Новый взгляд на уязвимости - 21 ноября 2008

re: Новый взгляд на уязвимости - 21 ноября 2008

Василий — Fri, 21 Nov 2008 22:53:53 GMT

Цифры говорят сами за себя?

Заголовки сегодняшних новостей говорят не меньше:

Microsoft 7 лет закрывала критическую уязвимость (http://liberatum.ru/exclusive/microsoft-7-let-zakryvala-kriticheskuyu-uyazvimost)

В ядре Windows Vista обнаружена серьезная уязвимость

(http://liberatum.ru/news/v-yadre-windows-vista-obnaruzhena-sereznaya-uyazvimost)

re: Новый взгляд на уязвимости - 21 ноября 2008

Neandertalets — Sun, 23 Nov 2008 02:44:15 GMT

Конечно конечно! В мс самое качественное проектирование и реализация. Щаз! В мс сВистулька и глюкосервер2008 написаны совершенно в нуля! ЩАЗ! С какого перепугу тогда ошибки (например, MS08-067) касаются системы, выпущеных почти десять лет назал? (Думаю, что дальше дальше, только в списке подверженный уязвимости систем они не упомянуты). Уверен, что в исходниках свистульки, с2008 и даже Вынь7 легко можно найти текты, датированные 1988 годом и даже написанные для OS/2 1.0. А отсюда и множественные уязвимости в ядре и базовых служб...

И все проблемы у Линукса по той же причине сейчас проявляются: в попытке подражать форточкам разработчики так забываются, что лишь усложняют код. Но всё же Линукс не докатился то таких проблем, как вы описываете. "Есть лож, есть наглая лож, а есть статистика" и вы как раз являете собой последний вариант: вы не джёте, а умело подтасовываете статистические данные. Возьмите статистику по OpenBSD! Если мс так хорошо отлаживает код, как вы пишете, то сравните свой продукт с таким же из свободных - с качественными аудитом, оптимизацией, отладкой и тестированием кода. Надеюсь, что про эту систему вы, как, вроде бы, специалист по ИБ, слышали. Если нет - могу помочь с ознакомлением.

Василий: Почему, как вы думаете, мелкософт так бережет свои исходники? Имхо, всё крайне просто: чего-то сногсшибательного там не и подавно, кроме костылизма, наплевательского отношения к оптимизации и глюков. А в свистульке - миллионы циклов с HALT: чтобы увеличить требования к железу и... при выпуске нового обновления или новой версии супермегаглючной системы можно было усказать: мы тут провели крутую оптимизацию кода и петерь система грузится аж на 1 секнду быстрее! Убрав при этом всего лишь десяток циклов с HALT.

re: Новый взгляд на уязвимости - 21 ноября 2008

Homosapiens — Sun, 23 Nov 2008 17:36:53 GMT

Коллега Neandertalets. Мы вроде бы существа разумные,имхо. Ваш пост - просто какой-то крик души, ничего конкретного, самый простой способ уйти от правды, которую Вы вроде бы и понимаете, но никогда не признаете...к сожалению.

И еще. Ну хватит уже может язык "кошмарить" (с) про форточки и т.д. взрослый же человек или нет?

re: Новый взгляд на уязвимости - 21 ноября 2008

Guest — Sun, 23 Nov 2008 18:21:53 GMT

Меньше уязвимостей еще не значит, что Windows более безопасна. Если посчитать количество компьютеров с разными версиями ОС количество вирусов и желающих поиграть с уязвимостями Windows (+ другие не менее дырявые продукты Microsoft)то получим картину далеко не радужную. Windows XP+IE+OE+MS Office+WMP+MSN уязвимостей мало не покажется. Да Microsoft сделала большую работу по повышению надежности и безопасности своей ОС но работа далека от завершения и не стоит бравировать ГОЛЫМИ цифрами.... вы прекрасно знаете свои слабые места - работайте, устраняйте :))))

От себя скажу я 10 лет имел дело с продуктами Microsoft начиная с Windows 3.11. Последние 3 года дома использую только Linux и не чувствую никакого дискомфорта. Нет разительной разницы, что что-то намного лучше, а что-то намного хуже.

re: Новый взгляд на уязвимости - 21 ноября 2008

dinu — Mon, 24 Nov 2008 10:22:27 GMT

Если Microsoft открыла бы для всех исходники Windows то secunia.com упала бы от количество присылаемых advisories.

re: Новый взгляд на уязвимости - 21 ноября 2008

Vladimir Mamykin — Mon, 24 Nov 2008 11:57:25 GMT

При таком Вашем предположении, dinu, первыми бы рухнули Apple, Oracle, IBM. Но вот только это предположение и остается предположением. Кроме того, из Ваших слов можно сделать вывод, что так как у Linux коды доступны всем, то это-то и является причиной такого большого количества уязвимостей. Но ведь пользователям-то все равно в чем причина "дыр". Может, Вы призываете таким образом закрыть исходники Linux для увеличения безопасности? Мысль интересная. Но лучше начать с управления разработкой.

re: Новый взгляд на уязвимости - 21 ноября 2008

Infinity — Thu, 27 Nov 2008 02:38:21 GMT

Взято с сайта http://www.us-cert.gov/.Ключевое слово- Multiple Vulnerabilities, это что касается windows.

2008

ID Title Release Date

TA08-319A Mozilla Updates for Multiple Vulnerabilities November 14, 2008

TA08-316A Microsoft Updates for Multiple Vulnerabilities November 11, 2008

TA08-309A Adobe Reader and Acrobat Vulnerabilities November 4, 2008

TA08-297A Microsoft Windows Server Service RPC Vulnerability October 23, 2008

TA08-288A Microsoft Updates for Multiple Vulnerabilities October 14, 2008

TA08-260A Apple Updates for Multiple Vulnerabilities September 16, 2008

TA08-253A Microsoft Updates for Multiple Vulnerabilities September 9, 2008

TA08-225A Microsoft Updates for Multiple Vulnerabilities August 12, 2008

TA08-193A Sun Java Updates for Multiple Vulnerabilities July 11, 2008

TA08-190B Multiple DNS implementations vulnerable to cache poisoning July 8, 2008

TA08-190A Microsoft Updates for Multiple Vulnerabilities July 8, 2008

TA08-189A Microsoft Office Snapshot Viewer ActiveX Vulnerability July 7, 2008

TA08-162C Apple QuickTime Updates for Multiple Vulnerabilities June 10, 2008

TA08-162B Microsoft Updates for Multiple Vulnerabilities June 10, 2008

TA08-162A SNMPv3 Authentication Bypass Vulnerability June 10, 2008

TA08-150A Apple Updates for Multiple Vulnerabilities May 29, 2008

TA08-149A Exploitation of Adobe Flash Vulnerability May 28, 2008

TA08-137A Debian/Ubuntu OpenSSL Random Number Generator Vulnerability May 16, 2008

TA08-134A Microsoft Updates for Multiple Vulnerabilities May 13, 2008

TA08-100A Adobe Flash Updates for Multiple Vulnerabilities April 9, 2008

TA08-099A Microsoft Updates for Multiple Vulnerabilities April 8, 2008

TA08-094A Apple Updates for Multiple Vulnerabilities April 3, 2008

TA08-087A Mozilla Updates for Multiple Vulnerabilities March 27, 2008

TA08-087B Cisco Updates for Multiple Vulnerabilities March 27, 2008

TA08-079B MIT Kerberos Updates for Multiple Vulnerabilities March 19, 2008

TA08-079A Apple Updates for Multiple Vulnerabilities March 19, 2008

TA08-071A Microsoft Updates for Multiple Vulnerabilities March 11, 2008

TA08-066A Sun Updates for Multiple Vulnerabilities in Java March 6, 2008

TA08-043C Microsoft Updates for Multiple Vulnerabilities February 12, 2008

TA08-043B Apple Updates for Multiple Vulnerabilities February 12, 2008

TA08-043A Adobe Reader and Acrobat Vulnerabilities February 12, 2008

TA08-017A Oracle Updates for Multiple Vulnerabilities January 17, 2008

TA08-016A Apple QuickTime Updates for Multiple Vulnerabilities January 16, 2008

TA08-008A Microsoft Updates for Multiple Vulnerabilities January 8, 2008

Хочется услышать коментарий по этому поводу.

re: Новый взгляд на уязвимости - 21 ноября 2008

Neandertalets — Fri, 28 Nov 2008 10:37:40 GMT

Infinity: Думаю, что ответ будет примерно таким: "мс не причём! Это всякие исследователи ковыряются и находят уязвимости там, где их в принципе быть не должно - у нас замечательное управление разработкой! И вообще: дизассеблировать код запрещено нашей лицензией, а значит, результаты получены незаконно и не имеют ценности."

re: Новый взгляд на уязвимости - 21 ноября 2008

Neandertalets — Fri, 28 Nov 2008 10:38:46 GMT

Homosapiens: Совершенно верно: я понимаю правду, но вот только "правда" и "мс" - вещи несовместимые. "Полуправда" - да, бывает, но чаще всего это хуже, чем откровенная...

А про 'кошмарить': "дистрибутив", "имхо", "патчей" - это, по видимому, обогащает язык.

re: Новый взгляд на уязвимости - 21 ноября 2008

Neandertalets — Fri, 28 Nov 2008 10:42:16 GMT

Vladimir Mamykin: И Apple и Oracle и IBM и очень многие другие - тоже (всё в точности описано здесь: http://2k.livejournal.com/520078.html и тут пример ещё про IBM: http://fomalhaut-star.livejournal.com/10596.html). Иначе к чему бы это скрывать результаты тестирования кода, когда результаты для закрытых программ были запрещены к публикации. Вот только сразу не скажу, кто проводил тектсирование, но, помнится, достаточно компетентные специалисты.

Вобще сейчас большинство закрытого ПО (исключая специальных промышленных систем и АС критических применений) - скатывается в пучину низкого качества. Хотя куда уж ниже...

Но до мс многим ещё далеко: по костылизму лидирует ваша контора. Безоговорочно.

P.S. Так всё таки, сделайте сравнение vista и OpenBSD? Будет вполне сравнимо.

Чем меньше в Windows уязвимостей, тем они должны быть страшней

Илья Сазонов — Fri, 28 Nov 2008 12:46:35 GMT

Наткнулся на интересный пост в блоге Владимира Мамыкина http://blogs.technet.com/mamykin/archive/2008/11/21/21-2008.aspx...

re: Новый взгляд на уязвимости - 21 ноября 2008

WEB Безопасность — Fri, 28 Nov 2008 12:52:54 GMT

Добрый день. Интересный пост и цифры, и они меня натолкнули на кучу интересных размышлений, поэтому я написал свою заметку. Если интересно, посмотрите:

http://www.flenov.info/blog.php?catid=348

re: Новый взгляд на уязвимости - 21 ноября 2008

Neandertalets — Sun, 30 Nov 2008 21:44:58 GMT

Думаю, что всем читателям этого "личного" дневника будет интересно почитать статью про безопасность и небольшое интрервью с Самуэлем Джебамани, опубликованные на Хакере. Вот она: http://www.xakep.ru/post/45970/default.asp.

Всё, что я так эмоционально тут высказывал, собрано там. Без эмоций, точно, кратко, конкретно.

P.S. Сотрудникам мс тоже посоветовал бы, особенно, "владельцу" дневника, как специалисту.

P.P.S. На всякий случай, чтобы не было экивоков: пишу "личного" и "владельца" в кавычках, т.к. не верю в "Мнения, высказанные здесь, являются отражением моего личного взгляда, а не позиции работодателя". Хотя после ТАКОГО ( http://fomalhaut-star.livejournal.com/24328.html ) могу и поверить... Может там NLP-мастера свои хорошо оплачиваются? Или даже DHE-мастера?

re: Новый взгляд на уязвимости - 21 ноября 2008

Денис — Wed, 03 Dec 2008 14:18:20 GMT

Neandertalets, в предлагаемой Вами статье в Хакере - разговор двух единомышленников (кот. близки Вам по взглядам) из разряда философских, т.е. не имеющих научного обоснования в виде цифр, которые здесь Вас по ряду причин не удовлетворяют, а там (в Хакере) вообще не приводятся. Так получается, как-то не совсем честный спор :)

re: Новый взгляд на уязвимости - 21 ноября 2008

corwin — Thu, 04 Dec 2008 18:02:31 GMT

Владимир,

Вы на платформе услышали из зала какой сервер самый безопасный - правильно OpenBSD (по статистике secunia.com которую Вы тут приводите и на докладе приводили), кроме того Вы посчитали что и в клиентских OS - MS лучше всех, так нет же Apple MacOS 9.0 - НОЛЬ дырок, и вполне себе юзабельна (к аргументу - что можно сделать на openBSD и что на 2008).

re: Новый взгляд на уязвимости - 21 ноября 2008

Neandertalets — Mon, 08 Dec 2008 15:21:29 GMT

Денис: Числа неудовлетворяют по причине своей "пустоты". Если для вас просто числа уже сами по себе несут смысловую нагрузку, то я так не умею: "Мне бы такое зрение: увидеть Никого!" (С) Алиса в Зазеркалье.

И здесь были представлены пустые цифры, которые только по законам алгебры различаются: одно больше, другое меньше. Всё - других различий я лично не вижу, кроме заявлений автора, что "это" хорошо для мс, а "это" - плохо для свободного ПО.

Это хорошо описал "WEB Безопасность": http://www.flenov.info/blog.php?catid=348.

re: Новый взгляд на уязвимости - 21 ноября 2008

torrero — Fri, 12 Dec 2008 07:12:06 GMT

Ага, круто. Лапша вкрутую. Пример: Ищем ubuntu. Верхние строки - Ubuntu update. То есть вообще говоря, обновление для уязвимого стороннего ПО, например ClamAV. И, если говорить о clamAV, то, что уязвимость опубликована 2 декабря, патч вышел 3-го, и уязвимость будет закрыта сразу и везде где он используется (оставим условности применения патчей в стороне) - это же не главное. Главное - тяфкнуть на ubuntu ;)

re: Новый взгляд на уязвимости - 21 ноября 2008

Alexander — Sun, 08 Feb 2009 03:26:12 GMT

Холивар! Хали-вор! Бу-бу ни о чём чистой воды.

Добавлю своей субъективной соли, - хочется. По роду работы получила наша контора, а значит и я, доступ к ред-каверным (!) Майкрософт сорцам, связанным с секьюрити. Прошёл я тренинги, подписал бумажки, что если отдам сорцы кому-нибудь - то сразу в петлю. И сам мылом её (петлю) смажу. Это если образно. То есть грустный опыт общения с засекречнными MS сорцами по секьюрити у меня есть. И грусть моя по теме. Райт?

Сейчас я делаю аналогичное "сикрет" решение на основе оупен-сорс.

Ну, тестеры Мелкомягких, конечно, уроды. Я с их селфтестов угорал. Но вот основные девелоперские МС сорцы - это уважуха. Причём уважуха в квардарте! Стиль. Аккуратность. Там, блин, перестраховка тройная!!! На фоне Федоры (тем паче Убунты) мелкомягкие сорцы - это небо. (А "БСД вообще ни разу ни юникс", - холивар.)

Мне МС/оупен вечный холивар - до лампочки. Но есть хорошие прогеры и в МС, и в оупене. Только МС платит больше. И МС отвечает за свой код. Хоть как то... платно... но отвечает. Я как прогер всегда предпочту вести проект на Виндах, чем в Линуксе. (При всём том, что у меня на юниксе "наработка" лет 9, а на виндах меньше в два раза.)

Основная проблема Виндов в сторонних сорцах. Основная проблема оупенсорса в кривых молоденьких безнаказанных ручках.

P.S. Имхо. Культура прогерства в оупенсорсах упала в последнее время так... что это ж .издец какой-то!

re: Новый взгляд на уязвимости - 21 ноября 2008

emfirion — Sat, 21 Feb 2009 18:32:43 GMT

:)Новый взгляд на уязвимости

Всё завиит от глубины и высоты уровня восприятия.

Надо просто работать.

Всё бывает - что тут по-делать, - мы пока люди.

...

А МС пока работает лучше и сильнее других - тут мелкая реклама неимеет значения, это глобальный вопрос продуктов и пользователя :) пользователь выбирает лучшее в любом случае ...ЗАКОН МИРА ОДИНАКОВ ДЛЯ ВСЕХ

ЕЩЁ РАЗ РАБОТАТЬ - ЛОДКА ПЛЫВУЩАЯ ПРОТИВ ТЕЧЕНИЯ ОСТАНОВИВШАЯСЯ НА МИГ СНОСИТСЯ НАЗАД

re: Новый взгляд на уязвимости - 21 ноября 2008

IgorVolk — Wed, 23 Sep 2009 09:55:16 GMT

А вообще, самая главная уязвимость для компьютера - сидит перед монитором...

re: Новый взгляд на уязвимости - 21 ноября 2008

Мониторинг — Fri, 16 Oct 2009 19:09:30 GMT

2IgorVolk

Отлично сказано. Причем на мониторе обязательно порно сайты у этих уязвимостей