Опять об уязвимостях в июне 2009

re: Опять об уязвимостях в июне 2009

Rustam Sydykov — Wed, 01 Jul 2009 00:39:49 GMT

Здраствуйте, Владимир.

Интересная информация, а можно еще предоставить "срез" по количеству критических уязвимостей по каждому продукту? Например, если ОС1 имеет 1000 уязвимостей, но 999 из них не представляют риска (к примеру, вызывают зависание медиаплейера и т.п.), а ОС2 имеет 10 уязвимостей, но все из них критические - то я бы сказал. что ОС1 более надежная :)

С уважением,

Рустам

re: Опять об уязвимостях в июне 2009

Евгений — Wed, 01 Jul 2009 09:41:54 GMT

Интересная трактовка. Если не можешь победить - возглавь.

re: Опять об уязвимостях в июне 2009

Neandertalets — Mon, 20 Jul 2009 08:57:12 GMT

Опять сферический конь в вакууме.

re: Опять об уязвимостях в июне 2009

Vladimir Mamykin — Mon, 27 Jul 2009 07:52:50 GMT

Евгению -

это не трактовка, а независимые данные от самой уважаемой в мире компании по анализу уязвимостей. Они эту аналитику "возглавили" много лет назад. А "победы" - это разультат труда, а не трактовок.

re: Опять об уязвимостях в июне 2009

Neandertalets — Thu, 30 Jul 2009 15:17:05 GMT

Во и свежие новости про внеочередные обновления. Уже вторые в этом месяце.

re: Опять об уязвимостях в июне 2009

Neandertalets — Thu, 30 Jul 2009 15:40:32 GMT

Вот статистика с той же Секунии. Несколько другое восприятие действительности: http://fomalhaut-star.livejournal.com/37982.html

re: Опять об уязвимостях в июне 2009

aaa — Sat, 01 Aug 2009 22:23:42 GMT

http://blog.mozilla.com/security/2009/03/06/beware-the-security-metric/

re: Опять об уязвимостях в июне 2009

Neandertalets — Mon, 03 Aug 2009 22:27:20 GMT

aaa:

Интересно. :) Но всё ровно в том курсе, что указал и я: нам постоянно демонтрируют сферического коня в вакууме, а не реальный анализ уязвимостей.

re: Опять об уязвимостях в июне 2009

frontier — Mon, 14 Sep 2009 02:14:17 GMT

По тому же файлу, что Мамыкин дал, БЗДя выглядит лучше Висты. Ну, и .ули тогда гнать волну?

Выходит, дело в холи-вар? Даже мне читать скучно, не то, что Мамыкину, - которому каждую неделю по должности положено подобную тему выслушивать-отвечать.

Он же тут не товар продаёт - уж больно маленькая аудитория, - а просто делится своими субъективными мыслями. А тут сразу выплёскивают даже не "не верю!", а сразу "врёшь"! Ну, какой ему смысл врать? Чтобы отдельно взятый "неондерталец" купил на "горбушке" Винду? Зарплата прибавится? Акции вырастут?

Дайте мужику потрындеть без негатива, а то он с полгода уже в "окопе", - и мне скучно.

П.С. Кстати, насколько помню, Мамыкин, к его чести, обхаяв Линукс, где-то оговорился, что о секретности БСДи плохого слова не скажет.

re: Опять об уязвимостях в июне 2009

Ilya Vaiser — Sun, 20 Sep 2009 11:51:43 GMT

Игра с цифрами штука подлая, цитирую:

>Сразу бросается в глаза 14% незакрытых уязвимостей у FreeBSD 7.1 – самый большой процент среди представленных: у Windows XP – 12%, у Windows Vista – 7%. Но в действительности здесь надо взглянуть уже в абсолютном выражении на эти цифры, а это уже совсем иное и реальное состояние дел: 14% это всего лишь ОДНА незакрытая уязвимость в FreeBSD 7.1 против 30 (!) в Windows XP и 4 в Microsoft Windows Vista. Не правда ли несколько другое впечатление создаётся?

