The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Сравнение безопасности операционных систем. Рейтинг программ.

22.08.2007 22:05

В отчете "July 2007 - Operating System Vulnerability Scorecard" проводится сравнение безопасности операционных систем, отталкиваясь от числа устраненных уязвимостей. В документе не принято во внимание оперативность выхода исправлений и наличие не устраненных проблем.

В материале "Open Source Security, Part 2: 10 Great Apps" представлены 10 лучших, по мнению авторов рейтинга, программ имеющих отношение к безопасности: Kismet, Snort, OpenSSH, GnuPG, RKHunter, ClamAV, TrueCrypt, Bastille, IP Filter, SpamAssassin.

  1. Главная ссылка к новости (http://blogs.technet.com/secur...)
  2. OpenNews: Анализ числа уязвимостей обнаруженных в Linux, BSD и Windows
Лицензия: CC BY 3.0
Источник: osnews.com
Короткая ссылка: https://opennet.ru/11785-security
Ключевые слова: security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (41) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Dvorkin (??), 22:51, 22/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > отталкиваясь от числа устраненных уязвимостей

    задача:
    Буратино дали 2 яблока. одно он сьел. сколько яблок осталось у Буратино?
    1?
    - от одного до бесконечности. не забывайте обнулять переменные.
    маркетинг - дело хорошее. особенно, когда сравнение исходит из уст директора по секьюрити Майкрософт

    носятся со спамотсосином как курица с яйцом. в то же самое время, никто не знает про dspam.
    после перехода со spamassassin (скорость обработки письма в среднем 3-5 секунд) на dspam (скорость обработки 0.03-0.05 секунд) сервер почувствовал себя заметно стабильнее.
    раздражает только отсутствие _управляемых_ белых списков

     
     
  • 2.12, anton_lva (??), 09:10, 23/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >> после перехода со spamassassin (скорость обработки письма в среднем 3-5 секунд) на dspam (скорость обработки 0.03-0.05 секунд) сервер почувствовал себя заметно стабильнее

    Все носятся с dspam, как петух с яйцами, а в тоже время никто не знает про KAS ;))

     
     
  • 3.16, Dvorkin (??), 11:14, 23/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Все носятся с dspam, как петух с яйцами, а в тоже время
    >никто не знает про KAS ;))

    KAS надо покупать, а я говорю про open-source. шутку не понял. телеграфирую

     
     
  • 4.24, anton_lva (??), 10:50, 24/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >KAS надо покупать, а я говорю про open-source. шутку не понял. телеграфирую
    >

    Сто баксов в год - это "покупать"? Я вас умоляю, диссидентство - это уже не модно ))

     
     
  • 5.28, Dvorkin (??), 13:33, 24/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >>KAS надо покупать, а я говорю про open-source. шутку не понял. телеграфирую
    >>
    >
    >Сто баксов в год - это "покупать"? Я вас умоляю, диссидентство -
    >это уже не модно ))

    КАС удивил вот чем. мы купили лицензию на неограниченное кол-во почтовых ящиков и фильтруемых сообщений. типа более-менее крупный клиент.
    на вебмайле делаем возможность своим клиентам создавать себе индивидуальные профайлы по фильтрации почты. через 2 дня обнаруживаем, что КАС способен видеть только первые 50 профайлов. результат обращения к разработчику - да, есть такой баг! спасибо, что помогли нам его найти! но фиксить мы его не (далее неразборчиво, видимо не умеем/не хотим/..)

    стоил для нас КАС никак не 100$
    какое нахуй диссидентство, когда платишь достаточно большие деньги за программу, которая может точно то же самое, что и ее open-source аналог???

     
     
  • 6.29, anton_lva (ok), 14:34, 24/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    В этом и разница - она *может* ))

    Насчет 50 профайлов - первый раз слышу. На корпоративном мта 514 учеток, всем все фильтруется...

     
     
  • 7.32, Dvorkin (??), 15:47, 24/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >В этом и разница - она *может* ))
    >
    >Насчет 50 профайлов - первый раз слышу. На корпоративном мта 514 учеток,
    >всем все фильтруется...

    на корпоративном МТА несколько тысяч учеток. все фильтруется. но максимум 50 индивидуальных профайлов. все остальные фильтруются дефолтным профайлом. если бы решение о продлении лицензии принималось до обнаружения фичи, я бы на этот сервер поставил открытый dspam, программнул бы к нему webui, а половину разницы между бесплатным dspam и _очень_ платным для нас КАС мне бы выписали в кач-ве премии.

     
  • 3.21, TruthSeeker (??), 01:06, 24/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    +1
    Postgrey + KAS + bayes для почтового клиента (для перфекционизма) = szero spam, zero false pozitives :)
     
     
  • 4.22, ЩекнИтрч (?), 08:40, 24/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Postgrey = полный ПАРАЛИЧ переписки.
    Неприемлемые задержки из-за fall-back серверов, находящихся в разных подсетях.
    В алгоритме "бесконечное число fall-back серверов" письма через greylisting не доставляются НИКОГДА :)
     
     
  • 5.25, sk (??), 10:54, 24/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    То ты не умееш его готовить ;)
    У меня на всех почтовиках он живет..
    включаю парочку комерческих хостингов.

    Великолепная вещ! Причем крутится налегке к экзмиу, не говоря уже про постфикс.

     
     
  • 6.34, ЩекнИтрч (?), 12:40, 25/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    крутится налегке, после чего крутится разрыв сраки пополам на тему "ШЕСТЬ минут назад я отправил письмо!!! Где оно???"

    Что такое "fall-back server" вы не знаете?

    И правильно! Меньше знаешь - крепче уверен.

     
     
  • 7.37, sk (??), 16:27, 26/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >крутится налегке, после чего крутится разрыв сраки пополам на тему "ШЕСТЬ минут
    >назад я отправил письмо!!! Где оно???"

    в самом начале бывает.

    >Что такое "fall-back server" вы не знаете?

    знаю. Немного геморно но решается шаред базой серых списков.
    + subnetmatch для смтп-пулов. Хотя основные монстры и так прописаны перманентно.

    PS. на личном опыте эта технология показала плюсов на порядок больше чем минусов (на обьемах почты пока до 5к белых писем в сутки, хотя я уверен и большие обьяемы не будут проблемой).

    Если ваши специфические условия неудовлетворяют использованию грейлистинга(или ваше субьективное мнение) то это не означает что это совсем плохая штука.
    Привидите детальное описание проблем, и с каким обьемами вы работаете...возможно тогда ваша точка зрения будет более обьективна. Просто кричать, что это "полный паралич почты" - нелепо.

     
     
  • 8.38, ЩекнИтрч (?), 05:25, 27/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Отдыхайте ... текст свёрнут, показать
     
  • 2.23, ЩекнИтрч (?), 08:46, 24/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Про dspam, уважаемая Буратина Алибабаевна, все знают все :)
    А жить будет "отсосин".
    По множеству неясных вам причин :)

     
     
  • 3.27, Dvorkin (??), 13:20, 24/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Про dspam, уважаемая Буратина Алибабаевна, все знают все :)

    обзываться не зачем. "знают все" - совершенная false.

    >А жить будет "отсосин".
    >По множеству неясных вам причин :)

    если бы за уменее делать умное лицо людям платили деньги...

     
     
  • 4.35, ЩекнИтрч (?), 12:43, 25/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    По множеству неясных вам причин :)

     
  • 3.42, Сергей (??), 15:18, 14/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Про dspam, уважаемая Буратина Алибабаевна, все знают все :)
    >А жить будет "отсосин".
    >По множеству неясных вам причин :)

    Всем привет. Все всё оказывается знают... А я нет... Кто толково объяснит как обучать Дспам в самом начале??? Я имею ввиду - система FreeBSD 7.2 + Postfix + Clamav + Dspam 3.9.0, всё в качестве шлюза, т.е. локальной доставки нет, как и пользователей, т.е. виртуальные тока. Как мне обучать дспам чтобы обучение применялось КО ВСЕМ ПОЛЬЗОВАТЕЛЯМ! Не через WEB UI. Как через почтовые алиасы сделать, т.е. через пару ящиков: spam/notspam. На которые отправлять почту. Заранее спасибо.

    P.S. Гуглил много, но толкового объяснения не нашёл...

     

  • 1.2, мелкая пакость (?), 23:01, 22/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    самая безопасная ОС - виндуз ХР/виста? о_0
     
     
  • 2.3, Kemm (?), 23:05, 22/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, там просто исправили меньше дырок. 8))
     
     
  • 3.5, EL (??), 23:51, 22/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    +1
     
  • 2.4, Dvorkin (??), 23:26, 22/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >самая безопасная ОС - виндуз ХР/виста? о_0

    согласно результатам исследования, проведенным сотрудником Майкрософт, да :)

     
  • 2.14, ptr (??), 10:33, 23/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Наоборот. Изначальное количество ошибок в любом коде, если этого кода много, практически константная величина. Судя по прилагаемым графикам, в виндах исправляется ~90% обнаруженных критических ошибок в серверных ОС (за 100% принимаем линух) и ~50% - в десктопных ОС. Не критические ошибки в виндах, за редким исключением, не правятся вообще.
    Именно это и можно увидеть на прилагаемых графиках. То есть весьма самокритично ;)
     
     
  • 3.15, Dvorkin (??), 11:12, 23/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Наоборот. Изначальное количество ошибок в любом коде, если этого кода много, практически
    >константная величина. Судя по прилагаемым графикам, в виндах исправляется ~90% обнаруженных
    >критических ошибок в серверных ОС (за 100% принимаем линух) и ~50%
    >- в десктопных ОС. Не критические ошибки в виндах, за редким
    >исключением, не правятся вообще.
    >Именно это и можно увидеть на прилагаемых графиках. То есть весьма самокритично
    >;)

    более правильные репорты тут:
    Vista: http://secunia.com/product/13223/?task=statistics
    Linux: http://secunia.com/product/12165/?task=statistics
    XP: http://secunia.com/product/16/?task=statistics

    по сравнению с Linux да, проблем безопасности в Win находят меньше:
    Vista: 12 advisores
    Linux: 177 advisores
    XP: 157 advisores

    Но! если в Linux все они 100% фиксятся сразу после обнаружения, в Win фиксятся с задержкой или не фиксятся вообще (Vista 8% unpatched, XP 15% unpatched)

    это обьективно. а статистику товарища из майкрософт я бы постеснялся вообще в первом абзаце упоминать.
    Дорогие постеры новостей для opennet, в своем стремлении обкакать Linux будьте более компетентны! стыдно!

     

  • 1.6, Flyheart (?), 01:13, 23/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    что то дядя совсем с графиками намудрил: раньше у винды было 52 у мака 54 у линуксов 58 +/- 1-2, т.е. винда в этой рекламе чуть-чуть да лучше. Как китайцы на олимпиаде от висты отказались так сразу всех обкакал зато винду превознес.

    С другой стороны что это за цветные столбики - не более чем некрасивые картинки.

     
     
  • 2.7, Dvorkin (??), 01:35, 23/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    да блин. в статье ниже:
    "About jrjones
    ...
    Gauntlet firewall; and a director in the Microsoft security group."
     

  • 1.8, Аноним (-), 02:13, 23/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А чё они и OpenBSD не поставили в сровнение? =)
     
     
  • 2.9, Dvorkin (??), 02:20, 23/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >А чё они и OpenBSD не поставили в сровнение? =)

    потому что не майнстрим

     

  • 1.10, Аноним (-), 07:40, 23/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Dizinformasion Scorecard.
     
  • 1.11, chocholl (??), 08:27, 23/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    да фуфло это все.
    посмотрите
    whois technet.com
     
  • 1.13, Аноним as anonim (?), 09:27, 23/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Автор такой большой гуру в данном вопросе! Поставл в один ряд Kismet, Snort, OpenSSH, GnuPG, RKHunter. Это все равно, что рассматривать в качестве чистящих средств стиральный порошек, прачку-китаянку, банку яда и заряд динамита.

    "Имеющих отношение".... бред какой-то!

    Если оупен соурс, то значит может писать всякий идиот, надо понимать.

    А уж RKHunter это вообще прикладуха для пароноидальных пионеров. Если бы все такие ламаки с легкостью могли бы накладывать патчи на ядро, то в ряду "имеющих отношение"="пользующимися любовью идиотов" самое первое место занял бы grsecurity. Да вот RH с SUSE подкузьмили - напихали своих патчей по самые небалуйся, так что всякие "OWL"-ы только на ванилу и накатить... ;)

     
  • 1.17, ddd (?), 12:45, 23/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну и о чем эти графики говорят?
    Насколько серьезно относится компания к своему продукту?

    ЭТО НЕ СРАВНЕНИЕ БЕЗОПАСНОСТИ СИСТЕМ!

     
  • 1.18, belkin (?), 13:10, 23/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну чего вы шумите ? Ясно же, что это рекламное враньё. Не знаю как в Vist'e, но в XP родной Firewall при старте системы запускается как Service со значительным отставанием от TCP/IP (который стартует раньше на этапе Boot). В этот промежуток времени система открыта полностью. Проверить это может каждый настроив Deny All и запустив с другой машины "ping -t [испытуемая]" и перезапустив испытуемую машину. Наблюдаем "кино". При остановке системы подобная картина: сначала останавливается Firewall, открывая всё и только значительно позже TCP/IP. Из этого следует такой совет: либо с XP ходить в Инет только через нормальные устройства или выдёргивать Path Cord перед тем как  выключить или перезапустить компьютер.
     
     
  • 2.19, vOrOn (?), 15:33, 23/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну чего вы шумите ? Ясно же, что это рекламное враньё. Не
    >знаю как в Vist'e, но в XP родной Firewall при старте
    >системы запускается как Service со значительным отставанием от TCP/IP (который стартует
    >раньше на этапе Boot). В этот промежуток времени система открыта полностью.
    >Проверить это может каждый настроив Deny All и запустив с другой
    >машины "ping -t [испытуемая]" и перезапустив испытуемую машину. Наблюдаем "кино". При
    >остановке системы подобная картина: сначала останавливается Firewall, открывая всё и только
    >значительно позже TCP/IP. Из этого следует такой совет: либо с XP
    >ходить в Инет только через нормальные устройства или выдёргивать Path Cord
    >перед тем как  выключить или перезапустить компьютер.

    Советую не останавливаться в развитии, и иногда проверять актуальность своих познаний

    http://www.microsoft.com/windowsxp/sp2/technologiesoverview.mspx

    Boot-time security

    In earlier versions of Windows, there was a small window of time
    between the network starting and the firewall becoming active, leaving
    your computer vulnerable for that brief period time.

    In Service Pack 2, during startup and shutdown, the firewall driver
    uses a rule called a boot-time filter to help prevent attacks during
    those brief periods. Once Windows Firewall is up and running, it loads
    your custom firewall settings and removes the boot-time filters. This
    makes your computer less vulnerable to attacks during startup and
    shutdown operations.

     
     
  • 3.26, belkin (?), 11:13, 24/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Советую не останавливаться в развитии, и иногда проверять актуальность своих познаний
    >

    Я эти воспоминания привёл для того, чтобы продемонстрировать уровень разработок в MS в сравнении с Linux. В MS люди часто не владеют знаниями в той проблемной области для которой создают ПО. Это следствие принятой ими организации работ. Мне когда-то забавно было узнать, что созданием компонента DirectX для MS по договору занимается в качестве халтурки-подработки человек, который не первый год погружён в автоматизацию торговли. Делал это в рабочее время тайком от работодателя, совмещая программирование в 1C с попытками вгрузить в себя хоть какие-нибудь знания по 3D и изучая новую версию Visual Studio.

    Можно предполагать, что Firewall для XP SP1 создавался такими же пионерами.

     
  • 2.20, Аноним (-), 19:41, 23/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну чего вы шумите ? Ясно же, что это рекламное враньё. Не
    >знаю как в Vist'e, но в XP родной Firewall при старте
    >системы запускается как Service со значительным отставанием от TCP/IP (который стартует
    >раньше на этапе Boot). В этот промежуток времени система открыта полностью.
    >Проверить это может каждый настроив Deny All и запустив с другой
    >машины "ping -t [испытуемая]" и перезапустив испытуемую машину. Наблюдаем "кино". При
    >остановке системы подобная картина: сначала останавливается Firewall, открывая всё и только
    >значительно позже TCP/IP. Из этого следует такой совет: либо с XP
    >ходить в Инет только через нормальные устройства или выдёргивать Path Cord
    >перед тем как  выключить или перезапустить компьютер.

