The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Руководитель компании Trend Micro считает открытое ПО небезопасным

14.01.2011 18:26

Стив Ченг (Steve Chang), основатель антивирусной компании Trend Micro, заявил, что открытое ПО по своей природе менее безопасно, чем закрытое. В качестве примера, Ченг указал на мобильные платформы, указав, что Apple iOS является более безопасной системой, чем Android, только потому, что код Android доступен для анализа любому злоумышленнику, что упрощает изучение внутреннего устройства.

При этом Ченг не учёл, что практика обеспечение защиты через сокрытие информации является порочной, а основными факторами высокой безопасности является грамотный дизайн проекта и высокое качество написания кода. Открытость кода подразумевает возможность всестороннего проведения аудита, при осуществлении которого устраняется большое число ошибок (многие уязвимости в открытом ПО находят эксперты по безопасности в рамках проведения аудита, в то время как уязвимости в проприетарном ПО, как правило, следствие целенаправленного поиска уязвимостей злоумышленниками). Более того, при обнаружении проблемы в открытом ПО администраторы имеют возможность устранить уязвимость своими силами еще до выхода официального исправления.

Что касается сравнения безопасности кода Apple iOS и Android, то недавнее тестирование кода Android компанией Coverity показало, что базовая часть Android содержит в два раза меньше ошибок, чем другой средний продукт с таким же объёмом исходного кода. Интерес может вызвать также отчет компании Sun с результатами сравнения безопасности таких продуктов как OpenSolaris, MySQL, Xen и OpenOffice.org с их проприетарными аналогами. Степень риска для закрытых продуктов оказалась на порядок более высокой, чем у открытых.

  1. Главная ссылка к новости (http://digitizor.com/2011/01/1...)
  2. OpenNews: Результаты исследования безопасности и качества открытого кода
  3. OpenNews: Barracuda не признает нарушения патентов Trend Micro в ClamAV
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/29276-security
Ключевые слова: security, code
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (56) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.5, Аноним (-), 18:55, 14/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    потроллить захотелось человеку
     
     
  • 2.34, Michael Shigorin (ok), 00:39, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +6 +/
    А ему не впервой: https://www.opennet.ru/opennews/art.shtml?num=16795

    Лавочка-паразит, которая чувствует угрозу своему благополучию.

     
     
  • 3.58, kde (??), 17:02, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    однако, касательно паразита согласен.
     
     
  • 4.62, Anonimous (?), 19:44, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну-вот троллем и паразитом его обозвали, а аргументов привели ноль. Нехорошо получается.
     
     
  • 5.65, Michael Shigorin (ok), 23:58, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Ну-вот троллем и паразитом его обозвали, а аргументов привели ноль. Нехорошо получается.

    Тролль -- потому что вместо доводов делает необоснованный вброс;
    паразит -- потому что деятельность его лавочки бесполезна по своей сути,
               она пытается заткнуть урон от деятельности лавочки по имени Microsoft.

    Это как спекулянт на лекарствах во время искуственно созданной эпидемии, который начинает рассказывать о том, как плохо не жрать ту дрянь, в которую штамм занесли.

     
  • 3.64, ананим (?), 21:53, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ха. а в закрытом замечают не случайно.
    и эксплуатируют их годами.
     

  • 1.6, angrycore (ok), 19:01, 14/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +21 +/
    > Apple iOS является более безопасной системой, чем Android

    Ага, а Microsoft Windows вообще ни одной дыры не содержит, а все полчища вирусов и троянов исключительно в Linux размножаются да во FreeBSD живут.

     
  • 1.7, JL2001 (ok), 19:09, 14/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    такие новости надо публиковать или в разделе "Поржать" или на баше
     
     
  • 2.30, deadless (?), 22:56, 14/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не, просто отмечать еще и старый новый год было лишним...
     

  • 1.8, ТОнкий (?), 19:20, 14/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И там и там есть конечно свои плюсы в плане безопасности, но отрытое по однозначно безопаснее это уже доказано, даже на примере той же виндовс, всем известно с какой скоростью мелкософт закрывает дыры в своих продуктах, да и если сравнить какое кол-во дыр при этом находится в отрытых ос и той же виндовс перевес будет опять же на стороне открытого по, хотя мелкософт является очень богатой организацией и может позволить себе многое, че тут говорить о закрытом по которое выпускают более мелкие компании))
     
     
  • 2.42, Аноним (-), 07:01, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вы хотите поговорить о тех десятках ошибок которые справляют при каждом минорном обновлении только linux kernel ? и даже это не спасает от кучу CVE уведомлений о дырах в безопастности.
    Ведь так?
     
     
  • 3.52, asd (??), 14:13, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А о чём вы хотите поговорить?
    О эпических косяках виндоуз-онли, несовместимости со стандартами и дырявости ишака, никакой защиты системы, сроках исправления критически важных дыр в продуктах мелкософта и прочих?
    Слишком толсто.
     
     
  • 4.53, asd (??), 14:15, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Добавлю. Сколько этих критически важных дыр задействовано в реале? Взломов?
    Как быстро исправляются? Что, собственно, безопаснее - линукс кернел или голый виндовз и т.д.
    Как быстро в винде исправляются дыры? Сколько задействовано? Взломов?
    Нечего ведь сказать, верно? Разговор ни о чём.
     

  • 1.9, . (?), 19:31, 14/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вот у кого-нибудь есть статистика рынка антивирусных продуктов? Мне кажется открытые и бесплатные проекты сильно потеснили коммерческие продукты.
     
  • 1.11, ТОнкий (?), 19:33, 14/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    да вот кстати опять же это представитель антивирусной компании, они кормятся на багах которые есть в той же виндовс, им не нужен линукс т.к. спрос на их продукты резко упадет
     
     
  • 2.18, giperon (??), 20:21, 14/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен с комрадом, на кой черт нужен антивирус если вирусов нет :), вообще все антивири которые есть под *nix используются чтобы отловить вирусы Win. Прикольно :)
     
     
     
    Часть нити удалена модератором

  • 4.31, giperon (??), 23:35, 14/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Троян в дисках Linuxformat, какой номер? (честно не издевательство)
     
     
  • 5.33, Аноним (-), 00:36, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Звиняюсь запамятовал. Не совсем троян, но близко. Диск с подшивкой "Linux Format" за 2005-2009 годы. http://forum.linuxformat.ru/viewtopic.php?id=10
     
     
  • 6.35, Аноним (-), 00:47, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Звиняюсь запамятовал. Не совсем троян, но близко. Диск с подшивкой "Linux Format"
    > за 2005-2009 годы. http://forum.linuxformat.ru/viewtopic.php?id=10

    После этого инцидента главный редактор рекомендовал читателям журнала относится к антивирусам под linux самым серьезным образом.
    Это я про вред от дешевых понтов типа "под линукс вирусов нет".

     
     
  • 7.36, Andrew Kolchoogin (?), 01:05, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Под UNIX вирусов _нет_ и _быть не может_. Впрочем, их и под Windows нет. И быть не может.

    Проблема ведь не в Windows, а в "странно написанном" программном обеспечении под эту платформу. Написанном в порочной парадигме, что где пользовательский логин -- там и суперпользовательский.

    В Юниксе этой парадигмы отродясь не было -- получить логин на университетской машине можно по заявке от завлаба, а вот рута -- только взломав (или устроившись на работу). Соответственно, всё программное обеспечение под Юникс писалось с этим расчётом -- что не будет у запускающего его прав суперпользователя. Ну а если нет прав суперпользователя, то и вирус создать нельзя. Ну, то есть, варианты типа "сотрём домашнюю директорию" не считаются. Да, можно заэксплойтить уязвимости в ядре, но это уже не совсем вирус, это эксплойт.

    А вот в Windows такая парадигма была. Windows ведь однопользовательская операционная система, а раз так -- зачем скрывать суперюзера? (Для желающих указать мне на кнопку "сменить пользователя" рекомендую почитать отчёт об извращении хуже полового, которым занимались разработчики в Microsoft'е, обучая 3/4 ядра + подсистему Win32 клонироваться для того, чтобы эту кнопку сделать. Кстати, POSIX-подсистема так и не клонируется, так что полноценной эмуляции Юникса под Windows не будет, и не ждите).

    И проблема вся в том, что 80% софта под Windows хочет этого долбанного суперпользователя для нормальной работы. А раз так -- добро пожаловать вирусы в гости к нам. Так же, как и под Юниксом, если под ним от root'а работать.

    Так что прав главный редактор. И не прав. Одновременно. Не в операционке дело. ;)

     
     
  • 8.37, Igor Kovalenko (?), 03:16, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Бла-бла-бла однопользовательская была бла Однопользовательской была ли... текст свёрнут, показать
     
     
  • 9.38, sfstudio (ok), 03:28, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это простите в каком месте вантуз стал микроядерным и Как это связано с тем о ч... текст свёрнут, показать
     
     
  • 10.39, Igor Kovalenko (?), 04:18, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну, формально вантуз имеет смешанную архитектуру Но на практике, сколько мне из... текст свёрнут, показать
     
     
  • 11.55, sfstudio (ok), 14:43, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    О как, интересно почему мелкософт говорит о гибриде а вы уже о микроядре Вы оши... текст свёрнут, показать
     
  • 9.46, Gular (ok), 08:29, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда в Win микроядро Уже допилили Singularity Пост выше в целом правильный ... текст свёрнут, показать
     
  • 8.57, skybon (ok), 15:52, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чтобы установить Ubuntu нужно пять минут А вот потерянные документы фотографии ... текст свёрнут, показать
     
     
  • 9.63, vOrOn (ok), 20:17, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Эти пять минут особенно запоминаются юзерам, когда они в интернетах интересую... текст свёрнут, показать
     
     
  • 10.68, Анон (?), 13:14, 16/01/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ага, рассказывайте Я тут давеча захотел таки пройти игрушку одну, ну и чтоб не ... текст свёрнут, показать
     
  • 7.43, giperon (??), 07:49, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, не знал про такой прикол. Но тем не менее это не вирус. Ломанули сервер (вот главное, не сам он тутда прополз :)), внедрили код, ну а по сути, что этот внедренный код может?
     
  • 7.60, Michael Shigorin (ok), 17:42, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > После этого инцидента главный редактор рекомендовал читателям журнала относится
    > к антивирусам под linux самым серьезным образом.

    JFYI, наш security officer рекомендовал запускать браузер и прочие недоверенные программы, плохо поддающиеся аудиту, хотя бы в чруте от псевдопользователя (и написал для того утилиту hsh-run).

    >  Это я про вред от дешевых понтов типа "под линукс вирусов нет".

    Дешёвые понты -- это "у меня крутой антивирус, он клёво моргает лампочками, бодро хватает вирусов и успокаивает нервишки".  Этакий аттракцион.

     
  • 6.51, filosofem (ok), 13:58, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >Звиняюсь запамятовал. Не совсем троян, но близко. Диск с подшивкой "Linux Format" за 2005-2009 годы.

    А при чем здесь Линукс, кроме названия диска?
    Вредоносный скрипт будет под любой платформой работать если его в браузере запустить.
    Предположу, что содержимое подшивки лежало на FTP под слабым или присутствующим в пассвордлистах паролем и боты туда скрипты и пихали в расчете, что FTP соответствует какому-то вэбсайту. Так чаще всего подобная зараза и распространяется.

     

  • 1.13, Иван_непомнящий_уже_родства... (?), 19:41, 14/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    it's right! нет венды- нет вирусов- нет антивирусов. образно!
     
  • 1.15, тоже Аноним (ok), 19:49, 14/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    У новости просто потерян подзаголовок: "...для бизнеса компании Trend Micro".
     
  • 1.16, Shus (ok), 19:56, 14/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Trend Micro USB Security - вот за одно "это", господина Ченга нужно было придушить еще в младенчестве.
    А по теме, ничего большего от "уг" конторки я и не ожидал.
     
  • 1.17, Arcturus (ok), 20:16, 14/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ченг - ламо. Security by obscurity давно отброшенная эволюцией ветвь и держится, фактически, только за счёт денежного вливания соответствующих корпораций с плохими экспертами по безопасности.
     
  • 1.19, Sunder (ok), 20:27, 14/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А его мнение вообще кто нибудь спрашивал ? :)
     
  • 1.20, Zenitur (?), 20:39, 14/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Стив Ченг (Steve Chang), основатель антивирусной компании Trend Micro, заявил, что открытое ПО по своей природе менее безопасно, чем закрытое. В качестве примера, Ченг указал на мобильные платформы, указав, что Apple iOS является более безопасной системой, чем Android, только потому, что код Android доступен для анализа любому злоумышленнику, что упрощает изучение внутреннего устройства архитектуры

    Дальше не читал. В качестве примера указываю винду и гну/линукс. Серверы с линукс стоят, серверы с виндовс падают и подвержены вирусным эпидемиям. Естественно гну/линукс небезопасен, но небезопасности в нём находят редко, потому что вследствие открытого кода их давно все нашли. Кроме самых заковыристых.

     
  • 1.21, paulus (ok), 20:42, 14/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Если отладка — процесс удаления ошибок, то программирование должно быть процессом их внесения. (Э. Дейкстра)

    В обоих случаях присутствует человеческий фактор, но открытое ПО подразумевает возможность всестороннего проведения аудита, при осуществлении которого устраняется большое число ошибок. В случае же закрытого ПО пользователь не знает, чего он хочет, пока не увидит то, что он получил наступив на грабли...

     
  • 1.23, ы (?), 20:53, 14/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    >Стив Ченг (Steve Chang), основатель антивирусной компании Trend Micro, заявил, >что открытое ПО по своей природе менее безопасно, чем закрытое.

    lol. а что вы ещё хотели услыщать от человека, количенство денег на счёте которого напрямую зависит от того как много вирусов\троянов\итп?

    доказывать этому Стиву Ченгу обратное это тоже самое что доказвать драгдиллеру что здоровый образ жизни лучше чем наркомания.

     
     
  • 2.24, ТОнкий (?), 20:59, 14/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    +1
     

  • 1.25, Rodegast (ok), 20:59, 14/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Стив Ченг (Steve Chang), основатель антивирусной компании Trend Micro

    Дальше можно не читать.

     
  • 1.27, Аноним (-), 21:05, 14/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У господина Ченга криокамера потекла. Эти аргументы были развеяны еще в 2000ом году.
     
  • 1.32, Etch (?), 23:43, 14/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А вот ещё одно свежеиспечённое мнение, связанное с iOS:
    * Разработчик популярной игры считает Android псевдооткрытой и ставит на iOS - http://www.cnews.ru/news/top/index.shtml?2010/12/30/421939

    Стопудово это сама Apple рванулась дёргать ниточки в связи с новостью:
    * Android занял второе место среди смартфонов на рынке США, вытеснив iOS - http://www.linux.org.ru/news/android/5771922

     
  • 1.40, Аноним (-), 05:41, 15/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Меры безопасности всегда должны реализовываться на нескольких уровнях.
    Если глава IT компании этого не понимает, то остается только пожелает этой компании покоится с миром
     
  • 1.41, Аноним (-), 05:45, 15/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Зачем писать такого рода новости на ресурсе под названием opennet?
     
  • 1.44, iCat (ok), 07:57, 15/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это как с рынком: в идеальных условиях он в состоянии обеспечить идеальное функционирование.

    Идеальный закрытый софт предполагает идеальную безопасность.
    Идеальный открытый софт предполагает идеальную безопасность.

    А живём мы в реальном мире, где программисты способны делать ошибки.

    В реальных условиях открытый софт предоставляет бОльше возможностей анализа кода. Как злоумышленникам, так и специалистам безопасности.
    Ошибки кода в рамках открытого ПО обнаруживают и исправляют быстрее, чем ошибки закрытого ПО. Это - факт.

     
     
  • 2.47, Аноним (-), 08:30, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • –3 +/
    да да. напомнить стопку багов linux kernel которые весили не исправлеными годами?
    этак с 2.6.10 до 2.6.32 ? Это называется оперативное исправление?
    да возьмем хоть для примера последний ping of death для linux :)
     
     
  • 3.48, iCat (ok), 08:49, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >...да возьмем хоть для примера...

    А "баги" Microsoft DOS, которые благополучно перекочевали в Windows 7 для примера брать не будем?

     
     
  • 4.49, 38098 (?), 09:37, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А какие именно баги DOS перекочевали в Windows 7 ?! o_O Для меня это звучит примерно как баги "ZX Spectrum перекочевали в Windows 7".
     
     
  • 5.54, filosofem (ok), 14:28, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >А какие именно баги DOS перекочевали в Windows 7 ?! o_O Для меня это звучит примерно как баги "ZX Spectrum перекочевали в Windows 7".

    От батч бомбы она все так же успешно ложится, да?

     
  • 4.59, Michael Shigorin (ok), 17:37, 15/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>...да возьмем хоть для примера...
    > А "баги" Microsoft DOS, которые благополучно перекочевали в Windows 7
    > для примера брать не будем?

    "Это мы не проходили, это нам не задавали" (ц)

    PS: когда там заткнули паклей варианты а-ля прислать аттачик с именем "COM1:"? :)

     
     
  • 5.69, iCat (ok), 15:37, 16/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >PS: когда там заткнули паклей варианты а-ля прислать аттачик с именем "COM1:"? :)

    Прислать? :D

     

  • 1.50, ua9oas интересуется Миша Рыцаревъ (?), 09:54, 15/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
      Я думаю, что он знает, что говорил. И знает, что и привирал и преувеличил. Больше всего такого рода высказываний- это конечно на сайте "стоплинукс . org. ru" . И я полагаю, что финансируют все это те, кто даже наиболее пустяшной конкуренции боится (а психологические и моральные причины на такое бывают. Наблюдал- много замечал). ПО без недостатков не бывает. У того одни, у этого- другие. Ведь люди же все это делают, а не инопланетяне. Но все же открытое ПО для устранения недостатков гораздо большие возможности имеет. А закрытие- оно в угоду доходам владельца больше ориентировано, чем на другое.
     
     
  • 2.71, Анон (?), 08:02, 17/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Черт, да тут уже Мишу Рыцарева плюсуют!
     

  • 1.56, Alex (??), 15:14, 15/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ПО никогда не бывает безопасным.
     
  • 1.73, maxkit (ok), 14:48, 17/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    То-то я смотрю, что дыры всё чаще обнаруживают в закрытом Flash'е, а не в открытом Firefox'е. К тому же, их закрывают по полгода. А тут какой-то тролль раскричался, как белый медведь в тёплую погоду, по причине того, что антивирусы могут оказаться ненужными.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру