Open-source угрожает безопасности США?

Ну и дурь... Т.е. получается, что демакратическое общество хуже, чем тоталитарное. Ибо при тоталитарном обществе привит один умный чудак, а при демократическом - куча придурков. :)

Мдя...

Либо кто-то должен взяться за ум... Либо... На этом мысль останавливается. :)

Пардон, что начал с политики, уж больно ассоциации похожи.

Странно, достаточно большой процент исследовательских центров(США) говорит о низкой устойчивости
систем с открытым кодом, но никто не говорит обратного. Устойчивость систем
с открытым кодом(с практической точки зрения) доказана использованием 
того же линукса в корпоративных решениях. С теоретической точки зрения 
существование абсолютно устойчивых систем не отрицается. Но забывают о том, 
что как правило ошибки ищутся эмпирическм путем как в открытых так и закрытых
системах и мало кто проводит теретические исследования надежности поставляемых решений.
Отсюда можно сделать вывод что системы с открытым и закрытым кодом находятся в примерно
одинаковых условиях(с точки зрения надежности). Секьюритифокус не может восприниматься
как однозначно достоверный источник, так как это всего лишь статистика.
Извесно одно очень хорошее выражение "Есть ложь, есть извращенная ложь, а есть 
статистика". Ее можно толковать в любую сторону. К сожаленю авторы рассматриваемой статьи про это забывают.
По этому, мое мнение на сей счет - выводы авторов статьи мягко говоря, опрометчивы, если не безосновательны.
К сожалению, это мнение весьма уважаемого(в США) института.  

И откуда такие умники берутся... Это я про ADTI. Хоть бы уже что-нибудь новое придумали :)) А то заладилии.

Угу, а самая сильная криптография - это та, алгоритм которой засекречен. Ну-ну, далеко пойдут.

Поставят они решение от мелкософта, куда ж они денутся? Будут как раз тестовым полигоном на защищенность продуктов M$ :)

Если я не ошибаюсь, дыры в системе, исходники которой лежат перед глазами гораздо проще найти, чем в системе, в которой надо копаться "методом научного тыка". Другое дело, что Open Source реагирует на найденые дыры гораздо быстрее, но это уже другая тема.

wild

Готов спорить на бочонок Гролша, что это "исследование" было куплено макросаксом. Более того, в этом резюме почти слово в слово повторяется то, что говорили макросаксы на антимонопольном процессе.

Именно потому, что дыры в исходниках проще обнаружить, Open Source более защищена - ибо все дыры обнаруживаются МАКСИМУМ через год (это если ядро Linux'а взять - год назад вышла 2.4.0, сейчас - вполне надежное и стабильное 2.4.18). То же самое, кстати, касается Star Office, который изрядно подлатали за прошедшие пару лет...
По поводу дырок в закрытом софте... ;-) Прикол с "Яр-Тур.~" в M$ OfficeXP вылечили? ;-) А ведь дырень эта - как минимум с 95-го офиса живет.

ROOT: а фигли не купить, коли средства позволяют? :)

Самый устойчивый(ака теоретически устойчивый) алгоритм шифрования - xor с длиной ключа, равной длине текста. Доказано Шеноном. =)

ROOT, я готов спорить на 2 боченка Гролша, что "исследование" состояло в исследовании МСовских публикаций, то есть как таковой ее не было. =)

Опен соурс можно держать только мелким конторкам на их серверочках. Не думаю что ФСБ село бы на опен соурс с его глюками и бардаком.

Все-равно, дыру в системе легче найти обладая исходным кодом, неважно злоумышленник ты или обычный кодер. А если такая вероятность велика, то ясно же, что ставить такую систему в серьезной конторе не будут.

Если г-н Виндоузятник ВНИМАТЕЛЬНО взглянет на мои посты то ОН не увидит сравнения Ворда и (например) Опеноффиса. Я всего лишь привел пару достойных багов. Или у Вас условный рефлекс на слово "баг" и "Ворд" ?Я, например, занимаюсь микроэлектроникой. И там есть мультиканальный осциллограф. И мне надо готовить документацию под Виндой. А Ворд мне предлагает такую замену. Я что, спасибо за такое должен сказать ?

2 yrashk (*) (2002-06-04 15:52:27.499) удален

Неа. Это все фигня! Вряд ли наше ФСБ, к примеру, согласится на бабки МС. Там люди не глупее, чемв Штатах, а ИМХО, даже умнее.

2 anonymous (*) (2002-06-04 16:11:39.253)
>>Опен соурс можно держать только мелким конторкам на их >>серверочках. Не думаю что ФСБ село бы на опен соурс с его глюками >>и бардаком. 
Про Orange Linux слышал? 

Почему-то фразы типы "опенсорс в серьезную контору не поставят" говорят обычно люди, от которых не зависит, что поставят в серьезную контору. Мне тут тоже один говорит "Да пойми ты, ни один Большой Босс не поставит себе бесплатное ПО, без гарантий и т.д.". У него у самого ни одного подчиненного нет. Так и хотелось ему сказать что-то типа "С каких это пор ты стал принимать решения за Больших Боссов?"

кто платит тот и заказывает музыку

тока потом простые подчиненные ходят и плюются потомучто работать то им а не тому кто решает

Operating System and Web Server for www.gov.ru

The site www.gov.ru is running Apache/1.3.19 (Unix) rus/PL30.4 on FreeBSD

2 singerschucher (*) (2002-06-04 19:44:20.998)

Pls, запостите аналог про fsb.ru. Меня модератор невзлюбил.

Виндузятник

А что такое Open Source, то есть что под этим подразумевают в ADTI? В критических системах source в любом случае open, даже Windows. Мне кажется, что данная новость есть ничто иное как возобновление старых разговоров об открытости обсуждения проблем безопасности. Однозначного вывода по этой проблеме нет до сих пор. Сторонники открытости утверждают, что открытость ускоряет нахождение и исправление проблем безопасности. Их противники парируют это тем, что открытость позволяет противнику узнать о проблеме раньше, чем её исправят или закроют. Кроме того, добавляют они, противник может сам найти проблему о которой никому не расскажет.

Насчет прикола в офисе попробуйте написать слово мультиканальный и проверить на орфографию. Замена выйдет веселой :-)

Ставить систему с открытым кодом на ответсвенные сервера от работы которых зависит безоапсность ни кто в здаравом уме не будет, т.к. если враг найдет ошибку, то он вряд ли об этом всем сообщит, а будет просто ждать удобного момента ей воспользоватся.

"написать слово мультиканальный и проверить на орфографию"
Кстати Ворд предлагает правильную замену, потому как такого слова как "мультиканальный" в русском языке нет, а есть "многоканальный". Но анонимусы русского всё равно не знают.

2 anonymous (*) (2002-06-04 21:51:06.478):
> Ставить систему с открытым кодом на ответсвенные сервера от работы
> которых зависит безоапсность ни кто в здаравом уме не будет, т.к. 
> если враг найдет ошибку, то он вряд ли об этом всем сообщит, а 
> будет просто ждать удобного момента ей воспользоватся.

1. Кроме врага ошибку найдет кто-нибудь другой, кто это в тайне 
держать не станет. Если так, то эту ошибку исправят быстро. "Враг"
просто не успет воспользоваться. Это раз. А кто сможет гарантировать 
что не скрываются дыры в закрытом ПО?

2. Обслуживать ответсвенные сервера от работы которых зависит 
безоапасность посадят профессионала (не студента-троечника), иначе
пофигу Открытая система или нет. И этот специалист, имея исходные 
тексты, сам (также как и "враг") сможет быстрее находить дыры и 
закрывать их. Можно сказать, что стороны в равных условиях. При 
отсутствиии исходников - условия не равные, т.к. никто не может мне 
гарантировать что у "врага" тоже нет исходников. 

3. А насколько для профессионала труднее ковыряться в машинных кодах 
(или Assembler-е) ? Не профессионалу и наличие исходников не поможет. 


С Уважением
corwin

FreeBSD - надежный и стабильный OpenSource. Варианты есть?

> FreeBSD - надежный и стабильный OpenSource. Варианты есть?

Linux - надежный и стабильный OpenSource.

Да вообща ненадо по этому поводу шуметь и раздувать подомные темы. Сами находят подобные статейки, раздувают их до регионального, а то и мирового масштаба, и удивляются: откуда столько дури? Вот еслиб игнорировали и не флеймили, никто и внимания не обратил.

Кто там просил про www.fsb.ru??? Apache/1.3.24 (Unix) Подключены через Ростелеком, на раутер с адресом 195.161.157.2 На собственно сетку, где сидят машинки домена FSB.RU смотрит интерфейс 213.24.76.1 этого же раутера (Ethernet???) На самом деле машинку эту (www.fsb.ru) кличут beta.fsb.ru, а еще там есть ns1.fsb.ru (он же "по прозвищу alfa" с адресом *.76.2), есть там некий mail0 с адресом *.76.4, есть felix - *.76.5 - он же delta и mail1, есть zeta (она же video) - *.76.7, и есть некий скромный "просто epsilon" - *.76.6 :-) По последним данным (до очередного изменения в их файрволе) nmap уверял, что это была фрюха :-/ Если кому интересно, тот может найти в каких ситемах шел сендмайл 8.11.6 и 8.9.3 (с 8.9.3 взята конфигурашка, сам sendmail 8.11.6) - есть подозрение, что почтовка у них бегает на солярке, просто они пересобрали сендмайл, чтобы не позориться :-)

По поводу предыдущего сообщения. no-dashi по-моему тебе пора сменить ник/фамилию/адрес/национальность/пол/цвет кожи....

;-)

> пора сменить ник/фамилию/адрес/национальность/пол/цвет кожи....

Поздно, уже не поможет -=8-[ ]

2anonymous (*) (2002-06-04 22:09:10.621): "1. Кроме врага ошибку найдет кто-нибудь другой, кто это в тайне держать не станет."
Помнится в ядрах 2.2 была дыра которую нашли только года два спустя после релиза. Кроме того тот таких способен найти так глубоко закопанные дыры не много и их можно спокойно купить. Так что враг все равно будет иметь преимущетсво. Просто для примера - в какой банк ты положишь деньги в тот где все система защиты известна каджому вплоть со механизмов сигнализации или в тот где систма защиты не известна? Или еще так: что легче захватить военный объект о котором известно все включая чертежи туалета или тот где известно только что он существует, а на вышках видны часовые?
"А кто сможет гарантировать что не скрываются дыры в закрытом ПО?"
Ни кто, но и враг их просто так не найдет.
"2. Обслуживать ответсвенные сервера от работы которых зависит
безоапасность посадят профессионала"
Да поставь ты хоть толпу профи, но если врагу известно все о системе, то враг получает значительное приемущество по сравнению с тем случаем если ему практически ни чего не известно.
"При отсутствиии исходников - условия не равные, т.к. никто не может мне гарантировать что у "врага" тоже нет исходников."
Если у врага есть исходники то мы скатываемся на сценарий с открытым исходником. Но в том то и дело, что охранять надо исходники с самого начала и следить за ними.
"3. А насколько для профессионала труднее ковыряться в машинных кодах
(или Assembler-е) ?"
В десятки раз сложнее (на пример отследить даже одну глобальную переменную в 10мегах двочиного файла ой как не просто, а в случае с исходником grep и готово), на каждый чих будет уходить просто вагон времени.

если все так сложно почему тогда дыры в винде находят
с пугающей регулярностью
john

2anonymous (*) (2002-06-05 00:25:48.018) для открытой системы защиты можно расчитать надежность. Если четко известны все маханизмы, я, как потребитель такой системы могу сам проверить, дейсвтиельно ли там это все работает. Размуеется если мне важно это проверять самому. То что враг это может проверить - меня не сильно волнует. Побеждает всеравно сильнейший. А вот "начальные затраты" в случае открытости будут меньше. Да, у обоих. И у меня и у врага. Но малые начальные затраты позволяют ресурсам оборачиваться с большей скоростью, и достигать лучшего качесва за более короткое время. Тут снова победит сильнейший. Закрытость системы ограничивает круг потребителей, тестеров и так далее. Это все отрицательно сказывается на жизненом цикле системы, рузультирующем качесве.

кроме того, авторы всяких таких статей забывают, что защиту основаную на открытых стандартах/механизмах нужно строить совершенно иначе. Помните, поговорку, что для того чтоб эфективно спрятать что-либо, нужно его положить на самое видное место.

вот просканили nmap'ом (и не только) серверок fsb.ru, и что? Много это дало? :)) хотя, думаю админы там повеселились глядя на все это... как в том анекдоте "товарищ майор шуткой остался доволен" :)))

The site www.gov.ru is running Apache/1.3.19 (Unix) rus/PL30.4 on FreeBSD

Дык, БСД а не линух.

если все так сложно почему тогда дыры в винде находят с пугающей регулярностью

ГОРАЗДО реже чем выходят новые линухи. А ведь если выходят, значит и там не все гладко. И кстати какие же это дыры были за последние два года найдены в винде? IE не считать, ему все равно конкурент только глючная бета-мозила. Да и не запускают его на серверах.

2anonymous (*) (2002-06-05 00:57:44.273): "если все так сложно почему тогда дыры в винде находят с пугающей регулярностью"
Дыр в линуксе находят куда больше (см. статистику на сеюкритфокус). Причем дыры как не сложно заметить заключаеются в том что "дававйте запишем в функцию большой буфер и посмотрим что получится" либо "как бы обмануть IE чтоб он подумал, что смотрит на локальный файл".
2bormotov: "для открытой системы защиты можно расчитать надежность. Если четко известны все маханизмы, я, как потребитель такой системы могу сам проверить, дейсвтиельно ли там это все работает"
Напоминаю тему - "Open-source угрожает безопасности США?", как Вы можете догадатся правительство США исходники имеет и проверить как там все работает ни кто не мешает.
"То что враг это может проверить - меня не сильно волнует"
Просто у Вас и у США слегка разный уровень врагов.
"Побеждает всеравно сильнейший"
Ага, только если враг может одним махом выбить кучу народа соотношение сил может поменятся.
"А вот "начальные затраты" в случае открытости будут меньше. Да, у обоих."
В случае закрытых исходников закрты они для врага, а не для себя. Условия изначально делаются не равные для врагаи давать ему такие же условия как и у меня любимого ни какого желания нет.

О чем вы...Дыры, баги, вирусы, хакеры...смешно. Буш старший во время бури в пустыне одним нажатием кнопки отключил всю телефонную сеть Ирака. Разрешения у Садама, само собой не спрашивал. Не документируемые возможности вот это сила :). Заметьте какие трепетные отношения у пентагона с майкрософтом, ФАПСИ есть о чем задуматься...а лучше стукнуть по столу...где исходники твою мать.

вот просканили nmap'ом (и не только) серверок fsb.ru, и что? Много это дало? :)) хотя, думаю админы там повеселились глядя на все это... как в том анекдоте "товарищ майор шуткой остался доволен" :)))

А шо, с каких то пор серверок fsb.ru может что-то дать? Там ведь только пара информационных страниц и форма для анонимных доносов. Или кто-то из уважаемых линуксоидов думает что чекисты на открытом веб-сервере секретные документы хранят? Или что их внутренняя сеть относится к домену fsb.ru?

Да что сервера... Вон занание функциональности раутеров куда страшнее чем ОС...

Oleksiy новые линухи выходят не потому что в старых много дыр Дыр в ядре linuxa не больше чем в голых виндах anonimus чтобы искать дыры на переполнение буфера не нужны исходники , а закрытые источники мешают их исправлять john

"Дыр в ядре linuxa не больше чем в голых виндах"
Ядро без пакета программ ни кто непользует, а сатистика показывает что дыр в линуксе больше.

Дык про последняя дыра в библиотеке досих пор точно не известно в каких програмных продуктах она используется а вы говорите надежность в IIS все дыры закрыли ? в IE до сих пор дыра а если в закрытом учреждении ломают десктоп тоже мало приятного john

"Дык про последняя дыра в библиотеке досих пор точно не известно в каких програмных продуктах"
Эта дыра, если она вообще есть очень наглядный пример того, что ошибка в опенсорус может жить *годами* и ни какие миллионы хакеров её не замечали. Что же касается её присутствуия в том или ином продукте, то в случае с открытым кодом можно понять как ей воспользоватся, а если кода нет, то не ясно даже куда копать.

> Или еще так: что легче захватить военный объект о котором известно все включая чертежи туалета
> или тот где известно только что он существует, а на вышках видны часовые?

Ни то, ни другое не дает основний судить о степени легкости захвата.
Ну узнал ты, допустим, что у первого пятиуровневая система защиты. А силенок у тебя
есть только на три уровня... Ну а во втором "засекреченном" может и вовсе не оказаться
никакой защиты - сплошная бутафория. Вместо орудий - муляжи, вместо часовых - манекены...
Думаю идея понятна.

В таком духе можно придумать множество провокационных вопросов. Например, что
сильнее - криптография с открытым ключом или с закрытым? Или такой: Где больше
воды - в прозрачном стакане или в фарфоровой кружке? ;)

Сама постановка таких вопросов - отличная провокация на флейм. Однозначного ответа
не существует, а потому перетягивать одеяло с переменным успехом можно бесконечно ;)

2anonymous (*) (2002-06-05 03:08:08.046): "Ну узнал ты, допустим, что у первого пятиуровневая система защиты. А силенок у тебя есть только на три уровня"
Ага, но посмотрев на схему защиты я вдруг увидел что с 19:03 до 19:06 каждую пятницу система защиты отключается на проверку. И если начать атаку в этот момент, то ни какого сопротивления я не встерчу.
"Ну а во втором "засекреченном" может и вовсе не оказаться никакой защиты - сплошная бутафория"
Именно, но задействовать силы и средства не зная этого буду как на настоящий объект. Это как во временя ВОВ/ВТМ устраивали ложное уонцентрацию войск, чтоб противник оголил тот участок где будет реальное наступление. В случае с откртыми исходниками это все равно что требывать чтоб реальные планы наступления и перемещения войск доставлялись во вражеский штаб немедленно, так сказать чтоб тысячи закеров проверили если где проблемы в этих планах.

практика ...

Примерно более 3 года я сотрудничаю с JETNET in Torontо Canada, также работаю по контракту с TD Bank как security consultant. На этом форуме я просто а раз неделю в примерно смотрю новости про Linix environment я работаю с Solaris WinNT и как експеримент с Linux также и CheckPoint

Если сравнивать все 3 системы установленные с коробки то на Solaris 2.8x86 примерно 90 патчей и 20 относится к Security для Sparc цифры в 2 раза меньше видите что платформа ОДНА !!!! основная проблема ИНТЕЛ не стандартна и имеет многo различного оборудования. NT обязана поддерживать зоопарк всего оборудования и в этом ее проблема. Те множество проблем остаются и на позжее время это еще и коммерция. самое худшее всетаки это Линукс его основная проблема это незаконченость основой это кернел ему уделяется саме пристальное вниманание но соверженно не берут во внимание и длугое это все окружение которое делается непрофесионально и не доводится до конца нельзя требовать от волонтера качества так как ты им не управляешь

К вопросу об открытости кода - найти weak code in source это есть человек который имеет квалификацию выше чем тот кто это соэдал - это axiom 2. А вы помните размер исходного кода ТОЛЬКО ядра Т_О_Л_Ь_К_О и это должно быть сможете ли вы разобратся в нем сможетели ли ВЫ понять взаимодействие ВСЕХ компонентов СМОЖЕТЕ ли ВЫ отследить хотя бы ОДНУ функцию и СОЗДАТЬ последовательность комманд при котором что то будет искажатся или менятся.

ДОбавте сюда и весь окружение

В реальности так никто не работает Я имею в виду что существуюс системы в которых вместе с разработчиком активно трудятся и тестеры но я не видел НЕ ОДНОЙ СИСТЕМЫ _FREE_ подобно уровня - ЗА ВСЕ НАДО ПЛАТИТЬ и ПРОФЕССИОНАЛАУ ТОЖЕ.

Так что OPEN SOURCE SECURITY IS FAKE

>The site www.gov.ru is running Apache/1.3.19 (Unix) rus/PL30.4 on FreeBSD
>Дык, БСД а не линух.

Дык не винда, и ладно.

>Эта дыра, если она вообще есть очень наглядный пример того, что >ошибка в опенсорус может жить *годами*...
Скажем, я могу взять и пересобрать то, что использует zlib (если
вы про эту дыру), заменить саму zlib и радоваться жизни.
Главное, имея исходники, я могу с большой точностью пальцем показать, что вот эта программа использует данную библиотеку и т.п.
Теперь скажите, как называется то, что мелкософт сама точно
не знает, в состав каких программ могла попасть zlib?
Теперь они должны перекопать внутри корпорации своими силами
все это г..ще и пересобрать все это дело, затем отправить своим
партнерам сообщение, что в этом компоненте/компиляторе/прочем
г. у нас была сбойная либа - пересоберите/поправьте свое
софтваре.
Пройдет n-е количество времени и появятся патчи/новые версии программ.

Предположим, что шума особого не будет об этой ошибке, но где-то
произойдет утечка и, скажем, если те же хакеры внимательно
следят за открытием дыр, то, скажем, я - не очень, что ставит
меня, как пользователя, под удар.

Как правильно заметили товарищи выше, закрытый код не мешает
находить дыры. Закрытый код дает возможность выпускать сырой продукт.
Небезызвестный представитель мелкософта сам заявил, что с секьюрностью
плохо, если откроем исходники, совсем будет п..ц, микрософт мессенджер
с багами (и, суки, тем не менее его выпустили, козлы).
Я не заметил, чтобы redhat, например, говорил, что их unbreakable
linux или серверные решения были отстоем, нельзя было бы открывать
их код из соображений безопасности и т.п.

Разница еще и в подходе к разработке - когда выпускается продукт
Open Source, все уверены, что он в порядке - только после этого
идет название полной версии. Далее уже находятся баги, которые
исправляются.

Когда появляется продукт того же мелкософта, его ставишь,
он начинает падать, тут же обещают сервиспак.
Какой мне толк с сервиспака через четыре месяца, когда
ломают меня уже сейчас? И такое "надежное" решение микрософт
приходится прятать за "отстойным, кривым, трудным в настройке"
линуксом/бсд и т.п.

Про дыры вообще молчу - как можно было выпустить патч от проблемы,
который не решает проблему? А на хрена добавлять новые (чуть не сказал дыры) возможности, если еще пока что старые глюкают?

Кстати, смотрел передачу про ФАПСИ - судя по тому, что творилось
на мониторах, у них было что-то юникс-подобное (за исключением машины
в дальнем углу кабинета, явно стоявшей под win2000).
Не могу сказать точно, но вроде как им запрещено использовать
win для каких-то серьезных задач.

P.S. Дыры на секьюрити-фокус найдут, их исправят, а мелкософт
так с этими дырами и будет ходить.

Сторонники закрытых кодов меня просто умиляют, как будто это они сами что то там закрыли :) Исходники закрыли от вас, болезных, в прервую очередь и взамен заставляют покупать кота в мешке ;) А вы еще и радуетесь этому..
Воистину блажен кто не ведает :) или - блаженны нищие духом...

"Разница еще и в подходе к разработке - когда выпускается продукт
Open Source, все уверены, что он в порядке - только после этого
идет название полной версии"
Имея код ты не в чем не уверен. Если же ты считаешь иначе, то мне тебя жаль, в качестве разминки читай здесь http://online.securityfocus.com/archive/1/274927
"Когда появляется продукт того же мелкософта, его ставишь, он начинает падать, тут же обещают сервиспак"
Хватит глупости гнать. Линукс год падал и тормозил пока нусчастную VM отладили. И почему-то у Линуса хватило наглости релизнать ядро с нестабильным vm. Так что и открытый код "дает возможность выпускать сырой продукт"
2NiKel: Сторонники открытых кодов меня просто умиляют прямо как дети. Умственное развитие на уровне 4 летнего ребенка, который кричит "хАчу" и не способен посмотреть на вещи с чужой стороны. Вот представте что вы отвечаете за безопасность США, что поставите откыртый всем линукс или ОС от которой у вас исходники есть, а у других нет. Если ответ будет "линукс", то мне к такому человеку только будет пара просьб: рутовский пароль от его машины, чтоб проверить как все стоит и номер его банковского счета вместе с подписанными чеками или номер кредитной карты, чтоб проверить сколько там есть денег.