    может путаете с SP1? там да такое дело было, при удачном стечении обстоятельств запросто можео было схватить бластер

    с SP2 такого не наблюдал

     
  • 2.30, Genry_Lee (?), 14:44, 24/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну чего вы шумите ? Ясно же, что это рекламное враньё. Не
    >знаю как в Vist'e, но в XP родной Firewall при старте
    >системы запускается как Service со значительным отставанием от TCP/IP (который стартует
    >раньше на этапе Boot). В этот промежуток времени система открыта полностью.
    >Проверить это может каждый настроив Deny All и запустив с другой
    >машины "ping -t [испытуемая]" и перезапустив испытуемую машину. Наблюдаем "кино". При
    >остановке системы подобная картина: сначала останавливается Firewall, открывая всё и только
    >значительно позже TCP/IP. Из этого следует такой совет: либо с XP
    >ходить в Инет только через нормальные устройства или выдёргивать Path Cord
    >перед тем как  выключить или перезапустить компьютер.

    А еще.... Еще.... Еще Билли Гейтс - пидар. :)
    Дело в том, что вы поступили точно так же, как и составитель этого "рейтинга". Думаете, что если взять фрю, нифига не настроить и пустить в инет, то ее не ломанут в течении недели? :)
    Винда самая популярная на планете ось, хотим мы этого или нет, но так и будет. Тот, кто настолько дебил, что пользует встроенный fw - дебил в кубе. Все остальные fw стопят траффик до момента запуска ядра программы файрволла. Так что, учитесь готовить и снимайте розовые очки.

     
     
  • 3.31, Dvorkin (??), 15:36, 24/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    > А еще.... Еще.... Еще Билли Гейтс - пидар. :)

    false :)

    > Винда самая популярная на планете ось, хотим мы этого или нет,
    >но так и будет.

    false! у меня лично большие сомнения в радужном будущем Винды. и у Гейтса, кстати, тоже.

    > Тот, кто настолько дебил, что пользует встроенный
    >fw - дебил в кубе. Все остальные fw стопят траффик до
    >момента запуска ядра программы файрволла. Так что, учитесь готовить и снимайте
    >розовые очки.

    опять работа руками? нах? я в линуксе ничего не настраиваю руками, выхожу в инет, встроенный файерволл грамотно денаит левый трафик и все оч комфортно. не люблю монотонную ручную работу.

     
  • 3.33, belkin (?), 17:17, 24/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    > Дело в том, что вы поступили точно так же, как и
    >составитель этого "рейтинга". Думаете, что если взять фрю, нифига не настроить
    >и пустить в инет, то ее не ломанут в течении недели?

    Такие глупости и детские ошибки, которые встречаются в Windows, нигде больше не видел.

    >:)
    > Винда самая популярная на планете ось, хотим мы этого или нет,
    >но так и будет. Тот, кто настолько дебил, что пользует встроенный
    >fw - дебил в кубе. Все остальные fw стопят траффик до
    >момента запуска ядра программы файрволла. Так что, учитесь готовить и снимайте
    >розовые очки.

    Засунуть в ОС функцию, которая создаёт иллюзию работы это стиль Microsoft.

    Встроенный или нет - не имеет значения. Для фильтрации IP там есть три метода: фильтры в стеке (требуют перезапуска ОС для внесения изменений), Service IPSec и RAS API. Все виденные мною "супер-пупер" Firewall'ы используют RAS API. Других способов, кроме как написать свой стек, в этой ОС разработчиками не предусмотрено. Через RAS API работает и встроенный Firewall Windows XP и поэтому одна фигня. Так что розовые очки надеты на вас.

    Насчёт дебилов. Они не дебилы, а просто не могут поверить, что их так нагло обманывают.

     
     
  • 4.36, sts (??), 14:08, 25/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Насчёт дебилов. Они не дебилы, а просто не могут поверить, что их
    >так нагло обманывают.

    Золотые слова! +10

     
     
  • 5.39, rolano (??), 15:10, 29/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    А с чего это Фрю ломанут? Дефолтно в файерволе вроде как deny, уязвимостей в фаерволах - единицы (последнее что вспомнил - scrub в pf). Если ничего не настраивать, то снаружи все порты закрыты. Вперед, ломайте...
     
  • 3.40, Кирилл (??), 17:37, 07/09/2007 [^] [^^] [^^^] [ответить]  
  • +/

    >Думаете, что если взять фрю, нифига не настроить
    >и пустить в инет, то ее не ломанут в течении недели?
    >:)

    Что там ломать? в сеть ничего не смотрит, ни одного порта не открыто.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру