Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Sigurnost softvera

[es] :: Advocacy :: Sigurnost softvera

[ Pregleda: 1682 | Odgovora: 12 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Daniel Fat
Student
Novi Sad

Član broj: 221732
Poruke: 5
212.200.65.*



+1 Profil

icon Sigurnost softvera08.02.2010. u 22:49 - pre 172 meseci
Interesuje me na osnovu koji je po vašem mišljenju glavni parametar sigurnosti, kada je u pitanju neki softverski proizvod? Da li je to broj pronađenih vulnerabilities, njihovo vreme zakrpe (od otkrivanja do patcha) ili nešto treće.

Takođe me interesuje da li su sistemi sa manjim brojem korisnika, više ugroženi od sistema sa većim brojem korisnika?

@Admini: Ako tema nije u odgovarajućem forumu, slobodno je premestite.
 
Odgovor na temu

combuster
Ivan Bulatovic
Kraljevo

Član broj: 151351
Poruke: 4563
93.86.6.*

Sajt: www.linuxsrbija.org


+104 Profil

icon Re: Sigurnost softvera08.02.2010. u 22:55 - pre 172 meseci
Ni broj pronadjenih vuln-ova ni brzina patch-ovanja istih ne znace nista ako je kod po dizajnu los ili ako se oslanja na druge delove koda koji su poznati po busotinama.

Sigurno je da su sistemi sa vecim brojem korisnika (ako se njihov feedback uopste uzima u obzir od strane dev-ova) laksi za odrzavanje.

Sad ako si imao neki konkretan softwareski proizvod u vidu pa da procaskamo... :D
make love - !war
 
Odgovor na temu

Daniel Fat
Student
Novi Sad

Član broj: 221732
Poruke: 5
212.200.65.*



+1 Profil

icon Re: Sigurnost softvera08.02.2010. u 23:07 - pre 172 meseci
Da, ali sa druge strane manji broj korisnika predstavlja manju metu.

Može, OS X i Windows 7 (ili Vista) ;) Čisto da se razumemo ne mislim da je Mac vrhunac vrhova ili slično.

Citat:
Eric Johanson, security researcher:
"If you look at the number of published vulnerabilities in software and the number of users and compare Windows versus Mac OS you will discover that Mac OS has far more published vulnerabilities per user than Windows does so I think the data pretty much speaks for itself."

IMO ovo nema veze sa mozgom. Kako može da broj grešaka po glavi korisnika da govori o sigurnosti?
 
Odgovor na temu

combuster
Ivan Bulatovic
Kraljevo

Član broj: 151351
Poruke: 4563
93.86.6.*

Sajt: www.linuxsrbija.org


+104 Profil

icon Re: Sigurnost softvera08.02.2010. u 23:17 - pre 172 meseci
Jednostavno ne postoji nacin na koji ce se to odrediti. Nikakva matematika kao sto si sam primetio tu ne pomaze. I sta znaci to broj vuln-ova po useru? Software koji se vrlo slabo odrzava i nema mnogo bug-fix-eva, jel ga to cini sigurnim?

Po meni je opensource vrh vrhova sto se tice lakoce odrzavanja, evo nedelju dana mucim muku sa jednim bug-om, isprobao par kernel-ova i jedan branch van mainline-a (intel-drm-next), pojasnio situaciju, intelov dev ispatch-ovao sta je trebalo i sad sam home free. Istovremeno je postojao jos jedan paralelan bug report na kome se radilo, sumiralo se sta trigger-uje bug, kakve su posledice i onda developeru nije tesko da to isto ispravi. Pogotovo ako ima feedback od dva user-a koji i ne znaju jedan za drugog :D

Eto tako, meni je Linux najsigurniji na svetu zato sto je otvoren, zato sto imam uvid u to sta se dogadja i sta se patch-uje i sto uvek mogu da racunam na revnost developera u slucaju da imam problem. To sve moze i kod komercijalnih OS-ova zatvorenog koda ali ne na takav transparentan nacin...
make love - !war
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.dip.t-dialin.net.



+7169 Profil

icon Re: Sigurnost softvera08.02.2010. u 23:31 - pre 172 meseci
@Daniel Fat,

Prvo moras definisati sta to znaci "sigurnost" - da bi mogao da poredis produkt A i produkt B.

