Спонсор проекта:
Лучший вариант для анонимности купить прокси на выделенном сервере IPANN.NET.
Ads



Последние комментарии
#1
X_perienced пишет: » А какое именно оборудование там подерживается - го... (25.08.2017)
// Обзор и попытка установки МСВС 5.0
#2
Linups_Troolvalds пишет: » Хватит писать бред. МСВС (возможно) не работает на... (24.07.2017)
// Обзор и попытка установки МСВС 5.0
#3
watersoda пишет: » Да и RHEL под "Эльбрус" не помешал бы... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#4
watersoda пишет: » Небольшая поправка: ... через соответствующий паке... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#5
watersoda пишет: » Кстати, мелькала где-то информация, что Red Hat сд... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#6
watersoda пишет: »
Цитата:
... МСВС отстаёт от ДОСа по поддержке виде...
(16.03.2017)
// Обзор и попытка установки МСВС 5.0
#7
admin пишет: » watersoda, этот ноутбук выпущен в 2012 году wink
Убунт... (16.03.2017)
// Обзор и попытка установки МСВС 5.0
#8
watersoda пишет: » И вот ещё, правда речь про МСВС 3.0:
Цитата:
Устрои...
(08.03.2017)
// Обзор и попытка установки МСВС 5.0
#9
watersoda пишет: » Я где-то читал, что ВНИИНС предоставляет список об... (08.03.2017)
// Обзор и попытка установки МСВС 5.0
#10
дохтур пишет: »
Gentoo написал:
Вот мне лично нахуй не надо ни одн...
(02.02.2017)
// Письма неадекватов
#11
дохтур пишет: »
Gentoo написал:
Вот мне лично нахуй не надо ни одн...
(02.02.2017)
// Письма неадекватов
#12
Gentoo пишет: » >>Autocad, Kompas, CorelDraw, SolidWorks, AD... (30.01.2017)
// Письма неадекватов
#13
watersoda пишет: » Just for fun как он есть.biggrin (15.01.2017)
// Линукса нет! Нас обманули !!!
#14
дохтур пишет: » admin, ага, ещё вот проприетарная лицензия на обще... (13.01.2017)
// Письма неадекватов
#15
admin пишет: » дохтур, а ранили его "тупые виндузяги" с... (13.01.2017)
// Письма неадекватов
Quotes
var, log, etc, bin и sbin, dev, usr, X11, lib, opt, mnt - это любимые линуксячьи названия

Open Source открывает двери для хакеров | автор: ALEX | 11 июня 2010 |

Категория: Open Source


Авторы доклада, представленного на семинаре по экономике информационной безопасности, сопоставили список из 400 млн попыток взломов данных, состоявшихся в течение 2 лет, с параметрами и уязвимостями программного обеспечения, сообщает Technologyreview.com. “Полученные результаты позволяют утверждать, что уязвимости Open Source приложений обнаруживаются хакерами гораздо быстрее и чаще, чем уязвимости закрытого ПО”, - заявил Сэм Ренсботам, профессор Бостонской Школы менеджмента Caroll.

По данным Сэма Ренсботама, взлом открытого ПО происходит в 1,5 раза чаще, чем проприетарных решений. При этом хакеры затрачивают на него в среднем на 3 дня меньше времени. Инструкции по взлому обычно распространяются примерно с той же скоростью, что и само программное обеспечение.


Исследование опиралось на данные систем по контролю за взломами, установленных в 960 компаниях сервис-провайдером SecureWorks. Сэм Ренсботам сопоставил эти данные с данными об уязвимостях, хранящимися в Национальной базе данных уязвимостей (National Vulnerability Database, NVD), формируемой Национальным Институтом Стандартов и Технологий (National Institute of Standards and Technology). NVD включает в себя уязвимости более 13000 видов ПО по состоянию на 2006-2007 гг. Однако, лишь половина этих программных продуктов может быть с уверенностью классифицирована как открытое или закрытое ПО, сообщил Сэм Ренсботам.

Таким образом, Сэм Ренсботам получил список 883 уязвимостей в закрытом и открытом ПО. Затем он классифицировал уязвимости по другим признакам, например, насколько сложно хакеру использовать уязвимость и существует ли в ней сигнатура, позволяющая системе обнаружения идентифицировать вторжение.

В конечном итоге, в участию в исследовании было допущено лишь 97 из 883 уязвимостей, подвергнутых хакерской атаке за последние 2 года, и 111 млн взломов - около четверти полученных предупреждений об атаке. Остальные попытки взлома или предпринимались в отношении ПО, которое не может быть отнесено ни к открытому, ни к закрытому, или были направлены на уязвимости с неидентифицируемыми атрибутами, или были идентифицированы как ложные атаки.

Результаты исследования свидетельствуют о том, что после выхода очередного релиза Open Source продукта хакерские атаки на него начинаются быстрее, чем в случае появления закрытых решений. Однако, как только разработчики начинают предпринимать меры по ликвидации уязвимости, хакеры быстро переключаются на другие задачи.

Возможность доступа к исходному коду – не единственное преимущество, которое Open Source дает хакерам. Сэм Ренсботам отмечает, что при наличии сигнатур, используемых производителями систем защиты, хакерские атаки происходят быстрее. “Вероятно, информация об обновлениях, распространяемая с целью усовершенствования программного обеспечения, в итоге помогает взломщикам”, - комментирует он.

Его мнение подтверждают и результаты других исследований. В 2007 г. два консультанта по безопасности показали, как можно создать новый код для атаки, используя данные сигнатур популярной системы по отслеживанию взломов. В 2008 исследователи создали систему, способную генерировать код для взлома на основании автоматического анализа обновлений, выпущенных компанией-производителем ПО.

Источник



Комментарии посетителей
[1] 2

БШЛ (большая штыковая лопата)
Цитата:
Остальные попытки взлома или предпринимались в отношении ПО, которое не может быть отнесено ни к открытому, ни к закрытому


Это как?
Вероятно , программы с двойным лицензированием(Одна версия открытая о другая нет).

#3. McFly

Представьте себе картину: производители систем автосигнализаций откроют спецификации своих систем crazy
Под предлогом "любой сможет найти там ошибки и исправить их".
Г-да линуксоиды! Вы бы доверили свой БМВ подобной "опен-сорс сигнализации", все нутро которой описано на каждом углу интернета?

#4. Linfan

Linfan
McFly, ты нипаверишь, но БМВ не делает все компоненты своих авто. Ту же сигнализацию берут у сторонних производителей. И эти системы имеют доступное описание.

#5. Linfan

Linfan
А касательно сабжа, статистика - штука хитрая. Да, для ручного взлома закрытая система сложнее, чем открытая. Особенно если у хацкира нет доступа к бинарям. Но и улучшение закрытой системы происходит гораздо медленнее, нежели у открытой. Тех же вендузятников дерут и в хвост и в гриву. И толку от того, что "согласно исследованиям британских ученых удельное соотношение на продуктовую единицу у проприетарных продуктов ниже" - когда отвернут вебмани, от такого факта легче не становится.
Цитата:
улучшение закрытой системы происходит гораздо медленнее, нежели у открытой.

Факты в студию, пожалуйста.
Mandriva-oid
MoreMaster написал:
Факты в студию, пожалуйста.

Если продукт закрытый, то исправить его могут только разработчики. Если открытый - не только разработчики, но и сообщество. Что быстрее работает - разработчики али разработчики + сообщество?

#8. Hedge

Mandriva-oid написал:
Что быстрее работает - разработчики али разработчики + сообщество?

Вопрос в том, насколько разработчики обращают внимание на сообщество, ведь внести изменения в официальную ветку могут только сами разрабы. Максимум, что сообщество может сделать - это указать им на дырку и начать ныть, чтобы её заткнули. А вот когда и чем её заткнут - дело самих разрабов, и в этом смысле они от разработчиков ПО с закрытым кодом мало чем отличаются.

#9. Manve

Manve
Mandriva-oid написал:
Что быстрее работает - разработчики али разработчики + сообщество?


