Давайте уже прекратим споры по поводу того, какая ОС более уязвима. И признаем, что это та ОС, у которой больше пользователей. По той простой причине, что ее чаще атакуют.
Если кому-то хочется (и по силам) жить отдельной от большинства людей жизнью, пусть он выберет для своего компьютера самую-самую диковинную ОС. Тогда вероятность того, что его аппарат подцепит какую-нибудь заразу, будет ничтожна.
Однако он сам (а не его ОС) может оказаться привлекательным для атаки. Тогда злоумышленники вполне могут захотеть приложить усилия для того, чтобы заглянуть в его цифровое хозяйство.
Что ж, можно посоветовать любителю экстравагантных ОС быть таким же невостребованным, как и его ОС. Тогда уж точно – ни с какой стороны к нему не подкопаются. Потому что будет просто неинтересно.
Вопрос защищенности ОС это комплексная проблема, которая зависит от многих факторов - архитектура, встроенные средства безопасности, квалификация среднестатистического пользователя, "проверка временем", анализ специалистами исходного кода и т.д. и т.п. Распространенность тоже есть в этом списке, но играет она далеко не ключевую роль. Для примера можно привести web-сервер Apache. Несмотря на то, что это наиболее распространенный http-сервер, самым уязвимым считает IIS, который занимает гораздо меньшую долю на рынке (и работает на windows ).
Прочитал твою статью. Со многим согласен, но есть моменты которое надо
уточнить. Самой уязвимой является не та ОС которая наиболее распространена,
а та в которой больше уязвимостей и та в которой дольше всего закрывают эти
уязвимости. И конечно же та ОС у которой вендор не готов к отражению
массовых аттак.
В английском языке для этого как раз два отдельных слова есть safe и secure.
Возьмем простейший пример Apple когда то выпускала свою собственную версию
Java для OSX. В среднем эта версия запаздывала с закрытием уязвимостей на 9
месяцев. То есть в Java от SUN уже закрыты уязвимости а в Java от Apple нет.
Но до тех пор пока OSX не перешагнула определенного порога
распространенности в Интернет никаких громких скандалов не случалось. А вот
когда она по версии сторонних собирателей статистики перешагнула 7%, то
задержками с обновлением Java сразу же воспользовались злоумышленники,
благодаря этому появился ботнет на 600 000 машин с OSX.
http://blogs.computerworld.com/19989/biggest_apple_botnet_discovered_600k_macs_infected
Если посмотреть на реакцию Apple, то заметно что в первые дни после
сообщения о ботнете, вендор не предпринимал никаких публичных действий. И
даже поддержка не знала что делать несмотря на вал публикаций в СМИ и на
град запросов от пользователей.
http://www.notebookcheck.net/Is-Apple-being-too-slow-to-react-to-the-Flashback-trojan.73409.0.html
http://www.techweekeurope.co.uk/news/flashback-apple-backlash-botne-72458
Мне кажется что в этой ситуации четко видно что безопасность это процесс, а
не продукт. Налицо очень медленная скорость процессов реагирования на
инциденты ИБ и процессов управления обновлениями.
Мне кажется что это крайне опасно слепо верить в неуязвимость своего
продукта и не готовиться к инцидентам. Еще опаснее внушать пользователям
веру в неуязвимость. В результате после эпидемии приходится подчищать
вебсайт Apple удаляя все упоминания и сравнения с Windows
http://www.breitbart.com/Big-Journalism/2012/07/05/Apple-Quietly-Drops-Claims-that-Macs-Don-t-Get-Viruses
Нужно понимать что количество аттак на малораспространенную ОС
обуславливается не только коммерческим интересом (сколько можно заразить),
но и более высоким входным порогом. Специалистов способных писать эксплоиты
и зловреды для OSX или Linux на данный момент меньше чем для Windows.
Обучающей литературы тоже мало. Особенно при учете того как Apple жестоко
карает исследователей находящих и предающих огласке уязвимости
http://www.networkworld.com/news/2011/110811-miller-ios-bug-252886.html
Но такое состояние дел не сохранится долго. Уже сейчас стали появляться
книги и курсы которые начинают учить взлому этих систем. А значит количество
способных это сделать будет расти, а в результате вырастет количество атак.
Вот образец книги. А на прошлом BlackHat были недельные курсы по атакам на
OSX ценой в 2000$
http://www.amazon.com/Hackers-Guide-OS-Exploiting-Root-ebook/dp/B00AEO4Y1S/ref=sr_1_1?ie=UTF8&qid=1386329482&sr=8-1&keywords=exploit+OSX
Согласись что для целеустремленного злоумышленника это вообще не деньги.
Множественные успешные атаки на группы Тибетских активистов и Далай Ламу
показывают что OSX не панацея. И те кому нужно что то узнать могут сломать
её довольно просто.
http://www.v3.co.uk/v3-uk/news/2229612/os-x-malware-targets-dalai-lama-supporters
Если посмотреть на рынок коммерческих эксплоитов против разных ОС выясняется
что цена на них не сильно разнится Руткит Linux - 500$, Windows 292$
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russian-underground-101.pdf
Помнишь я рассказывал о том что в ядре Linux 6 лет была уязвимость известная
всем? Это как раз показывает что процесс реагирования на инциденты и
уязвимости не налажен.
http://www.networkworld.com/community/blog/linux-finally-fixes-six-year-old-critical-bug
Статистику по уязвимостям разных ОС я показывал на куче эвентов с твоим
участием. Ты сам видел что там у продуктов MS один из самых низких уровней
уязвимостей в индустрии. Это происходит благодаря SDL. Мне кажется что это
тоже очень важно, т.к показывает кто из вендоров реально занимается
предотвращением уязвимостей, а кто использует мифы для внушения чувства
неуязвимости.
http://www.techdays.ru/videos/6708.html
http://www.slideshare.net/abeshkov/zeronigths
Если же говорить про IIS и Apache, то я не согласен с комментарием к твоей
статье. Вот смотри сам, у актуальных версий IIS уязвимостей меньше чем у
Apache.
IIS7 - 8 уязвимостей
http://secunia.com/advisories/product/17543/
IIS6 - 11 уязвимостей
http://secunia.com/advisories/product/1438/
А вот Apache
Apache 2 - 43 уязвимости
http://secunia.com/advisories/product/73/
Обрати внимание что сейчас эпидемия DarkLeech почему то поражает именно
Apache а не IIS
http://www.pcworld.com/article/2043661/darkleech-malware-undertakes-ransomwa
re-campaign.html
Суммируя написанное - безопасность ОС и приложений это набор процессов и
переменных. Я считаю что на данный момент у MS самые атакуемые и при этом
самые защищенные ОС и приложения для общего употребления. Именно благодаря
тому что их пытаются атаковать больше всех создано и применяется огромное
количество защит и круглосуточно работают процессы которые осуществить под
силу только очень большому вендору.
Я думаю мы на верном пути т.к даже производители опенсорса стали применять
зачатки SDL в разработке своих продуктов
https://securityblog.redhat.com/2013/05/22/outside-in-vulnerability-assessment-for-secure-software-development/