|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : Maxim Sokolsky 2:5020/828.777 18 Oct 2003 13:53:03
To : Ivan Scorpey
Subject : Russian Security Newsline 13.09.2003
--------------------------------------------------------------------------------
Пят Окт 17 2003 17:58, Ivan Scorpey wrote to Dmitry Leonov:
DL>> Английская компания mi2g, которая три месяца назад подняла много
DL>> шума [ http://www.bugtraq.ru/rsn/archive/2003/06/12.html ] своим
DL>> заявлением о том, что за последнее время Linux резко ушел в отрыв
DL>> от Windows по числу успешных взломов, отрапортовала об итогах
DL>> августа. И итоги эти по-прежнему не слишком утешительны для
DL>> поклонников Linux. В течение августа на долю линуксовых серверов
DL>> пришлось 67 процентов успешных атак, на втором месте следует
DL>> Windows с 23 процентами, и менее двух процентов приходится на
DL>> BSD-системы. В абсолютных значениях, соответственно, 12892 - 4626
DL>> - 360.
IS> А мне стало интересно.
IS> Какй в каждой из катигорий процент взлома по криворукости админа?
Конечно большой процент зависит от криворукости, но это очень сложно оценить,
например берут выпускника вуза администратором для сетки 50 компьютеров в
какую-нибуть торговую контору заплатой 400 баксов. Это сейчас стандартный
вариант на job.ru. Допустим, у него есть не большой опыт работы. И он один эту
сетку начинает тянуть, 99% времени уходит на работу с пользователями,
инсталляцию нового ПО, апгрейд и ремонт компьютеров, которые ломаются по причине
жлобства при покупке железа. Постепенно его технический уровень уровень вырастет
и даже 1$ процент времени потраченный им на безопастность пойдет на пользу. Hо
минимум 2 года в плане безопастности его контора будет уязвима, да и жлобство и
экономия на тоже могут негативно сказаться. Вот допустим придет он к руководству
и скажет - нам нужен аппаратный файоволл( или даже еще проще просто роутер
Cisco), на что ему ответят - Hет на это денег.
IS> Чем виноват производитель если юзверь не хочет читать и не умеет
IS> работать? Можно только посочуствовать.
Дело тут, мне кажется не в том, у кого руки кривее, или что кто-то там чего то
читать не хочет и работать ленится. Обстановка, условия работы, оборудование,
средства выделяемые на IT, квалификация нанимаемых администраторов, их зарплата,
их загрузка - очень различается во всём мире. Довольно часто перед
администратором встает задача настрить незнакомое ему ПО, в котором он не знает
слабых мест и установок по умолчанию. Кроме того, по хорошему всё должно быть
четко поделено в IT - безопастностью занимается отдельный специалист,
helpdesk'ом другой, инсталляцией серверов третий.
Реальность в основном противоположна, поэтому, мне кажется, что тут огромное
значение имеют установки по умолчанию для ПО и операционных систем, поставляемых
производители. Статистика штука жестокая, ей можно верить, если конечно данный
отчет не подтасован и не проплачен Microsoft. Хотя если бы он был бы проплачен,
то про BSD системы там не было бы и речи. Мое IMHO, что данный отчет
соотвествует действительности, и дефолтные установки безопастности большинства
производителей дистрибутивов Linux (кроме может быть Debian и Slackware) далеки
от идеальных. Hо это мое IMHO, так как реально мне из всех дистрибутивов Linux,
которые я использовал, мне понравился только Debian.
Hе хочу сводить дискусиию к дурацким боданиям - виндоус/линукс маст дай. Это
ведь не интересно, и каждый всё равно останется при своем мнении. Поэтому
приведу пару примеров, для которых вина производителей ПО, вне зависимости от
платформы, доказана:
1. Открытый релей по умолчанию - раньше многие SMTP-сервера поставлялись с
открытым по умолчанию relay'ем. Этим грешили многие пакеты под Windows и UNIX.
Кому от этого было лучше? Только спамерам. Кто был виноват? Конечно
производители! Им было проще поставлять по с открытым релеем, чем с закрытым,
так как после установки ПО сразу начинало работать, без всякого дополнительного
конфигурирования. Система становилась более user frendly, но это сказывалось
отрицательно на безопастности, потому что в 30 процентах релей либо забывали
закрыть, либо просто не знали что его нужно закрыть для внешних сетей.
2. Рекурсия DNS (DNS recursion) для внешних клиентов должна быть выключена,
рекурсия должна выполняться только для локальных внутренних клиентов, внешние
клиенты должны использовать свои DNS серверы для разрешения имен чужих доменов.
Тем не менее, сейчас большинство DNS-серверов(BIND 9 в том числе) поставляется
производителями с настройками, которые позволяют производить DOS-атаки на сервис
DNS.
Разве сложно в процессе инсталляции DNS-сервера задать пользователю вопрос от
том, какие сети являются локальными, и на основе введённой информации
сформировать acl "inside" и acl "outside", сделать split horizont в named.conf?
И тем не менее этого не происходит, из дистрибутива в дистрибутив переходит
кривая конфигурация, пагубно сказывающаяся на безопастности.
Maxim
--- GoldED/W32 3.0.1
* Origin: MVS (2:5020/828.777)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
