НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Так какая же ОС более уязвима?

Валерий Васильев
04.12.2013 19:27:09

Если верить Евгению Касперскому... (а не верить ему в данном конкретном случае у меня нет оснований), первый компьютерный вирус (т.е. способная к самораспространению программа) был написан в 1981 (или 1982) году студентом из США. А теперь особенное внимание! Вирус предназначался для компьютера Apple II. Т.е. не для DOS. Не для Unix. И не для Windows, которой (незаслуженно) достаются пинки по поводу ее уязвимости.

Давайте уже прекратим споры по поводу того, какая ОС более уязвима. И признаем, что это та ОС, у которой больше пользователей. По той простой причине, что ее чаще атакуют.

Если кому-то хочется (и по силам) жить отдельной от большинства людей жизнью, пусть он выберет для своего компьютера самую-самую диковинную ОС. Тогда вероятность того, что его аппарат подцепит какую-нибудь заразу, будет ничтожна.

Однако он сам (а не его ОС) может оказаться привлекательным для атаки. Тогда злоумышленники вполне могут захотеть приложить усилия для того, чтобы заглянуть в его цифровое хозяйство.

Что ж, можно посоветовать любителю экстравагантных ОС быть таким же невостребованным, как и его ОС. Тогда уж точно – ни с какой стороны к нему не подкопаются. Потому что будет просто неинтересно.

Комментариев: 2

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

06.12.2013 11:40:05

Цитата
Давайте уже прекратим споры по поводу того, какая ОС более уязвима. И признаем, что это та ОС, у которой больше пользователей. По той простой причине, что ее чаще атакуют.
Кто-то из мудрых сказал "У любой задачи всегда есть простое решение .... простое, понятное, очевидное .... и неправильное." Как раз это пример простого и неправильного решения. smile:-)

Вопрос защищенности ОС это комплексная проблема, которая зависит от многих факторов - архитектура, встроенные средства безопасности, квалификация среднестатистического пользователя, "проверка временем", анализ специалистами исходного кода и т.д. и т.п. Распространенность тоже есть в этом списке, но играет она далеко не ключевую роль. Для примера можно привести web-сервер Apache. Несмотря на то, что это наиболее распространенный http-сервер, самым уязвимым считает IIS, который занимает гораздо меньшую долю на рынке (и работает на windows smile:-) ).

17.12.2013 16:50:25

Добрый день, Валерий

Прочитал твою статью. Со многим согласен, но есть моменты которое надо
уточнить. Самой уязвимой является не та ОС которая наиболее распространена,
а та в которой больше уязвимостей и та в которой дольше всего закрывают эти
уязвимости. И конечно же та ОС у которой вендор не готов к отражению
массовых аттак.

В английском языке для этого как раз два отдельных слова есть safe и secure.
Возьмем простейший пример Apple когда то выпускала свою собственную версию
Java для OSX. В среднем эта версия запаздывала с закрытием уязвимостей на 9
месяцев. То есть в Java от SUN уже закрыты уязвимости а в Java от Apple нет.
Но до тех пор пока OSX не перешагнула определенного порога
распространенности в Интернет никаких громких скандалов не случалось. А вот
когда она по версии сторонних собирателей статистики перешагнула 7%, то
задержками с обновлением Java сразу же воспользовались злоумышленники,
благодаря этому появился ботнет на 600 000 машин с OSX.
http://blogs.computerworld.com/19989/biggest_apple_botnet_discovered_600k_macs_infected­

Если посмотреть на реакцию Apple, то заметно что в первые дни после
сообщения о ботнете, вендор не предпринимал никаких публичных действий. И
даже поддержка не знала что делать несмотря на вал публикаций в СМИ и на
град запросов от пользователей.
http://www.notebookcheck.net/Is-Apple-being-too-slow-to-react-to-the-Flashback-trojan.73409.0.html
http://www.techweekeurope.co.uk/news/flashback-apple-backlash-botne-72458


Мне кажется что в этой ситуации четко видно что безопасность это процесс, а
не продукт. Налицо очень медленная скорость процессов реагирования на
инциденты ИБ и процессов управления обновлениями.

Мне кажется что это крайне опасно слепо верить в неуязвимость своего
продукта и не готовиться к инцидентам. Еще опаснее внушать пользователям
веру в неуязвимость. В результате после эпидемии приходится подчищать
вебсайт Apple удаляя все упоминания и сравнения с Windows
http://www.breitbart.com/Big-Journalism/2012/07/05/Apple-Quietly-Drops-Claims-that-Macs-Don-t-Get-Viruses

Нужно понимать что количество аттак на малораспространенную ОС
обуславливается не только коммерческим интересом (сколько можно заразить),
но и более высоким входным порогом. Специалистов способных писать эксплоиты
и зловреды для OSX или Linux на данный момент меньше чем для Windows.
Обучающей литературы тоже мало. Особенно при учете того как Apple жестоко
карает исследователей находящих и предающих огласке уязвимости
http://www.networkworld.com/news/2011/110811-miller-ios-bug-252886.html


Но такое состояние дел не сохранится долго. Уже сейчас стали появляться
книги и курсы которые начинают учить взлому этих систем. А значит количество
способных это сделать будет расти, а в результате вырастет количество атак.

Вот образец книги. А на прошлом BlackHat были недельные курсы по атакам на
OSX ценой в 2000$
http://www.amazon.com/Hackers-Guide-OS-Exploiting-Root-ebook/dp/B00AEO4Y1S/ref=sr_1_1?ie=UTF8&qid=1386329482&sr=8-1&keywords=exploit+OSX
Согласись что для целеустремленного злоумышленника это вообще не деньги.

Множественные успешные атаки на группы Тибетских активистов и Далай Ламу
показывают что OSX не панацея. И те кому нужно что то узнать могут сломать
её довольно просто.
http://www.v3.co.uk/v3-uk/news/2229612/os-x-malware-targets-dalai-lama-supporters

Если посмотреть на рынок коммерческих эксплоитов против разных ОС выясняется
что цена на них не сильно разнится Руткит Linux - 500$, Windows 292$
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russian-underground-101.pdf

Помнишь я рассказывал о том что в ядре Linux 6 лет была уязвимость известная
всем? Это как раз показывает что процесс реагирования на инциденты и
уязвимости не налажен.
http://www.networkworld.com/community/blog/linux-finally-fixes-six-year-old-critical-bug

Статистику по уязвимостям разных ОС я показывал на куче эвентов с твоим
участием. Ты сам видел что там у продуктов MS один из самых низких уровней
уязвимостей в индустрии. Это происходит благодаря SDL. Мне кажется что это
тоже очень важно, т.к показывает кто из вендоров реально занимается
предотвращением уязвимостей, а кто использует мифы для внушения чувства
неуязвимости.
http://www.techdays.ru/videos/6708.html
http://www.slideshare.net/abeshkov/zeronigths



Если же говорить про IIS и Apache, то я не согласен с комментарием к твоей
статье. Вот смотри сам, у актуальных версий IIS уязвимостей меньше чем у
Apache.

IIS7 - 8 уязвимостей
http://secunia.com/advisories/product/17543/

IIS6 - 11 уязвимостей
http://secunia.com/advisories/product/1438/

А вот Apache

Apache 2 - 43 уязвимости
http://secunia.com/advisories/product/73/

Обрати внимание что сейчас эпидемия DarkLeech почему то поражает именно
Apache а не IIS
http://www.pcworld.com/article/2043661/darkleech-malware-undertakes-ransomwa
re-campaign.html

Суммируя написанное - безопасность ОС и приложений это набор процессов и
переменных. Я считаю что на данный момент у MS самые атакуемые и при этом
самые защищенные ОС и приложения для общего употребления. Именно благодаря
тому что их пытаются атаковать больше всех создано и применяется огромное
количество защит и круглосуточно работают процессы которые осуществить под
силу только очень большому вендору.

Я думаю мы на верном пути т.к даже производители опенсорса стали применять
зачатки SDL в разработке своих продуктов
https://securityblog.redhat.com/2013/05/22/outside-in-vulnerability-assessment-for-secure-software-development/

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии