Είμαστε σοβαροί?

Alexandros Kosiaris alex at noc.ntua.gr
Thu Apr 12 20:20:50 EEST 2007 

Nikos Galanis wrote:
> http://blogs.csoonline.com/windows_vista_90_day_vulnerability_report
> 
> 

Δεν είναι παράλογο εάν το καλοσκεφτείς.

α) Τα windows είναι συστήματα με ένα μικρό σχετικά πλήθος προγραμμάτων κλειστού 
κώδικα που γενικά δυσκολεύεται κανείς να ψάξει για Vulns. Δεν έχει τον κώδικα αλλά 
πιθανώς και άλλα πράγματα(licenses, όρεξη, χρόνο). Αντίθετα όλα τα υπόλοιπα είναι 
ανοικτού κώδικα συστήματα που εάν μαζέψεις όλα τα προγράμματά τους μαζί μιλάμε για 
πάνω απο 20000 προγράμματα. Το ubuntu πχ πρέπει όλα μαζί τα προγράμματά του να 
ξεπερνάνε τα 3 dvd(zipped). Τα Vista αντίθετα είναι συμπιεσμένα μόλις μισό.

β) Υπάρχουν πολιτικές disclosure των Vulnerabilities. Οι εταιρίες που έχουν βγάλει 
τα χοντρότερα από τα προβλήματα των Windows συστημάτων στο παρελθόν ακολουθούν 
συχνά μία πολιτική σιωπής για 6 μήνες μετά την αρχική επικοινωνία με τον 
κατασκευαστή, ανακοίνωση στος 6 μήνες και Full Disclosure 9-12 μήνες. Αυτό δεν 
συμβαίνει με τα περισσότερα προγράμματα ανοικτού λογισμικού καθώς την ίδια στιγμή 
που ανακοινώνεις το Vuln μπορείς να κάνεις submit patch κάνοντας την ανάγκη για 
Full Disclosure μικρή. Οποιος θέλει διαβάζει τον κώδικα ή το patch και βρίσκει οτι 
θέλει. Ποιος λοιπόν μας λέει ότι αυτή την στιγμή το secunia ή το eyee δεν κάθονται 
πάνω σε ένα βαρβάτο Vuln περιμένοντας να περάσει ο χρόνος;

γ) Επίσης, νομίζω είναι διαφορετικός ο τρόπος που ορίζονται τα Vulns στα διάφορα 
συστήματα. Ας πάρουμε ένα απλό παράδειγμα

Εστω πρόγραμμα Χ σε Windows Vista που βγάζει vulnerability αλλά λόγω του UAC (User 
Account Control) δεν μπορεί να γίνει exploited. Αυτό δεν σημαίνει οτι το πρόγραμμα 
δεν είναι προβληματικό αλλά οτι το λειτουργικό προστάτευσε τον εαυτό του.

Εστω πρόγραμμα Υ το οποίο γίνεται included σε οποιαδήποτε διανομή *nix. Ειδικά στο 
Fedora Core λόγω SELinux δεν γίνεται exploited. Αντίθετα σε όλα τα άλλα γίνεται...

Στο παραπάνω η Fedora θα βγάλει advisory, όπως και οι υπόλοιποι. Η MS πιθανώς όχι.

Τέλος πάντων όπως έχει ειπωθεί άπειρες φορές δεν έχει σημασία πόσα Vulns βγαίνουν 
αλλά πόσο γρήγορα διορθώνονται.

-- 
Alexandros Kosiaris     Network Management Center , NTUA
e-mail : alex at noc.ntua.gr
Public Key Fingerprint :
D6B1 0634 BE65 719C 6C95  7492 8201 4B46 C478 F074

More information about the Linux-greek-users mailing list