LINUX.ORG.RU

Open-source угрожает безопасности США?


0

0

Консервативный американский институт утверждает, что ПО с открытым исходным кодом по своей природе менее безопасно, чем проприетарное программное обеспечение, и предостерегает правительство от его применения в сфере национальной безопасности.

В документе Opening the Open Source Debate, который организация Alexis de Tocqueville Institution (ADTI) планирует опубликовать на предстоящей неделе, утверждается, что ПО с открытым исходным кодом открывает двери для хакеров и террористов. ╚Пытаясь перейти на 'open source', как рекомендуют некоторые группы, федеральное правительство облегчает задачу террористам, стремящимся взломать или вывести из строя компьютерные сети США╩, √ говорится в предварительно распространенном заявлении ADTI.

>>> Полная статья на русском

NiKel, а как тебе вот эта точка зрения? : Здесь в основном тусуются те, кто закрывает код и делают на этом деньги. А так, как ты рассуждаешь, думают директора предприятий, которые сами soft не производят. Так, что меня скорее удивляет такое количество приверженцев к Open Source на этом сайте. Конструктивный спор получится? :)

anonymous
()
Ответ на: комментарий от anonymous

> Ага, но посмотрев на схему защиты я вдруг увидел что с 19:03 до 19:06 каждую пятницу система защиты
> отключается на проверку.

Ага, в закрытой системе она вообще не включается никогда ;) Стрельнул из рогатки в часового, и
он упал. Думаешь я буду ждать до 19:03? ;)

Главная ошибка в твоей логике - ты считаешь, что открытая система имеет такую же плохую
защиту как закрытая, и плюс она еще открыта всем желающим ее сломать, что делает
ее намного более уязвимой. Мысль не новая. Она даже получила термин: Security Through Obscurity.
А почему эта модель не работает так, как хотелось бы, написано тонны различных статей.
Прочти хотя бы эту: http://slashdot.org/features/980720/0819202.shtml

anonymous
()
Ответ на: комментарий от anonymous

> основная проблема ИНТЕЛ не стандартна и имеет многo различного оборудования.

Какая здесь связь с дырявым софтом? Пример пожалуйста.

> это все окружение которое делается непрофесионально

Допустим в этом утверждении есть смысл. Но почему относится только к линуксу?
Что, BIND в солярисе имеет меньше дыр, чем в линуксе?

> найти weak code in source это есть человек который имеет квалификацию выше чем
> тот кто это соэдал - это axiom 2.

Настолько спорное утверждение, что даже на теорему не тянет ;) Чтобы найти buffer overflow
не надо даже среднюю школу заканчивать. Нужно лишь иметь цель найти и знать симптомы.
Совершенно механическая процедура.

> сможетели ли ВЫ понять взаимодействие ВСЕХ компонентов

сможем... не боги горшки обжигают.

anonymous
()
Ответ на: комментарий от anonymous

> Имея код ты не в чем не уверен. Если же ты считаешь иначе, то мне тебя жаль, в качестве разминки читай здесь
> http://online.securityfocus.com/archive/1/274927

А мне жаль тебя, т.к. в голове твоей бардак. Иметь код и изучить код - не совсем одно и то же.
С таким же успехом можно сделать троян из любого закрытого бинарника.

> Линукс год падал и тормозил пока нусчастную VM отладили.

падал и тормозил у кого? Если у тебя, то считай что я тебя снова пожалел ;)

> Так что и открытый код "дает возможность выпускать сырой продукт"

Точно так же, как это возможно в закрытых продуктах... И то и другое
делают _люди_. Те, которым "свойственно ошибаться" ;) Однако есть "тысячи глаз",
которые могут проверить открытый код и поправить его если нужно. Только и разницы...

> что поставите откыртый всем линукс или ОС от которой у вас исходники есть, а у других нет.

Вот это и есть мышление на уровне 4-х летнего ребенка. Поставь ОС, исходники которой есть
только у тебя, и пусть тебя сломает первый же малолетний хакер, который
случайно натолкнется на тебя в сети. То есть ты сам конечно будешь убежден в
непогрешимости кода, который никто не видел, однако кулцхакер об этом знать не будет,
и спокойно вскроет тебя стандартными средствами ;)

anonymous
()

Вот вам еще прикольная аналогия. Может кого-то пробьет на это сравнение закрытого кода:
Вместо того, чтобы сделать качественный замок, маскируют дверь,
чтоб никто не догадался, где входить. На поверку оказывается, что стены
настолько гнилые, что и дверь искать не нужно...

anonymous
()

ребята, а почему вы думаете, что "закрытые" исходники обязательно лежат в сейфах и на замке ? не "open" это значит, что их нельзя законным образом вот прямо так взять и поглядеть на халяву.

но вот, к примеру, получить 20 гиг сорцов ВыньХП на самом деле не составляет такой уж большой проблемы, с ними каждый день работает куча народу.

maxp
()

2anonymous (*) (2002-06-05 05:08:16.762): "Ага, в закрытой системе она вообще не включается никогда ;) "
Уже начинаем дурь гнать. Хорошо хоть смайлики ставишь. Вот только закрытые исходники пишут те кто уже набил руку в написании программ и довольно часто оказываются более защищенными. Только для примера, сообщество по написанию Мозиллы в попытках догнать IE угробило более 3 лет, за это время IE ушел так далеко, что Мозиловцам даже полный переход AOL на их поделие поднимит использование Нетскейпа/Мозилы аж до 13%... Аппле используя FreeBSD имеет около 5% десктопов в то время как линукс только 0.24%...
"Главная ошибка в твоей логике - ты считаешь, что открытая система имеет такую же плохую защиту как закрытая"
В отлчии от тебя я не думаю что какая-то система полностью защищена, я даже наоборот закрытая система имеет меньше дыр чем открытая (статистика это хорошо показывает), но пологатся только на систему будет совсем уж больной человек (RMS как раз из таких).
"Прочти хотя бы эту: http://slashdot.org/features/980720/0819202.shtml";
И? Ты рассматриваешь ситуацию что кто-то написал программу и её так и используют, вот только ты забываешь (или не знаешь), что прежде чем систему использовать в обороне, NSA её проверяет, а не пускает все на самотек. И называется это дело - аудит.
"Настолько спорное утверждение, что даже на теорему не тянет ;) Чтобы найти buffer overflow не надо даже среднюю школу заканчивать. Нужно лишь иметь цель найти и знать симптомы"
Явный баг найти не сложно, а если у тебя 10мег исходников и где-то внутри есть код который при вводе хитрой комбинации открывает другие возможности, найти может только тот кто умеет писать программы. Я не удивлюсь, если узнаю что такой код уже давно сидит в какой-нибудь части линукса...
2anonymous (*) (2002-06-05 05:41:15.873): "С таким же успехом можно сделать троян из любого закрытого бинарника"
Но это показывает, открытый исходник ни в чем не лучше закрытого, а даже может быть и хуже, т.к. дает ложное чуство безопасности.
"падал и тормозил у кого? Если у тебя, то считай что я тебя снова пожалел ;)"
И не только у меня, судя по тому как это дело меняли каждую неделю.
"Однако есть "тысячи глаз", которые могут проверить открытый код и поправить его если нужно"
Которые тот же zlib с bind по несколько лет не видели. И все "преимущества" оказались на поверку пшиком.
2anonymous (*) (2002-06-05 05:55:56.894): "Может кого-то пробьет на это сравнение закрытого кода: Вместо того, чтобы сделать качественный замок, маскируют дверь, чтоб никто не догадался, где входить. На поверку оказывается, что стены настолько гнилые, что и дверь искать не нужно"
Вот только чаще всего закрытые исходники не только сильнее защищены, но и работают надежнее, чем открытые.

anonymous
()

мультиканальный

это проблема не только МС офиса...
но и Опен офиса....
так что прав был аноним - многоканальный, это правильное слово ;-)

Ruwa
()

>или ОС от которой у вас исходники есть, а у других нет

Я же сказал - "блажен кто не ведает" ;)

"Что знают двое - знает и свинья" - тоже, к стати, не мною придумано..
Ввиду этого расчитывать на великую тайну закрытого кода - глупо, а доверять ей действительно серьезные вещи - опасно.
В серьезных местах сидят люди которые сами пишут или имеют в шатате тех кто пишет ключевой код или работают с тем что на 100% понимают как работает. Думаю, что надежность, основанная на знании лучше, чем надежность, основанная на доверии или мистике гипноза "солидных компаний".
Возмем те же стойкие алгоритмы. Они всем известны, как таблица умножения, но это не значит, что системы на них основанные от этого становятся менее надежными. Окрытость очень высоко поднимает планку качества, отрезает пути для надежд на халяву типа - "никто не видит - может и сойдет". Если вместо открытой таблицы умножения или окрытой таблицы Менделеева вам предложат использовать колоду карт Таро в комплекте с секретной книгой толкований - куда вы его пошлете? ;)

NiKel
()

anonymous (*) (2002-06-05 06:34:42.11)

из сказанного был приведен только пример IE, и вероятно на нем все основывается..
Тогда каков процент использования замечательного IE на не Windows платформе: BSD, Solaris, IRIX, AIX.. любой. Цифры в студию ;)

Если мы берем уникальную разработку, например систему защиты организации XYZ. Ежу понятно, что коль все под контролем и требуется максимальная защита - лучше никому исходников лишний раз не показывать. Так делать было бы просто незачем - эксгибиционизм какой то :) Но расчитывать только на закрытость - тоже было бы глупо. Тут же речь о другом - не о единичных проектах, котрые делают сами для себя или на заказ, а об использовании стандартного софта - открытого или закрытого. Закрытость сама по себе ничего не гарантирует, зато лишает потребителя возможности контроля того что он у себя запускает. Пусть далеко не всем это нужно. Но лучше контроль иметь, чем не иметь. И лучше знать, чем доверять..

NiKel
()
Ответ на: комментарий от anonymous

> Уже начинаем дурь гнать. Хорошо хоть смайлики ставишь.
Было бы нелепо что-то отвечать с серезным видом на твои мягко говоря заблуждения.

> закрытая система имеет меньше дыр чем открытая (статистика это хорошо показывает),

В таком случае, сделай так, чтобы я и остальные тоже _хорошо_ ее увидели ;)
Покажи нам твою статистику! А я сразу показываю тебе свою:
http://online.securityfocus.com/vulns/stats.shtml

С 1997 по 2001 год всего дыр:
winnt - 242
redhat - 212
Solaris - 146
AIX - 90
FreeBSD - 77
HP-UX - 67
Slackware - 44
OpenBSD - 38

Смотри: в выборке распространенные системы. 4 закрытых и 4 открытых.
Какой вывод можно сделать из приведенных цифр? Они подтверждают твои слова?

> Но это показывает, открытый исходник ни в чем не лучше закрытого,

А вот это и требовалось от тебя услышать ;) Я же сразу сказал, что флейм абсолютно пустой.
Безопасность программы не определяется ее закрытостью/открытостью.
Открытость/закрытость может влиять лишь на скорость обнаружения/устранения багов.

anonymous
()

ну что ж. гдядя из микрософта на все это чешуение хочется сказать господа товарищи и быратья кое у кого тут мания величия выражена отчетливо.

понятное дело для сотрудника MS любой код открытый в течение так сказать рабочего дня.

и по-моему удельный вес ощибок в местном коде меньше - если кому интересно моджно посчитать сколько файлов например драйверов чего там нибудь тут и там сколько багов и т.п.

чтобы был типа предметный базар

anonymous
()

2anonymous (*) (2002-06-05 09:06:54.771): "В таком случае, сделай так, чтобы я и остальные тоже _хорошо_ ее увидели ;)"
Что ж смотрим, за 2001 год и что мы видим? На первых местах Линуксы и это не смотря на их открытость, а вот виндовс со временем заметно упало... Так что смотри внимательнее, а то не заметишь как линукс уже носит название самой дырявой ОС.

anonymous
()
Ответ на: комментарий от Oleksiy

>> если все так сложно почему тогда дыры в винде находят с пугающей регулярностью

>ГОРАЗДО реже чем выходят новые линухи.

Oleksiy, не суйся сюда со своим отсутствием хоть какого-нибудь понимания предмета разговора. Что ты имеешь в виду под линухом? Ядра? Дыры в винде находят чаще, чем выходит linuxX.XX.XX, это факт. Кроме того, релизы ядра в общем никак с секурностью не связаны, это обычный процесс улучшения/добавления драйверов etc. Тот, кто думает, что ядра выходят раз в месяц чтобы залатать кучу дыр - просто пень. changelog почитайте, если им не верите, диффом сырцы прогоните, умник х-ев.

> IE не считать, ему все равно конкурент только глючная бета-мозила.

Мозилла давно не бета. А глючит она только если глючит лежащая под ней винда (сам видел кучи вылезших глюков после сервиспака на 2000-й). Лесом дилетантов короче.

anonymous
()

А если еще вспомнить как Sendmail, весь из себя опен-соурс, дырок имел :)

anonymous
()

IMHO не правильно утверждать "ставишь открытый софт - ты имеешь исходники и твой противник имеет исходники. Ставишь закрытый - ты имеешь исходники, а твой противник - нет". В случае закрытого софта "ты не имеешь исходников, а твой противник имеет исходники". Пример - фолклендский кризис. Аргентицы покупали всю шифровальную технику у американцев. Во время боевых действий американцы передавали англичанам все секретные переговоры аргентинцев в реальном времени. Вот пример применения закрытой (и как утверждают анонимусы - поэтому надежной) системы.

kraw ★★★★
()

Мнение штатовских комиссий определяется капитализацией компаний. Можно легко сравнить цену MS и Linux*. Отсюда и "угроза безопасности".

Разница между открыт или не открыт исходник возникает только для простых грешников. Практически любая организация , будьто то спецслужбы или контора,сумевшая доставить два самолета до башен близнецов,способна получить исходники любой OS общего пользования. Воровали и не такое. Криптографическое правило: скрытость алгоритма не является опредляющим при определении криптостойкости. К "закрытым" исходникам имеют доступ тысячи людей, а людишки продажны... Трудности в анализе кода на предмет багов или того круче - "задних проходов" приблизительно одиннаковы для всех видов исходников. В одном случае поиском багов в коде занимается ограниченное количество профессионалов, под контролем нанимателя. В другом множество "любителей" начиная с зеленых юнцов, до бородатых чудаков, помешанных на компьютере, желающих повесить свой банерок на www.*.gov сайт или просто разобраться. Приминительно к нашим спецслужбам открытые исходники просто клад. Вероятность целенаправленного взлома много меньше, скорее всего данные о возможности взлома появяться раньше или взломщик окажется случайным человеком,который не знает что ищет/найдет. Информация о уязвимостях быстро распространяется по хакерским сайтам и рассылкам. В случае с закрытым кодом все много забавнее, можно вспомнить Ирак, или подозрительные пакеты, отправляемые виндой. Что она делает, может ли управляться из вне и кем? Если только FBI - мне пофигу, а вот ФАПСИ нет. Информация о уязвимостях долго может скрываться от почтенной публики. Даже если ответ найден во взаимствованом исходном тексте, что делать? Выпускать свою версию Win* с "ФАПСИ copyright" ? И где гарантия , что не пропущено что-либо?

Вероятно все-таки необходимо использовать модули с закрытыми исходниками/алгоритмами поиска вторжений. Это реальный путь.

Если Вам не лень заниматься безопасностью, то Вам необходимы гарантии тому, что информацией о уязвимости не воспользуются раньше именно те, кто представляет Вам реальную угрозу. Если штатам кажется , что у них все под контролем - это их проблемы. У меня другое мнение, у китайцев тоже :-).

eda
()

Ну блин раздули! По закону Мерфи система может считаться полностью защищенной если она стоит в отделной закрытой комнате и неработает. А вообще даже в какой ни будь мало-мальски уважающей себя конторе к безопасности относятся на уровне серетных служб (закрытый этаж, собственная слубжа охраны этого этажа, полное изолирование от внешнего мира, сдал, принал, опись, протокол, отпечатки пальцев) кстати у нас в конторе таким служащим даже оставлять файл который они набрали и распечатали для себя, нельзя (да там даже свои записки нужно уничтожать)(а вы говорите о Пентагоне Фсб и т.д.) Все это глупости потому что в этих конторах никто секурную сетку в интернет пускать не будет (мало того она ничего общего даже с ней иметь не будет). А если кто то считат иначе, то вы просто ДЕТИ ИГРАЮЩИЕ В ШПИОНОВ, СУПЕРПРОГРАММЕРОВ И КРУТЫХ ХАКЕРОВ. Все это просто смешит тех людей кто по долгу работы связан с сохранением секретной информации. По историческим данным можно с уверенностью в 90 процентов сказать что секретная информация просто покупается и/или просто отдается (передается). На мою память нет ни одного случая когда что то сперли в фирме (государственной или особо серетной) через Интернет/модем. А если кто скажет про "Дело Левина (или как там его)", то с уверенностью в 150 процентов могу сказать что один он (без друга/подруги/партнера/информатора) никогда бы не сделал (более того даже зная о всех багах системы). В связи с этим можно сказать, что весь спор о секурности закрытых/открытых систем не имеет состава (хотя я считаю что опен он покруче будет, хотя бы потому, что его луди устремленные пишут с целью (и порой эта цель безопасность - OpenBSD))

klim
()
Ответ на: комментарий от anonymous

>http://online.securityfocus.com/vulns/stats.shtml

>С 1997 по 2001 год всего дыр: >winnt - 242 >redhat - 212 >Solaris - 146 >AIX - 90 >FreeBSD - 77 >HP-UX - 67 >Slackware - 44 >OpenBSD - 38

Кстати в топе (за 4 года) нет ни одной системы BSD (включая slackware) Почему?

anonymous
()

2 eda (*) (2002-06-05 10:02:38.442)
2 klim (*) (2002-06-05 10:10:35.027)
Молодцы!

Ну хоть кто-то дело сказал болтунам! :) А то несут всякую чушь - открытый-закрытый. Фигня!

PitStop
()

Естественно, linux из коробки не годится как надежное решение для обеспечения повышенной безопасности. Но ведь есть например RSBAC или NSA LInux (кстати, обратите внимание на организацию, которая разрабатывает его). Не думаю конечно, что в NSA Linux используется в таком виде, в котором он выкладывается на сайте, скорее это тестовый полигон а для внутренного использования есть другая версия. NSA может себе позволить такую мелочь, как нарушение GPL :) В тоже время, как тут уже говорилось исходники винды доступны многим, и думаю у крупных террористических организаций и спецслужб даже не очень развитых стран будут проблемы с их получением, то в данном случае фактор закрытости не работает. Думаю все таки правительственным организациям будет выгоднее использовать опенсорс, основательно перелопатив его, чем слепо доверять даже очень надежным и лояльным корпорациям. Думаю эта статья как раз и призвана убедить чиновников в обратном, ну а кому это выгодно - понятно. Далее, использовать буфер оверфлоу не всегда так просто как кажется, даже если есть исходники, еще многое зависит от того как собрана программа. Например почти всегда эксплоиты от RedHat не работают на Slackware и наоборот. Для того чтобы успешно проэкплоитить, нужно иметь и точно такой бинарник, как на атакуемой системе, иначе адрес возврата, который нужно подменить в стеке придется находить полным перебором, а такую атаку уже гораздо легче обнаружить. Это я к тому, что исходник дает далеко не полную информацию хакеру и если скомпилировать "соотвествующим образом" то для хакера это будет довольно сложной проблемой.

anonymous
()
Ответ на: комментарий от anonymous

"Разница еще и в подходе к разработке - когда выпускается продукт Open Source, все уверены, что он в порядке - только после этого идет название полной версии"

Чего-то линуксоиды сами не знают чего говорить уже. Помнится, как вышли релизы ядра 2.4.0 - все в один голос орали что они пока ставить его боятся, а будут ждать патчей.

Oleksiy
()
Ответ на: комментарий от anonymous

Главная ошибка в твоей логике - ты считаешь, что открытая система имеет такую же плохую защиту как закрытая, и плюс она еще открыта всем желающим ее сломать,

Люди, вы что, серьезно считаете что речь идет о драке между линухом и МС? В серьезных американских конторах всегда был свой софт, сделанный под заказ за БОЛЬШИЕ деньги. Да ихние военные самолеты стоят под миллиард долларов каждый, те же томагавки, которые они пачками выстреливали в Югославии и Афгане - каждый пару миллионов. Так что, у военного ведомства такой страны не хватит денег чтобы заказать действительно надежную систему? Причем засекретить сам факт ее существования?

Oleksiy
()
Ответ на: комментарий от anonymous

"Однако есть "тысячи глаз", которые могут проверить открытый код и поправить его если нужно"

Может быть и могут, только вот почему-то не проверяют и не поправляют. Для сравнения - на тот же микрософт работают десятки тысяч человек, причем далеко не самых тупых, причем работают по 10 часов в сутки за хорошую зарплату. Плюс к ним сотни тысяч бета и прочих тестеров, которым за их работу тоже кое что перепадает. Плюс к тому куча контор, занимающихся исключительно поиском дыр в коммерческом софте.

С другой стороны тысячи опенсорсников, большинство из которых старшего школьного возраста с огромным количеством амбиций но малым количеством извилин, зато преданных делу и кричащих об этом на каждом углу. Если таких исключить, останется вовсе не так уж и много народу, которому кстати тоже иногда кушать хочется, поэтому нет времени сидеть целыми днями за монитором и гробить здоровье за идею. К тому же многим из них интереснее писать новый код чем ковырятся в старом в поисках ошибок. Кстати, заметьте, во всех опенсорсных проектах - народ из Европы или США, русских фамилий раз, два и обчелся - и те в основном в переводах док.

Oleksiy
()

2Oliksiy. Ты думаешь, что, чем больше заплотишь программисту, он напишет более защищенную систему? Гы-гы-гы. Да тут дело не только в программисте, а очень много факторов. И думать о защищенности надо еще до того, как будет написана первая строка кода - при проектировании. Ну и, естественно, этапа тестирования никто не отменял, а он (этап) обходится подчас дороже чем программирование.

Korwin ★★★
()

Защищенный компьютер - это выключенный компьютер в банковском сейфе, окруженный взводом охраны, отключенный от всех сетей включая электрическую, под управлением версии Unix прошедшей сертификацию на уровень безопасности В1. Правда, все равно сломают.

Вольный пересказ цитаты с LRN

Анонимы, утверждающие, что система с закрытым исходным кодом лучше защищена меня изрядно повеселили. Но Господа Линуксоиды как-то пропустили одну интересную деталь:

Производитель коммерческой ОС с закрытым исходным кодом крайне неодобрительно относится к тому, что пользователи его программного продукта начинают самостоятельный поиск дыр и уязвимостей в нем, или просто пытаются исправить кривую реализацию ряда функций тем же производителем. Для чего в систему кроме функциональности, НЕОБХОДИМОЙ для выполнения поставленной задачи вносится ИЗБЫТОЧНАЯ функциональность, отвечающая за защиту от нелицензионного копирования, аутентификацию копии, слежение за действиями пользователя и т.д. О том как подобные вещи влияют на надежность, стабильность и производительность говорить не буду, и так понятно.

О том, что в последних версиях Винды была добавлена очень полезная именно с точки зрения безопасности фича: зависимость функциональности системы от одной небезызвестной конторы в Редмонте, а также от стабильности комплектации аппаратного обеспечения (Можно заменить не более 2-х отказавших модулей прежде чем система настоятельно запросит вас заплатить еще 100$ продавцам воздуха). И в дальнейшем эта контора пойдет тем же путем.

Туда вам и дорога, а мы останемся с Опенсорсом (Линукс, Фря или что еще - дело вкуса).

Ikonta_521
()

2 Oleksiy
F-16 - 22 млн. долларов.
F-18 - приблизительно столько же.
F-14, F-15 - чуть дороже.

Крылатая ракета типа "Томагавк" - 600 тыс. долларов. Запуск - около 100 тыс.

Но это все к слову. На тему зарытости - по прочтении этого флейма мне показалось, что только eda учил криптографию. Ну еще пару человек. Большинство продемонстрировало безграмотность... 8(

Zulu ★★☆☆
()
Ответ на: комментарий от Korwin

Ты думаешь, что, чем больше заплотишь программисту, он напишет более защищенную систему?

В том то и дкло что факторов много. Абы какому программисту никто платить не будет. Много будут плаить только хорошему профессионалу. К тому же нанятый программист - лицо материально ответственное (так или иначе), с него есть что спросить и есть как наказать/поощрить в случае чего. А за что и как отвечает опенсорсник?

Oleksiy
()
Ответ на: комментарий от Zulu

2Zulu: B-2 - 2 млрд долларов. Я имел в виду самые дорогие модели - малосерийные или даже уникальные и засекреченные. А софт, в отличие от самолетов, не нужно производить серийно.

Кстати, о криптографии речь по-моему вообще не велась. Да и слишком уж общирная это тема чтоб каждый линуксоид в ней полностью разбирался.

Oleksiy
()

Допустим, необходимо обеспечить безопасность некоего важного, но не полномочного для src объекта (банка, службы безопасности не США). У этого объекта нет ни src, ни даже дизассемблирования файлов (все, кому не лень, это запрещают). Кроме того, у него нет реальной информации о дырах, на которые случайно уже наткнулись пользователи :). "Враг" не имеет никаких ограничений. Он спокойно дизассемблирует все, его друзья спокойно дают ему информацию о всех дырах и иже с ними. Потом. "Враг" (каковым, кстати, может быть ФБР или ЦРУ или некий олигарх) может иметь связи у производителей. Более того, информацию об обнаружении таких связей (в принципе, дыр, но не ошибочных, а специальных). Open Source обладает немного большей, но не абсолютной безопасностью. Стало быть, если Вам нужна действительно безопасность, пишите софт (с нуля) сами. Если безопасность сводится к недоступности для других, то достаточно все нужное держать на несетевом компе. На сетевом - ТОЛЬКО то, что никому не интересно. А собственно безопасность достигается физически (замок, охрана, ловушки :) )

FoodTechnologist
()

дожднтнсь BRICом по башкн увидим как заговорите

anonymous
()

Oleksiy
Плюс к этому еще полагают что ЛЮБАЯ система уязвима. Следовательно если нет исходников, то добраться до уязвимости сложнее.
Ошибка в том что:
1.Не любая. Есть проверенные и защищенные фундаментальные алгоритмы, многие из них окрыты и доступны в литературе.
2.Ломают не систему как таковую, а отдельные её точки, программы, протоколы, сервисы, службы и тд. Так как Линух сам по себе лишь ядро - то и говорить надо именно об ошибках в ядре. Сендмейлы, апачи, глибсы сюда не относятся - если была найдена ошибка в sshd - это конкретно ошибка sshd а не Линукса и т.д. В случае с M$ все не так, так как закрыто практически все и не ясно насколько зависимы части - поэтому можно говорить что ломают именно Windows, не зависимо от того - это IE или какой либо сервис.
3.Закрытость исходников как средство защиты уже несостоятельно из-за реверс инжиниринга.
4.Самым слабым местом в любой системе является человек, так как
a) человеку свойственно ошибаться
б) на человека легче влиять
в) на человека нельзя положиться
г) человек иногда не знает что творит ;)

Ломиться в проверенный алгоритм - то же самое что и упираться в каменную стену. Гораздо проще выйти на нужного сотрудника. Действительно закрытые проекты делаются с максимальным ограничением работников внутри замкнутой зоны.
Раньше приходилось работать в секретном отделе и сам видел как легко можно вынести информацию, особенно если ты являешься внутренним работником, знаешь расписание, расположение камер, имеешь доступ к журналу регистрации документации и её уничтожению.. Гораздо важнее выбрать правильного человека чем систему. Допускаю что есть действительно серьезные конторы, где никто ничего не знает и ни к чему не имеет самостоятельного доступа на любом уровне, но опять же это уже вопрос организационный а не технический.

NiKel
()
Ответ на: комментарий от anonymous

> Не думаю что ФСБ село бы на опен соурс с его глюками и бардаком.

А зря. Поищите информацию про ОС МСВС ;)

ivlad ★★★★★
()

фишка куда пойдет блютус, вай фай и прочая 802 лабудень. у низ все по определению открыто

anonymous
()
Ответ на: комментарий от anonymous

Не народ ну вы не ровняйте божий дар с яишн-ой, FreeBSD это одно а линь совсем другое. Пардоньтес но то что они оба опен-сурс это не говорит не о чем. И кто сказал что Linux это надежная и стабильная система. Да не спорю ос что надо, но вот только дыр то в ней хватает, а вот если потратить этак с месяца два на доведение то потом и на сервер и на вёркстейшин ставить мона. А во т чтойто на фряхе я такого не замечал до полной работоспособности я её доводил за неделю, оно как прокся шаЗ работает и как дашцр сервер Этак уже пол года...

ssg
()

Для начала неплохо почитать статью N, потом думать, думать,
думать, думать ... , опять читать, опять думать.
Можно даже в барабаны не стучать и флагом не размахивать -
силы экономить. ;)
N -> "Информационная безопасность - основы",
Системы управления базами данных #01/1996,
В.А. Галатенко,
("Критерии оценки надежных компьютерных систем",
Интерпретация "Критериев" для сетевых конфигураций,
Гармонизированные критерии Европейских стран),
http://mac.www.osp.ru/dbms/1996/01/49.htm .
N -> SMM:17 "On the Security of UNIX", Dennis M. Ritchie,
год моль съела, где-то Unix V7,
http://www.alw.nih.gov/Security/FIRST/papers/unix/ritchie.ps .
А потом опять думать, думать, ... И опять читать
/Ик, производящий пук/
З.Ы. А у янки процент хитрожопого население примерно
токой же, как и более других. Только угол тупости другой.
Вот и " Open-source угрожает безопасности США". Во всем виноваты
евреи и велосипедисты. Софистика как двигатель торговли.

anonymous
()

"Использование программных продуктов без исходных текстов и произведенных в Соединенных Штатах, угрожает безопастности Мира." Бля. /Ик, вспомнивший о количестве сетевых комплектов a l'a Cisco/IOS поМиру и упавший в паранойю - "С новой версией Вы получите еще больше закладок с новыми возможностями"/

anonymous
()

Блин, защитники закрытого софта - вы что-нить слышали про debploit? Это local root exploit, обусловленный кривизной винды, был известен с нового года AFAIR, о нем сообщили MS, но MS (и всякие секьюритифокусы) инфу о нем не публиковали месяца 3.. И лишь спустя неск. месяцев MS опубликовала информацию о нем. Короче, вот закрытый код и и MS во всей своей красе.. Вас это устраивает?

anonymous
()

Не мешайте мерикашкам наступать на грабли, на которые наступил СССР, кстати, не исключено, что по наводке мерикашек. Пусть у них будет аналог нашей ЕС серии, что-то вроде M$ серии... Пусть они сами это... А лет так через надцать поглядим...

anonymous
()

ыщще на ту же тему: в 1999 году обнаружилось, что все(!) M$ ОСы несут в себе два ключа - один принадлежит M$, другой - АНБ. С помощью этих ключей все M$ ОСы можно вскрыть. О какой безопасности может идти речь вообще? Слова человека,который обнаружил ентот фокус - "I wouldn't trust Microsoft, ever"

anonymous
()

2anonymous (*) (2002-06-05 01:45:16.741)

>>>> В случае закрытых исходников закрты они для врага, а не для себя. Условия изначально делаются не равные для врагаи давать ему такие же условия как и у меня любимого ни какого желания нет.

это миф. Все покупается и продется, не говоря уже о исходниках, которые совсем просто скопировать. Сколько уже было примеров с традиционным оружием, когда у терористов все по последнему слову техзники, а у собсвенной служдбы "проверное и позволеное к использованию".

bormotov ★★★☆
()

2 bormotov (*) (2002-06-05 13:38:10.562)

"Все покупается и продется".
Так вы хотите врагам сэкономить силы-время-деньги? :)
Давайте уберем все ДСП и т.п..
Единичные случаи (хоть их и многовато будет 8) ) - не повод ломать _любую_ закрытую систему.

anonymous
()

2 bormotov (*) (2002-06-05 13:38:10.562)

"Сколько уже было примеров с традиционным оружием, когда у терористов все по последнему слову техзники, а у собсвенной служдбы "проверное и позволеное к использованию".

Вы считаете возможным на этом основании пустить оружие в свободную продажу??? Или только полный комплект конструкторской документации? :)

Виндузятник

anonymous
()

ssg
>Не народ ну вы не ровняйте божий дар с яишн-ой, FreeBSD это одно а линь совсем другое. <...> И кто сказал что Linux это надежная и стабильная система..
Пальцы не ломит? :)

>но вот только дыр то в ней хватает..
неубедительно

>Да не спорю ос что надо, но вот только дыр то в ней хватает, а вот если потратить этак с месяца два на доведение то потом и на сервер и на вёркстейшин ставить мона.
не путаем ли мы тут конфигурирование системы и собственно дыры.. так можно все открыть и говорить потом что система дырявая :) Она не дырявая - она неправильно сконфигурированая ;) Или приходиться лично в исходниках 2 месяца ковырятся и все там по кругу ..->править-компилить-тестить->.. Тогда это действительно большая работа. 8) Тогда почему бы с FreeBSD это не попробовать проделать, а не только конфигурированием неделю заниматься? ;)

>работает <...> Этак уже пол года...
.. я так понимаю - это личный рекорд, поздравляю ;)

NiKel
()
Ответ на: комментарий от Korwin

Korwin (*) (2002-06-05 11:03:56.568) тестирование забирает 67% от общей стоимости продукта на стадии промышленого производства сопровождения, и 15% на стадии разработки. Для примера - на стадии разработки додирование оценивается в 7%, анализ требований 3%, спецификация 3%, проектирование 5%.

информация из книги "Тестирование программного обеспечения", DiaSoft, странца 55 (со ссылкой на "Software Maintenance, Martin & mcClure, 1983, стр. 24)

bormotov ★★★☆
()

кто скзаал о СВОБОДНОЙ продаже? Я считаю, что нельзя доводить до абсурда закрытость, чем собвенно страдают США. Я не вижу смысла закрывать то, что "за углом" можно свободно купить.

Посмотрите на пример ч теми-же сильными алгоритмами шифрования, которые нельзя было экспортировать.

1. их таки экспортировали, нашли дырку в законах 2. все остальные просто плевали на решение конгресса (или чье там оно было) США.

в итоге, как много раз говорилось, страдали в первую очередеь сами США, а именно их производители которые работали на рынке strong-crypto.

ну и остальное по сути уже тут хорошо сказали. Пусть OpenSource угрожает безопасности США, это их сугубо личные проблемы :)

bormotov ★★★☆
()

2 bormotov (*) (2002-06-05 14:07:58.493)

За углом можно купить сорцы виндов?

Объемы экспорта, по сравнению с возможным, несравнимы. То, что продается с Виндами в комплекте - хоть в Штатах, хоть где - детский лепет. Производители strong систем в любой области всегда и везде были и будут под колпаком и ограничениями.

Я считаю, что так же нельзя доводить до абсурда открытость, чем собственно увлечены многие не только здесь. :)

"Пусть OpenSource угрожает..." - агри. :)

Виндузятник

anonymous
()

Ну и нафлеймили... Простейший пример - алгоритм RSA. Ты знаешь как он работает, у тебя есть мое шифрованное сообщение...Я тебе даже произведение 2-х 1к ключей дам. Ломай на здоровье. До тепловой смерти Вселенной мож успеешь. Сущность заключается не в закрытости\открытости алгоритма(или ПО) а в его реализации. См. пример с RSA. Сам алгоритм устойчив, но может быть крива его реализация(ключики, например, близко генерит друг к другу). И узнаю я об этом только когда у меня упрут данные. Код то закрытый.

angels
()

что меня бесит это то что под флагом войны с хер знает какими террористами сейчас в штатах толкают всякую хрень, соревнуясь кто понаглее предложит, и "общество" одобрительно кивает - да, да, надо закидать ядреными бомбами луну, чтобы она не упала на голову американским гражданам (картинка испуганной семьи прилагается)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.