|
|
|
|
פורסם: 26/06/2004 - 19:38
נושא ההודעה: האם לינוקס יותר מאובטחת מוינדוס?
|
שלום לכולם.
לפני כמה ימים השתתפתי בדיון בפורום כלשהוא,ומישהוא טען שלינוקס פחות (!!!) מאובטחת מוינדוס.
הוא כתב שללינוקס יצאו,רק בחודש יוני שלושה חורי אבטחה,ואילו לוינדוס אפילו לא אחד.
ולהפתעתי לא הייתה לי תשובה על זה,וזה גרם לי לחשוב על העיניין.
אז אני שואל אתכם,האם לינוקס באמת ויתר מאובטחת מוינדוס?
ואיך בדיוק העיניין מתבטא?!
|
|
חזרה לתוכן הדיון |
פורסם: 26/06/2004 - 20:05
נושא ההודעה:
|
תראה, מצד אחד, אם אתה מג מרמה 9+, תוכל להטיל 2ק12 ולחשב את סיכוי הפגיעה במערכת חלונות (dex:7, str:3.2, hp:37) לעומת מערכת לינוקס (dex:9, str:3, hp: 28 ). אם יוטל קסם firewall לפני (הגוזל שני hp עבור כל פורט), ירדו אחוזי הפגיעה ביחס לוגריתמי לרמת האבטחה, מה שגורר מצב שבו יציבות המערכת תלויה במספר חורי־האבטחה שנתגלו (כל חור־אבטחה גוזל 3 יחידות mana). מצד שני, אסור לשכוח שעל כל חור־אבטחה השה"מ נותן לשחקנים 20 מ"כ ו־10 מ"ז.
לא. לא הכל נמדד ב"למי יש יותר הרבה (חורי־אבטחה במקרה דנן)". זה מורכב יותר.
|
|
חזרה לתוכן הדיון |
פורסם: 26/06/2004 - 20:22
נושא ההודעה:
|
Anonymous_Coward : | תראה, מצד אחד, אם אתה מג מרמה 9+, תוכל להטיל 2ק12 ולחשב את סיכוי הפגיעה במערכת חלונות (dex:7, str:3.2, hp:37) לעומת מערכת לינוקס (dex:9, str:3, hp: 28 ). אם יוטל קסם firewall לפני (הגוזל שני hp עבור כל פורט), ירדו אחוזי הפגיעה ביחס לוגריתמי לרמת האבטחה, מה שגורר מצב שבו יציבות המערכת תלויה במספר חורי־האבטחה שנתגלו (כל חור־אבטחה גוזל 3 יחידות mana). מצד שני, אסור לשכוח שעל כל חור־אבטחה השה"מ נותן לשחקנים 20 מ"כ ו־10 מ"ז.
לא. לא הכל נמדד ב"למי יש יותר הרבה (חורי־אבטחה במקרה דנן)". זה מורכב יותר. |
ג-ד-ו-ל !
אהבתי
|
|
חזרה לתוכן הדיון |
פורסם: 26/06/2004 - 20:25
נושא ההודעה:
|
למען האמת,אני לא מבין גדול ב-D&D (או כל דבר דומה) ולכן אודה לך אם תביע את דעתך באופן ברור יותר.
ומה זאת אומרת לא הכל נמדד בלמי יש יותר חורי אבטחה?
תקן אותי אם אני טועה,אבל מערכת בעלת יותר חורי אבטחה היא יותר פגיעה.
|
|
חזרה לתוכן הדיון |
פורסם: 26/06/2004 - 20:39
נושא ההודעה:
|
Anonymous : | למען האמת,אני לא מבין גדול ב-D&D (או כל דבר דומה) ולכן אודה לך אם תביע את דעתך באופן ברור יותר.
ומה זאת אומרת לא הכל נמדד בלמי יש יותר חורי אבטחה?
תקן אותי אם אני טועה,אבל מערכת בעלת יותר חורי אבטחה היא יותר פגיעה. |
זו בדיוק הבעיה: חשיבה המקשרת כמות לחשיבות.
מה הכוונה? עומדים מולך תשעה מטבעות של 1₪ בצד אחד, ומטבע אחד של 10₪ בצד השני, במה תבחר? מספר המטבעות לא רלוונטי כאן: אמנם יש יותר מטבעות של 1₪, אבל עדיין סכומם קטן מהמטבע היחיד שמייצג 10₪.
אני מקווה שהמשל ברור: לכל חור־אבטחה יש חשיבות שונה, ולכן מניה שלהם אינה טיעון. באבטחת־מידע השיקול מורכב אפילו יותר: חור מסויים יהיה קריטי עבור מערכת מסויימת שנבנתה למטרות מסויימת, וזניח לשניה (לדוגמה: פגם במודול הרשת יהיה קריטי למערכות מסויימות שמחוברות לרשת, אבל זניח למערכות standalone). מלבד זאת, "רמת האבטחה" של מערכת לא נמדדת רק בחורי־האבטחה.
|
|
חזרה לתוכן הדיון |
פורסם: 26/06/2004 - 20:44
נושא ההודעה: Re: האם לינוקס יותר מאובטחת מוינדוס?
|
OOO : | שלום לכולם.
לפני כמה ימים השתתפתי בדיון בפורום כלשהוא,ומישהוא טען שלינוקס פחות (!!!) מאובטחת מוינדוס.
הוא כתב שללינוקס יצאו,רק בחודש יוני שלושה חורי אבטחה,ואילו לוינדוס אפילו לא אחד.
ולהפתעתי לא הייתה לי תשובה על זה,וזה גרם לי לחשוב על העיניין.
אז אני שואל אתכם,האם לינוקס באמת ויתר מאובטחת מוינדוס?
ואיך בדיוק העיניין מתבטא?! |
שים לב, ציטוט מתוך ה-FAQ השלם של פינגווין,
ציטוט: | כידוע לכל, הקוד מקור של לינוקס, זמין לכל, מה שיוצר לנו לכאורה בעיות אבטחת - כל אחד יכול להציץ בקוד המקור, למצוא פרצות ולנצל אותם (כל אחד שמבין מספיק בתכנות).
בפועל, מסתבר שקוד פתוח במקרים מסויימים, לא רק שהוא בטוח, הוא אפילו בטוח הרבה יותר מקוד סגור.
הסיבה היא שקוד פתוח מבטיח שאלפי תכנתים ברחבי העולם, מסתכלים על הקוד ומשפרים אותו מתוך בהתנדבות.
לפיכך, הסיכוי שיהיה חור שלא יתגלה על ידם טרם השחרור של הקוד הוא נמוך.
כמו כן השיטה שבא עובד הקוד הפתוח, מאפשר במקרים שבהם מתגלה חור אבטחה, ליצור פתרון מהיר ביותר (בד"כ תוך שעות ספורות יש תיקון).
בעולם הקוד הסגור, בהרבה מקרים, תיקוני אבטחה נדחים למשך זמן ארוך יחסית.
למעשה, פורסם שגופים כמו גופי הבטחון של מדינת ישראל, עושים שימוש בקוד פתוח במערכות רגישות, בשל היכולת של ארגונים כאלה, לדעת מה הם מקבלים במדויק, ולהיות בטוחים, שיש להם את המערכת המאובטחת ביותר שיכולה להיות. |
שים לב לחלק המודגש.
|
|
חזרה לתוכן הדיון |
פורסם: 26/06/2004 - 21:15
נושא ההודעה:
|
Anonymous_Coward : | Anonymous : | למען האמת,אני לא מבין גדול ב-D&D (או כל דבר דומה) ולכן אודה לך אם תביע את דעתך באופן ברור יותר.
ומה זאת אומרת לא הכל נמדד בלמי יש יותר חורי אבטחה?
תקן אותי אם אני טועה,אבל מערכת בעלת יותר חורי אבטחה היא יותר פגיעה. |
זו בדיוק הבעיה: חשיבה המקשרת כמות לחשיבות.
מה הכוונה? עומדים מולך תשעה מטבעות של 1₪ בצד אחד, ומטבע אחד של 10₪ בצד השני, במה תבחר? מספר המטבעות לא רלוונטי כאן: אמנם יש יותר מטבעות של 1₪, אבל עדיין סכומם קטן מהמטבע היחיד שמייצג 10₪.
אני מקווה שהמשל ברור: לכל חור־אבטחה יש חשיבות שונה, ולכן מניה שלהם אינה טיעון. באבטחת־מידע השיקול מורכב אפילו יותר: חור מסויים יהיה קריטי עבור מערכת מסויימת שנבנתה למטרות מסויימת, וזניח לשניה (לדוגמה: פגם במודול הרשת יהיה קריטי למערכות מסויימות שמחוברות לרשת, אבל זניח למערכות standalone). מלבד זאת, "רמת האבטחה" של מערכת לא נמדדת רק בחורי־האבטחה. |
זה הרבה יותר ברור,תודה!
אבל כמו שהבנתי ללינוקס יש סוגים שונים של חורי אבטחה.
כך שהמשל לא ממש עונה על שאלתי.
ובמה עוד נמדדת רמת האבטחה אם לא בחורי אבטחה?!
|
|
חזרה לתוכן הדיון |
פורסם: 26/06/2004 - 21:28
נושא ההודעה:
|
אני לא מומחית אבטחה, אבל נראה לי שבגדול, אפשר לחלק "כמות האבטחה" לכמה חלקים:
* כמות הבעיות.
* חומרת הבעיות.
* כמות השירותים הבעייתים הפתוחים כברירת מחדל.
* ההכלה של הבעיות.
* בעיות ללא פתרון.
כמות הבעיות.
זה די מובן מאליו. אלא מה, שלא צריך להתבלבל מכמות העדכונים: מיקרוסופט ידועים בכך שהם מצרפים תיקונים לבעיות שונות לחבילה אחת, כדי להקטין את מספר החבילות בסטטיסטיקה. מצד שני, אם רד האט, סוזה ודביאן מוציאים תיקון לאותה בעייה, האם אתה סופר את זה כתיקון אחד או שלוש?
חומרת הבעיות
יכולות להיות למוצר אחד מספר X של בעיות, בעוד למוצר השני יש X+8 בעיות. האם המוצר השני יותר בעייתי מהראשון? לא בהכרח- יכול להיות שקשה הרבה יותר לנצל את הבעיות, או שגם אם מנצלים אותן, ההשפעה קטנה יחסית.
כמות השירותים הבעיתיים הפתוחים כברירת מחדל
לא מזמן שוחרר עדכון אבטחה ל־ssh עבור osx של אפל. אלא מה, התיקון לא השפיע הרבה על רוב המשתמשים: כברירת מחדל, ssh מכובה, ולא מופעל בכלל.
מצד שני, יש מערכות שאתה מתקין, והרבה מאוד שירותים פתוחים כברירת מחדל- כך שאם יש בהן בעיות, או שאתה משתמש "פשוט" שלא יודע מה לסגור, אתה תפגע.
ההכלה של בעיות
האם המערכת בנוייה כך שפגיעתה של בעייה בתוכנה אחת תהיה מוגבלת? או שלכל התוכנות יש גישה להכל, כך שגם בעיות מינוריות כשלעצמן הופכות להיות בעיות גדולות?
בעיות ללא פתרון
בעולם הקוד הסגור, לפעמים מתגלות בעיות, אבל ספק התוכנה מתעכב בתיקונן. הנה מאמר שנתקלתי במקרה רק לפני כמה ימים, המתאר בעיות של מנהלי רשתות המבוססות מיקרוסופט, עקב בעיות לא מתוקנות שיש באקספלורר:
http://www.mercurynews.com/mld/mercurynews/business/9018822.htm?1c
בעיות כאלה כמובן לא יכנסו לסטטיסטיקות של תיקונים (כי אין להם תיקון), אבל האם הן לא משפיעות?
------
עכשיו, אל תחכה שאגיד לך מה יותר טוב- תשאל את עצמך: במדדים האלו- איך חלונות מתמודדת? איך הפצות הלינוקס השונות מתמודדות?
|
|
חזרה לתוכן הדיון |
פורסם: 26/06/2004 - 21:57
נושא ההודעה: Re: האם לינוקס יותר מאובטחת מוינדוס?
|
OOO : |
ללינוקס יצאו,רק בחודש יוני שלושה חורי אבטחה,ואילו לוינדוס אפילו לא אחד.
|
בלי להכנס לויכוח (הלא רלונטי, לדעתי) כדאי לדייק בסטטיסטיקות.
נכון, ביוני לא התפרסמו חורי אבטחה בחלונות. אבל במאי התפרסמו מספיק בשביל חודשיים:
http://www.securiteam.com/windowsntfocus/5UP0B2ACUK.html
http://www.securiteam.com/windowsntfocus/5DP0B20CUW.html
http://www.securiteam.com/windowsntfocus/5HP0G0KCUI.html
http://www.securiteam.com/windowsntfocus/5CP0B0KCUU.html
http://www.securiteam.com/windowsntfocus/5PP032KCUA.html
וזה בלי להזכיר 2 פרצות נוספות שיודעים שהם קיימות אבל לא פורסם מידע עליהם (כי מיקרוסופט לא טרחה לשחרר עדיין טלאי):
http://www.eeye.com/html/research/upcoming/
חוץ מזה שיוני עוד לא נגמר
|
|
חזרה לתוכן הדיון |
פורסם: 26/06/2004 - 22:02
נושא ההודעה:
|
|
|
חזרה לתוכן הדיון |
פורסם: 26/06/2004 - 23:06
נושא ההודעה:
|
אני בעצמי מתקשה להאמין שאני מגיב בדיון כזה אבל...
בתזמון נהדר פורסמו אתמול שתי חדשות מעניינות ב- netcraft
IIS Server Malware is Phishing Scam
IIS Exploit Infecting Web Site Visitors With Malware
אני במקומכם הייתי בודק היטב מה מריצים האתרים שבהם אני קונה באינטרנט.
עדכון- בדיקה חפוזה מעלה שאולסייל על חלונות בזמן ש- נטאקשן על מגוון מערכות לינוקס/יוניקס/BSD.
|
|
חזרה לתוכן הדיון |
פורסם: 27/06/2004 - 00:04
נושא ההודעה:
|
השאלה הזו לא נמצאת ב־FAQ?
בכל מקרה, הנה סיכום קצר של דעתי:
מערכת חלונות סובלת מבעיות רבות ומגוונות:
1. אין מספיק הפרדה בין קוד לבין נתונים. לדוגמה: מסמך וורד יכוללכלול כל מיני פקודות ("מקרואים") ואפשר להגדיר שבמקרואים יורצו בצורה אוטומטית. במערכות יוניקס מאוד משתדלים שדברים כאילו לא יקרו. גם כאשר הם קיימים (ע"ע postscript) דואגים שכאשר אתה תראה מסמכי postscript שהגיעו ממקורות לא אמינים, הפומקציות הללו יהיו מבוטלות.
2. אין מספיק הפרדה בין משתמשים ובין המשתמש למערכת. יותר מדי מקובל לרוץ באופן קבוע עם הרשאות מקסימליות (administrator)
3. אין מנגנון עדכון תוכנה אמין מספיק:
יותר מדי משתמשים פוחדים להתקין עדכוני אבטחה מומלצים בגלל שבמקרים רבים מדי עדכונים אילו גרמו לבעיות. גם מנגנון העדכון של מיקרוסופט מעדכן רק את מערכת ההפעלה ולא מעדכן תוכניות אחרות של מותקנות. המשתמש לא יטרח להתקין בעצמו עדכונים לכל תוכנה.
4. חוסר מנגנוני הפצת־תוכנה אמינים
בלינוקס אתה מקבל עם ההפצה מגוון גדול של תוכנות ולא צריך להתקין הרבה תוספים. יש מנגנון אמין להתקנת תוכנות שמגיעות עם ההפצה ולעדכונן. אין למשתמשים עודף סיבות "להשיג" תוכנה ממקורות מפוקפקים. משתמשים לא יריצו סתם קוד ממקור לא אמין (כמו מהודעת דואר).
וזה עוד בלי להתייחס לאיכות התוכנה.
|
|
חזרה לתוכן הדיון |
פורסם: 27/06/2004 - 00:34
נושא ההודעה:
|
נתגלתה עוד פירצה חמורה בשרתי windows. מומחי אבטחה ממליצים לא להשתמש באקספלורר עד שיתוקן חור האבטחה.
http://www.ynet.co.il/articles/0,7340,L-2937723,00.html
|
|
חזרה לתוכן הדיון |
|
|
|
|