Broj pronadjenih vuln-ova je broj pronadjenih vuln-ova - sam po sebi ne moze nista drugo reci. Da bi to povezao sa, recimo, procenom robusnosti koda na sigurnosne ispade - moras uzeti u obzir razne faktore, poput popularnosti, veka postojanja na trzistu itd... Opet, i to je samo procena i to vrlo gruba, jer za pravu analizu moras imati taj kod i moras izvrsiti neke testove nad njim (npr. fuzzing)

Dalje, jako je tesko porediti te parametre izmedju produkata koji nisu iste velicine, nemaju isti "exposure" itd...

Ako se ti brines o sigurnosti licnih sistema / sistema tvoje firme, ubedljivo najbitniji faktor u celoj prici je sama sigurnosna praksa na vasoj strani.

Sve u svemu - jako tesko pitanje na koje nije moguce dati jednostavan odgovor i postoji mnogo dimenzija gde svaka moze imati druaciji prioritet za nekoga.

Sto se Mac OS X-a vs. Vista-e tice - eto to ti je najbolji primer.

Sam broj vuln-ova "po glavi stanovnika" tebi licno ne mora da znaci vecu sigurnost, jer - recimo, tebe moze kaciti daleko veci broj malware-a u slucaju Windows-a ako si prvenstveno zabrinut za "end-user" tip sigurnosti.

Opet, sa druge strane, kada bi tvoja firma, recimo, bila ciljana meta nekog industrijskog napada, neki Mac OS X nepatchovani problemi mogu biti daleko veci issue.

Sve zavisi od prioriteta. Opet, uz dobru IT praksu, mozes znacajno umanjiti opasnosti i u jednom i u drugom slucaju.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Daniel Fat
Student
Novi Sad

Član broj: 221732
Poruke: 5
212.200.65.*



+1 Profil

icon Re: Sigurnost softvera09.02.2010. u 00:14 - pre 172 meseci
Da, trebao sam specifirati. To je bilo u ono klasična rasprava koji je "sigurniji". Te pod sigurnošću, mislim šansu da end-user bude pogođen exploit-om. Podrazumeva se da korisnik barem redovno updatuje svoj OS (preko auto-update i sl.; Ne znam jel Mac ima Auto-update), ako ne ništa drugo.

Bila je to neka debata i ja sam kritikovao da br. grešaka po glavi ne utiče na krajnjeg korisnika. Ovo je bio otprilike odgovor koji sam dobio.
Citat:
The platform with fewer users is at a security disadvantage. It's amazing how many people look at things in isolation rather than as part of a network of actors and techniques. Two more words: systems theory.

Jel zna neko nešto o primeni teoriji sistema na sigurnost softvera? Googlovao sam o tome ali sve je bilo prilično abstraktno.

Usput kad smo već na temi vulnerability-a, koliko sam proizvođač može da utiče na broj otkrivenih propusta? Da li transparenost utiče na broj objavljenih propusta, na primer na Secuniji? Moja pretpostavka je da ne može značajno, ali čini mi se da Open-source rešenja imaju značajno veći broj bagova.

 
Odgovor na temu

mulaz
Ljubljana

Član broj: 47602
Poruke: 2239
*.dial-up.dsl.siol.net.

Jabber: mulaz@elitesecurity.org
Sajt: www.mulaz.org


+184 Profil

icon Re: Sigurnost softvera09.02.2010. u 01:16 - pre 172 meseci
Vise bug-ova u opensource softwareu? Mislis na security rupe? ili uopste (svih) bug-ova?
Bolje ispasti glup nego iz aviona
http://www.mulaz.org/
 
Odgovor na temu

Daniel Fat
Student
Novi Sad

Član broj: 221732
Poruke: 5
212.200.65.*



+1 Profil

icon Re: Sigurnost softvera09.02.2010. u 04:00 - pre 172 meseci
Kad je rekao "published vulnerability" pretpostavljam da se misli na sve javno objavljene propuste tj. rupe.
 
Odgovor na temu

combuster
Ivan Bulatovic
Kraljevo

Član broj: 151351
Poruke: 4563
93.86.6.*

Sajt: www.linuxsrbija.org


+104 Profil

icon Re: Sigurnost softvera09.02.2010. u 08:36 - pre 172 meseci
Noise na bugtracker-ima opensource software-a je ogroman - ali od toga je mozda 0.5% vezano za security fixeve. Obicno je u pitanju "peglanje" koda, prevencija segfault-ova pod odredjenim okolnostima, dodavanje novih feature-a i sredjivanje "bubica". Skoro sam video 10 najgorih security vuln-ova na Ubuntu, od toga je 9 bilo ranjivo sa lokalnim napadima a jedan samo sa remote lokacije i taj jedan je podrazumevao delom intervenciju korisnika sa administratorskim privilegijama (mount-ovanje rigged filesystem-a).
make love - !war
 
Odgovor na temu

maksvel

Član broj: 107376
Poruke: 2417

Jabber: maksvel
Sajt: maksvel.in.rs


+161 Profil

icon Re: Sigurnost softvera09.02.2010. u 09:56 - pre 172 meseci
A možda je najlakše "izmeriti" nesigurnost prema (potencijalnom) koštanju posledica iste? Time bi se "proof-of-concept" exploiti (koji nisu popularni u praksi) i propusti kod ređe zastupljenih desktop-sistema skalirali prema svom značaju.
Puno toga zavisi i od audita koda, pre nego se pusti u produkciju. Dva primera iz open-sorsa: Debianovi "random" ključevi i Ubuntu. Kod Debiana je jasno da je izuzetno osetljiv kod bio nedovoljno proveren, pa je nastao popriličan problem sa sigurnošću servera. Kod Ubuntua - štancovanje distribucija po nekom zacrtanom tempu često donosi propuste.
Slična stvar je i kod vlasničkog softvera. Pitam se, ko biva odgovoran kod propusta npr. neke poslovne vlasničke aplikacije? Daje li proizvođač određene garancije da, ako se "rukuje" pravilno i dođe do problema (exploita neke security rupe), proizvođač biva odgovoran? Pretpostavljam da ne, tj. obično se svodi na "limited warranty".
 
Odgovor na temu

component

Član broj: 182885
Poruke: 1243



+442 Profil

icon Re: Sigurnost softvera09.02.2010. u 10:42 - pre 172 meseci
Mala digresija:da li treba da se pravi razlika između "sigurnosti" i "bezbednosti"? Za softver koji ne radi baš kako treba ne mogu reći da mi je siguran, iako može biti savršeno bezbedan (ne može se iskoristiti za "upad u računar" i sl.)

Što se tiče glavnog parametra, broj "vulnerabilities" je svakako jedan od glavnih parametara, ali ne znači puno ako ne posmatraš koliko su ti vuln-ovi dostupni tj. koliko ih je lako iskoristiti. Ukoliko imam bezbednosni propust u svom softveru, koji jedino ja koristim, to neće puno značiti pošto neće biti ljudi koji će znati da to iskoriste, ali to ne znači da je taj moj softver bezbedan.
"Nadam se da će aktuelna vlast, kada se sve ovo završi imati pošteno i fer suđenje."
 
Odgovor na temu

maksvel

Član broj: 107376
Poruke: 2417

Jabber: maksvel
Sajt: maksvel.in.rs


+161 Profil

icon Re: Sigurnost softvera09.02.2010. u 21:59 - pre 172 meseci
^Treba. Ima objašnjeno npr. ovde, slajd 26. Pojmovi su naravno vrlo bliski.
Ti izgleda postavljaš sigurnost ~ pouzdanost.
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
*.mbb.telenor.rs.



+2789 Profil

icon Re: Sigurnost softvera10.02.2010. u 14:15 - pre 172 meseci
Reč "sigurno" na srpskom jeziku znači

1. izvesno,
2. bezbedno.

Prvo značenje očigledno nema veze sa temom. Dakle, sigurno = bezbedno.

Drugi pojam na koji se ovde misli je pouzdanost i time bi trebalo da je jezička nedoumica razrešena.


Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

[es] :: Advocacy :: Sigurnost softvera

[ Pregleda: 1682 | Odgovora: 12 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.