И что, в каком-либо
    >линукс есть АБСОЛЮТНАЯ гарантия безпроблемных обновлений?

    Всегда обновлял линуксы безпроблемно. (Шапка/Сентос, Дебиан), Да и с чертом проблем небыло.

     
  • 5.33, GR (??), 13:01, 04/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А второй админ что? И почему обновления сами собой поставились? И почему
    >MS виновато что APC кривой софт написали? И что, в каком-либо
    >линукс есть АБСОЛЮТНАЯ гарантия безпроблемных обновлений?

    Абсалютной нет, но вот что в  винде это регулярно случается, а в серверных пингвинах я даже не слышал о таких вещах, хотя видимо что то когда то проскальзывало. Опять же, что значит обновлять пингвина? Обновляют обычно что то одно и под конкретную ошибку, это вот камень в секлабную статью, в отличии от виндовс с их манерой по несколько лет молчать о кретичных уязвимостях, в никс мире о таких вещах  все узнают как только инфа попала к разработчикам.Так как число продуктов схожих по функционалу обычно несколько, то пользователи  привыкли довольно шустро с одного на другой перескакивать. Так вот я магу себе совершенно спокойно забить на все обновления пингвинов  на месяцев. Забив на полмесяца в винде на обновления я с большой долей вероятности получу по приезду озверелых пользователей с постоянно перезагружающимися компами, или что то типа того.

     
  • 4.25, Fantomas (??), 14:14, 03/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А я вот помню как одно критичное обновление  привело к БСОДу
    > на серваках, так как было не совместимо с сервисом от
    >APC UPS (вернее наоборот).Каково  прервать отпуск и за сутки вылететь
    >из египта  назад?

    Значит нужно вырубать всус перед уходом в отпуск. Запомню. :-)))

     
  • 3.24, dmitri (??), 11:42, 03/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >>1 человек, 90% времени - совершенствование и обслуживание билинговой системы...
    >
    >Сеть на 110 XP и 8 w2003server обслуживает один человек (+1линукс со
    >сквидом и +1 цыско).
    >Никаких "70% времени - антивирусы,проверки, переустановки". Что я делаю не так?! :)
    >
    >
    >В планах компании на будущий год: 350 XP, +1линукс со сквидом и
    >+1 цыско и ещё ОДИН человек (итого ДВА). И никуда не
    >денемся, всё будет работать как часы... ;)

    Так епт. у тебя же винда не в сети - ее прикрывает линух, наверное на сквиде стоит еще и антивирус который сканирует веб трафик.
    А вот что хотел спросить - почтовый сервак у вас под чем крутится (уж не на линухе ли?)

     
     
  • 4.27, Moralez (??), 14:51, 03/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Так епт. у тебя же винда не в сети - ее прикрывает
    >линух, наверное на сквиде стоит еще и антивирус который сканирует веб
    >трафик. А вот что хотел спросить - почтовый сервак у вас под чем
    >крутится (уж не на линухе ли?)

    Клиенты закрываются не потому, что там винда, а потому что это клиенты. Линуксовые клиенты точно так же были бы закрыты. И неважно чем, цыской или линуксом. Разговор вообще не о том. Некий товарищ сказал, что на 10 компов с виндой надо одного админа. Что есть бред, конечно же... :) Кстати, сквид можно легко заменить какой-нибудь виндовой проксей и тогда юниксов будет ноль. А можно не заменять. ИМХО один фиг...

     
     
  • 5.34, x0r (??), 22:17, 04/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Кстати, сквид можно легко заменить какой-нибудь виндовой
    >проксей и тогда юниксов будет ноль. А можно не заменять. ИМХО
    >один фиг...

    слова, слова... имею МС ИСА 2000 неделя-две и требуется перезагрузить... по казахстанским проф. нормам требуется 1 человек на 100 устройств/машин...

     
  • 3.39, Аноним (-), 10:28, 22/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Сеть на 110 XP и 8 w2003server обслуживает один человек (+1линукс со
    >сквидом и +1 цыско).
    >Никаких "70% времени - антивирусы,проверки, переустановки". Что я делаю не так?! :)

    На глюки MSI Installer еще не нарывались.А оно это умеет.На хорошие вирусные атаки качественной вирусней.На помирание AD (а оно умеет если не повезет).И кстати если не уделять антивирусным проблемам достаточно внимания - юзеры ловят вирье на порносайтах влет.И далеко не все из них ловится антивирями так сходу.А часы бывают разные.Некоторые и на час в сутки трындят, как бы ваши машины такими не оказались.В нормальных конторах такой парк железа минимум 3 админа админит.Если конторам на даунтайм не пофигу и они не считают админа персональным рабом который должен жить в серверной на работе.

     
  • 2.15, Темп (?), 13:27, 02/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Практика:
    >бухгалтерию на 10 виндовых компов обслуживает 1 человек, 70% времени - антивирусы,
    >проверки, переустановки.
    >Сеть на 22 компа (назовем их серверами) (18 FreeBSD, 4- Linux) обслуживает
    >1 человек, 90% времени - совершенствование и обслуживание билинговой системы...

    Сети какие то детские.

     

  • 1.10, AlexR (??), 10:44, 02/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ссылки на Секлаб публиковать нужно и высказывать СВОЁ мнение тоже нужно. А что касается секлаба, то давно уже он пиарит творения MS. Главное чтобы всгеда были и другие точки зрения!
     
  • 1.11, Vitls (??), 11:09, 02/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В топку такие "сравнения". Есть более простая методика: соберите статистику по числу заражённых машин под управлением различных ОС.
     
     
  • 2.18, Anonymous (?), 21:42, 02/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, при этом нужно сравнивать еще и количество компьютеров под управлением винды и под управлением других операционных систем. Давайте не будем превращать Опеннет в филиал ЛОРа.

    Защищенность любой операционной системы зависит от прямизны рук пользователя, владеющего правами администратора.

     
     
  • 3.20, лсд (?), 01:23, 03/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Защищенность любой операционной системы зависит от прямизны рук пользователя, владеющего правами администратора.

    Ну тогда винда - проприетарный аналог LFS.

     
  • 3.31, anonymous (??), 19:19, 03/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    но но , руки прочь от LOR-а , один из самых вменяемых форумов , а последнее время opennet читать противно стало из-за тучи сто лет назад разобраных вопросов .

    а серьезно относится к пеарам MS честное слово глупо , типа то-го , же что слушать выступления проститукок-парламентариев . во загнул :)

    зы,  у кого есть gcc скомпильте http://pastebin.org/14039 и проверьте на любителях MS

    по теме ,  уязвимости больше года , но пользователи об этом понятия не имеют.

     

  • 1.22, Аноним (9), 07:30, 03/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а openbsd?
     
     
  • 2.23, Yoki (?), 10:52, 03/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >а openbsd?

    А что OpenBSD? Например так http://sda00.blogspot.com/2007/12/openbsd-e17-cvs.html


     

  • 1.28, Аноним (9), 15:06, 03/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://www.vista.nsk.ru/?article=17 - вот тут уже тоже прокомментировали...
     
     
  • 2.29, Гость (?), 18:26, 03/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Да пилят пипец ))))) !! Скажите мне когда это винда была безопасной ?

    Сейчас в наличии имею прядка 300 серверов под управлением разных систем в основном преобладает FreeBSD (вот только скорости файловой системы ей не хватает), очень нравится еще пара Gentoo, openSuSE и Debian. за 4 года еще ниразу ни одну не похакали )))

    А есть еще у меня одна винда в сети так с ней вообще пипец ((( Переустановка железно раз в пол года. (Если честно я его и готовить не умею ибо с 97 года сижу на Unix и проблем не знаю есть все что мне нужно и к тому же бессплатно)

    Я вообще не понимаю зачем такие сравнения делать.

    если как говоритсья религия не позволяет использовать софт бессплатно то купите поддержку у Novell на линукс ихний. Благо она не дорогая всего 300 зелени в год.

    И еще один глуппый вопрос Зачем на сервере GUI который дохрена ресусов съедает и смысловой нагрузки на себе никакой не несет

     
     
  • 3.35, sda (??), 09:58, 05/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Переустановка железно раз в пол года.

    Попробуйте выпрямить руки. У меня около 30 машин под управлением Windows XP, на которые постоянно накатываются обновления (винда лицензионная) и ничего не приходится переустанавливать, и не тормозит ничего. Следить надо за системой, вот и все :) Биллинг стоит полностью на винде и нчиего почему-то не глючит, Стоят mssql также, терминальный сервер, два DC. На самом деле, пояиг какая система стоит, если хороший специалист, то все работать будет.

     
     
  • 4.36, bs0d (?), 13:17, 05/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    5+
     
  • 4.37, Dvorkin (??), 16:54, 05/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > если хороший специалист, то все работать будет

    я, например, представляю, как внутри устроено большинство сервисов в Unix, которыми я пользуюсь. если я чего-то не знаю, у меня есть исходники для изучения и вся ночь впереди + утилиты типа strace.
    вот, к примеру, написанный для Win Cisco CCM (Cisco Call Manager, довольно странная вещь!) переставал работать в руках сертифицированного специалиста каждую неделю-две.
    заменили на галимый opensource Asterisk под Linux... специалист по Asterisk уволился около года назад, а я до сего дня заходил на тот сервачок только чтобы добавить еще одно правило в firewall.
    вот вам и закрытые технологии.

     
  • 4.38, GR (??), 14:04, 08/01/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Будете управлять хотя бы 500-ми машинками  поймете о чем речь.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру