در ایالات متحده-گروه CERT یا Computer Emergency Readiness گزارشی را آماده كرده است كه ادعا می كند در سال 2005 نقاط آسیب پذیر كمتری در ویندوز به نسبت سیستم عامل های لینوكس/ یونیكس یافت شده است.
گزارش CERT همچنین شامل Mac OS X به مانند سایر توزیع های لینوكیس می باشد. این گزارش نشان می دهد خانواده یونیكس دارای دو برابر نقاط آسیب پذیر به نسبت رقیب خود است.
بولتن امنیتی سایبر 2005 نشان می دهد كه از 5198 رخنه ای كه گزارش شده 812 مورد متعلق به ویندوز بوده و 2328 از این باگ ها مربوط به سیستم عامل های خانواده یونیكس بوده است. همچنین 2058 مورد از باگ ها در هر دو نوع سیستم عامل مشترك می باشند.
گزارش كامل CERT را می توانید از <!-- m --><a class="postlink" href="http://www.us-cert.gov/cas/bulletins/SB2005.html#UnixLinux">http://www.us-cert.gov/cas/bulletins/SB ... #UnixLinux</a><!-- m --> دریافت كنید.
منبع خبر:
http://itstart.blogfa.com/%20ITStar (نقل از InQ)
اما اگه باز میخوان بعضی ها شروع کنن به:
مگه کسی مجبورت کرده بیایی سراغ لینوکس و
برو ویندوزت رو بچرون و... که لطفا اولین ناظر این پست رو پاکش کنه
سلام
و کدومیک بیشتر لطمه به کاربر زده ؟
812 ویندوز یا تقریبا 1300 تای لینوکس و البته کذوم مخرب تر بوده ؟؟؟؟
مرسی
آرش نویسنده :سلام
و کدومیک بیشتر لطمه به کاربر زده ؟
812 ویندوز یا تقریبا 1300 تای لینوکس و البته کذوم مخرب تر بوده ؟؟؟؟
مرسی
چه طرح مسئله عجیبی؟!؟!؟ مگه تعداد کاربران برابرند که خجم لطمات رو پیش میکشید؟!؟
لطفا بگذارید تا اهلش چیزی بگن و ما هم ذهنمون باز بشه. بلکه علامات سوال ها پر بکشند
دوست عزیز مگه کاربر باید تنها کاربر خانگی باشه ؟؟؟؟
تعداد مطرح نیست. همونطوری که آرش مطرح کرد، سطح خطر مطرحه. خیلی از اشکالات ممکنه درجه خطر پایینی داشته باشن. همچنین مورد دیگهای که مطرحه، سرعت رفع اشکال هم هست. نه اینکه چند ماه از وجود اشکال امنیتی توی یه محصول ( <!-- m --><a class="postlink" href="http://secunia.com/product/11">http://secunia.com/product/11</a><!-- m --> ) گذشته باشه و تولید کنندهاش هم عین خیالش نباشه و شما هم هیچ کاری نتونید انجام بدید و باید دست روی دست بگذارید!
ببخشيد كه وسط بحث اساتيد دخالت ميكنم. شايد هم زياد به اين بحث مربوط نباشه ولي مطلبي كه 2 روز قبل تو ضميمه كليك روزنامه جام جم خوندم خيلي تاثر انگيز بود.
يكي از آقايون مطرح در زمينه IT كه فكر كنم عضو يكي از اين كميتههاي سيستمعامل ملي هم هستند (اسمشون را يادم نيست) گفته آند كه اينكه ميگن لينوكس امنتر است واقعيت ندارد و چون اكثر كاربران ويندوز كار ميكنند، اكثر حملات هم متوجه ويندوز است و لينوكس در حاشيه قرار دارد و اين دليلي بر امنيت بالاتر اون نيست. (البته اين مضمون حرفها بود نه عين صحبت ايشون) يا اينكه نوشته بود كه ما دانش توليد يك سيستم عامل را نداريم. و هزينههاي ميلياردي كه براي توليد لينوكس فارسي بخواهد انجام بشه در همون حدود خريد ويندوز براي ادارات دولتي است كه مهمترين مصرفكننده هستند .....
تا آنجا كه من ميدونم قرار نبوده ايران يك توزيع لينوكس مستقل بصورت ملي منتشر كنه. كار اين پروژه ملي هم قرار بود اين باشه كه بستهها را براي زبان فارسي هماهنگ كنه و در نهايت همه توزيعها ميتونند از اين بستهها استفاده كنند. مثل همين xfardic كه آقا آلن زحمت كشيدند و حالا تو هر توزيعي كه بخواهيد ميتونيد نصبش كنيد. بعد هم اگر واقعاٌ اساتيد IT كشور كه عضو اين كميتةهاي سيستم عامل ملي هستند ، چنين نظري دارند كه ديگه براي چي دارند پول صرف اين سيستم عامل ميكنند. درش را تخته كنند و خيال راحت....
باز هم از اينكه وسط حرف اساتيد دخالت كردم ، ببخشيد.
هیچ سیستم عاملی در این دنیا دارای ایراد نیست حرف اصلی میزان خطر و اندازه خطر می باشد آیا این خطر می تواند به سیستم آسیب جدی برساند به طوری که مجبور به عوض کردن سیستم عامل هستید یا نه یک خطر جزیی می باشد که به راحتی می توان آن را رفع کرد و به کار خود ادامه داد ایراد های ویندوز ایرادهایی بزرگ و خیلی خیلی خطر ناک هستند ولی ما در لینوکس چنین چیزی را نداریم همانطور که آقا آلن فرمودند
باید تا کی منتظر باشم تا فلان ایراد به وسیله مهندسان میکروسافت رفع گردد و آن وقت با خیال راحت بنشینیم و با این سیستم عامل کار کنیم شاید برای ما امنیت و پایداری زیاد معنی نداشته باشد که در این صورت به سوی ویندوز می رویم آیا تا حالا به بحث امنیت اداده ها در ویندوز دقت لازم را داشته اید
خوب است قضاوت خود را یک طرفه و یک سویه قرار ندهیم من به دوستان طرفدار ویندوز توصیه می کنم برنامه tiny personal firewall را نصب کرده و چند وقتی با این برنامه کار کنند تا به طور کامل متوجه شوند در ویندوز چه کار هایی بدون اراده شما انجام می شود و شما تسلط بر روی آنها ندارید کارهایی که حتی درک مفهموم آن برای شما سخت می باشد و علت انجام آن را به خوبی نمی دانید آیا در لینوکس هم چنین است انعطاف و دستور پذیری در کدام سیستم عامل بهتر انجام می گیرد آزادی عمل در کدام سیستم عامل بیشتر است کافی است دوستان ویندوزی برای یک ماه هم شده با لینوکس کار کنند تا تفاوت ها کامل تر معلوم شوند.
در راه لینوکس موفق باشید
فریدی
هیچ سیستم عاملی در این دنیا بدون ایراد نیست
ببخشید دوستان اشتباه تایپی بود
در راه لینوکس موفق باشید
فریدی
نقل قول :خسته شدم از این مزخرفات
دمت گرم حرف دل خیلی هارو زدی!!
همون طوری که جناب باغومیان هم گفتن مدت تعمیر این حفره ها هم مهمه
با سلام
راستش فقط میخوام یه چیزی عرض کنم ، اونم اینه که اگر لینوکس دارای امنیت پایینی بود yahoo که خوشو به خاطر microsoft میکشه ، هیچ وقت از free BSD برای server خودش استفاده نمیکرد (البته اطلاعات دقیقی راجع به این مسئله ندارم)
یک نظر غیر متعصبانه:
۰- در کل متن منظور من از باگ، یک باگ امنیتی است ( نه باگی که باعث بشه مثلا Gimp بجای مستطیل، دایره بکشه!)
۱- نامیدن بعضی چیزها به عنوان سیستمعامل درست است مثل FreeBSD و ویندوز و... اما بعضی چیزها رو سیستمعامل نامیدن درست نیست مثل GNU/linux چون به قدری متنوع است که عملا سیستمعاملی به اسم GNU/Linux نخواهیم داشت بلکه GNU/linux نام یک مجموعه از سیستمعاملهای جدا است که نکات مشترکی هم دارند. مثلا کرنل مشترک است (حالا با نسخههای متنوع) و بقیه نرمافزارها بر اساس توزیع است که انتخاب و ادیت و استفاده میشود. اینها را من سیستمعاملهای مبتنی بر لینوکس میگویم (توجه کنید که نمیگویم سیستمعامل لینوکس) یعنی تعداد زیادی سیستم عامل مبتنی بر آن به وجود آمده است این باعث میشود که شما سیستمعامل Redhat GNU/linux داشته باشید، SuSe داشته باشید و debian و... و باید جداگانه در مورد هر کدام صحبت کنید.
۲- سیستمعاملها و نرمافزارهای Open-Source و Closed-Source داریم.
۳- نرمافزارهایی داریم که عمومیت یافتهاند مثل Apache و نرمافزارهایی داریم که عمومیت نیافتهاند مثل thttpd
۴- سیستمعاملهایی داریم که بر امنیت تمرکز کردهاند مثل OpenBSD و سیستمعاملهایی که روی دیگر چیزها تمرکز کردهاند. به عبارت دیگر امنیت بیشتر همیشه به قیمت از دست دادن Performance و سایر قابلیتهاست.
این ۴ نکته را نوشتم که فعلا روی چند چیز اشتراک نظر داشته باشیم تا بتونیم بحت کنیم:
۱- چیزی به اسم سیستمعامل لینوکس وجود ندارد. وقتی میگوییم ویندوز امنتر از لینوکس است جمله مزخرفی است چون لینوکس یک کرنل است! وقتی بگوییم ویندوز از Debian GNU/linux امنتر است بازهم مزخرف است ولی بهتر از قبلی است. وقتی بگوییم ویندوز ۲۰۰۳ که به عنوان وبسرور استفاده شده است و از IIS به عنوان نرمافزار وبسروینگ و از فلان چیز به عنوان فلان و ... استفاده میکند در مقایسه با یک Debian GNU/linux که به عنوان وبسرور است با Apache 2 و فلان چیز به عنوان فلان و ... به نسبت امنیت بیشتری دارد ادعای قابل بحثی است و اصلا هم بحث در موردش کار مزخرفی نیست!
۲- باگ با باگ فرق میکند! یکی از جنبهها Severity است که گفتید. مورد بعدی عمومیت باگ است که بر میگردد به اینکه آن باگ متعلق به چیست و آن نرمافزار باگدار چقدر استفاده میشود مثلا اگر IIS باگ Sever داده باشد مهمتر از این است که thttpd باگی حتی Critical داده باشد. بحث بعدی Exploitable بودن باگ است و اینکه Exploit چند وقت بعد بیاد. فاکتور بعدی مدت زمان اجرای آن نرمافزار در سیستمعامل است یعنی باگی که برای httpd پیدا شود مهمتر از باگی است که برای wget پیدا شود، چون wget همیشه در حال اجرا نیست و خیلی فاکتورهای دخیل دیگر. اگه یک کتاب امنیت شبکه درست حسابی خوانده باشید میبینید که برای باگ حداقل ۳ فاکتور ارائه میکند که اگرچه کامل نیست ولی مفید است: Popularity و Simplicity و Impact که اگرچه باید در Severity هرسه لحاظ شود ولی متاسفانه گاه محدود به آخری میشود.
۳- نرمافزارهای Closed-Source نسبت به Open-Source البته اگر تمام شرایط یکسان باشد، امنترند. یعنی باگ کمتری از آنها منتشر میشود. فرض کنید که Apache همین امروز نوشته شده و قراره منتشر بشه، اگه غیربازمتن منتشر بشه احتمال اینکه در ۶ ماه آینده باگ ازش کشف شود، کمتر است. قبل از اینکه شروع به داد و بیداد کنید یهکم فکر کنید! معلوم است چرا: چون آدم یا نرمافزار باگ یاب وقتی قراره باگ پیدا کنه اگه سورس رو داشته باشه کارش راحتتره. این دقیقا متضاد چیزی است که خیلی شندیدهاید چون معمولا آنقدر کلی گویی میشه که تبدیل به یک حرف مزخرف میشه. یعنی اگر قرار بود بین Apache بازمتن و Apache غیربازمتن انتخاب کنم، از نظر امنیتی نسخه Closed-Source را انتخاب میکردم. اعتقاد دارم که باگهای یک نرمافزار بازمتن به ازای هر سطر کد -فی حد ذاته- کمتر از غیربازمتن است اما بحث سر چیزی است که کشف و اعلام و سوءاستفاده میشود. ظاهرا وقتی قرار باشد بین Apache بازمتن و IIS غیر بازمتن انتخاب کنیم، Apache رو انتخاب میکنیم چون تعداد بیشتری چشم کد را دیدهاند و در دراز مدت کد تمیزتر و پاکتری خواهد داشت اما شرطی هست که قضیه را به هم میزند: به شرطی که امکانات جدید -توسط کد جدید که خود دارای باگ جدید است- به آن اضافه نشود. کمی پیچیده شد اما فکر کنم توانستم منظور را برسانم. (اگر تفاوت current یا unstable را با stable در روش debian در انتشار کد بدانید قضیه تا حدودی در همان راستاست اما از دید امنیتی) مطلب مرتبط دیگری هم مطرح میکنم: اینکه باگهای نرمافزارهای Closed-Source معمولا نسخههای بیشتری را هدف میگیرند مثلا میگوید IIS نشخه ۴ و ۵ و ۶ دارای این باگ است گرچه شاید سال انتشار اینها ۱۰ سال اختلاف داشته باشد اما باگی که عمر ۱۰ ساله داشته کشف نشده و حالا پیدا شده است و تمام نرم افزارهای از آن تاریخ تا حال که از همان کد استفاده کردهاند مبتلا هستند. یعنی هم نکته خوب و هم بد. مایکروسافت ۱۰ سال فرصت داشته که باگ را برطرف کند (چون کد غیربازمتن بوده باگ به سختی پیدا شده) ولی در این ۱۰ سال برطرف نکرده و تمام این ۱۰ سال نرمافزارهای دارای باگ ارايه کرده که همگی امروز در معرض خطر هستند. حال فرض کنید که آن باگ ۱۰ سال دیگر کشف می شد و مایکروسافت یک کد دیگر را برای IIS نسخه ۷ جایگزین کند (یعنی خودش هم حبر نداره که قبلی باگ داره بلکه مثلا داره به دلیل دیگری کد جدید مینویسه) وقتی باگ ۱۰ سال بعد پیدا شد در واقع یک باگ سوخته است چون نرمافزارهای مبتلا خیلی وقت است که از رده خارج شده است. درست مثل اینکه الان شما یک باگ برای ویندوز ۹۵ پیدا کنید و دیگر بدرد ویندوز ایکسپی نمیخورد. دقت کنید که این باگ هم گزارش میشود و جزو باگهای ویندوز شمارش میشود ولی ارزشی ندارد. در مقابل باگهای نرمافزارهای Open-Source ورژنهای کمتری را هدف میگیرد چون زودتر پیدا میشود و رفع میگردد. اما در رمان شمارش تعداد باگ این باگ هم به عنوان ۱ (یک) باگ شمرده میشود و باگی که ۳ نسخه IIS دارند هم یک باگ و این احمقانه است.
۴- همه از همه نرمافزارها استفاده نمی کنند. به شکل سادهانگارانه فرض کنید که هر سیستمعامل نیاز به ۱۰ نرمافزار برای اجرا شدن دارد. دو سیستم عامل هم موجود هست W و L مثلا. برای سیستمعامل W کلا ۲۰ نرمافزار نوشته شده است (یعنی باید از این ۲۰ تا ۱۰ تا را انتخاب و استفاده کنیم) و برای سیستمعامل L کلا ۱۰۰۰ نرمافزار نوشته شده است (یعنی باید از بین اینها ۱۰ تا را انتخاب کنیم). حالا فصل پاییز تمام شده و قرار است باگها را بشماریم ببینیم هر کدام چند تا باگ دارند. فرض کنید از هر ۲ تا نرمافزار یکیاش باگ داده باشه هم برای نرماقزارهای W و هم L اینگونه باشد. هر دستگاهی که از سیستمعامل W یا L استفاده میکنه چون هر کدوم ۱۰ تا نرمافزار استفاده میکنند پس به طور متوسط هر سیستمعامل W و هر L به تعداد ۵ عدد باگ خواهند داشت. یعنی هر کامپیوتری که پیدا کنید که W یا L را اجرا کنه به طور متوسط میتونیم ۵ باگ براش پیدا کنیم. اما موقع شمارش میگویند W چون از ۲۰ نرمافزار موجود ۱۰ تا باگ داده است پس کلا ۱۰ عدد باگ برای W کشف شده است اما چون تعداد کل نرمافزارهای برای L هزار تا بوده است، ۵۰۰ نرمافزار باگدار داشته است و بعد نتیجهگیری شود که سیستم عامل L به اندازه ۵۰ بار امنیت کمتر از W دارد! همینقدر احمقانه. قضیه حتی برعکس است. فرض کنید که من بهعنوان هکر قرار است یک کامپیوتر با سیستم عامل W یا L را به انتخاب خودم هک کنم. من W را انتخاب می کنم چون کلا ۲۰ نرمافزار برای W موجود است که ۱۰ تاش هم باگ دارد. یعنی هر باگی را که انتخاب کنیم به احتمال ۵۰٪ خواهم توانست W را هک کنم. در مورد L این احتمال ۱٪ خواهد بود.
منظور من از L وضعیتی است که لینوکس دارد. من معتقدم بزرگترین خطری که لینوکس را تهدید میکند حرکت به سوی استفاده از توزیعهای یکسان و نرمافزارهای یکسان است. وقتی میگویند یوزرها دارند به سمت اوبونتو و Xandros و ... حرکت میکنند که همگی مبتنی بر debian GNU/linux است، من خطر را احساس میکنم. اگر روزی فرا رسد که همه از FireFox روی این سیستمهای مبتنی بر debian استفاده کنند دیگر نخواهند گفت که باگ IE تعطیلات کریسمس را خراب کرد بلکه همین وضعیت در مورد فایرفاکس خواهد بود. تا زمانی که لینوکس فقط یک کرنل است و توزیعهای زیادی با هم رقابت میکنند و کسی بازار را در دست نگرفته است، سیستمعاملهای مبتنی بر لینوکس امنتر از ویندوز است و البته خیلی هم دوست ندارم OpenSource بودن را وارد معامله کنم.
در مورد باگ هم جمعبندی این است: تعداد باگ معیار خوبی برای مقایسه نیست. باید حداقل ۳ فاکتور برای هر باگ در نظر گرفته شود.(هرچه تنوع نرمافزاری بیشتر باشد و عمومیت نرمافزار بین کاربران کمتر، امنیت بیشتر است + هرچه باگ خطرناکتر اهمیتش بیشتر + هرچه سوءاستفاده از آن راحتتر خطر بیشتر). از بین باگهای موجود در کد یک نرمافزار Open-Source تعداد بیشتری کشف میشوند و زودتر کشف می شوند و به همین دلیل نسخههای کمتری از آن سیستمعامل را هدف قرار می دهند. از بین باگهای موجود در کد یک نرمافزار Closed-Source تعداد کمتری کشف می شوند و دیرتر کشف میشوند و نسخههای بیشتری از آن را متاثر میکنند و نتیجتا open-Source بودن از نظر امنیتی هم خوب است و هم بد و بستگی دارد کدام سمت قضیه را ببینید.
نکته آخر درمورد فاصله زمانی بین اعلام عمومی یک باگ امنیتی و ارائه کد رفع کننده باگ است یعنی انتشار patch مربوطه: اولا این زمان صفر نیست و همین فاصله برای هکرها کافی است (خصوصا اینکه باگها معمولا قبل از اعلام عمومی یک دوره زیرزمینی را میگذرانند تا بعدا عمومی شوند و این زمان را هم باید در نظر گرفت) ثانیا خیلی از توزیعهای لینوکس خیلی دیر مشکل را حل میکنند (اسلکویر نمونه خوبی است!) البته دبین معمولا زود وارد عمل میشود و بنابراین میرسیم به همان صحبت اول که نگویید سیستمعاملهای لینوکسی از ویندوز سریعتر وارد عمل میشوند بلکه بگویید debian زودتر از ویندوز عکسالعمل نشان میدهد.
تکمله ۱: مهمترین مشکل در بررسی وضعیت امنیتی این است که از آمار به شکل سطحی استفاده کنیم.
تکمله ۲: هنوز هم اعتقاد دارم وقتی قرار است بر امنیت تکیه کنید، تنها انتخاب عملی فعلا OpenBSD است والبته فعلا نسخه 3.6 (و نه 3.8 که نسخه فعلی است) دلیل این انتخاب بحث جدا و مفصلیه!!
آراز
اگر مهمان ناخوانده هنوز به جواب سوالتون نرسیدید(برای نکات مربوط به مک) یه سری هم به دو نظری که دیروز برای اون مطلب در همون وبلاگ نوشتم بزنید.
موفق باشید
آراز جان قشنگ نوشتی! البته یه نکته کوچولو رو هم باید این وسط در نظر بگیریم. اگه یه اشکال امنیتی روی بسته a پیدا بشه، ولی maintainer های Slackware برطرفش نکنن، من لازم نیست بزنم توی سرم که الان چیکار باید کرد. خودم میتونم بسته جدید رو patch کنم یا اینکه کلا بسته نسخه جدید رو کامپایل و نصب کنم. این چیزیه که توی سیستمهای Closed Source یه Sysadmin نمیتونه انجام بده.
نقل قول :اگر مهمان ناخوانده هنوز به جواب سوالتون نرسیدید(برای نکات مربوط به مک) یه سری هم به دو نظری که دیروز برای اون مطلب در همون وبلاگ نوشتم بزنید.
موفق باشید
لینک میدین علی آقا؟
نقل قول :خسته شدم از این مزخرفات
اینبار .فقط اینبار توهینت رو نشنیده میگیرم!!!!!!!!
ایکاش اجازه پست دادن رو از مهمان بگیرید تا هرکس هرچی دلش خواست نیاد بگه !!!
alux نویسنده :ایکاش اجازه پست دادن رو از مهمان بگیرید تا هرکس هرچی دلش خواست نیاد بگه !!!
البته بی احترامی به مهمانان عزیزی که محترم هستند نباشه و رعایت مهمان بودن را میکنند ولی دوست من اولا به این افراد نمیشه مهمان گفت . در ثانی اینا بزرگتر دارن که بهشون خط میدن تا سایت رو بهم بریزن ... برای همین این افراد رو به نام میهمان خطاب نکینم که به میهمانان عزیز که حرمت میهمان بودن را دارند توهین میشود ....
یا علی
در توضیح مطلب آقای آلن،
موافقم و در مدتی که از Slackware استفاده میکردم به همین روشی که گفتید عمل میکردم. اما فکر میکنم اکثریت این کار را نمیکنند و منتظر یک patch یا package جدید باینری از طرف Vendor میمانند. خصوصا کاربرانی خانگی آن سیستمعاملها.
آراز