16 Июля 2010 16:07 16 Июл 2010 16:07 |

Поделиться

Microsoft и open-source сражаются за безопасность

страницы:   предыдущая   |   1    |   2  

Не только Microsoft и Apple, но и другим ведущим разработчикам ПО стоит больше внимания уделять безопасности своих продуктов. Хакеры уже не так активно эксплуатируют уязвимости в операционных системах, предпочитая сконцентрироваться на пользовательских приложениях. Например, в отличие от Microsoft, Adobe не так сильно заботится о регулярных обновлениях для своей технологии Flash, поэтому и использовать данные уязвимости проще. В настоящее время именно веб-приложения становятся главной целью злоумышленников, а активное распространение контента через социальные сети, такие как Facebook, представляет достаточно серьезную угрозу безопасности.

На очередном конкурсе "взломщиков" Pwn2Own 2010 в Ванкувере были успешно взломаны практически все ведущие браузеры

Теперь посмотрим, как обстоят дела с безопасностью в набирающих все большую популярность открытых продуктах.

Насколько надежнее open-source-решения?

Наиболее известные и широко используемые open-source-продукты (Apache, MySQL) обладают очень высоким качеством, низким числом ошибок и уязвимостей. В то же время, ряд проведенных исследований показал, что, например, Linux-серверы уязвимы не менее Windows-серверов, а зачастую и гораздо больше. Очень часто отмечается тот факт, что безопасность Linux-системы сильно зависит от выбора дистрибутива Linux, версии ядра и опыта ИТ-персонала, производящего развертывание и сопровождение системы. При этом главной причиной большего числа успешных атак на Linux-серверы аналитики называют не недостатки самой системы, а неправильную ее конфигурацию и ошибки администрирования.

Анализ безопасности Linux и Windows продолжает порождать многочисленные дискуссии о том, что же предпочтительнее – ОС с открытым или закрытым кодом. Логически, операционная система, основанная на открытых стандартах и открытом коде, делает доступным межсетевое взаимодействие, упрощает обнаружение и исправление уязвимостей, и такая система более предпочтительна, чем проприетарная модель. Принято считать, что если исходный код продукта открыт, сообщество может гораздо быстрее и эффективнее реагировать на найденные уязвимости. Можно вспомнить и слова Марка Майфретта о том, что некоторые уязвимости в продуктах Microsoft остаются не закрытыми на протяжении долгого времени, хотя представители компании обычно заявляют, что знают о данной проблеме и работают над ее устранением.

Число уязвимостей в разных типах ПО, 2010

Источник: Secunia.com, 2010

Возможно благодаря этому, а также под влиянием пользователей и критиков, Microsoft пошла на некоторые уступки в плане доступности исходных кодов своих решений. В 2001 году была объявлена программа Shared Source Initiative, которая позволяет получить доступ к исходному коду продуктов корпорации как для изучения, так и для разработки. Доступ предоставляется в основном OEM-партнерам, интеграторам, учебным заведениям, а также государственным службам безопасности. Несмотря на то, что у данной программы достаточно жесткие критерии участия, она имеет большое число подписчиков. Однако по большей части в Shared Source Initiative применяется политика "смотри, но не трогай", что устраивает далеко не всех.

Разработчик российской ОС подвел итоги года

Бизнес

Очевидно и то, что сам по себе доступ к исходным кодам не делает систему более безопасной. Обеспечение безопасности конечного продукта представляет собой сложный и многогранный процесс, управление которым требует соответствующей методологии. Что касается качества программного обеспечения в плане его безопасности, то этот фактор мало зависит от принятой модели разработки. Код многих open-source-приложений, действительно более простой и оптимизированный, чем код коммерческих продуктов. Но в целом уровень функциональности и интегрированности коммерческих решений значительно выше, что не может не сказаться на сложности проектов. Большинство open-source-проектов не обладают такой высокой сложностью, и проблема качества у них не так обострена.

Также нельзя не отметить тот факт, что продукты Microsoft, в отличие от open-source-решений, в силу гораздо большей популярности, изначально представляли больший интерес для хакеров. Благодаря этому в Microsoft, так или иначе, научились справляться с данными проблемами, чего нельзя сказать о большинстве открытых продуктов. Постоянно сталкиваясь с массированными попытками злоумышленников эксплуатировать корректный, но небезопасный при злонамеренном использовании код, Microsoft пришлось выработать методологию разработки, позволяющую снизить риск подобных воздействий. Вполне вероятно, что рост популярности открытых решений также заставит open-source-сообщество пересмотреть подходы к разработке проектов в сторону повышения общего уровня их безопасности.

Основная проблема в браузерах

На прошедшем в марте очередном конкурсе "взломщиков" Pwn2Own 2010 в Ванкувере были успешно взломаны практически все ведущие браузеры. Устоять удалось лишь Google Chrome (справедливости ради отметим, что накануне была выпущена обновленная версия данного браузера, и у специалистов просто не было времени на поиск уязвимостей). По словам Чарли Миллера, двукратного победителя данного конкурса, большинство проблем с безопасностью связано именно с браузерами. И это мало зависит от того, какая операционная система используется. "Linux не сложнее, а фактически возможно и проще, хотя кое-что зависит от разновидности Linux, о которой вы говорите… Уязвимости – в браузерах, и большей частью те же браузеры, что работают под Linux, работают и под Windows"", - говорит Миллер. При этом наиболее безопасной связкой для работы в интернете он считает Chrome или IE8 на Windows 7. И добавляет: "Главное – не устанавливать Flash!"

Несмотря на то, что браузер Microsoft Internet Explorer постепенно сдает свои позиции, он продолжает оставаться самым востребованным на рынке. С выходом восьмой версии браузер был значительно улучшен в плане безопасности. По результатам исследования компании NSS Labs, Internet Explorer 8 стал самым безопасным браузером с точки зрения защиты от программ-шпионов и воровства личных данных с компьютеров пользователей. Этого удалось добиться благодаря новейшим технологиям безопасности, в том числе встроенному фильтру SmartScreen. По данным Microsoft, с марта 2009 года Internet Explorer 8 заблокировал действие более 350 млн вредоносных программ и предотвратил переходы на более 125 млн фишинговых сайтов.

Дмитрий Балдин, «РусГидро»: Вынужденный переход на open source приводит к увеличению поверхности кибератак

безопасность

Однако не стоит оценивать ситуацию столь однозначно. Проигрывая IE в плане безопасности, разработчики Firefox, Chrome и Opera активно исправляют бреши в системах безопасности своих браузеров и более оперативно выпускают обновления. Ряд экспертов считает, что в целом Chrome и Firefox все-таки превосходят IE в плане защищенности. В частности, в Firefox более полно реализованы механизмы защиты от переполнения буфера, что позволяет предотвращать связанные с этим популярные атаки, а в Chrome используется механизм "песочницы", благодаря которому выполняющиеся в браузере операции отделены от других процессов, операционной системы и пользовательских данных, что значительно усложняет процесс проникновения в систему.

В целом же уровень безопасности браузеров продолжает оставаться довольно низким. Это означает, что пользователям интернета не стоит пренебрегать специализированными программами для защиты, благо большинство из них представляет собой комплексные средства обеспечения информационной безопасности, защищая как от вирусов, так и от сетевых атак, спама, фишинга и шпионского ПО. Также не стоит забывать и о своевременной установке всех критических обновлений для всего спектра ПО, используемого в повседневной работе. Самим же пользователям стоит быть более внимательными и стараться избегать действий, которые могут представлять угрозу информационной безопасности.

Максим Никитин / CNews

страницы:   предыдущая   |   1    |   2  

Поделиться

Подписаться на новости Короткая ссылка