Перфектни операционни системи няма. Всяка си има предимствата и недостатъците, силните и слабите страни. Имат ги и Уиндоус, и Линукс. Не е проблем човек да отдава на всяка от тях дължимото.
Сериозен проблем обаче е как да определи дължимото, ако не е ИТ професионалист с доста опит и в двете системи. Интернет е пълен с умишлени лъжи около тази или онази операционна система. Лъжи, които целят да я обявят за идеална, или – по-често – да я очернят.
Лъжи и в двете посоки се срещат около всяка ОС. Произходът им е най-различен. Всяка ОС си има своите фенове, които я хвалят без мярка, и чернят конкурентите й без мярка. Комерсиалните ОС също много често си имат платени екипи, които го вършат. И често за неспециалиста е трудно да каже кое е вярно – истината няма за цел да бъде убедителна, за разлика от лъжата.
А истината е, която има значение. И това често го забравят дори поклонниците на свободните операционни системи. Ние имаме нужда от свобода – но тя ни е нужна не безцелно, а за да можем да правим избора си истински. А за да го правим истински са ни нужни се само алтернативи, но и истината за тях. Лъжите, без значение в коя посока водят, ни лишават от свободата ни.
Смятам да допринеса, колкото и когато мога, за разсейването на лъжите. Най-добре са ми познати лъжите, които очернят незаслужено Линукс, затова ще пиша предимно за тях. Това не значи, че няма лъжи, които незаслужено хвалят Линукс, и/или очернят Уиндоус – има ги, просто е нужно да им отдели внимание някой друг, по-запознат с тях от мен. (Не изключвам възможността да го правя и аз понякога, но не се чувствам уверен на тази територия, и рискувам да пиша глупости – затова надали ще е често. Няма да е защото не обичам Уиндоус: лъжите срещу него са еднакво вредни за свободата ни с тези срещу Линукс.)
В запис ще пускам опровержения на по няколко лъжи, най-често центрирани около една обща. И имам молбата, ако някой желае да коментира, да коментира само тях. Лъжите около ОС са огромна тема – нека ги караме една по една. Запазвам си правото да трия безогледно коментари не по темата, без да ми пука дали някой няма да ме обяви за цензор.
—-
Сигурността на Линукс
“За Линукс няма вируси, защото много малко компютри са под Линукс. Съответно, за вирусописачите не е изгодно да създават вируси за Линукс. Ако той стане популярен колкото Уиндоус, броят вируси за него ще е същият, а може би и по-висок.”
По-малкият процент на десктоп компютри с Линукс без съмнение има някакъв принос за практическата липса на вируси за него. (Всъщност за Линукс има документирани вируси – просто са редки до степен да е твърде малко вероятно да попаднете на някой през живота си, дори ако нямате никакви антивирусни програми.)
При сървърите обаче положението е напълно различно. Поне 70% от Интернет към момента се държи на Линукс (и вероятно не повече от 1-2% на Уиндоус – тоест, там ролите са разменени). Под Линукс са около 90% от файъруолите, почти всички големи сайтове (единствено майкрософтските са на Уиндоус, а Yahoo – отчасти на BSD), суперклъстерът на Гугъл, двайсет и няколкото хиляди сървъра на Akamai, почти всички машини за Интернет провайдинг, и т.н.
В добавка, сървърите обикновено съдържат много повече и по-важна информация от домашните компютри, и разполагат с далеч повече ресурси от тях, така че са много по-ценни за атакуващите. Ако заразяването на домашен компютър е еквивалент на ограбването на случаен минувач, заразяването на сървър е като ограбване на банка. Никой сериозен обирджия не ограбва случайни минувачи – всеки крои планове как да обере банка, въпреки че тя обикновено се охранява далеч по-добре от случайния минувач.
Затова логичното положение е към Линукс да има наплив от вируси, троянски коне и други софтуерни зловредия, превъзхождащ или поне сравним с този към Уиндоус. Реалността обаче е съвсем различна. Масови софтуерни зловредия за Линукс до момента не е имало, и не очаквам да се доближат по честота и разпространение до тези за Уиндоус и за в бъдеще.
В крайна сметка: при сървърите ролите на Уиндоус и Линукс като масовост и ценност са разменени, но размяна в богатството на софтуерните зловредия няма – същото си е. Така че масовостта очевидно не играе решаваща роля.
“За Линукс няма толкова вируси, както за Уиндоус, защото повечето потребители на Линукс са ИТ специалисти, които поддържат компютрите си много по-добре от средния потребител на Уиндоус.”
Това е факт. Не съм съгласен обаче, че е реално значим.
По-добрата грижа за компютъра срещу вируси обикновено се изразява в по-читави, по-често използвани и по-често обновявани антивирусни програми, и в блокиране на външния достъп до ключови програми на компютъра. Също, добрите професионалисти сравнително по-рядко се поддават на трикове от арсенала на социалното инженерство.
Инсталациите на Линукс в огромния процент от случаите обаче не използват никаква антивирусна програма, така че този вид грижа е без значение при тях. Също, поне от Windows XP SP2 насам компютрите под Уиндоус са не по-зле защитени срещу външен достъп до ключови програми (чрез блокирани портове и прочее), отколкото типичната Линукс дистрибуция.
Затова не бих очаквал разликата в професионализма на потребителите да е от реално значение за разликата в разпространението на софтуерни зловредия под двете ОС. Ако за Линукс съществуваха антивирусни програми с богатството и качеството на тези за Уиндоус, професионализмът, чрез по-добрата грижа за антивирусите, принципно би могъл да е фактор за разлика. При сегашното положение обаче той просто няма как да е от забележимо значение. Известна роля би могло да играе единствено по-трудното поддаване на социално инженерство – но всеки поне малко разумен потребител на Уиндоус също вече го избягва, дори ако не е ИТ професионалист.
Ако един Уиндоус бъде подсигурен както трябва, той ще стане не по-малко непробиваем, отколкото и най-добрият Линукс. Не е трудно.
Наистина не е трудно Уиндоус да бъде подсигурен много по-добре, отколкото идва стандартно. И да, това го прави доста трудно пробиваем. Проблемът тук е, че така подсигуреният Уиндоус най-често става и доста труден за реална работа с него, в сравнение с богатството и свободата, която дава неподсигуреният. Разбира се, възможно е да се настрои така, че да е хем добре подсигурен, хем да дава същата свобода – но това вече не е стандартна задача, и изисква експерт с познания далеч над тези на средния потребител на Линукс.
Типичната дистрибуция на Линукс е сигурна до подобно ниво още в стандартната си конфигурация, дори ако я инсталира и използва секретарка, и при пълна годност за реална работа и без никакво лишаване от богатството и свободата й. Системи от типа на seLinux донякъде ограничават тази свобода, но пък дават ниво на сигурност, което трудно може да бъде постигнато и от най-добре конфигуриран стандартен Уиндоус; с тях могат да се мерят единствено специално компилирани билдове.
В крайна сметка: Уиндоус също може да се настрои да е сигурен, но Линукс води в това състезание.
Повечето съвременни атаки разчитат не на експлойти в кода, а на социално инженерство. Няма логика да се твърди, че Линукс е по-малко засегнат, защото е по-сигурен като ОС – това не зависи от ОС-а.
Зависи. Социалното инженерство може да ви излъже да цъкнете на линк или програмка, дошли в е-майла ви. Програмката обаче не може да овладее компютъра ви, ако не използва слаби места в кода или архитектурата на ОС-а.
Практиката под Линукс е потребителите да работят от акаунти с ограничени права, докато под Уиндоус е да използват акаунти с администраторски права. Пуснатата с администраторски права програма лесно овладява целия компютър; пуснатата с ограничени права се налага тепърва да търси сериозен експлойт, за да овладее машината.
Интеграцията на програмите под Уиндоус е далеч по-голяма от тази под Линукс. Това улеснява донякъде потребителите, но много повече софтуерните зловредия. (Особено ги улеснява интеграцията на потребителски с административни инструменти, която под Уиндоус е честа, а под Линукс почти не съществува.)
Уиндоус е високо стандартизирана среда. Това го прави унифициран, и оттам удобен за потребителите. Подобно на големите монокултурни насаждения в агрономията, обаче той е и силно уязвим за вредители. Разнообразието на различните дистрибуции и инсталации на Линукс понякога създава затруднения на потребители, свикнали с точно определена система, но затрудненията за зловредията са много по-големи. 🙂
Типичният потребител на Линукс е по-грамотен технически от типичния потребител на Уиндоус; част от това е и че обикновено по-трудно се поддава на социално инженерство. Към днешна дата обаче масовият потребител на Уиндоус вече също се поддава трудно – големият процент от хората вече са се научили да игнорират спама, и да не стартират програмки, изпратени им по пощата отнякъде. Обратно, пък масовият потребител на Линукс все по-често вече е не твърде грамотен технически и често сляпо вярва на лъжата за абсолютната неуязвимост на Линукс, и си позволява под него неща, които не би посмял да си позволи под Уиндоус.
В крайна сметка: социалното инженерство би било успешно сред потребителите на Линукс почти или съвсем колкото и сред тези на Уиндоус. И често бива използвано за ръчни атаки срещу машини под Линукс – но не и за автоматизирано разпространение на зловредия. Те продължават да не успяват да процъфтяват под Линукс.
Авторите на вируси не смеят да пишат за Линукс, защото се боят от организирания отговор на общността му, и най-вече от върхови програмисти като Линус Торвалдс. Това обаче не прави Линукс сам по себе си по-сигурен.
Като начало, Линус Торвалдс е добър, но не свръхизключителен програмист. Същото важи и за повечето други водещи програмисти на свободния софтуер. От друга страна, много софтуерни компании (и особено Майкрософт) разполагат с голям брой програмисти от същата класа, а вероятно и с немалко наистина върхови, феноменални програмисти. Като се има предвид и с какви колосални финансови, лобистки и други опасни ресурси разполагат в добавка, да се пишат зловредия за тях би трябвало да е (и вероятно е) далеч по-опасно.
Вярно е и че при поява на вирус, който атакува свободен софтуер, отговорът на общността вероятно ще е светкавичен, особено ако вирусът е по-опасен, или по-разпространен, или дори ако само е открит експлойт с по-висока степен на опасност – в такива случаи обикновено корекциите излизат за часове. Това подобрява устойчивостта на софтуера като цяло (не на конкретната версия) срещу зловредия, но едва ли прави писането на зловредия за него по-опасно.
Като цяло: аргументът е ласкателен, но неверен. Писането на зловредия за Линукс вероятно е дори по-безопасно за авторите им, отколкото писането на зловредия за Уиндоус.
Отвореният код на Линукс е много по-удобен за изучаване от кракери, отколкото затвореният код на Уиндоус. Това прави пробиването на Линукс системи много по-лесно. Пробиват ги по-рядко само защото не са нужни на никого.
Както вече отбелязах по-горе, съвременният Интернет и преобладаващият процент от стойностите в него реално се държат върху Линукс. Така че пробиването му би носело много повече финансови изгоди от това на Уиндоус, и е логично да се очаква броят атаки чрез софтуерни зловредия да е много по-висок. Но не е.
И най-отвореният за изучаване код е пробиваем само ако съдържа слаби места – т.нар. експлойти. Съдържа ги почти всеки код, но откриването им сред хилядите редове не е никак лесно – то изисква много време и сили. Тоест, зависи от това колко хора преглеждат внимателно кода.
Затвореният код е юридически забранен за преглеждане от всички освен автора му. Добронамерените хора се съобразяват с тази забрана, злонамерените – не. (Вече съществуват достатъчно и достатъчно добри декомпилатори, способни да направят от компилираната програма напълно приемлив изходен код.) Отвореният код е разрешен за преглеждане от всички. Резултатът е, че затвореният код се преглежда само от авторите му и от злонамерени хора, а отвореният – в добавка и от добронамерени. И тъй като добронамерените хора са много пъти повече както от авторите на софтуера, така и от злонамерените, отвореният код най-често (ако и не винаги) е много по-изчистен от експлойти, отколкото затвореният, и чистенето на експлойти при него е много по-напред от търсенето им за злоупотреба с тях, отколкото при затворения.
В сфери, различни от програмирането, това си личи още по-добре. Един професионален шифровчик например никога не би използвал шифър, чийто алгоритъм е нечия тайна. На теория пазенето в тайна на алгоритъма на шифъра го прави по-сигурен. На практика обаче в шифроването отдавна се е доказало на практика, че единствено откритият публичен преглед от много и различни специалисти може да направи един шифър истински трудно разбиваем. Поддръжниците на обратната теза са били разубедени от практиката, често по болезнен начин… Логиката е точно същото правило да важи и в софтуера.
В крайна сметка: Откритостта на кода не е минус в сигурността на Линукс – тя е най-големият му плюс в сигурността.
Сумарно: Някои от доводите, че практическата липса на софтуерни зловредия за Линукс не се дължи на негова по-висока техническа сигурност, имат някаква реална база. Други – не. Но дори тези, които имат реална база, не могат да обяснят в значима степен разликата с цъфтящите зловредия за Уиндоус. Единственото, което я обяснява, е по-високата сигурност на Линукс като система.
Чудесно четиво, браво 😉
Аз лично за вирусите имам още една теория, която някои бих нарекли на конспирациите – според мен една от причините да не се пишат вируси за линукс е, че ще веднага ще се намерят хора, които в духа на OSS да напишат антивирусна програма… И така symantec, eset ,и който друг се сетите, няма да направи и един долар.
Писането на вирус за линукс според мен е дори по-лесно – вероятно и защото скриптирането в Линукс е доста по-добре развито отколкото в Уиндоус. Един непросветен потребител лесно може да бъде заразен и дори вирусът да не може да овладее цялата машина, информацията на отделния потребител е достатъчно важна, а и може да се използва за много различни цели като DDoS например.
Така че аз не виждам реален аргумент някой да не пише вируси за Линукс – просто не би било икономически изгодно за антивирусните компании
моля, напиши подобен обзор и за десктопа и приложенията?
@Георги: има ОСС антивирусни програми – ClamAV е доста популярен, и в много отношения не отстъпва на комерсиалните си аналози. Колкото до скриптирането – така е, обаче “непросветеният потребител” работи в съвременна графична среда, където опитите да се стартира неблагонадежден софтуер изискват изрично потвърждение. Пресен пример: .desktop файловете са едно изключение, не изискващо права за изпълнение, но все пак е необходимо първоначално потвърждение за легитимността им в последната версия на KDE.
@Георги: За Линукс вече има чудесни ОСС антивируси (ClamAV, а и доста други, базирани на нейния код и/или дефиниции; отделно има и други, засега по-слаби, но бързо напредващи). Отделно от това, повечето комерсиални антивируси вече имат и Линукс версии (AVG, Panda, Avast, Kaspersky, Vexira…). Затова ми се струва, че аргументът с липсата на изгода на антивирусните компании не важи.
@uv: Ще ми е трудно – Линукс има доста десктопи. 🙂 2 големи (GNOME и KDE), няколко средна категория (Xfce, евентуално LXDE и Enlightement), и поне трийсетина по-малки. Аз обожавам KDE, но почти всичкият ми опит е с него – не бих могъл да напиша почти нищо за другите, а те са доста, и интересни. Може някой път да спретна един запис за KDE.
хм, може ли да уточним малко терминологията — експлойта не “експлоатира” ли определена уязвимост в кода, но самия него не може да го наречеш слабо място. това според мен, де.
иначе статията е чудесна, поздравления.
да поясня, разновидностите десктоп са ясни на много читатели. по-скоро нещо с фокус над ползваемостта, продуктивността, възможностите за настройка и като цяло преживяването под *x би било полезно.
@Nick Angelow: Терминологично тук е малко каша. Правилният термин е “exploitable weakness”, но твърде често на жаргон казват “експлойт” и на слабостта – и аз се увлякох по това.
@uv: Ще ми е доста трудно да сравня примерно GNOME и KDE, при положение, че на практика нямам опит с GNOME. Продуктивността е различна за всеки човек поотделно, преживяването пък съвсем. 🙂
На първо място поздрави за добрата публикация.
Лично мен ми е трудно да определя кой е ИТ професионалист и кой не. Не мога да съдя по това дали му е професия и си изкарва прехраната по този начин. Последно време се запознах с доста такива, които отстъпвап на мои познати без претенции да имат задълбочени познания и да практикуват в областта на информационните технологии. Ще наричам професионалист всеки, който не само прави нещо, но знае и разбира как и защо го прави.
Спор няма, че Windows е най-рапространената операционна система. Така е, най-вече в десктоп системите. За пример клъстерите – погледнете класацията на най-производителните 500 http://www.top500.org/stats/list/33/os. Положението при сървърите е подобно. Поне според моите скромни наблюдения. Но даже така броят на Windows машините сумарно са повече (тук трябва да споменем и Macintosh, който на запад е малко по-добре разпространен сред десктоп потребителите).
Лично аз, ако тръгна да пиша вирус ще е за Linux. Защо ли ? – защото го познавам по-добре на системно ниво. Освен това моята цел няма да са порногледачите и чатърите. Това са причините, които движат този бизнес според мен, а той не е никак скромен. От една страна университетите и училищата бълват такива кадри (в повечето случаи нецеленасочено, просто не разбират от материята), от друга навикът си е навик, повечето деца виждат и започват да използват първо Windows, за което можем да виним не само Microsoft.
На мнение съм, че Windows може да бъде достатъчно сигурна операционна система без да се полагат повече усилия, отколкото за Linux. Аз даже не ползвам антивирусна резидентно, а само проверявам определени файлове и външни носители и смея да твърдя, че никога не съм бил със заразена ОС. Вградената защитна стена не ми допада (има технически и субективни причини за това, които ще пропусна за да не удължавам коментара излишно) и ползвам допълнително инсталирана с отворен код. Вирусите основно използват дупки в IE и Outlook. Ако не използвате тях рискът е много по-малък. Като цяло моята концепция e малък брой работещи услуги и приложения за по-малък риск. Не разбирам какъв е проблема да се ползва ограничен потребител. Всеки ден инсталирате нови приложения или редовно сменяте настройки, изсикващи аминистраторски привилегии?- Съмнявам се. Ограничените права на потребителя и файловата система значително затрудняват зловредния софтуер. Няма да задълбавам в други подробности. Само ще спомена, че за сървъри Windows e много трудно приложим заради сериозни проблеми в мрежовия стек, независимо, че много се доближава до този на BSD (както почти всички съвременни ОС). Разбира се не остава по-назад и IIS.
Мислих да коментирам за професионалистите и Linux, но ще пропусна. Само ще спомена, че е голяма заблуда, ако някой си мисли, че всички Windows администратори “пасат трева”.
Сигурността в Linux реална ли е или мираж? – И да и не. Аз не бих разчитал на инсталирана по подразбиране система. Причините са почти същите, като тези в Windows и други ОС. Основно сигурноста в Linux се дължи на файловата система. Файловата система е на много ниско ниво и се залага изключително много на нея. Не случайно се казва, че в Linux всичко е файлове (в Windows всичко е обекти). Отново без да изпадам в подробности това е същността, преодолее ли се файловата система от там натътък всичко е много лесно. Правата на потребителите изцяло зависят от това какви права имат върху файловите системи. Linux е операционната система, която вероятно поддържа най-много файлови системи. Това се постига чрез виртуална файлова система http://en.wikipedia.org/wiki/Virtual_file_system. От тук нататък минаваме на mandatory access controls (SeLinux, RBAC, RSBAC и т.н.), grsec, pax и други, които са напълно излишни за десктоп системи. Iptables и Ipfilter са религия за много от администраторите. Не съм чувал, някой професионалист или аматьор да използва антивирусни решения под Linux, освен ако не с инсталиран файлов сървър за други операционни системи. Писането на експлойти и друг зловреден за Linux със сравнително ново ядро съвсем не е тривиална задача.
Аз лично не мога да кажа, коя ОС е по-добра и коя не (никой не ми е платил). Всяка има своите предимства. Аз съм направил своя избор – Linux. Използвам Windows и други операционни системи в повечето случая по задължение. Най-голямото предимство на една ОС е отворения код всичко друго е след това. Особено малко ми допада идеята ОС, да не е моя, а само да имам право да я използвам, както е в договора на Windows.
Има го и OS X Tiger и Leopard… 🙂
ами при “exploitable weakness” акцента не пада ли най-вече върху “weakness”? защото според мен всяка една уязвимост в някакъв код, рано или късно може да (или ще) стане експлоатируема. както и да е, благодаря за пояснението — не съм напълно запознат с жаргона, така че за мен беше полезно.
@Григор, @venkain : Всяко правило си има изключения – ако имате статистика, която да показва колко вируса има за Windows и колко за *nix ( респективно и колко заразени машини ) и подобна за дълбочината на проникване на антивирусен софтуер ( като брой компании, брой продукти и броя потребители на продуктите ) за едната и другата OS, сами ще се убедите, че аргументът ви е слаб. Мащабите са коренно различни просто
@Георги: Статистика имам.
Грижа се лично за петнадесетина машини под Линукс, и пряко познавам хора, които стопанисват и се грижат за общо стотина. Също така, в работата си се грижа (лично) за около двеста машини под Уиндоус.
Антивирус няма на нито една от машините под Линукс, които са ми известни (с изключение на майл скенерите по пощенските сървъри, които чистят преминаващите съобщения от уиндоуските вируси). Никога не е имало. Знам, че съществуват, но никога не съм поставял такъв, нито знам някой мой познат да е поставял някога… Никога не съм видял с очите си заразен Линукс. Не познавам човек, който да съм попитал, и да е виждал такава с очите си. Сигурно има, но са рядкост.
На всички без изключение машини под Уиндоус, за които се грижа, има поставени антивирус и антибот. Всяка се ъпдейтва и проверява автоматично всекидневно; освен това, всеки път като отида някъде, оглеждам всички машини, и при и най-малко съмнение ги ъпдейтвам и проверявам и на ръка. Въпреки това, средно по веднъж на два дни в тихи периоди, и по веднъж дневно в периоди на надигане на зловредията, попадам на компютър, инфектиран до степен антивирусите да не могат да се справят, и да иска доизчистване на ръка. Ако съдя по логовете на антивирусите, вероятно дребните проблеми, с които се справя автоматичното им чистене, са по пет-десет дневно.
Да го тълкува кой както иска.
@Георги: В подобна гледна точка виждам едно слабо място – че създаването на вируси е тясно свързано с комерсиалните антивирусни компании. Със сигурност те имат изгода от наличието на вируси в средата на действие на техните продукти – няма спор. Обаче:
1. Всички сериозни антивирусни компании имат версии за Линукс (за сървърни приложения, през които преминават все същите Windows-ки вируси). Нищо не пречи да разширят дейността си с дефиниции за “лесно написани” UNIX-ки вируси.
2. Има много други заинтересовани лица в разпространението на вируси – от “script kiddies”, през някои форми на бизнес, до откровени престъпници. Самоограничаването им до една софтуерна платформа изисква изключителна самодисциплина и висок морал… или просто невъзможност да разширят дейността си извън настоящата.
3. Ако изчакаме само няколко месеца, ще видим дали значителното разширяване на дела на Линукс базирани телефони с доближаване до броя съществуващи с WinMobile ще доведе до аналогично увеличаване на “мобилни” вируси.
@Георги: В подобна гледна точка виждам едно слабо място – че създаването на вируси е тясно свързано с комерсиалните антивирусни компании. Със сигурност те имат изгода от наличието на вируси в средата на действие на техните продукти – няма спор. Обаче:
1. Всички сериозни антивирусни компании имат версии за Линукс (за сървърни приложения, през които преминават все същите Windows-ки вируси). Нищо не пречи да разширят дейността си с дефиниции за “лесно написани” UNIX-ки вируси.
2. Има много други заинтересовани лица в разпространението на вируси – от “script kiddies”, през някои форми на бизнес, до откровени престъпници. Самоограничаването им до една софтуерна платформа изисква изключителна самодисциплина и висок морал… или просто невъзможност да разширят дейността си извън настоящата.
3. Ако изчакаме само няколко месеца, ще видим дали значителното разширяване на дела на Линукс базирани телефони с доближаване до броя съществуващи с WinMobile ще доведе до аналогично увеличаване на “мобилни” вируси.
@Григор: Моля те да направиш в общия списък http://www.gatchev.info/blog/ да се показва само част от тази публикация, защото трудно се намират следващите и съответните нови коментари по тях.
“Разбира се, възможно е да се настрои така, че да е хем добре подсигурен, хем да дава същата свобода…”
“Въпреки това, средно по веднъж на два дни в тихи периоди, и по веднъж дневно в периоди на надигане на зловредията, попадам на компютър, инфектиран до степен антивирусите да не могат да се справят, и да иска доизчистване на ръка.”
Не си ли противоречат тези твърдения?
Иначе, преди да прочета втория ти коментар, исках да питам как се прилага на практика първия, с настройките, от нормални потребители.
@skoklyo: Просто нямам познанията, при които настройването на компютър да е хем подсигурен, хем свободен става достатъчно бързо и лесно, за да ми е икономически изгодно. (Ако ги имах, вероятно пак нямаше да ми е изгодно, защото щях да взимам далеч повече пари.)
На практика първият коментар се прилага от нормални потребители като:
– Работи се не с права на administrator, а на user (или в по-лошия случай на power user)
– Спират се всички излишни сървиси (различни при компютри с различни предназначения и употреби)
– Стената се донастройва така, че да забранява всякакви входящи връзки (освен нужните на тази машина), и да пита изрично при всякакви изходящи (евентуално освен най-честите, които се правят непрекъснато).
– Всички по-значими приложения на компютъра се настройват така, че да избягват рискови дейности (напр. Outlook Express се настройва да не показва картинките в HTML съобщения, а евентуално и самите съобщения само като plain text; да не показва автоматично съобщението под курсора, и т.н.)
На различни други компютри се настройват и други неща. Според спецификата е. Затова и е толкова изискващо познания и усилия.
При все че в статията на Григор има много добра логика, има някои неща които стоят по фуиндамернтално различен начин от представения от него:
1) (цитат): “По-малкият процент на десктоп компютри с Линукс без съмнение има някакъв принос за практическата липса на вируси за него.”
“по-малкият” тук е просто крайно несъразмерно употребено: всъщност процента Линукс десктопи е на практика *нищожен* в сравнение с този на Уиндоус такива.
2) някак си без достатъчно логика се предлага аргумента, че един вид след като 70% от интернет-сървърите са Линкус и няма масови епидемии пти тях, следователно Линукс е по-защитена.
Огроманата, фундаментална разлика, е че на *интернет*-сървърите почти никога няма интерактивни *обикновени* потребители (освен при хостинг провайдърите).
Реално единствените *интерактивни* потребители при огромна част от сървърите, са администраторите.
А последните са достатъчно начетени – без значение на Линукс или Уиндоус сървъри – че да не щракат по линкове, получени в спам-емейл, или да стартират атачменти.
Затова би било коректно, ако се изтъква аргумента за сървъри, да се сравняват Уиндоус и Линукс интернет-сървъри, а не Линукс сървъри и Уиндоус десктопи, от гледна точка на съотношение използване/заразяемост.
3) Най-голямото предиство на Уиндоус работи по дефиниция срещу сигурността у: леснотата на ползване за обикновени потребители.
– това, че подразбиращия се акаунт в една нова инсталация има админ-права
– интеграцията: атачмента се изпълнява когато бъде щракнат (от доста време обаче вече има предупреждение и затова заразяването намаля доста)
Някои хора не схващат, че на *първо* място компютрите трябва да са лесни и естествени за ползване. Няма нищо по-естествено от това, когато получиш емейл с атачмент, да щракнеш атачмента и с него да стане това, за което той е *предназначен*.
Кои са наистина СЪЩЕСТВЕНИТЕ, значимите проблеми в Уиндоус, позоволяващи толкова много вируси, тогава?
1) Най-големия проблем е, че поради нужда за съвместимост с недомислените първи версии на Уиндоус и други продукти на Майкрософт, последните изискват обикновени протребителски процеси да пишат в места, където би трябвало да пише само ОС-а.
Например, никакъв шанс да подкарате Wоrd като обикновен поребител, ако премахнете правата му за писане в \Windows\….
*Затова* няма нужда да си администратор, за да подкараш вирус на Уиндоус. (нещата са доста по-подобрени с Виста).
Веднъж като са позволили това, оттук нататък софтуерните компании са започнали да използват тази “възможност”, и е станало невъзможно да бъде спряно това – заради съвместимост.
Това позволява на повечето вируси да бъдат написани така, че да се самовъзстановяват като бъдат изтрити.
Това, обаче, е оправено вече при Виста: ако обикновен потребителски акаунт се опита да пише в системна директория, на него му се “струва” че пише там, но всъщност пише във “виртуална” системна директория, принадлежаща само на него.
2) стандартните права всеки потребител да може да заложи да се изпълнява програма при логаване от ВСЕКИ потребител (вкл. администратора)
Достъпа до registry за автостартиране на програми при логване с ВСЕКИ акаунт ( HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ) позволява на обикновен потребител да стартира каквото си иска като използва факта, че и администратора ще го стартира като се логва.
И това ще стане *преди* администраора да може да го спре или да се усети.
@Красимир Гаджоков
Не знам колко е оправена и вирусоустойчива вистата, но при наличието на Comodo и Avira редовно ме полазват разни буби, по неведоми пътища, които антивирусните откриват и трият, а за тези, които не откриват, предполагам, си живеят и се плодят на воля. Да уточня – не използвам outlook и IE и не отварям атачмънти, освен ако не ги сканирам първо.
Преди, когато имах някаво XP си спомням, че компютъра ми се зарази в момента в който ръгнах кабела на ADSL и започна да рестартира през няколко секунди – в случая вероятно заслуга имаха и некадърниците от Telefonica (Испания) Бях принуден да отида до интернет клуба и да сваля Avira и Zone Alarm и да ги инсталирам в къщи.
Ползвал съм Suse и Ubuntu и никога не съм чул, нито видял нещо вирусоподобно. Нито пък съм забелязал да мигат и да чегъртат по диска постоянно както всеки един Windows, който съм имал и е бил включен към нета. Това при условие, че винаги имам антивирус и файъруол. Питам се какво толкоз правят тези Windows-и когато не се работи на тях?
Общоизвестна истина е, че който има вжна информация на копмютъра си и иска да е с вдигнати гащи ползва Линукс. Останалото е нощувка под демоклиевия меч и е въпрос на време.
Едно време попаднах на забавна инструкция как се инсталира вирус под Linux и съм си я запазаил 😀
Basic Installation
==================
Before attempting to compile this virus make sure you have the correct
version of glibc installed, and that your firewall rules are set to `allow
everything’.
1. Put the attachment into the appropriate directory eg. /usr/src
2. Type `tar xvzf evilmalware.tar.gz’ to extract the source files for
this virus.
3. `cd’ to the directory containing the virus’s source code and type
`./configure’ to configure the virus for your system. If you’re
using `csh’ on an old version of System V, you might need to type
`sh ./configure’ instead to prevent `csh’ from trying to execute
`configure’ itself.
4. Type `make’ to compile the package. You may need to be logged in as
root to do this.
5. Optionally, type `make check_payable’ to run any self-tests that come
with the virus, and send a large donation to an unnumbered Swiss bank
account.
6. Type `make install’ to install the virus and any spyware, trojans
pornography, ***** enlargement adverts and DDoS attacks that
come with it.
7. You may now configure your preferred malware behaviour in
/etc/evilmalware.conf
Съгласен съм с Краси (Красимир Гаджоков). Ако говорим за сигурността изобщо, атаки (включително успешни) срещу Линукс сървъри на големите компании и организации има достатъчно много. Но ако имаме предвид конкретно вирусите, те са насочени основно срещу десктоп системите. Там съотношението в инсталираната база Линукс : Уиндоус е от порядъка на 1:100. Като вземем предвид и квалификацията на хората, инсталирали и ползващи съответния десктоп (даже ако съответният линукс потребител не е никак компетентен (което само по себе си е рядък случай), ОС-а му обикновено е инсталиран от достатъчно компетентни хора като Григор, докато уиндоусите масово се инсталират от самите ламери), Уиндоус системите стават към 1000 пъти по-апетитни цели за писачите на вируси.
Ето ви един типичен сценарий как примерно геймърите се оказват със заразени системи. Те по начало са принудени да работят в администраторски режим, защото самите игри го изискват. А игрите го изискват заради масово наплодилите се хакове и ботове, даващи нечестно предимство на използващите ги играчи. Има една нездрава конкуренция между хак програмите (т.нар. Undetected Cheat Engines и прочие) и антихак щитовете на игрите, при която и двете страни се опитват да се наврат колкото е възможно по-навътре в ОС-а (използвайки рууткит технологии и всичко, за което се сетите), и без администраторски режим просто не става. Същевременно предлаганите хакове често са заразени, а за да е пълна кашата, антивирусните програми нерядко обявяват за malware съвсем легитимни (от гледна точка на играча) хакове, или дори някои от самите игри или щитовете им. Съответно играчът просто изключва антивируса.
Не е изключено и първоначално безвреден хак да се ъпдейтне автоматично до вредоносен.
Всичко това не е фал на Уиндоуса, а на самата субкултура на гейминга.
Колкото до направо апокалиптичните примери на Григор и scanman по отношение на вирусите при техните Уиндоус системи, звучат ми като фантастичен разказ. Преди ХР съм ползвал много много години 98 (минах към ХР едва преди 2-3 години), а преди 98 и още по-стари неща. Почти никога не съм държал включен резидентен антивирус (с изключение на последните месеци, откакто към Comodo беше добавен такъв и установих, че не ми товари системата изобщо). И през всичкото това време съм хващал вирус не по-често от веднъж на 2-3 години, като не помня някога това да е имало особени последици (под “хващал” броя и случаите, когато със закъснение съм откривал вирус в стар файл, без да съм го стартирал изобщо).
И едно малко признание в полза на Линукс. Винаги съм имал Линукс firewall на входа на интернет връзката ми, откакто тая връзка е по кабел, различен от телефонния. Винаги съм имал и персонален firewall на Уиндоус компютъра (първоначално Zone Alarm, но след като последния омаза тотално ОС-а ми при един от ъпдейтите си, минах на Comodo и съм предоволен). Не ползвам IE (освен в много редки случаи) – от много години съм с Опера; не съм ползвал никога Outlook.
Използвайте подобна firewall конфигурация в мрежата си, не пускайте ехе-та, които не сте проверили с антивирус, обръщайте внимание на Defence+ съобщенията на Comodo, и можете да си държите Уиндоуса в административен режим без буби години наред.
Когато на някой му липсват съществени, фактологични аргументи, ще го познаете по преувеличенията и използването на твърде много епитети.
Преди няколко години бях администратор на над 10 000 WIn XP десктоипа (преди това Win NT 3.51, Win NT 4.0 и Win 2000).
Отговарях за автоматичното инсталиране на софтуер на тях, вкл. антивирус
Единственият път, когато имаше “сериозна” зараза, беше с мрежовия “червей” Nachi ( http://vil.nai.com/vil/content/v_100559.htm), който зарази около 200 компютъра чрез бъг в RPC. И това бяха предимно компютри, невключвани отдавна или на хора върнали се от отпуск, за които McAfee трябваше да обнови изъпнимия код (нов “engine”), което изискваше restart, но потребителите го отлагаха.
Никога не сме откачали дори един switch или router вътре (във фирмата) или навън (към/от Internet) поради какъвто и да вирус, троянски кон или мрежов червей. Въпрос на добро администриране.
За пръв път си сложих firewall на Windows PC-то (директно включено към Интернет) през 2000-та година. BlackIce.
И голяма “ирония на съдбата”: това беше първия и единствен път когато сум имал какъвто и да било пробив на мой личен компютър.
Оказа се, че некадърниците от BlackIce бяха оставили огромна “дупка” през която да могат да изпълняват команди на компютъра!
( ако не се лъжа, ето тук: http://www.securityfocus.com/advisories/2220 )
@Красимир Гаджоков: Не искам да звуча като недоверчивец, но написаното ме стресна. Администратор на над 10 000 XP десктопа?! На мен и към 150 ми идват малко множко. Вярно е, че повечето от тях са върху съсипан хардуер, и с нископлатени и своеволни дечица за потребители, но все пак… кога успяваш да инсталираш тези 10 000 компютъра, като начало? Ако решиш да им смениш антивируса, колко време ти отнема? И т.н… Ако под администратор разбираш да им управляваш AD-то, така човек може да покрие и повече машини, но това по моите представи не е администраторство. За да можеш да следиш всички тези машини за вируси, например, трябва да си в поне 10-15 екземпляра (приличен процент вируси днес успяват да влязат, преди антивирусът да се е ъпдейтнал до техни дефиниции, или идват като опакован сваляем от хакнати уебсайтове код, или подобни неща – дойде ли се дотам, пада чистене на ръка и пр.).
Така че не ми се сърди, но мисля, че говорим за различна степен на ангажираност с нещата, и съответно на познаване на ситуацията. (Освен ако аз не съм някакъв уникален некадърник, дето една стотна от нормалното натоварване на администратор му идва множко.)
@Григор: 10 000 компа – като почнах в тази фирма, бяха 350, 8 години по-късно бяха 10 000. Не съм ги инсталирал лично аз, а цял нарочен екип. Отговарях за стандартната софтуерна конфигурация, бързото “дуплициране” на “image” (Ghost) на стандартна инсталация на нови компютри, автоматизация на софтуерни настройки и инсталация на софтуер.
Бяхме направили свой “мениджмънт” софтуер (комбинация от Windows CMD scripts + Resource Kit utulities + VB Script).
Реално – бяхме напсиало собствена “software distribution system”.
Script-a вървеше като service (Autoexnt или Srvany) на всеки комп. Проверявaше на всеки 30 минути има ли нещо за ъпдейтване и ако да – издърпваше си го (от Уиндоус файл-сървъри) и си го само-инсталираше.
Така в разстояние на половин час можехме да дадем команда за инсталиране/конфигурираме каквото си искаме.
Колко продължаваше самото инсталиране е друг въпрос – зависи от големината на инсталацията (за колко време я преточва от файл-съвъра) и колко бърз е диска и процесора (по време на инсталацията).
По същия начин ъпдейтвахме и McAfee антивирунси дефиниции. На един “master workstation” – като част то този “мениджмънт” софтуер – вървеше и специален CMD script. И на всеки 30 мин проверяваше дали има нови дефиниции на McAfee FTP server (преди 4 год McAfee ъпдейтваха веднъж на седмица). Ако има – доунлоадва ъпдейта (self-extracting EXE, пак преди 4 год беше към 6 MB, сега е доста по-голям).
Инсталира EXE-то на “master workstation”-а, вижда че бачка (проверява дали новите дефиниции са в сила в резидентния антивирус), репликира EXE-то на всички файл-сървъри. и го вкарва в списъка “задачи” за ВСИЧКИ останали workstations.
До 30 мин останалите “виждат”, че има да се инсталира нещо, свалят го от файл-съръврите (load balancing – пак със CMD script-овете) и го стартират. Ако трябва накрая – се саморебуутват (само ако потребителя разреши, обаче).
Всичко това го прави CMD script-a, напълно автоматизирано – без никакво човешко участие.
Няма начин ти да си някакъв некадърник. Просто горното отне няколко месеца писане на “първоначална” версия и после години усъвършенстване, от екип от 4 души (през годините, всеки с някакъв принос).
Между другото, заради такива неща като червея Nachi предпочитах да стоя до последна възможност с Windows 98 SE, въпреки рекламите от всички страни колко по-сигурен бил ХР. Всъщност през първите няколко години след излизането на ХР реално 98 беше много по-сигурна система срещу нет атаки. Просто защото нови технологии от сорта на RPC DCOM, благодарение на които се реализираха атаките, липсваха в 98, а на обикновения потребител те изобщо не му и трябваха. Обаче рекламата и обичайното желание на много хора да са с “най-новото” (плюс възможността да го получат безплатно чрез пиратска версия) ги накараха да минат към ХР много по-рано от необходимото.
http://www.ecommercetimes.com/story/security/67818.html?wlc=1250676719
🙂
айде пак…
“Единственото, което я обяснява, е по-високата сигурност на Линукс като система”
Няма такова нещо като по-сигурна система, зависи как е конфигурирана и донякъде как се използва. Едва ли има нещо което да може да се направи с едната ОС и да не може с другата.
Линукс десктопи на практика няма, та ще кажа за сървърите – те обикновено правят разни неща автоматично. Зад тях не седи юзър-идиот който да сваля кракове, да посещава порно сайтове и да отваря изпълними файлове получени по мейл. Т.е за сървърите 95% от рисковете не съществуват.
Аз примерно не помня на мой компютър да е попадал вредител. Или пък на фирмен компютър който съм инсталирал и юзърите нямат администраторски права.
А пък твърдението че добре подсигурения Уиндоус бил труден за реална работа просто не е вярно. Може да имаш тук-таме проблеми с идиотски написан софтуер който не работи ако юзъра не е админ, но ОС няма отношение към това.
@Господин: не би трябвало да екстраполираш ЕДНА единствена известна атака, свързана с конкретен бъг в конкретна технология RPC/DCOM, като някакъв ФУНДАМЕНТАЛЕН проблем (Win 9x срещу Win XP).
В никакъв случай Win9x не е била по-добра в сигурността си от Win XP с ГОДИНИ.
Особено като вземем предвид гледната точка: в една корпорация, огромна част от хората нямат нужда от админ-права. Tова помага в значителна степен за предотвратяване на доста заплахи. Такава възможност предложи Win XP, Win 9x я няма въобще. Например обикновения потребител не би могъл да подмени драйвер, в който може да има нестабилност (бъг) или проблем със сигурността (пак поради бъг или поради
@Красимир Гаджоков: Аз имам подобно скриптче (абсолютно елементарно, петнайсетина най-прости реда) за Линукс десктопи. Но вие определено сте направили нещо много сериозно – особено ако успява да подменя драйвери, антивируси и по-сериозни програми.
Мисля си обаче друго. Ако се грижиш за толкова машини, физически нямаш възможност да следиш за не съвсем стандартни вируси, или заравящи се в системата дропери, или други подобни гадости, които стандартният потребител лесно хваща от първия сайт-менте с експлойти по страниците. Ако отговаряш за 10 000 компютъра, най-вероятно просто няма как да си в течение дори колко вируси са били изчистени от антивирусите при автоматичните проверки, освен ако не събираш логовете им централно и не правиш статистика. По тази причина е възможно да подценяваш броя на заразяванията, минали през компютрите ти. (Другата възможност е корпорацията да забранява на служителите достъпа до Интернет, евентуално с изключение на малък брой проверени сайтове. Някои браншове могат да си го позволят, но не всички.)
@Пешо: Разбира се, че има такова нещо като по-сигурни и по-несигурни системи. В желанието да си контра се увличаш до степен да отричаш очевидната реалност. Също, виждал съм неведнъж заразени и вкарани в ботнет уиндоуски сървъри, като правило пробити от някой червей, още невлязъл в антивирусните дефиниции, и успял междувременно да обезвреди антивирусите на машината. От друга страна, пред очите ми са три-четири десктопа под Линукс, на които работят абсолютно безмозъчни секретарки. Ходят из нета къде ли не и свалят какво ли не (не съм успял досега да им избия от главите, че Линукс е неуязвим и с него може всичко) – до момента не е имало случай да си заразят машините. Ако бяха с Уиндоус, щяха да го заразяват по няколко пъти на ден; техни далеч по-предпазливи колежки, които просто трябва да посещават какви ли не сайтове, средно по веднъж на седмица олепват по нещо.
Ако си добър, е възможно на личния ти компютър да не е попадал скоро вирус. (“Никога” е възможно по само един начин – ако си роден свръхексперт. Все някога ще да си бил не толкова добър…) При наличието обаче на хиляди вируси, които ползват техники за самоескалиране на права, да ми кажеш, че нямането на администраторски права е рецепта, която е попречила и на най-разхайтените юзери да заразят инсталиран от теб компютър, значи или че никога не си инсталирал и давал на юзер компютър, или че нямаш представа какво е ставало с него после. И в двата случая е сигурен белег, че няма смисъл да се обръща внимание на мнението ти по въпроса.
@ Красимир Гаджоков
Спомням си доста повече от един официални пачове, запушващи дупки в 2000 и ХР, без 98 да е засегната. Това, че специално при вас е минала само една атака през една от дупките не е доказателство за нещо.
Не отричам нуждата от ограничени юзър акаунти в корпорациите. Мнението ми касаеше основно компютрите на домашните потребители и малките фирми. Не твърдя, че като цяло 98 е била по-сигурна от ХР. Писах: “срещу нет атаки”. Ако един компютър е постоянно вързан към Интернет, каква файда, че потребителят е с ограничен акаунт, след като от нета може да бъде пробит този компютър изобщо без участието на потребителя?
Новите технологии винаги означават нови дупки в сигурността, особено в началото. Затова е по-добре потребителите, които не се нуждаят от тези технологии, да работят на системи, които не ги притежават. И тук възниква въпросът дали повечето Линукс системи не са по-защитени просто защото им липсват такива нови технологии?
LOL
нямам никакво желание да съм контра по принцип, по скоро ти непрекъснато превъзнасяш Линукс по всякакви поводи.
Интересно какво толкова свалят тия секретарки. От сваляне на рецепти няма как да заразят нещо, или поне компютър. Най-много да натровят половинките си 🙂
Естествено вируси са попадали по компютрите ми, но не са правили бели. А за Линукс вируси просто няма, щото кой ще пише вируси за нещо дето го няма. Затова е и по-сигурен.
Колкото до сървърите, през януари ми затриха сайт (както и всички останали) който се хоства на Линукс сървър от доста известна БГ хостинг компания. Преди 2 години ми подмениха хоум пейдж на друг сайт пак на Линукс сървър. Хоствам и сайтове които използват АСП на Виндоус сървъри, и с тях досега не съм имал проблеми. Така че няма нищо вярно в това че Линукс бил по-сигурен. Сигурна е грамотно конфигурираната машина.
Най-голяма сигурност ми дава програмата, която мога (и физически, и легално) да прочета, разбера и евентуално да променя по свой вкус. Както и да ползвам програма прочетена, разбрана и променена от по-голям разбирач от мен.
@Григор: в една корпорация от такива мащаби, за каквито аз говоря, имаш много автоматизирани средства. Задължително решения за централизаирано събиртане на логове от антивируси и т.н., както и дори показване на опити за “зарази” в реално време.
Също, има и филтриране по “blacklist” на сайтове, които могат да се посещават, с редовен ъпдейт на “дефиниции” със забранени сайтове. Така че корпорацията не се грижи – плаща си, а някой друг ти дава списъка какво не е хубаво да се посещава.
Ако човек инсталира добър мениджмънт софтуер, няма нужда да е “физически” някъде за да има идея какво става.
Вирусите са програмирани да “познават” антивирусни програми, и да ги спират. Но не се занимават с мениджмънт софтуера (като SMS за Win, например).
С тази наша система, за която говорих по-горе, дори ако един вирус спре антивирусната програма, аз мога да я пускам отново и отново всеки 30 мин. Дори сме писали наши антивирусни скриптове за конкретни вируси – за допълнително подсигуряване.
@Господин: напълно съм съгласен с логиката ти.
@Красимир Гаджоков: Извини ме, но продължавам да не разбирам едно нещо около вирусите. Досега не съм виждал вирус, който просто да изключва антивируса, и да не го следи после: такива вируси следят всяко стартиращо се нещо, през цялото време, и го трепят, ако е антивирус. Единственото реално лечение е чистене на диска на машината след стартиране от чисто – а това няма как да стане чрез специализиран скрипт.
При 10 000 компютри, и среден обем работа с нета, това би правело поне 5-10 заразени компютъра дневно – един човек ще е на края на силите си да ги чисти, дори ако прави само това. (Винаги ще има сайтове, които някой ще посети след като са били ударени, но преди да са успели да влязат в черните списъци. Преди два месеца попаднах на такъв – беше заразен по-малко от 5 минути преди да се опита да дропне вирус на компютъра ми. Вирусът беше някаква версия на Koobface – ако бях с Уиндоус, нищо чудно да стигнех до преинсталиране от чисто…) Единственият начин това да не е така е над 99% от корпорацията да имат външен достъп до не повече от десетина най-проверени сайта; разбира се, всякакви IM отпадат от разглеждане, и т.н.
@Петър Петров: Не храни троловете. 🙂
@Григор: не съм вече в този екип, но в момента във фирмата ни има 35 000 десктопа на Уиндоус. Имаме и филтър, който – както казах – има “черен списък” от няколко хиляди уебсайтове. Не казвам, че във всеки един момент няма поне 10-15 компа с вируси – сигурно има. Стига да не е “троянец” на компа на някой администратор 🙂
Има сума ти други неща на една сериозна корпоративна мрежа, които анализират трафика: IDS, IPS и т.н.
Няма почти никакъв ефект от няколко вируса.
@Красимир Гаджоков: За корпорация с 35 000 десктопа наистина 10-15 компютъра с вируси нямат особено значение (особено ако вътрешната мрежа е подразделена с добра сигурност и/или вирусите не са твърде агресивни). Но ако въпреки всичката тази сигурност (не се и съмнявам, че е много и професионална) все пак вероятно има заразени машини, дори една на хиляда-две-три хиляди, това все пак е някаква степен на инфектираност. Сред 35 000 десктопа на Линукс най-вероятно ще има дори по-малко заразени, дори ако фирмата не прилага черни списъци на уебсайтове и вътрешна сигурност от чак такъв клас. Което всъщност се опитвам да обясня – че извън всичките други неща, Линукс обективно е по-сигурен от Уиндоус (ако и да не е абсолютно сигурен – такъв софтуер, естествено, няма).
@ Григор
“Сред 35 000 десктопа на Линукс най-вероятно ще има дори по-малко заразени, дори ако фирмата не прилага черни списъци на уебсайтове и вътрешна сигурност от чак такъв клас.”
Това твърдение е напълно спекулативно. Естествено е един голям фен на Линукс е да го заяви, както е естествено фен на Уиндоус да заяви точно обратното. Липсва фактология. Дали изобщо съществува корпорация с 35 к Линукс десктопа?
@Господин Гюров: Действително звучи спекулативно, но е подкрепено с опит.
Ако от 35 000 корпоративни десктопа има средно по 10 заразени едновременно, това прави 1 на 3500. При положение, че почти всички антивируси проверяват и чистят автоматично по веднъж дневно, това прави заразен 1 ден на 3500, или 1 ден на мъничко под 10 машино-години.
Под мое наблюдение са петнайсетина десктопа на Линукс, на средна възраст около две години. Това прави около 30 машино-години. Никога никой от тях не е бил заразяван (а са в условия не просто на пълна липса на корпоративна сигурност, а дори на умишлено използване навсякъде, където е опасно). Имам познати, които се грижат за доста повече десктопи под Линукс, и също никой от тях никога не е виждал заразен Линукс. Предполагам, че общо опитът (мой и познати) с десктопи на Линукс възлиза на между 200 и 500 машино-години.
Затова смятам, че твърдението ми не е напълно спекулативно.
Нека не забравяме, че не можем да разглеждаме сигурността като ЕДИНСТВЕН показател за това колко е добра дадена ОС архитектура.
Верния показател е БАЛАНСА продуктивност и разход, отнесени към сигурността.
Уиндоус определено значително по-продуктивен заради интеграцията си с много софтуери (не говоря само за другите MS-продукти).
Разхода за придобиване на ОС-а е малка част от цената, отделяна за поддръжката на целия му “живот”. В този смисъл, както нееднократно съм казвал, Линукс е много малко по-евтин от Уиндоус. (тук имам предвид, че както за Линукс, така и за Уиндоус, могат да се намерят безплатни приложения за каквото му трябва на човек).
35 000 лиценза за Уиндоус XP вероятно са излези по около $50 на компанията ни. Т.е. общо $1 750 000 за времето му на живот – да приемем, че е 4 години (макар да сме на XP от 2003-та). Екипа, който поддържа 35 000 Уиндоус десктопа и всичкия софтуер на тях, е около 50 души. Средната заплата е около $50 000 годишно. Така за заплати за поддръжката на Уиндоус и всички софтуер за него годишно отиват $2 500 000, или $10 000 000 за 4 години.
Излиза, че цената на придобиване е от порядъка на 17% от общата цена.
Поради липсата на инетгарция и вградени средства за централно управление (такива каквито са Active Directory), дълбоко се съмнявам че същата ефективност (цена на поддръжка на ОС/година) може да се постигне при Линукс.
Или накракто, сигурността на Уиндоус е ДОСТАТЪЧНО добра спрямо ПРОДУКТИВНОСТТА и ЦЕНАТА му.
@ Григор
Както вече няколко пъти беше споменавано, Линукс десктопите са твърде малко, така че не си струва усилието да се пишат вируси за тях (за разлика от атаките срещу Линукс сървъри, при каквито атаки успешното затриване на потребителски данни – като споменатите от Пешо случаи – съвсем не е рядкост). Дори за Мак се пишат сравнително малко вируси, въпреки че като брой десктопи е доста пред Линукс (само Мак ОС Х има над 3 пъти повече инсталации от всички Линукси, доколкото виждам тук: http://en.wikipedia.org/wiki/Usage_share_of_desktop_operating_systems ).
Затова подобни сравнения са спекулативни. Сравнения ще могат да се правят, когато (ако) инсталираната база Линукс десктопи достигне някакъв критичен минимум (уви, засега това изглежда някъде в необозримото бъдеще).
При сървърите обаче спокойно могат да се правят сравнения и би било интересно, ако може да се види някаква приблизителна статистика за процента прониквания (годишно) в сървърите под различна ОС.
П.С. Според други данни, към началото на тази година Маковете са около 12 пъти повече от Линуксите:
http://news.softpedia.com/newsImage/Windows-7-and-Vista-Up-Mac-OS-X-Up-Linux-and-XP-Down-4.jpg/
И една хипотеза, която не мога да докажа, но ми се струва съвсем логична и естествена:
Броят на писачите на вируси (и съответно броят на вирусите) за дадена ОС е правопропорционален на броя потребители на тази ОС.
Противоестествено е да се очаква за ОС с 0.8% пазарен дял да има толкова вирусописачи, колкото за ОС с 80% дял.
@Красимир Гаджоков: Далеч съм от мисълта, че сигурността на една ОС е единственият, или дори най-важният показател за нея (въпреки че го смятам за един от най-важните). И определено не смятам, че Линукс е априори и абсолютно неуязвим. Просто писах записа си за конкретно този показател (и по-точно за някои от митовете около него).
Между другото, за Линукс има Active Directory. 🙂 Вярно е, че Линукс не е много съобразен като десктоп с идеята всичко да може да му се определя от един централен Биг Брадър, но напоследък, за добро или лошо, в тази насока е направено доста (т.нар. Policy Kit), и се работи още повече.
Поддръжката на голямо количество десктопи под Линукс е доста различна от тази на голямо количество десктопи под Уиндоус. При Линукс централизираното управление е по-слабо: това качва разхода на труд, когато трябва да се преразпределят права или преинсталира софтуер. (Реално твърде малко – достатъчно е машините отначало да се настроят да теглят от централен сървър на определено време набор от скриптове, и да ги изпълняват. Дава доста прилична централизация.) В същото време, Линукс се омазва и поврежда по-рядко от Уиндоус: това пък намалява нуждата от посещения на място за оправяне на проблеми от този тип. Нямам точни статистики, така че ми е трудно да преценя кое е повече, но ги има и двете посоки.
@Господин Гюров: И аз съм виждал немалко атакувани и пробити сървъри под Линукс. Но не през шаблонни автоматизирани атаки, правени от ботове и вируси. (Изключение са атаките с гадаене на слаби пароли, но слабите пароли не са специфични за Линукс, нито са по-чести под него.) Като правило, когато атакуваш линуксовски сървър, се налага оченце да види и ръчица да пипне, иначе не става. А все пак именно линуксовските сървъри отнасят големия процент атаки (общо успешни и неуспешни), които целят омазване на данни – тинейджърчетата-кракерчета просто смятат пробиването на Уиндоус за работа като за бот, а не като за човек, и такова “постижение” обикновено носи в техните среди само присмех.
Данните за използването на Линукс са твърде различни не само заради различните източници, но и защото фалшифицирането им е един от най-евтините начини за масов маркетинг (или антимаркетинг). Виждал съм масивни изследвания на сериозни източници, които показват като общ брой на Линукс машините в Интернет число, по-малко от сбора на бройките сървъри на Гугъл и Акамай – очевидно нещо не е наред. Също, пазарен дял и инсталирана база машини не са едно и също, и разликата е най-голяма именно когато едната от системите е комерсиална, а другата свободна и безплатна.
@ Григор
В случая обяснението за голямата разлика в процентите вероятно е съвсем тривиално – в уики линка са дадени процентите само за Mac OS X, докато данните в softpedia са за всички Макове.
Колкото до пробиването на Уиндоус или Линукс сървъри, това отдавна не е само тинейджърска работа, а е и съвсем сериозен черен бизнес. И дори когато не е бизнес, мотивите не винаги са просто някой “да се изфука”. Хакването на чужди правителствени сайтове (или на лични сайтове на президенти и др.) например може да бъде по националистически подбуди. Така че не можем да си обясняваме повечето пробиви на Линукски сървъри отколкото на Уиндоуски (ако са повече разбира се, не знам какво е действителното положение на нещата) с това, че не било престижно да се хаква Уиндоус.
@Красимир Гаджоков
“цената на придобиване е от порядъка на 17% от общата цена.”
Този параметър е заблуждаващ и не би трябвало да се използва. Например, ако за същите пари Уиндоус беше още по-добър и позволяваше при вас вместо 50 души да се занимават с администрацията, само 5 човека да я вършат, горният процент би се вдигнал много и някой може да си помисли – брех че скъпа ОС. Същественият параметър е общата цена на едно работно място с тази ОС.
@Господин Гюров: И аз не знам дали процентът на пробиване на Линукс сървъри е по-висок – обективни данни за сървърите се получават доста трудно. Но по лични наблюдения, повечето пробивания на Уиндоус сървъри са от автоматизирани зловредия, а на Линукс сървъри – от ръчни изпълнения (пак изключвам ботовете за гадаене на лесни пароли, по понятна причина ги има за всяка система, и проблемът не е системно-специфичен). Също, истински добрите сървърни администратори, които познавам, се справят прилично под всяка ОС, но когато се опре до сериозни изисквания за сигурност, като цяло клонят към Линукс. Подозирам, че за по-добрата му сигурност има пръст философията на Юникс – с приоритет е не изживяването на потребителя, а простотата и надеждността на отделните елементи. От неугледни, но наистина качествени тухли най-често стават по-добри сгради, отколкото от тухли, при които ударението е било върху колко хващат окото.
А за общата цена на едно работно място с тази ОС – всъщност тук би трябвало да сложим още един куп фактори. Например колко е производителен съответният служител с тази или онази ОС (например, позволява ли типичният й текстов редактор автоматично дописване на думите при писане, и доколко то предлага подходящите думи). Като продължение на това, доколко ОС-а стимулира служителя към работа, или към рекреация (напр. дали плейърите му свирят всякаква музика, или само такава, която ти помага да се концентрираш върху работата). Оттам нататък, колко производителна става икономическата единица, която използва ОС-а (колко добра комбинация от интеграция на фирмената информация със защита от комерсиален шпионаж позволява). И т.н. 🙂
@ Григор
Странно ми звучи човек, който рекламира свободата на използване даже на различни десктопи в Линукс, да обвързва оценката на цената на ОС-а с неща като “типичният й текстов редактор” или музикалните плеъри 🙂 Още повече, че много от плеърите и текстовите редактори са налични във версии за различни ОС.
“когато се опре до сериозни изисквания за сигурност, като цяло клонят към Линукс.”
Въпрос на познанства. Тук, в България, практически нямаме големи корпорации и съответно не познаваме админите на такива. Но по широкия свят, където е Краси, корпорациите и ИТ отделите им често предпочитат Уиндоус сървъри.
@Господин Гюров: За обвързването – искам да съм обективен, а не пристрастен. Стигнем ли дотам да смятаме TCO-та, е логично да включим в тях всичко, от което зависят.
А за Линукс – да, въпрос на познанства е. Само че какво те кара да мислиш, че не познавам хора от “широкия свят”?
По широкия свят корпорациите и отделите им често предпочитат Уиндоус сървъри за Microsoft Exchange, заради интеграцията. Опре ли се обаче до функция, която я има за Линукс, доста по-често е предпочитан той.
Разбира се, има и изключения. Доста чест е вариантът, при който ИТ-тата предпочитат Линукс, но при мениджърите идва човек от Майкрософт, говори си с тях за патенти на МС върху неща в Линукс, корпоративни гаранции, неясен произход и прочее FUD, и те мандатират Уиндоус сървъри. Друг доста чест вариант е, когато корпорацията назначава начело на отдела човек с куп M**E сертификати, защото звучи тежко и им прави впечатление, и пак същата битка с предизвестен край вече се води между него и хората му. Впрочем, в България е точно същото. Познавам куп админи, които лъжат шефовете си, че сървърът е под Уиндоус.
В сила тук е едно просто правило. С много редки изключения, един админ предпочита Уиндоус само ако не познава Линукс. Ако познава Линукс, предпочита него, дори ако познава Уиндоус още по-добре. Примерно аз съм точно такъв – разбирам от Уиндоус доста повече, но въпреки това предпочитам Линукс.
И дори при този вариант, нещо към 70% от сървърите в света са върху Линукс. (“Пазарният дял” показва по-малко, защото смята по продажбите, а инсталираната база на Линукс е в пъти над продадената; в случая адекватни са статистиките на търсачките.)
За уеб-базирани приложения, особено с много потребители, определно сериозни Unix (напр. Solaris), а не Linux, са най-предпочитани от най-големите корпорации.
Но не заради сигурността. Никога не съм присъствал на дискусия, в която сигурността е била определящ фактор за избор м/у Уиндоус и Unix/Линукс. Преди беше друго, но Windows вече е достатъчно сигурен (ако не се лъжа, Nasdaq са на Windows).
Просто Unix/Линукс са по-скалируеми, с по-малко нужен ресурс за обем обслужване. А и доста от уеб-приложенията за големи по обем заявки (много потребители/хитова) са разработени на Unix/Линукс.
Свързаните с Линукс програмни езици и “рамки” (frameworks) като Perl, PHP, Tomcat – точно защото са по-гъвкави за развитието си благодарение на Open Source – станаха първи популярни за разработката на уеб-базирани прикложения. Точно ТОВА определя най-много разпространението на Линукс/Unix в сървърите.
Но пак – САМО за уеб-базирани приложения. Познавам доста хора от големи корпорации – няма никой който да ползва Линукс/Unix десктопи, файл-сървъри, принт-сървъри, authentication-сървъри в някакви забележими размери.
@Григор: много добре знам, че има подобни на Active DIrectory неща за Линукс. Въпроса е че при Уиндоус те са интеграни много отдавна, което – както правилно си отбелязал – намалява цената на такива услуги като account management, authentication, authorization и centralized policies. Това е доста определящо при една сериозна фирма. Сега се мъчим с една enterprise система за централизрани policies за въпросните услуги за Solaris – мъка …
Горещо препоръчвам – презентацията и видеото: http://www.shmoocon.org/presentations-all.html#stranger
Автора е известен неуморим критик на сигурността на Microsoft, но (към момента на публикацията) вече работи 1 година точно в Майкрософт, точно в областта на сигурността.
И развенчава някои митове за Microsoft, както и за “много по-сигурната” Линукс.
@Красимир Гаджоков: Не съм убеден, че уеб-езиците и рамките са предопределили успеха на Линукс сред сървърите.
Като начало, Perl го има за Уиндоус още отпреди да стане приличен език, а PHP и Ruby – почти от самото начало, още по-рано в еволюцията им. Има хора, които ги ползват под Уиндоус. Може би малко по-вярно би било, че стекът LAMP(PP) е добре напаснат като цяло, и затова се прилага нацяло. Но истината е, че WAMP(PP) е точно толкова добре напаснат. Има шепичка функции на тези езици и рамки, които вървят върху Линукс, но не и върху Уиндоус (и шепичка други, които вървят върху Уиндоус, но не и върху Линукс; двете шепи са горе-долу равностойни като ценност).
После, Уиндоус е “достатъчно сигурен”, по критериите на своите привърженици, вече от доста време. Но за това време Линукс продължава да изпреварва Уиндоус в размера на инсталираната база. Една от причините е, че “достатъчно сигурен” не винаги значи достатъчно сигурен.
Впрочем, има и един друг аспект на сигурността – надеждността. Имам познати, които работят с Уиндоус сървъри – при тях ъптайм от една година е рядкост: обикновено само наистина добри админи го постигат. Под Линукс ъптаймът обикновено е ограничен единствено от издръжливостта на хардуера, освен ако не го администрира щур експериментатор: наскоро ремонтирах машина, която навремето беше бракувана заради леко нестабилен хардуер, и после временно поставена като гейт и файъруол, докато във фирмата се купи рутер – беше забравена (в затворен шкаф!), и беше направила 6 години ъптайм, до изгаряне при буря на една от мрежовите й карти…
А за експертът по сигурността, който след година работа в Майкрософт възприема нейния евангелизъм – знам достатъчно такива случаи. 🙂 Само че аз не работя там, така че още съм на мнение, че при равни други условия Линукс е по-сигурен.
@Григор: През 1995-та, когато аз видях за пръв път “CGI” на Perl, Бил Гейтс каза “Интернет ли? Какъв интернет, ние ще си правим наша мрежа, MSN.”.
Windows-сървърите бяха изключителна рядкост. MS Уеб сървър? Нямаше такова животно въобще. Никой в MS не е знаел какво е “Perl”.
Ако се поровиш (но се съмнявам че имаш време за това), ще се убедиш че както Perl, така и PHP, имаха много по-ранен и сериозен старт в Unix/Linux. Просто несравнимо.
А за uptime – “анекдотични” примери не вършат работа. Аз мога да дам такива за 5 години неребуутвани Windows NT 3.51 съръври. Ако няма нужда от смяна на драйвер или kernel-ъпдейт, и Уиндоус няма нужда от ребуут. Особено последните Уиндоуси.
Между другото, ребуута беше реално нужен преди. Отдавна не е – за повечето неща. Но тъпите програмисти от тъпите комапнии, пишещи софтуер за Уиндоус, бяха научени да ускат ребуут. Ей така, “просто за всеки случай” (щото е по-лесно). И продължават да го искат, макар да няма нужда от него.
Т.е. много ребуути са заради лошо програмиране. Вкл. и на самите MS.
Такива сложни неща като Kaspersky Internet Security не искат ребуут (а инсталират на практика мрежови и ОС “филтри” на ниско ниво!).
Разбира се, концепцията “shared DLL” още налага някои ребуути.
Но неслучайно почти никой не играе игри на Линукс 🙂
@Красимир Гаджоков: Аз лично много уважавам NT 3.51, и напълно вярвам, че сървър под него може да изкара 5 години без рестарт. Проблемът става по-лош под NT 4.0 и нататък.
През 1995 г. Perl можеше да бъде подкаран да върши нещо полезно почти само от Лари Уол. 🙂 Реално добър стана за писане на CGI чак към 1998 г. – първите портове за Уиндоус са някъде оттогава (и точно по причината, че почна да става използваем). PHP, който според мен е далеч по-добър за Уеб server-side, а от 5.1 нататък и за общо скрипт-програмиране, има Уиндоус порт още от първите си що-годе използваеми версии. Вярно е, че почти всеки Уеб език се разработва първоначално на Линукс (това си има причини, някои похвални, някои не толкова), но в момента, в който почне да става за работа, моментално се появява и Уиндоус порт. Така че причината според мен не са (само) Уеб езиците.
Страшно много програми напоследък не искат рестарт при инсталиране на Уиндоус. Само че почти всички, които инсталират нещо на ниско ниво, искат задължителен рестарт при деинсталиране. Би могло да се избегне, но не е толкова страшно. Докато на Линукс вече слагаш и махаш дори доста драйвери без рестарт. И Уиндоус ще дойде там, и може би ще настигне Линукс, но към момента Линукс е мъничко напред.
Игрите са много болна тема на Линукс общността. От една страна, ActiveX интерфейса на Майкрософт е наистина добър, в много отношения превъзхожда OpenGL като удобство за програмиране. Правени са плашливи опити да се имплементира нещо подобно под Линукс – заплахата със съд за нарушаване на патенти е била абсолютно брутална и безогледна, и мисля, че е била абсолютно реална. От друга страна, някои сайтове имат много и много интересна информация как точно Майкрософт са пазарели производителите на хардуер да изхвърлят OpenGL поддържката, и как са извивали ръцете на производителите на игри (а някои и направо са подкупвали) игрите да поддържат само ActiveX, а не и OpenGL. Няколко проекта за унифициран тънък слой над ActiveX и OpenGL са били прегазени така брутално, че никой да не смее да пробва повече…
Същото е положението с всякакво видеоускорение – за Линукс го поддържат Интел (които са достатъчно тежка горила, за да не може Майкрософт да ги изнуди, но пък видеотата им са хилави). ATI/AMD поддържат за последните си платки и Линукс (свободен драйвер – несвободният е незаконно да се разпространява с ядрото, може само краен клиент да си го сложи), но доколкото съм чувал от един мениджър там, юридически са видели дявол посред бял ден, докато преодолеят съпротивата на компанията, която им е лицензирала някои технологии. (Не ми каза коя е, но ми каза кой и как я е накарал да се съпротивлява срещу, по същество, финансовата си изгода – пробвай да познаеш…) NVidia покрай плановете си за процесор и платформа са напълно зависими от Майкрософт, така че техният Линукс драйвер, за тяхно остро съжаление, няма да бъде отворен (въпреки че най-големият им конкурент, ATI, отвори своя, и от NVidia са оценили много високо, може би дори незаслужено високо маркетинговата полезност на хода).
Въпреки това, за Линукс има вече някои прилични игри. Не играя (освен, много рядко, елементарни игри), така че не съм експерт, но имам познати, които играят под Линукс, и са щастливи. Твърдят, че на ATI видео все още игрите вървят по-зле, отколкото Уиндоуският еквивалент, но на Интел са дори по-пъргави.
Pingback: Grigor Gatchev - A Weblog » Blog Archive » Допитване
@Григор: “Въпреки това, за Линукс има вече някои прилични игри… ” … Ела да видиш как бия орки и ъндеди около Уеснот 😀
И малко статистика (без това колко “тежък” е всеки отделен проблем):
National Vulnerability Database — Search: http://web.nvd.nist.gov/view/vuln/search-results?cid=4
for “Windows”: 1638 matching records
for “Linux”: 1294 matching records
Аз малко късно се включвам, но бих искал да върна пак дискусията към вирусите. Има един факт, за който аз нямам обяснение: защо при наличието на целия изкоден код на системата и всички програми, вирусите за Линукс сапрактически николко? Чувал съм, че са срещани, но нищо повече. Доводът с броя инсталации не го приемам, защото дори и в днешно време писането на вируси не е само за извличане на изгода. Предполагам, че първият вирус, разпространил се по десктоп машините, ще донесе микновена популярност на създателя си. И обратния въпрос – защо и как дори без да имат достъп до изходния код (или все пак имат), писачите на зловреден код успяват непрестанно да бълват нови и нови вируси?
И още нещо, ако има повече вируси, поразяващи Линукс, ще стане ли той по-популярен? 😉
@Георги: На времето се опитах да я пробвам, но нямах достатъчно време, и се отказах 🙁
@Красимир Гаджоков: Линкът не работи – не успях да видя точно как си търсил, за да анализирам колко е коректно. (Наскоро например ми попадна изследване, което доказваше, че Линукс има повече проблеми от Уиндоус. Като го погледнах, се оказа, че а) става дума за фиксове, а не за проблеми, и б) “Уиндоус” означава стандартният XP без никакъв софтуер към него, а “Линукс” означава пълният Дебиан, в размер 32 диска при максимална компресия на програмите върху тях. Оттогава вярвам на приятели, но и гледам изследванията.)
@Гонзо: Причината за свободния софтуер да има много малко вируси, дори при наличието на пълния изходен код, съм я описал в записа. Просто съотношението “оправящи бъгове” срещу “експлоатиращи бъгове” при свободния софтуер е по-добро.
@ Гонзо
Както спомена Георги Христов в началото, ако той би седнал да пише вирус, би го направил за Линукс, защото познава Линукс по-добре. Обаче поради много по-голямата разпространеност на Уиндоус сред десктопите, има десетки, ако не и стотици пъти повече програмисти, които познават Уиндоус по-добре. Те няма да седнат да учат Линукс с години, за да правят вирус за него, който след това на всичкото отгоре ще има 50-100 пъти по-малко таргети. При това макар Уиндоус да не е опън сорс, за него има много по-голяма публикувана база сорсове на вируси и червеи и куп дискусии около тях. Така че е и по-лесно един начинаещ вредител да стартира с нещо, има откъде да се учи.
При това положение, да се твърди, че за Линукс би имало също толкова вируси, ако надеждността му не е по-висока от тази на Уиндоус, значи да се твърди, че сред програмистите под Линукс процента на хората с престъпни наклонности е десетки пъти по-голям, отколкото сред тези на другите платформи. Няма друг вариант.
Да, това звучи разумно, и сигурно е поне една от причините. Приемам го.