Компания Sourcefire, известная разработкой таких свободных проектов, как Snort и ClamAV, опубликовала (http://www.sourcefire.com/25yearsofvulns) (PDF (https://ae.rsaconference.com/US13/connect/fileDownload/sessi...)) результаты анализа тенденций в области выявления уязвимостей за последние 25 лет. В качестве источников для классификации уязвимостей использовалась база данных CVE (http://cve.mitre.org/about/index.html) (Common Vulnerabilities and Exposure), в которой накоплена информация о проблемах безопасности начиная с 1988 года, а также сведения об уязвимостях из базы NVD (http://nvd.nist.gov/) (National Vulnerability Database), поддерживаемой Национальным институт стандартов и технологий США (NIST).
Пик выявления уязвимостей пришёлся на 2006 и 2007 годы, после чего до 2011 года наблюдался спад, но в 2012 году вновь обнаружилась тенденция роста интенсивности выявления уязвимостей:<center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire1... src="http://www.opennet.dev/opennews/pics_base/0_1362383404.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>
При этом, если рассматривать только опасные уязвимости, то в 2012 году продолжает наблюдаться спад и видно, что прирост в основном связан с выявлением неопасных проблем безопасности:
<center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire2... src="http://www.opennet.dev/opennews/pics_base/0_1362383659.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>
Также в последние несколько лет наблюдается уменьшение числа опасных уязвимостей в процентном отношении от общего числа проблем с безопасностью:<center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire3... src="http://www.opennet.dev/opennews/pics_base/0_1362384562.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>
При разборе общей массы уязвимостей, которым присвоен высокий у уровень опасности, 35% таких уязвимостей вызваны переполнением буфера, 8% - некорректной организацией управления доступом и 6% недостаточной проверкой корректности входных данных:<center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire4... src="http://www.opennet.dev/opennews/pics_base/0_1362384758.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>
Из общего числа уязвимостей лидируют проблемы, позволяющие осуществить подстановку кода HTML/JavaScript на страницы (Cross-Site Scripting, XSS), но среди проблем с высоким уровнем опасности XSS-уязвимости почти не встречаются. При выборке трех самых распространённых уязвимостей года, XSS входит число таких проблем с 2005 года. По числу уязвимостей также лидируют проблемы, связанные с переполнением буфера и подстановкой SQL-кода. Тем не менее в 2012 году наблюдается выход в число лидеров проблем, связанных с обходом ограничений доступа, а в 2011 году уязвимостей из-за недостаточно проверки входных данных.
<center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire6... src="http://www.opennet.dev/opennews/pics_base/0_1362385148.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>
При рассмотрении распределения интенсивности выявления уязвимостей по типам продуктов, отмечено, что наиболее активно уязвимости устраняются в Linux (в статье упоминается ядро Linux, но вероятно это опечатка, так как к данной категории отнесены уязвимости, никаким образом не проявляющиеся в ядре, например, XSS и подстановка SQL-кода). Кроме того, все Linux-системы были отмечены в отчёте одной строкой, в то время как системы подобные Windows и Mac OS X были учтены с разбивкой по типам и версиям продуктов (например, вместо одной системы Mac OS X было упомянуто три продукта, а число редакций Windows составило 13).
При суммировании данных по типам продуктов, исключив мобильные платформы, для Windows будет зафиксировано 1114 уязвимостей, для Mac OS X - 827, а для Linux - 1752 (были отсеяны уникальые CVE, в которых упомянуты такие дистрибутивы, как Ubuntu и RHEL). С учетом обилия поставляемого в дистрибутивах Linux программного обеспечения, в то время как в Windows и Mac OS X пользователю предлагается почти голая операционная система, лидерство Linux-продуктов по числу уязвимостей не вызывает удивления.
URL: http://www.itwire.com/business-it-news/security/58927-25-yea...
Новость: http://www.opennet.dev/opennews/art.shtml?num=36287
Просмотрел PDF и не понял, из чего автор новости сделал заключение в последнем абзаце? Или это где-то ещё упоминается? В графиках по уязвимостям в пдфке упоминается ядро отдельно и в одном графике рассматриваются дистрибутивы, а Вы откуда взяли этот список -"для Windows будет зафиксировано 1114 уязвимостей, для Mac OS X - 827, а для Linux - 1752"?А на счёт графиков уязвимостей - на странице 25 (в пдфке) в графике критических уязвимостей вдруг исчезают все продукты Microsoft, это как? У них критических уязвимостей нет или информация не распространяется? Зайти на секюрлаб - так там каждую неделю по критической уязвимости, то в интернет эксплорере, то в других продуктах
> Просмотрел PDF и не понял, из чего автор новости сделал заключение в последнем абзаце? Или это где-то ещё упоминается?По ссылке в выводах написано "If we account for unique CVEs for every possible version of Windows excluding the mobile ones (that's a total of 13 versions), we get a total of 1114 vulnerabilities in Windows. For Mac OS, which has three versions (including X and the previous Mac OS iterations), we get a total of 827. Of course these vulnerabilities in Windows and Mac OS are not solely in the kernel. Doing the same for Linux as Windows (by adding the unique CVEs assigned to major vendors like Ubuntu and Red Hat), we get a total of 1752 vulnerabilities."
> В графиках по уязвимостям в пдфке упоминается ядро отдельно и в одном графике рассматриваются дистрибутивы, а Вы откуда взяли этот список -"для Windows будет зафиксировано 1114 уязвимостей, для Mac OS X - 827, а для Linux - 1752"?
Там три отдельных графика для Windows, Mac OS X и Linux. Если просуммировать данные на них получим эти цифры.
> В абсолютных показателях по числу уязимостей лидируют Windows и Mac OS XХоть где-то Microsoft ПЕРВЫЕ.
Я думал всё, пипец, пропадает фирма, ан-не, смотри-ка, даже лидируют.
:D
Ну да, 95% всех домашних юзверей и огромное число организаций на Виндусе, совсем пропала МС.
Угу, большинство которых насилует труп хрюши.
> Угу, большинство которых насилует труп хрюши.Зоонекрофилия какая-то… Хоть не педофилия, и то ладно.
важно другое — мс те деньги то уже съела и забыла как они пахнут.
а получать новые теперь только и может через оем и насильно внедрённые зонды.
Хрюша поросенок
Откуда инфа? По миру у ХР уже меньше четверти.
там вон в вальве виста прыгнула вверх по последним отчётам.
а какая разница за что именно (за хп или за висту) мс не получает денег?
Кстати да, я не по цифрам Valve смотрел, а у них ХР вообще < 10%. Логично, учитывая политику с новыми DirectX.К разнице, это больше к тому, кому отвечал. Лояльность юзеров ХР он переоценил.
Сомнительно. Дело в том, что есть куча старого железа, которое ещё чертыхается и жадный босс не собирается апгрэйдить. Причём тырнета там нет. Как такие посчитать? (всякие склады, небольшие фирмочки, да любая шарашкина контора!)
Сам пересел на семёрку совсем недавно и то мелкософт за яйца притянула - VS2012 захачили так, что идёт только на семёрке.
Это уже область гаданий, на каких системах доступа в интернет меньше. ХР эту задачу тянет не хуже 7й, поэтому имхо вопрос не стоит внимания.Вот все так потихоньку и пересаживаются, кому VS, кому DX, у кого железо под ХР не поддерживается... Еще через пару лет будет в роли ИЕ6, там, где совсем грустно.
Зато санки наконец менее уязвимы, чем линух.
> Зато санки наконец менее уязвимы, чем линух.Всегда так было. Удивлен? Ты вообще-то в глаза Солярис хоть раз видал, не в телевизоре?
~15 лет админил.ps;
ты график то смотри, саночник смотрящий. (бобслеем теперь занимаешься?)
в нём соляра только в 2005 то вверх и прыгнула (когда на её открытие бум случился).
pps
>A Security Vulnerability in Solaris 10 ICMP Handling May Allow a SystemPanic and Result in Denial of Service (DoS)http://download.oracle.com/sunalerts/1000299.1.html
в 2007 Solaris 10 от пинга падала в SystemPanic.
бум случился не на "открытие", а немного раньше. когда санфайры на оптеронах в народ пошли.это я к тому, что винду ломали и ломают обычно безо всяких исходников.
Более того, и уязвимостей у неё больше.
Это я к тому, что и санки также — см. график.
> Более того, и уязвимостей у неё больше.
> Это я к тому, что и санки также — см. график."Ну правильно, Петька, я же старше"(С)
>>Ты вообще-то в глаза Солярис хоть раз видал, не в телевизоре?А Солярис теперь ставят и на телевизоры, ух ты!!!
> Я думал всё, пипец, пропадает фирма, ан-не, смотри-ка, даже лидируют.Предлагаю им срочно выпустить Get The Facts с описанием лидирующего положения в индустрии :)
Занимательная геометрия: смотрим последний "тортик" и визуально сравниваем размеры сегментов MS, Apple и IBM. А потом смотрим на цифры.
Зато 3D, все дела...
А что не так?
Площадь сегмента MS на экране практически равна площади сегмента IBM. При различии в цифрах вдвое. Наклон и перспектива искажают визуальное восприятие, что для статистики недопустимо.
Так делают только в отчетах, где статистику "припудривают". В данном случае вряд ли добивались такого эффекта, просто не подумали головой.
Какое "почти"?! Угол между гранями у MS в два раза больше, чем у IBM, поэтому сектор большой.
Как вы смотрите на график?
Повторяю: НА ЭКРАНЕ. Попробуйте открыть эту картинку в графическом редакторе и наложить один сегмент на другой.
Он прав. Сложите два сектора IBM & Oracle (получившиеся цифры примерно как у МС) и сравните получившийся сектор с МСовским. Чисто психологически он кажется значительно больше. При этом да, всегда можно сказать: "да вы посмотрите на углы"...
А толстый слой 3D визуально увеличивает три ближайших сектора еще раза в полтора.
Подозреваю, что этот же "пирожок", повернутый на ~150 градусов вокруг вертикальной оси, залил бы пол-картинки MS-овским цветом.
По сути какой-то практический смысл имеет только последний график. Остальное - только ка предмет холивара - см., например, что выше из себя IMHO выдал методом нажатия коленки на живот.Еще обращаю внимание на маленькую цифру - 3% численные ошибки - на графике №4. Это не ошибки безопасности - это программа неправильно считает: к примеру широко известные ошибки в продукте Microsoft Excel. Что, грубо говоря, исключает возможность его использования.
Клевета на Linux с целью продвижения проприетарного треша. Кто-то кому-то отстегнул
> Клевета на Linux с целью продвижения проприетарного треша. Кто-то кому-то отстегнулТогда данные о проприетарных продуктах бы не предоставляли.Что прикольно-нету
*BSD систем.
Болезни разве изучают по трупам?
> Болезни разве изучают по трупам?Паталогоанотомия - самая точная и развитая облать медицины. Ваш К.О
Неуловимый Джо :)
> Клевета на Linux с целью продвижения проприетарного треша. Кто-то кому-то отстегнулВообще-то Linux в отчете смотрится очень хорошо.
Windows в отчете смотрится недостаточно плохо.
Ну что, этого и следовало ожидать - превращение программирования в ремесло, при помощи различных сред разработки типа Delphi и Builder радикально сократило количество квалифицированных программистов и увеличило число колхозников - с подходом чтобы работало. А как результат - сплошь дыры в софте.
> Ну что, этого и следовало ожидать - превращение программирования в ремесло, при
> помощи различных сред разработки типа Delphi и Builder радикально сократило количество
> квалифицированных программистов и увеличило число колхозников - с подходом чтобы работало.
> А как результат - сплошь дыры в софте.А среды-то, померли.
Ты простым и понятным языком выразил то, о чем я давно думал ))) Ты прав, понакидают компонентов на форму и в onClick запрограммируют поведение... вот и весь их софт.
А слона(тенденцию к снижению количества уязвимостей) то ты и не приметил
> Пик выявления уязвимостей пришёлся на 2006 и 2007 годы, после чего до 2011 года наблюдался спад, но в 2012 годуЭкономический кризис, чО.
Промышленный шпионаж был недофинансирован.
>> Пик выявления уязвимостей пришёлся на 2006 и 2007 годы, после чего до 2011 года наблюдался спад, но в 2012 годуВ 2006-2007 вышла виста.
В 2011-2012 вышла семерка.
> Of course these vulnerabilities in Windows and Mac OS are not solely in the kernel. Doing the same for Linux as Windows (by adding the unique CVEs assigned to major vendors like Ubuntu and Red Hat), we get a total of 1752 vulnerabilities."
> а для Linux - 1752 (были учтены уникальые CVE, в которых упомянуты такие дистрибутивы, как Ubuntu и RHEL). С учетом обилия поставляемого в дистрибутивах Linux программного обеспечения, в то время как в Windows и Mac OS X пользователю предлагается почти голая операционная система, лидерство Linux-продуктов по числу уязвимостей не вызывает удивления.Надмозговые переводы на опеннете? Таких унылых отмаз я еще не слышал.
да, перевод как-то винду с маком выгораживает. чтоб им не так тосклимво было.перевод:
>«Да, конечно уязвимости в окнах и macos не только в ядре. Делая тоже самое для Linux как Окна (путём добавления уникальных CVEs основных вендоров, таких как Ubuntu и Red Hat), мы получили всего 1752 уязвимостей.»Сколько из этих уникальных 1752 уязвимостей можно хоть как-то эксплуатировать — ни слова.
Т.е. CVEs то они увидели, уязвимости — нет.
> Надмозговые переводы на опеннете? Таких унылых отмаз я еще не слышал.Кушать-то всем хочется.
Написано-же: анализ за 25(!) лет. 25 лет назад и линукса-то не было :D
можно подумать windows до версии 3.0 существовала.
по крайней мере в отчётах по безопасности — точно.
Надо же, как я и подозревал, в Microsoft пишут самое кривое ПО. Видно они нанимают индусов-аутсорсеров.
отличное!
Если сложить результаты Oracle и Sun, то они уже вплотную догнали Microsoft))
Ошибка ошибке рознь.Из Oracle Linux я смело выйду в Интернет и зайду на любой сайт, хоть, прошу прощения за натурализм, с голыми ж...ми.
Сколько Windows XP продержится в Интернете без антивируса (да и с ним тоже). Минут 15? Это если ничего не делать. Семерка продержится чуть дольше - до первого винлокера. Это надо обладать долей безумия, чтобы из Windows пользоваться онлайн-банкингом, электронной почтой и т.п.
на счёт инетбанкинга - более всего позабавило недавно явленице...
есть у нас в глуши банки... и даже, вы не поверите, интернеты!
прихожу значит туда подключать "Услуга iBank" для конторы, мне дают sysRQ:
- "sWindows(XP-Vista), IE 7-8(AX)"
я вопрошаю на сие ужасное
- "а может всё-таки как-нибудь на жабе? вот ваши конкуренты предлагают... дабы мне не вылазить из линуха моего уютненького"
а мне манагер и говорит:
- "самая безопасная технология инетбанкинга АктивИкс, опреационная система, это XP, а браусер ИЕ8, а вот линукс очень опасен - для него даже антивирусов нету!!!"йа лежал пацтулом
у меня на виртуалбоксе есть ХР-ка, которой я выхожу в интернет через 3Ж модем уже несколько лет. И ничего, живая.
Поскань её чтоль)
Рост некритичных уязвимостей связан с ростом интернет-сервисов, писаных стартаперами в спешке левым мизинцем ноги. Критические дыры в веб-сервисах, которые могут привести к эскалации привилегий, в принципе, сложно оставить, потому они в опасные не попадают.
> Рост некритичных уязвимостей связан с ростом интернет-сервисов, писаных стартаперами
> в спешке левым мизинцем ноги. Критические дыры в веб-сервисах, которые могут
> привести к эскалации привилегий, в принципе, сложно оставить, потому они в
> опасные не попадают.Так какого хрена их к Linux-то плюсуют. Ты хочешь сказать, что тупо поставленный из репов LAMP с настройками по умолчанию и, скажем, Денвер одинаково опасны? Не смеши. С первым можно сразу в бой, со вторым - вряд ли.
>> Рост некритичных уязвимостей связан с ростом интернет-сервисов, писаных стартаперами
>> в спешке левым мизинцем ноги. Критические дыры в веб-сервисах, которые могут
>> привести к эскалации привилегий, в принципе, сложно оставить, потому они в
>> опасные не попадают.
> Так какого хрена их к Linux-то плюсуют. Ты хочешь сказать, что тупо
> поставленный из репов LAMP с настройками по умолчанию и, скажем, Денвер
> одинаково опасны? Не смеши. С первым можно сразу в бой, со
> вторым - вряд ли.Я про интернет-приложения говорю, а не про инфраструктурное ПО. Если есть дыра в Wordpress, то хоть на чем его запускай, она не исчезнет.
> При суммировании данных по типам продуктов, исключив мобильные платформы, для Windows зафиксировано 1114 уязвимостей, для Mac OS X - 827, а для Linux - 1752То есть худшие что ли? Так об этом и напишут.
> С учетом обилия поставляемого в дистрибутивах Linux программного обеспечения
Тогда зачем сравнивать мягкое и теплое?
+1Если в ошибках Linux учтены без разбора и ошибки всех прикладных пакетов, то необходимо также учесть, что большинство приложений для Linux является кроссплатформенным. Т.е. все ошибки Linux, указанные в обзоре (за исключением ядра) необходимо приплюсовать также и к Windows, а часть и к другим ОС!!!
Отсюда делаем вывод, что представленный обзор совершенно не имеет смысла. Как, впрочем, большинство околонаучных публикаций.
Тем не менее, даже с такой гирей на ноге линукс неплохо себя показал. Особенно в номинации опасных уязвимостей, где даже в десятку не попал. Ну да, находят повышения прав и прочая иногда. Но это не ремотный взлом без авторизации все-таки.
Ежели кому интересно, вот тут немного о том,
как бороться с супостатом.http://mova.org/~cheusov/pub/lvee/winter-2012/lvee-winter-20...
Возьмем масдай 98, возьмем отладчик SoftICE.
масдай утверждал, что вынь 98 - 32-х битная система.
Однако SoftICE говорил, что у Вас 16-ти битная система. Кому верить ?
А верить масдаю нельзя ! Если открыть код масдаЯ, то линух, по количеству уязвимостей, будет тихо курить бамбук в сторонке !!!
Во-первых, 98 и не был системой.
Это была графическая оболочка над системой... седьмым ДОСом, собственно.
Впрочем, другие ваши тезисы оспаривать не приходится.
Что за бред? Вы с 3.11 не попутали?
> Вы с 3.11 не попутали?То была вообще DOS-программа, а это -- "сверху дос, снизу дос, посредине VMM" (и тот гнилой).
Сам ковырял 98-ю, ядро - 16-ТИ БИТНОЕ !!! (SoftICE-ом)
> Сам ковырял 98-ю, ядро - 16-ТИ БИТНОЕ !!! (SoftICE-ом)Там два ядра. KRNL386.EXE - для совместимости (оно да - работает в реальном режиме), а KERNEL32.DLL - основное, работает в 32-bit protected mode.
> масдай утверждал, что вынь 98 - 32-х битная система.
> Однако SoftICE говорил, что у Вас 16-ти битная система. Кому верить ?Там было адское месиво из 16 и 32-битного кода.
Пользуясь твоей дурацкой логикой 64-х битный линукс, в который поставлена хоть одна 32-х битная либа, становится 32-х битным. Начиная с win95 работали как 16-ти, так и 32-х битные приложения, основными считались 32-х битные. В самом ядре хватало старого 16-ти битного кода, что порождало ряд проблем, но было нужно для лучшей совместимости со старым софтом. Полностью 32-х битной внутри была серия NT, а не 9x.
> Возьмем масдай 98, возьмем отладчик SoftICE.
> масдай утверждал, что вынь 98 - 32-х битная система.
> Однако SoftICE говорил, что у Вас 16-ти битная система. Кому верить ?Верить только себе - начиная с Win 3.11, родной софт исполнялся в 32-bit protected mode.
;
; г=========================================================================¬
; ¦ This file is generated by The Interactive Disassembler (IDA) ¦
; ¦ Copyright (c) 2010 by Hex-Rays SA, <support@hex-rays.com> ¦
; ¦ Licensed to: Freeware version ¦
; L=========================================================================-
;; File Name : D:\book\krnl386.exe
; Format : MS-DOS executable (EXE)
; Base Address: 1000h Range: 10000h-2EEFFh Loaded length: 1EEFFh
; Entry Point : 1000:0.686p
.mmx
.model large
; Segment type: Pure code
seg000 segment byte public 'CODE' use16
assume cs:seg000
assume es:nothing, ss:seg001, ds:nothing, fs:nothing, gs:nothing
KRNL386.EXE (GDI.EXE, USER.EXE) - это 80(2)86-ядро для совместимости со старыми приложениями и DOS-режима. Основная часть системы работает в 32-bit protected mode, и пользуется KERNEL32.DLL (GDI32.DLL, etc.).
так правда ie по уязвимостям меньше хрома и фаерфокса)