Уже смешно.

re: Опять об уязвимостях в июне 2009

Neandertalets — Thu, 24 Sep 2009 20:22:02 GMT

Ilya Vaiser:

Посмейтесь - смех продляет жизнь. Только смех искренний, а не вымученный и не истерический.

И что в процитированном показывает "игру с цифрами"? Если нечем доказать - лучше промолчать. А в данном пояснении вам приведены и ссылки, где вы можете сами увидеть описанное, т.е. процитированное имеет доказательную основу, а ваши смешки - истерические, наверное.

re: Опять об уязвимостях в июне 2009

Ilya Vaiser — Sat, 26 Sep 2009 15:38:03 GMT

Неандерталец, я как-то на securityfocus видел открытые ошибки ядра linux версии 2.0 за 1998 год. Хз, почему они там висят и почему периодически всплывают в списках открытых багов.

Ну, ясен пень, что это безумно критичная ошибка, мегасупербомба просто. Так-что респект всем любителям поиграть в циферки.

Пруф http://www.securityfocus.com/bid/111 очень здорово ;)

re: Опять об уязвимостях в июне 2009

Ilya Vaiser — Sat, 26 Sep 2009 15:53:51 GMT

Кстати, предлагаю сравнить

Ubuntu 8.04 http://secunia.com/advisories/product/18611/?task=statistics

MS Vista http://secunia.com/advisories/product/13223/?task=statistics

Что в Ubuntu ошибок больше - это понятно. В ней софта неимоверно больше. Давайте поглядим на свойства ошибок на графиках внизу. Узнаем много нового - что в Vista не закрыто 7% багов (0% в Ubuntu), что по важности:

"Extremely" ошибок в Vista - 1% (0% Ubuntu)

"Highly" ошибок в Vista - 36% (28% Ubuntu),

"Moderately" ошибок в Vista - 25% (41% Ubuntu),

"Less" ошибок в Vista - 30% (25% Ubuntu),

"Not" ошибок в Vista - 7% (5% Ubuntu)

Т.е. в Vista больше всего критических ошибок. далее смотрим что эти баги приводят к "system access" в 47% у Vista и 29% у Ubuntu.

При этом я настоятельно хочу заметить, что мы считаем баги у клиентской ОС от Майкрософт, в которой кроме блокнота и косынки ничего нет. И Ubuntu, в составе которой поставляется полный стек решений, от нескольких серверов БД до web, ftp, email и прочих.

Ясен пень, что толку от подсчетов числа багов "в лоб" нет, уж сильно разные системы и много вопросов к качеству подсчета ошибок.

Конечно интересно было бы посмотреть на более-менее равнозначный подсчет, но как его организовать?

re: Опять об уязвимостях в июне 2009

Neandertalets — Sat, 17 Oct 2009 22:22:13 GMT

Ну для сравнения в вистой можно взять OpenBSD 4.0: вполне себе аскетическая ОС, и срок официального выхода 1 ноября 2006 (если не ошибаюсь) - всего на 2 месяца раньше висты: http://secunia.com/advisories/product/12486/.

А вот насчёт "кроме блокнота и косынки..." хотел бы уточнить, что в винде есть много чего: медиаплеер, всякие мелочи в "Стандартные". Не стоит забывать про DRM и TPM. Да и много чего можно спрятать в те несколько гигадайт, что виста "откусывает" на жёстком диске.

Вот Опёнок - вполне себе аскетичная система. Вот только г.Мамыкин упорно делает вид, что такой ОС не существует. Хотя он представляется как специалист по ИБ, а Опёнок позиционируется разработчиками как обеспечивающую проактивную защиту: http://openbsd.org/security.html. :)

re: Опять об уязвимостях в июне 2009

Neandertalets — Fri, 13 Nov 2009 08:25:24 GMT

Уважаемый г-н Мамыкин, как вы, как специалист по ИБ прокоментируете обнаруженную в сентябре в SMB уязвимость, которую ваша контора отказалась "латать" в ХР по причине "древности кода", хотя поддержка этой ОС ещё не прекращена (в том числе и платная)?

И это при достаточной серьёзности уязвимости и наличии возможности её эксплуатации (exploit).

О какой безопасности может идти речь в такой ситуации?