Тут была история про какого-то анестазиолога, который писал очень даже хорошие патчи. Вспомните что с этими патчами в результате сделали.

ЗЫ: тупые опечатки в русификации убунты висят неисправленными годами. А уж опечатки попраыить проще простого ))

#10. Scorpion

Ну вообще-то, все поддается житейской логике: защита системы - это отдельный бизнес. Люди, хорошо разбирающиеся в защите данных, получают не пл..хие деньги и разбрасывать свой опыт в бесплатные источники совсем не в их интересах. Так что защита кода в Open Source дело, проиходящее более "по наитию" и на основе данных из открытых источников, так что по существу, защита в "бесплатном" ПО будет уступать "платному". Подумайте сами, разработчик-энтузиаст, создающий продукт, намного больше внимания уделяет функционалу, а не средаствам обороны. Разумеется, я не беру в рассчет ПО, созданное крупными компаниями, они, конечно же, все защитят, т.к. свои деньги они отобьют слихвой и на Open Source ПО.

#11. roo

чупуха.
все алгоритмы шифрования(не самострой деревенских хакеров) открыты, иначе они не были бы приняты в качестве стандаротов. открытость реализации в данном случае - залог криптостойкости.
такие алгоритмы проверяются профессионалами и анализируется их криптостойкость.
никакому проприетарно-закрытому алгоритму ни один профи доверять не будет. сколько бы не божился его владелец.
короче, если уж действительно интересует защита и верификация системы - ее коды не могут быть закрыты. НИКАДА.

#12. Scorpion

Вообще-то, если Вы имели в виду, действительно криптоскойкие алгоритмы, а именно, алгориты открытого ключа, ну так они прямому взлому (проще говоря брут форсу) поддаются слабо. Ну например, те, что в PGP (беря в пример 128 бит) используются, так они даже на супермашинах размером в теннисный корт взламываются месяцами. Такая скорость взлома никому не нужна. Потому используются обходные маршруты, например SQL-инъекция, бэкдоры, пасхальные яйца (ну я совсем упрощаю). От терморектального криптоанализа вообще еще никто не уходил. В наше счастливое время взломать программу, основываясь на недостатках архитектуры проектирования намного проще, нежели гробя часы в поисках проблем патентованых средств защиты. Живой пример перед глазами: мужчина использовал SQL-инъекцию - приклеил кусок запроса к номеру своего автомобиля, его считала камера на дороге и дядя радосто завалил всю базу местоного ГАИ. Проблемы проектирования (а именно экономия на нем) приносят вреда больше, нежели армия действительно профессиональных хакеров, которая будет биться головой в, как Вы упомянуди, патентованное средство защиты. Нынче времена иные - влоб никто не ходит.

#13. d1337r

Scorpion написал:
Живой пример перед глазами

Если вы про http://gizmodo.com/5498412/sql-injection-license-plate-hopes-to-foil-euro-traffic-cameras это, то там совсем не сказано, что база была стерта. Просто аффтар надеялся на наличие ошибки в софте камер. Кстати, у нас вроде это невозможно, т.к. распознаются только законные для номеров знаки и только в их формате :D

#14. roo

Цитата:
Вообще-то, если Вы имели в виду, действительно криптоскойкие алгоритмы, а именно, алгориты открытого ключа, ну так они прямому взлому (проще говоря брут форсу) поддаются слабо.

я имел ввиду, что статье намеренно, создает впечатление у читалеля, что типа закрытое по более защищенное...
я же хочу сказать, что закрытое по у специалистов вообще не считается защищенным, а либо более или менее устойчивым к взлому.
А реально защищенным считается открытое по, прошедшее верификацию, как экспертами так, и формальными методами.
Еще раз. Чтобы по было безопасным, необходимым (но не достаточным) условием, является его открытость.
Закрытое же по, ни при каких условяих не может быть признано безопасным.
таким образом "Сэм Ренсботам, профессор Бостонской Школы менеджмента Caroll" дурит нам голову. И ясно почему. Что еще могут сказать в школе менеджмента, если они с этого (то есть бизнеса) живут?
roo написал:
се алгоритмы шифрования(не самострой деревенских хакеров) открыты, иначе они не были бы приняты в качестве стандаротов. открытость реализации в данном случае - залог криптостойкости.
такие алгоритмы проверяются профессионалами и анализируется их криптостойкость.
никакому проприетарно-закрытому алгоритму ни один профи доверять не будет. сколько бы не божился его владелец.
короче, если уж действительно интересует защита и верификация системы - ее коды не могут быть закрыты. НИКАДА.

