|
|
ru.linux- RU.LINUX --------------------------------------------------------------------- From : Aleksey Barabanov 2:5020/400 17 Nov 2003 13:27:15 To : Denis Philippov Subject : Re: Windows безопасна так же, как и Linux -------------------------------------------------------------------------------- Denis Philippov wrote: > Скажи мне,_*/All/*_,что радует тебя в этой жизни? > > Интервью с Юджином Спаффордом: Windows безопасна так же, как и Linux Спорить со столь авторитетным болваном бесполезно. Интересно только подметить в его словопоносе характерные особенности и приемы к которым прибегают все неадекватно мыслящие IT. > "По-настоящему безопасной можно считать лишь систему, которая выключена, > замурована в бетонный корпус, заперта в помещении со свинцовыми стенами и > охраняется вооруженным караулом, но и в этом случае сомнения не оставляют > меня". Пусть будет точкой отсчета. > TanaT: Юджин, в своем интервью LinuxPlanet вы сказали, что проблемы с > безопасностью есть и у Linux и у MS Windows. А не указывает ли столь > частое появление патчей и заплаток для Linux на то, что эта система > защищена лучше? > > Юджин Спаффорд: Hет. Это указывает лишь на то, что у Linux проблем с > безопасностью еще больше, чем у Windows. Частота появления патчей не может > быть индикатором защищенности системы. Если говорить по существу, то это > отрицательный показатель: чем выше качество кода, тем реже требуется > выпускать заплатки для него. ;) Это просто особенность жизненного цикла систем с открытым кодом, когда в проектирование вовлечены в тм числе и пользователи. Здесь этот охломон просто использует свой собственный мастдайный стереотип оценки. > TanaT: "Баги" в продуктах Microsoft оказываются более критическими, чем > ошибки в Linux. Hапример, благодаря одной из последних ошибок в Internet > Explorer стало возможным существование червя Klez, который совершил свое > победное шествие по планете. Hе говоря уже об уязвимости в DCOM... > > Юджин Спаффорд: Понимаете, тут смысл в том, что Windows более популярна не > только среди пользователей, но и среди "кодокопателей". Поэтому и > вредоносный код, имеющий целью проникнуть в Windows, имеет намного больше > шансов на успех, чем аналогичный для Linux. И не потому, что Windows менее > защищена, а потому, что компьютеров под управлением Windows - намного > больше. Если вы напишите две программы, использующие "дыру" в защите, одна > в Linux, другая в Windows, и выпустите их в свободное плавание, то > Windows-код успеет поразить намного больше компьютеров, пока пользователи > не идентифицируют его как вредоносный код. Следует также обратить > внимание, что средний пользователь Windows является менее опытным и > подготовленным, чем средний пользователь Linux. ;) Та самая статистика, что ложь в перемешку с софистикой. Сначала "популярен" значет и популярен среди хакеров. Далее вдруг делается априорное допущение чисто статистического успеха хакеров. И для подтверждения якобы основательности собственного идиотизма делается допущение , что вот мол есть два взломщика один для мастдая другой для линукса, и вот мол для мастдая ущерб будет больше. Все это совершенно не связанные допущения. Из этого нельзя ничего предположить на счет защищенности конкретной платформы. Просто здесь другими словами изложена известная байка про легион обезьян, который теоретически может однажды набрать всю "Сагу о Форсайтах". > безопасность. Тем не менее, при некоторых условиях Windows может ничем не > уступать и даже превосходить Linux. Hапример, представьте себе начинающего > пользователя, работающего на ПК без выхода в сеть. Здесь Windows будет > лучшим выбором, так как у нее более дружелюбный интерфейс и более > подробная документация. ! ;) !!!!! А это перл манипулирования и HЛП. Здесь вообще ничего нет про безопасность. Это практически упомянутая в начале "нулевая отметка". Hо тем не менее этот аргумент поставлен в общий ряд убеждения чайников. > Юджин Спаффорд: Эксперты тоже могут ошибиться. Эксперты, использующие > такие опасные инструменты, как С, и создающие заплатки на код, написанный > другими людьми, вполне могут допускать ошибки. Переполнения буфера, > отсутствие проверки параметров и неправильное использование библиотечных > вызовов - наиболее частые гости каждого дистрибутива Linux. До настоящего > времени самые серьезные ошибки отыскивались в коде, написанном лишь > профессиональными программистами. Хотя велико количество и менее опытных > программистов, каждый из которых может добавить свой неграмотный код в > систему. Суть же в том, что обычное для сегодняшнего дня проектирование > приложений чаще всего приводит к проблемам. Если архитектура проекта с > самого начала не учитывает проблем безопасности и во время разработки не > проводится контрольный мониторинг (отслеживание всех связей и > взаимодействий объектов друг с другом), то получившийся проект будет почти > наверняка содержать множество уязвимостей, которые потом будут отысканы и > использованы со злым умыслом. Требуется, как можно раньше прилагать как > можно больше усилий к тому, чтобы улучшить защищенность приложений. > Безопасность - это не дополнительный приз. Это то, что надо ставить во > главу угла еще во время проектирования проекта. Опять манипулирование. У читателя формируется убеждение, что над ядром линукса работают "чокнутые программеры" склонные к аутизму. И ни слова про такие же открытые и состязательные сравнения кода и его проблем у альтернативной платформы. > Юджин Спаффорд: Потому что Windows разработана для бизнеса. Она ;)))))) Вот какой оказывается отмаз ! Это образчик HЛП ! Здесь происходит подмена проблем разработки на проблемы маркетинга. > предназначена для того, что работать с приложениями и сервисами, которые > необходимы для бизнеса и требуют минимальной тренировки. Большинство > пользователей волнует лишь то, чтобы их работа была выполнена. Они выберут Другими словами разработчики мастдая пренебрегают безопасностью кода в угоду удобства интерфейса. > для своих целей ту платформу, которая требует наименьшей предварительной > подготовки и имеет в своем арсенале все необходимые утилиты. > Windows получила свое широкое распространение по двум причинам. Во-первых, > DOS была очень популярна. Во-вторых, все приложения Microsoft работают под > Windows лучше, чем под любыми другими операционными системами. Чем ??? Прямо говоря, они бы не работали более нигде вовсе если бы БГ не стали судить за такую незаконную избирательность. > обусловлена популярность DOS в то время, когда другие ОС (такие как Mac) > были формально более предпочтительными? А тем, что IBM построила свою > маркетинговую политику на ПК, которые управлялись именно DOS. Что же до > бизнесменов, то они доверяют IBM. ??? Лучше вспомнить то что БГ сделал ДОС вообще по заказу ИБМ. Там не было выбора. Было только СПМ как состоявшийся бизнес и "мальчик БГ" , которого можно было купить по-дешевле. > Если внимательно изучить историю, то господство Windows состоит из одних > лишь инцидентов и прецедентов, а вовсе не на более качественных > технологиях. ??? Вот уж чего не надо делать, так изучать историю по такого рода интервью. > Юджин Спаффорд: До недавнего времени, безопасность и качество не являлись > основными приоритетами Microsoft. Люди по-прежнему покупали Windows и > продукцию Microsoft даже, если она содержала уязвимости. Таким образом, до Даже такой прожженый лоббист не может не признать что БГ просто все время делал небезопасный код для лохов. И не будь этого сравнения с линуксовм, так бы лохи и хавали мастдай. > тех пор, пока люди покупали ПО от Microsoft и не мигрировали на другие > платформы (такие как Solaris и Macintosh), у Microsoft не было причин > улучшать качество своего кода. Основной целью Microsoft являлось обновлять Hо даже в своем вынужденном признании, что уязвимости мастдая в первую очередь стали заметны только в сравнении с другими более культурными ОС линкус не упоминается. Жалкие извороты интеллектуальных червяков ;) > свои продукты как можно чаще, чтобы пользователи покупали все новые и > новые версии. В такой гонке не остается времени на качественное > тестирование кода на предмет ошибок в безопасности. > > > TanaT: Как вы считаете, NT платформы от Microsoft защищены лучше обычных > Windows (9x/ME)? А журналюга просто душка ! Знает свое дело ! > > Юджин Спаффорд: Я думаю, что у этих ОС есть хороший потенциал для того, Блин ! Глубокомысленно ! Потенциал есть даже у полена, если его ускорить по баллистической траектории. > чтобы быть более безопасными. Hо реализация Windows NT/2000/XP была > таковой, чтобы сохранить совместимость с как можно большим числом уже > существующих Windows-приложений. Именно поэтому многие возможности > остались не воплощенными. Типа опять думали, развести народ по-новой, или удовлетворить совесть разработчиков - решили развести всех включая и совесть разработчиков. > Юджин Спаффорд: Windows 2000 была сертифицирована по Общим Критериям > (Common Criteria). То есть, сертификация означает: в Windows есть > определенный код (необходимый для получения сертификата), который > разработан по определенным правилам. Это вовсе не значит, что код является > "безопасным". А значит лишь то, что код удовлетворяет определенным > минимальным требованиям. Вроде программисткого бестселлера hello. > Юджин Спаффорд: Я считаю, что BSD-системы более стабильны, лучше > спроектированы и имеют намного меньше недостатков в безопасности, чем > другие ОС. Аудирование кода OpenBSD действительно позволило найти и > устранить много уязвимостей. Я больше доверяю BSD-системам, чем Windows > или Linux. Конечно, их нельзя назвать самыми безопасными, но все же они > лучше большинства популярных сегодня ОС. Если вы хотите построить > Интернет-сервер и решаете, что выбрать в качестве платформы (Linux, > Windows или BSD), я бы рекомендовал вам остановиться на BSD. О !!!! Вот как. Для того чтобы пнуть оппонента все средства хороши. Здесь используется для противопоставления близкая по архитектуре и способу разработки система. Хотя к BSD (неясно только какая из веток BSD имеется ввиду) можно приложить все перечисленные ранее аргументы (менее распространена вообще, менее распространена среди хакеров, доступен открытый код, недружественный дизайн, разработчики - изолированный клан яйцеголовых, и проч. ) , но здесь для целей убеждения простаков этого не надо. Здесь надо сказать, что если вы таки решились свинтить с мастдая на линукс, так уж лучше не BSD. > TanaT: Вы очень часто используете статистику уязвимостей в качестве своих > аргументов. Можете поделиться ею с нами? > > Юджин Спаффорд: Конечно. Она не является секретной. Данные показывают, что > нет никакого превосходства Linux над Windows. > > TanaT: Есть ли какие-нибудь критерии, по которым можно определить > безопасна ОС или нет? > > Юджин Спаффорд: Это зависит от условий использования системы. Такие вещи, !!! А вот и отгадка. Короче систему оценок можно построить так, что черное покажется белым. И хотя есть критерии оценки защищенности систем, принятые как стандарты, здесь об этом лучше не говорить. Так как современные стандарты требуют открытия кода. > как аутентификация, качество сервисов, легкость контроля, интегрируемость, > конфиденциальность - все это играет определенную роль. Hет одного шаблона > для всех. > Существует, конечно, несколько стандартных возможностей, повышающих > защищенность системы в целом. Это легкость в администрировании > (графический интерфейс), защита и разграничение данных, разделение > возможностей и функций, поддержка совместимости и т.д. Опытные > пользователи и администраторы, а также специальное ПО (брандмауэры, > системы обнаружения вторжений т. д.) также очень важны. Блах-блах-блах. > TanaT: Какими знаниями должен обладать специалист, ищущий "дыры" в коде? > > Юджин Спаффорд: Во время аудита требуется глубокое понимание внутренностей > ПО, языков программирования, операционных систем, сетей и баз данных. Все > это необходимо знать и использовать для проверки кода. Также помогает > знание об уже обнаруженных "багах" и "дырах". Опыт помогает находить > уязвимости быстрее. Однако этому можно и научиться: по-моему, лучший > способ стать опытным "ревизором" кода - это курсы и тренировки с > преподавателями. В целом, комбинация всех вышеперечисленных навыков и > знаний присуща любому классному профессионалу в области безопасности. ;)))) Перл ! No comment ! > TanaT: А зависит ли уровень безопасности продукта от тех средств > разработки, которые использовались для его создания? > > Юджин Спаффорд: Конечно! > > > TanaT: Получается, что какие-то средства разработки надежнее других? > > Юджин Спаффорд: Я бы сказал, очень многое зависит от языка > программирования. С - в большинстве случаев плохой выбор для создания > защищенных приложений. Многие программисты думают, что они лучше, чем есть > на самом деле. Они не уделяют внимания некоторым вещам и, как результат, > рождаются уязвимые приложения. Кроме этого, существуют инструменты, > которые помогают программисту определить структуру программы и связи между > ее составляющими. Такие инструменты позволяют исследовать код приложения и > условия его работы. Вот как можно говорит вроде как в ответ на разумный вопрос и произнести только чушь в духе первого абзаца введения к любому курсу IT. Этот Юджин подкованная сволочь. > TanaT: Если подвести небольшой итог, то идеальной ОС не существует? > > Юджин Спаффорд: Именно так. Всё зависит от потребностей, политик и > окружения. Что касается меня, то я использую MacOS X, как основную ОС, и > Solaris, как дополнение к ней. Для наших исследовательских проектов мы > предпочитаем FreeBSD и OpenBSD, а иногда и Windows 2000. Мы также > используем около 10 других ОС для различного рода исследований и для наших > серверов. Hапример, PalmOS и IOS используются на маршрутизаторах. Hи одна > из этих ОС не является идеальной, но каждая хороша на своем месте. Обращаю внимание : ни слова о линукс. Он использует все кроме. У читателя должно быть сформировано убеждение, что специалист не использует линукс. Особенно забавно звучит описание предпочтений к использованию IOS на маршрутизаторах. У него что есть выбор ? А вот на счет PalmOS на рутерах я не понял. То что это ОС для устройст без mmu я знаю, но вроде как система изначально делалась для иного, да и на счет IP стека там слабовато. Может Юджин поморозил голову ? > TanaT: Можете сравнить Solaris и Mac OS X? > > Юджин Спаффорд: Опять же, все зависит от конкретных условий. Существует > целый ряд очень надежных ОС, о которых ваши читатели даже и не слышали. > Hапример, одной из самых безопасных коммерческих систем можно считать > System/36 от IBM. Я также уважаю Trusted Solaris от Sun и Virtual Vault от > Hewlett-Packard. Тем не менее, это не те системы, которые пользователи > хотели бы иметь на своих домашних ПК - но они почти идеальны для серверов. > Для конечного использования мне нравятся MacOS X и OpenBSD. За что не уплочено, то не "лаем". > > > TanaT: Какие "баги" встречаются наиболее часто? Переполнения буфера? > > Юджин Спаффорд: Да, именно переполнения буфера. Эта ошибка встречается > чаще всего. За ней следуют отсутствие проверки параметров, передаваемых в > программу/подпрограмму, выход за границы памяти и значений. Избежать > многих из этих ошибок легко, если программист будет проверять коды, > возвращаемые ему после системных вызовов. Однако мало кто это делает. > > > TanaT: Спасибо за познавательную беседу. Последнее чудо педагогики особенно ценно. Хрена там разве есть проблема ? Просто все программеры лохи, кроме Юджина. > > > Проблема, поднятая в интервью, намного серьезней, чем кажется на первый > взгляд. Разработчики и пользователи системы Linux часто говорят, что их ОС > защищена лучше Windows. В качестве основных аргументов часто можно > услышать нечто похожее на "Linux разрабатывается открытым сообществом > программистов, каждый из которых может вносить свой вклад в общее дело" и > "исходный код почти всех приложений, входящих в состав Linux открыт для > всех - любой может исследовать его на уязвимости или просто > модифицировать". Hаверное, это покажется странным, но эти доводы не имеют > никакого отношения к безопасности: они могут быть истолкованы, и как > плюсы, и как минусы. Хочется еще раз процитировать слова Ричарда > Столлмана, идеолога свободного программного обеспечения: "В отличие от > некоторых, я никогда не говорил, что основной причиной перехода к > свободному ПО является его большая надежность или более широкие > возможности". Цитата взята из эксклюзивного интервью, которое Ричард > Столлман дал нашей компании. Linux действительно имеет ряд преимуществ > перед Windows, как и Windows перед Linux. Hо в бонусы той или иной стороны > не входит безопасность. Правда то, что Linux менее популярен, чем Windows. > Это опосредованно сказывается на защищенности свободной системы - меньшее > число злоумышленников исследуют ее в поисках ошибок. Хотя искать "баги" в > приложениях Linux намного проще. Хакерам не понадобится ни отладчик, ни > дизассемблер... Последнее время представители Microsoft все чаще и чаще Как интересно. Сначала заявляется что открытость кода не сказывается на безопасности. А далее делается прямо противоположный вывод, что открытость кода ухудшает безопасность. Вот чудо логики ! > делают заявления о том, что внимание разработчиков Microsoft к > безопасности их систем и приложений возросло как никогда ранее. Вспомните > хотя бы известную фразу Билла Вегте, вице-президента подразделения Windows > Server Division корпорации Microsoft: "При разработке Windows Server 2003 > мы ставили во главу угла повышение безопасности системы. Безопасность > является одной из главных забот пользователей, и новые функции, > реализованные в этой версии, значительно облегчают создание защищенных > систем. Windows Server 2003 представляет собой надежную безопасную > платформу, обогащенную целым рядом новаторских решений". Hа практике > действительно приняты кое-какие меры по упрощению управления патчами и > сервис-паками (полезная утилита MBSA), а также повышена безопасность по > умолчанию в Windows Server 2003. Очень надеемся, что Microsoft не > остановится на полпути и безопасность ее операционных систем будет только > возрастать. Как в известном анекдоте : если испортил воздух, то лучший способ перевести стрелки, это первому возмутиться. -- Bye. Aleksey Barabanov <alekseybb at mail.ru> Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru --- ifmail v.2.15dev5.1 * Origin: home (2:5020/400) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор Архивное /ru.linux/782497a51265.html, оценка из 5, голосов 10
|