URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 38240
[ Назад ]

Исходное сообщение
"OpenNews: Сравнение безопасности операционных систем. Рейтинг программ."

Отправлено opennews , 22-Авг-07 22:51 
В отчете "July 2007 - Operating System Vulnerability Scorecard (http://blogs.technet.com/security/archive/2007/08/16/july-20...)" проводится сравнение безопасности операционных систем, отталкиваясь от числа устраненных уязвимостей. В документе не принято во внимание оперативность выхода исправлений и наличие не устраненных проблем.

В материале "Open Source Security, Part 2: 10 Great Apps (http://www.linuxinsider.com/rsstory/58906.html)" представлены 10 лучших, по мнению авторов рейтинга, программ имеющих отношение к безопасности: Kismet, Snort, OpenSSH, GnuPG, RKHunter, ClamAV, TrueCrypt, Bastille, IP Filter, SpamAssassin.

URL: http://blogs.technet.com/security/archive/2007/08/16/july-20...
Новость: http://www.opennet.me/opennews/art.shtml?num=11785


Содержание

Сообщения в этом обсуждении
"Сравнение безопасности операционных систем. Рейтинг программ."
Отправлено Dvorkin , 22-Авг-07 22:51 
> отталкиваясь от числа устраненных уязвимостей

задача:
Буратино дали 2 яблока. одно он сьел. сколько яблок осталось у Буратино?
1?
- от одного до бесконечности. не забывайте обнулять переменные.
маркетинг - дело хорошее. особенно, когда сравнение исходит из уст директора по секьюрити Майкрософт

носятся со спамотсосином как курица с яйцом. в то же самое время, никто не знает про dspam.
после перехода со spamassassin (скорость обработки письма в среднем 3-5 секунд) на dspam (скорость обработки 0.03-0.05 секунд) сервер почувствовал себя заметно стабильнее.
раздражает только отсутствие _управляемых_ белых списков


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено anton_lva , 23-Авг-07 09:10 
>> после перехода со spamassassin (скорость обработки письма в среднем 3-5 секунд) на dspam (скорость обработки 0.03-0.05 секунд) сервер почувствовал себя заметно стабильнее

Все носятся с dspam, как петух с яйцами, а в тоже время никто не знает про KAS ;))


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено Dvorkin , 23-Авг-07 11:14 
>Все носятся с dspam, как петух с яйцами, а в тоже время
>никто не знает про KAS ;))

KAS надо покупать, а я говорю про open-source. шутку не понял. телеграфирую


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено anton_lva , 24-Авг-07 10:50 
>KAS надо покупать, а я говорю про open-source. шутку не понял. телеграфирую
>

Сто баксов в год - это "покупать"? Я вас умоляю, диссидентство - это уже не модно ))


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено Dvorkin , 24-Авг-07 13:33 
>>KAS надо покупать, а я говорю про open-source. шутку не понял. телеграфирую
>>
>
>Сто баксов в год - это "покупать"? Я вас умоляю, диссидентство -
>это уже не модно ))

КАС удивил вот чем. мы купили лицензию на неограниченное кол-во почтовых ящиков и фильтруемых сообщений. типа более-менее крупный клиент.
на вебмайле делаем возможность своим клиентам создавать себе индивидуальные профайлы по фильтрации почты. через 2 дня обнаруживаем, что КАС способен видеть только первые 50 профайлов. результат обращения к разработчику - да, есть такой баг! спасибо, что помогли нам его найти! но фиксить мы его не (далее неразборчиво, видимо не умеем/не хотим/..)

стоил для нас КАС никак не 100$
какое нахуй диссидентство, когда платишь достаточно большие деньги за программу, которая может точно то же самое, что и ее open-source аналог???


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено anton_lva , 24-Авг-07 14:34 
В этом и разница - она *может* ))

Насчет 50 профайлов - первый раз слышу. На корпоративном мта 514 учеток, всем все фильтруется...


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено Dvorkin , 24-Авг-07 15:47 
>В этом и разница - она *может* ))
>
>Насчет 50 профайлов - первый раз слышу. На корпоративном мта 514 учеток,
>всем все фильтруется...

на корпоративном МТА несколько тысяч учеток. все фильтруется. но максимум 50 индивидуальных профайлов. все остальные фильтруются дефолтным профайлом. если бы решение о продлении лицензии принималось до обнаружения фичи, я бы на этот сервер поставил открытый dspam, программнул бы к нему webui, а половину разницы между бесплатным dspam и _очень_ платным для нас КАС мне бы выписали в кач-ве премии.


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено TruthSeeker , 24-Авг-07 01:06 
+1
Postgrey + KAS + bayes для почтового клиента (для перфекционизма) = szero spam, zero false pozitives :)

"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено ЩекнИтрч , 24-Авг-07 08:40 
Postgrey = полный ПАРАЛИЧ переписки.
Неприемлемые задержки из-за fall-back серверов, находящихся в разных подсетях.
В алгоритме "бесконечное число fall-back серверов" письма через greylisting не доставляются НИКОГДА :)

"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено sk , 24-Авг-07 10:54 
То ты не умееш его готовить ;)
У меня на всех почтовиках он живет..
включаю парочку комерческих хостингов.

Великолепная вещ! Причем крутится налегке к экзмиу, не говоря уже про постфикс.


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено ЩекнИтрч , 25-Авг-07 12:40 
крутится налегке, после чего крутится разрыв сраки пополам на тему "ШЕСТЬ минут назад я отправил письмо!!! Где оно???"

Что такое "fall-back server" вы не знаете?

И правильно! Меньше знаешь - крепче уверен.


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено sk , 26-Авг-07 16:27 
>крутится налегке, после чего крутится разрыв сраки пополам на тему "ШЕСТЬ минут
>назад я отправил письмо!!! Где оно???"

в самом начале бывает.

>Что такое "fall-back server" вы не знаете?

знаю. Немного геморно но решается шаред базой серых списков.
+ subnetmatch для смтп-пулов. Хотя основные монстры и так прописаны перманентно.

PS. на личном опыте эта технология показала плюсов на порядок больше чем минусов (на обьемах почты пока до 5к белых писем в сутки, хотя я уверен и большие обьяемы не будут проблемой).

Если ваши специфические условия неудовлетворяют использованию грейлистинга(или ваше субьективное мнение) то это не означает что это совсем плохая штука.
Привидите детальное описание проблем, и с каким обьемами вы работаете...возможно тогда ваша точка зрения будет более обьективна. Просто кричать, что это "полный паралич почты" - нелепо.


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено ЩекнИтрч , 27-Авг-07 05:25 
Отдыхайте.

"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено ЩекнИтрч , 24-Авг-07 08:46 
Про dspam, уважаемая Буратина Алибабаевна, все знают все :)
А жить будет "отсосин".
По множеству неясных вам причин :)


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено Dvorkin , 24-Авг-07 13:20 
>Про dspam, уважаемая Буратина Алибабаевна, все знают все :)

обзываться не зачем. "знают все" - совершенная false.

>А жить будет "отсосин".
>По множеству неясных вам причин :)

если бы за уменее делать умное лицо людям платили деньги...


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено ЩекнИтрч , 25-Авг-07 12:43 
По множеству неясных вам причин :)


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено Сергей , 14-Июл-10 15:18 
>Про dspam, уважаемая Буратина Алибабаевна, все знают все :)
>А жить будет "отсосин".
>По множеству неясных вам причин :)

Всем привет. Все всё оказывается знают... А я нет... Кто толково объяснит как обучать Дспам в самом начале??? Я имею ввиду - система FreeBSD 7.2 + Postfix + Clamav + Dspam 3.9.0, всё в качестве шлюза, т.е. локальной доставки нет, как и пользователей, т.е. виртуальные тока. Как мне обучать дспам чтобы обучение применялось КО ВСЕМ ПОЛЬЗОВАТЕЛЯМ! Не через WEB UI. Как через почтовые алиасы сделать, т.е. через пару ящиков: spam/notspam. На которые отправлять почту. Заранее спасибо.

P.S. Гуглил много, но толкового объяснения не нашёл...


"Сравнение безопасности операционных систем. Рейтинг программ."
Отправлено мелкая пакость , 22-Авг-07 23:01 
самая безопасная ОС - виндуз ХР/виста? о_0

"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено Kemm , 22-Авг-07 23:05 
Нет, там просто исправили меньше дырок. 8))

"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено EL , 22-Авг-07 23:51 
+1

"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено Dvorkin , 22-Авг-07 23:26 
>самая безопасная ОС - виндуз ХР/виста? о_0

согласно результатам исследования, проведенным сотрудником Майкрософт, да :)


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено ptr , 23-Авг-07 10:33 
Наоборот. Изначальное количество ошибок в любом коде, если этого кода много, практически константная величина. Судя по прилагаемым графикам, в виндах исправляется ~90% обнаруженных критических ошибок в серверных ОС (за 100% принимаем линух) и ~50% - в десктопных ОС. Не критические ошибки в виндах, за редким исключением, не правятся вообще.
Именно это и можно увидеть на прилагаемых графиках. То есть весьма самокритично ;)

"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено Dvorkin , 23-Авг-07 11:12 
>Наоборот. Изначальное количество ошибок в любом коде, если этого кода много, практически
>константная величина. Судя по прилагаемым графикам, в виндах исправляется ~90% обнаруженных
>критических ошибок в серверных ОС (за 100% принимаем линух) и ~50%
>- в десктопных ОС. Не критические ошибки в виндах, за редким
>исключением, не правятся вообще.
>Именно это и можно увидеть на прилагаемых графиках. То есть весьма самокритично
>;)

более правильные репорты тут:
Vista: http://secunia.com/product/13223/?task=statistics
Linux: http://secunia.com/product/12165/?task=statistics
XP: http://secunia.com/product/16/?task=statistics

по сравнению с Linux да, проблем безопасности в Win находят меньше:
Vista: 12 advisores
Linux: 177 advisores
XP: 157 advisores

Но! если в Linux все они 100% фиксятся сразу после обнаружения, в Win фиксятся с задержкой или не фиксятся вообще (Vista 8% unpatched, XP 15% unpatched)

это обьективно. а статистику товарища из майкрософт я бы постеснялся вообще в первом абзаце упоминать.
Дорогие постеры новостей для opennet, в своем стремлении обкакать Linux будьте более компетентны! стыдно!


"Сравнение безопасности операционных систем. Рейтинг программ."
Отправлено Flyheart , 23-Авг-07 01:13 
что то дядя совсем с графиками намудрил: раньше у винды было 52 у мака 54 у линуксов 58 +/- 1-2, т.е. винда в этой рекламе чуть-чуть да лучше. Как китайцы на олимпиаде от висты отказались так сразу всех обкакал зато винду превознес.

С другой стороны что это за цветные столбики - не более чем некрасивые картинки.


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено Dvorkin , 23-Авг-07 01:35 
да блин. в статье ниже:
"About jrjones
...
Gauntlet firewall; and a director in the Microsoft security group."

"Сравнение безопасности операционных систем. Рейтинг программ."
Отправлено Аноним , 23-Авг-07 02:13 
А чё они и OpenBSD не поставили в сровнение? =)

"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено Dvorkin , 23-Авг-07 02:20 
>А чё они и OpenBSD не поставили в сровнение? =)

потому что не майнстрим


"Сравнение безопасности операционных систем. Рейтинг программ."
Отправлено Аноним , 23-Авг-07 07:40 
Dizinformasion Scorecard.

"Сравнение безопасности операционных систем. Рейтинг программ."
Отправлено chocholl , 23-Авг-07 08:27 
да фуфло это все.
посмотрите
whois technet.com

"Сравнение безопасности операционных систем. Рейтинг программ."
Отправлено Аноним as anonim , 23-Авг-07 09:27 
Автор такой большой гуру в данном вопросе! Поставл в один ряд Kismet, Snort, OpenSSH, GnuPG, RKHunter. Это все равно, что рассматривать в качестве чистящих средств стиральный порошек, прачку-китаянку, банку яда и заряд динамита.

"Имеющих отношение".... бред какой-то!

Если оупен соурс, то значит может писать всякий идиот, надо понимать.

А уж RKHunter это вообще прикладуха для пароноидальных пионеров. Если бы все такие ламаки с легкостью могли бы накладывать патчи на ядро, то в ряду "имеющих отношение"="пользующимися любовью идиотов" самое первое место занял бы grsecurity. Да вот RH с SUSE подкузьмили - напихали своих патчей по самые небалуйся, так что всякие "OWL"-ы только на ванилу и накатить... ;)


"Сравнение безопасности операционных систем. Рейтинг программ."
Отправлено ddd , 23-Авг-07 12:45 
Ну и о чем эти графики говорят?
Насколько серьезно относится компания к своему продукту?

ЭТО НЕ СРАВНЕНИЕ БЕЗОПАСНОСТИ СИСТЕМ!


"Сравнение безопасности операционных систем. Рейтинг программ."
Отправлено belkin , 23-Авг-07 13:10 
Ну чего вы шумите ? Ясно же, что это рекламное враньё. Не знаю как в Vist'e, но в XP родной Firewall при старте системы запускается как Service со значительным отставанием от TCP/IP (который стартует раньше на этапе Boot). В этот промежуток времени система открыта полностью. Проверить это может каждый настроив Deny All и запустив с другой машины "ping -t [испытуемая]" и перезапустив испытуемую машину. Наблюдаем "кино". При остановке системы подобная картина: сначала останавливается Firewall, открывая всё и только значительно позже TCP/IP. Из этого следует такой совет: либо с XP ходить в Инет только через нормальные устройства или выдёргивать Path Cord перед тем как  выключить или перезапустить компьютер.

"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено vOrOn , 23-Авг-07 15:33 
>Ну чего вы шумите ? Ясно же, что это рекламное враньё. Не
>знаю как в Vist'e, но в XP родной Firewall при старте
>системы запускается как Service со значительным отставанием от TCP/IP (который стартует
>раньше на этапе Boot). В этот промежуток времени система открыта полностью.
>Проверить это может каждый настроив Deny All и запустив с другой
>машины "ping -t [испытуемая]" и перезапустив испытуемую машину. Наблюдаем "кино". При
>остановке системы подобная картина: сначала останавливается Firewall, открывая всё и только
>значительно позже TCP/IP. Из этого следует такой совет: либо с XP
>ходить в Инет только через нормальные устройства или выдёргивать Path Cord
>перед тем как  выключить или перезапустить компьютер.

Советую не останавливаться в развитии, и иногда проверять актуальность своих познаний

http://www.microsoft.com/windowsxp/sp2/technologiesoverview....

Boot-time security

In earlier versions of Windows, there was a small window of time
between the network starting and the firewall becoming active, leaving
your computer vulnerable for that brief period time.

In Service Pack 2, during startup and shutdown, the firewall driver
uses a rule called a boot-time filter to help prevent attacks during
those brief periods. Once Windows Firewall is up and running, it loads
your custom firewall settings and removes the boot-time filters. This
makes your computer less vulnerable to attacks during startup and
shutdown operations.


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено belkin , 24-Авг-07 11:13 
>Советую не останавливаться в развитии, и иногда проверять актуальность своих познаний
>

Я эти воспоминания привёл для того, чтобы продемонстрировать уровень разработок в MS в сравнении с Linux. В MS люди часто не владеют знаниями в той проблемной области для которой создают ПО. Это следствие принятой ими организации работ. Мне когда-то забавно было узнать, что созданием компонента DirectX для MS по договору занимается в качестве халтурки-подработки человек, который не первый год погружён в автоматизацию торговли. Делал это в рабочее время тайком от работодателя, совмещая программирование в 1C с попытками вгрузить в себя хоть какие-нибудь знания по 3D и изучая новую версию Visual Studio.

Можно предполагать, что Firewall для XP SP1 создавался такими же пионерами.


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено Аноним , 23-Авг-07 19:41 
>Ну чего вы шумите ? Ясно же, что это рекламное враньё. Не
>знаю как в Vist'e, но в XP родной Firewall при старте
>системы запускается как Service со значительным отставанием от TCP/IP (который стартует
>раньше на этапе Boot). В этот промежуток времени система открыта полностью.
>Проверить это может каждый настроив Deny All и запустив с другой
>машины "ping -t [испытуемая]" и перезапустив испытуемую машину. Наблюдаем "кино". При
>остановке системы подобная картина: сначала останавливается Firewall, открывая всё и только
>значительно позже TCP/IP. Из этого следует такой совет: либо с XP
>ходить в Инет только через нормальные устройства или выдёргивать Path Cord
>перед тем как  выключить или перезапустить компьютер.

может путаете с SP1? там да такое дело было, при удачном стечении обстоятельств запросто можео было схватить бластер

с SP2 такого не наблюдал


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено Genry_Lee , 24-Авг-07 14:44 
>Ну чего вы шумите ? Ясно же, что это рекламное враньё. Не
>знаю как в Vist'e, но в XP родной Firewall при старте
>системы запускается как Service со значительным отставанием от TCP/IP (который стартует
>раньше на этапе Boot). В этот промежуток времени система открыта полностью.
>Проверить это может каждый настроив Deny All и запустив с другой
>машины "ping -t [испытуемая]" и перезапустив испытуемую машину. Наблюдаем "кино". При
>остановке системы подобная картина: сначала останавливается Firewall, открывая всё и только
>значительно позже TCP/IP. Из этого следует такой совет: либо с XP
>ходить в Инет только через нормальные устройства или выдёргивать Path Cord
>перед тем как  выключить или перезапустить компьютер.

А еще.... Еще.... Еще Билли Гейтс - пидар. :)
Дело в том, что вы поступили точно так же, как и составитель этого "рейтинга". Думаете, что если взять фрю, нифига не настроить и пустить в инет, то ее не ломанут в течении недели? :)
Винда самая популярная на планете ось, хотим мы этого или нет, но так и будет. Тот, кто настолько дебил, что пользует встроенный fw - дебил в кубе. Все остальные fw стопят траффик до момента запуска ядра программы файрволла. Так что, учитесь готовить и снимайте розовые очки.


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено Dvorkin , 24-Авг-07 15:36 
> А еще.... Еще.... Еще Билли Гейтс - пидар. :)

false :)

> Винда самая популярная на планете ось, хотим мы этого или нет,
>но так и будет.

false! у меня лично большие сомнения в радужном будущем Винды. и у Гейтса, кстати, тоже.

> Тот, кто настолько дебил, что пользует встроенный
>fw - дебил в кубе. Все остальные fw стопят траффик до
>момента запуска ядра программы файрволла. Так что, учитесь готовить и снимайте
>розовые очки.

опять работа руками? нах? я в линуксе ничего не настраиваю руками, выхожу в инет, встроенный файерволл грамотно денаит левый трафик и все оч комфортно. не люблю монотонную ручную работу.


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено belkin , 24-Авг-07 17:17 
> Дело в том, что вы поступили точно так же, как и
>составитель этого "рейтинга". Думаете, что если взять фрю, нифига не настроить
>и пустить в инет, то ее не ломанут в течении недели?

Такие глупости и детские ошибки, которые встречаются в Windows, нигде больше не видел.

>:)
> Винда самая популярная на планете ось, хотим мы этого или нет,
>но так и будет. Тот, кто настолько дебил, что пользует встроенный
>fw - дебил в кубе. Все остальные fw стопят траффик до
>момента запуска ядра программы файрволла. Так что, учитесь готовить и снимайте
>розовые очки.

Засунуть в ОС функцию, которая создаёт иллюзию работы это стиль Microsoft.

Встроенный или нет - не имеет значения. Для фильтрации IP там есть три метода: фильтры в стеке (требуют перезапуска ОС для внесения изменений), Service IPSec и RAS API. Все виденные мною "супер-пупер" Firewall'ы используют RAS API. Других способов, кроме как написать свой стек, в этой ОС разработчиками не предусмотрено. Через RAS API работает и встроенный Firewall Windows XP и поэтому одна фигня. Так что розовые очки надеты на вас.

Насчёт дебилов. Они не дебилы, а просто не могут поверить, что их так нагло обманывают.


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено sts , 25-Авг-07 14:08 
>Насчёт дебилов. Они не дебилы, а просто не могут поверить, что их
>так нагло обманывают.

Золотые слова! +10


"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено rolano , 29-Авг-07 15:10 
А с чего это Фрю ломанут? Дефолтно в файерволе вроде как deny, уязвимостей в фаерволах - единицы (последнее что вспомнил - scrub в pf). Если ничего не настраивать, то снаружи все порты закрыты. Вперед, ломайте...

"Сравнение безопасности операционных систем. Рейтинг программ..."
Отправлено Кирилл , 07-Сен-07 17:37 

>Думаете, что если взять фрю, нифига не настроить
>и пустить в инет, то ее не ломанут в течении недели?
>:)

Что там ломать? в сеть ничего не смотрит, ни одного порта не открыто.