Пыанер!!! Ты хотя бы понимаешь разницу между алгоритмами и конкретным кодом вообще, и между кодом конкретного криптоалгоритма и общим кодом системы?!! Это две большие разницы, вообще то biggrin biggrin biggrin biggrin biggrin biggrin biggrin
roo написал:
"Сэм Ренсботам, профессор Бостонской Школы менеджмента Caroll" дурит нам голову.

Очередное "разоблачение" от "икспертов фкаротких штанишках" - юных АНАЛитегав с ЛОРа biggrin biggrin biggrin biggrin biggrin
roo написал:
такие алгоритмы проверяются профессионалами и анализируется их криптостойкость.

И этта... если чо... винда, в отличие от того же луниха, как раз сертифицирована. И ее исходники у кого надо (то бишь у заинтересованных в этом органов) есть. Это так, к сведению wink biggrin biggrin

#18. Linfan

Linfan
Бродяга написал:
винда, в отличие от того же луниха, как раз сертифицирована.


Пианэр, ты забываешь добавить, "как раз сертифицирована как система менее секюрная" ;)
Если мне не изменяет память - третий уровень безопасности, т.е. система безопасна, если она не подключена к сети biggrin
Это так, к сведению (с) biggrin biggrin

#19. Linfan

Linfan
Manve написал:
Тут была история про какого-то анестазиолога, который писал очень даже хорошие патчи.


во-первых "анестезиолог"
во-вторых, "хорошесть" патчей это ваша персональная оценка?
А может все-тки руководители kernel.org имеют право по своему оценивать патчи?

#20. pavel2403

pavel2403
Linfan написал:
Да, для ручного взлома закрытая система сложнее, чем открытая. Особенно если у хацкира нет доступа к бинарям
Интересно, а что же тогда собрался ломать хакер, если у него нет доступа к бинарям??? Это как, через астрал штоле? Спасибо за очередной лулз, клоун!!! Это в мемориз, аданазначна!!!!biggrin

#21. pavel2403

pavel2403
Linfan написал:
И эти системы имеют доступное описание.
Да-да, на уровне как установить и настроить, не более, структуру кодов, частоты, алгоритмы формирования запростов и пр. критически важные параметры ты нигде не найдешь!!!
Mandriva-oid
pavel2403 написал:
Интересно, а что же тогда собрался ломать хакер, если у него нет доступа к бинарям??? Это как, через астрал штоле? Спасибо за очередной лулз, клоун!!! Это в мемориз, аданазначна!!!!biggrin

Паш, где унитаз помнишь? biggrin

#23. Linfan

Linfan
pavel2403 написал:
Да-да, на уровне как установить и настроить, не более, структуру кодов, частоты, алгоритмы формирования запростов и пр. критически важные параметры ты нигде не найдешь!!!


Паша, ты перепута форумы - теме в биореактор выря wink

pavel2403 написал:
Интересно, а что же тогда собрался ломать хакер, если у него нет доступа к бинарям??? Это как, через астрал штоле? Спасибо за очередной лулз, клоун!!! Это в мемориз, аданазначна!!!!biggrin


Пашик, тебе этого не понять... Увы, весь мир не только васик использует.
Mandriva-oid
Кстати, рекомендую почитать больные фантазии Пашки здесь

#25. wr224

Linfan написал:

Пианэр, ты забываешь добавить, "как раз сертифицирована как система менее секюрная" ;)

Ты в здравом рассудке, не? Читай что такое сертификация в вики, клоун. Кстати, из линухов сертификацию прошел вроде только рэдхат и то где-то там в п№ндосии

#26. wr224

Linfan написал:

Пашик, тебе этого не понять... Увы, весь мир не только васик использует.

Да это понятно что весь твой мир ограничивается твоей палатой, там используется только исключительно линух biggrin
Mandriva-oid
wr224 написал:
Кстати, из линухов сертификацию прошел вроде только рэдхат и то где-то там в п№ндосии

Врёте-с tongue
Mandriva, Red Hat, Alt Linux, Linux XP - только навскидку. Может и ещё есть.

#28. Linfan

Linfan
wr224 написал:
Кстати, из линухов сертификацию прошел вроде только рэдхат и то где-то там в п№ндосии


Читай, просвящайся, пианэр: http://www.opennet.ru/openforum/vsluhforumID3/45391.html

BWT: У венды EAL3

#29. pavel2403

pavel2403
Linfan написал:
Пашик, тебе этого не понять...

Конечно не понять, клоун, я бред твоего восполенного ЛГМ мозжечка не могу понять, как и любой нормальный человек. Это точно.
Mandriva-oid написал:
Кстати, рекомендую почитать больные фантазии Пашки здесь

Гы-Гы, мандавойд, а кто-то клево у тебя в гостевой нагадил!!! Развлекался видать.

#30. DonDublon3

roo написал:
чупуха.
все алгоритмы шифрования(не самострой деревенских хакеров) открыты, иначе они не были бы приняты в качестве стандаротов.

Чувак, ты куда поехал?
В ядре линукс, например, есть уязвимость: падает при получение определенного ethernet-фрейма. Или уязвимость Самбы при переходе на каталог вверх.
Ну при чем тут алгоритмы шифрования и их открытость?
Mandriva-oid
pavel2403 написал:

Гы-Гы, мандавойд, а кто-то клево у тебя в гостевой нагадил!!! Развлекался видать.

Паш, толсто, это появилось только после пиара гостевой в вашем с вырем уйутном биореакторе tongue

#32. Linfan

Linfan
Кстати, поприветствуем с возвращением пианэров pavel2403, и wr224.

Они долго и тягостно трудились над возведением персональных биореакторов, но теперь они снова с нами и доставляют всем очередные порции здорового смеха biggrin

#33. Armanx64

Armanx64
Хорошо быть опинсурсником. Сегодня закрываешь за деньги вчерашние дыры и создаёшь дыры для получения денег и завтра)))
Mandriva-oid
Ладно, бахтерт begins biggrin
http://sites.google.com/site/antipavel2403/nolinux
Mandriva-oid
Armanx64 написал:
Хорошо быть опинсурсником. Сегодня закрываешь за деньги вчерашние дыры и создаёшь дыры для получения денег и завтра)))

Толсто, юноша. Худейте biggrin

#36. wr224

Mandriva-oid написал:

Врёте-с

Mandriva, Red Hat, Alt Linux, Linux XP - только навскидку. Может и ещё есть.
Из десктопных клоун рашкинским ФСТЭК сертифицирован только альтлинупс 4й версии(что само по себе не удивительно biggrin), тогда как винды сертифицированы начиная аж с древнейшего нт 4 wink
Mandriva-oid
wr224 написал:
Из десктопных клоун рашкинским ФСТЭК сертифицирован только альтлинупс 4й версии(что само по себе не удивительно biggrin), тогда как винды сертифицированы начиная аж с древнейшего нт 4 wink

http//shop.mandriva.ru/screenshot/lc3408/1.jpg
Слейся мигом tongue

#38. Linfan

Linfan
wr224, ну что ж ты такой темный как три подвала? crazy

Слух, давай мы скинемся тебе на учебник по информатке! Глядишь, поумнеешь, перестанешь глупости постить wink
Mandriva-oid
Linfan написал:


Слух, давай мы скинемся тебе на учебник по информатке! Глядишь, поумнеешь, перестанешь глупости постить wink

Боюсь, уже не поможет. ФГМ говорят неизлечим biggrin
Mandriva-oid
/ Ушёл в read-only собираться на поездку в СпБ
[1] 2

Просмотров: 2986