Яблоки и апельсины

[eugenebo]

Consider 2 operating systems, Doors and Cockatux. Let's assume they are equally strong against Security attacks. "Equally" means that 2 similar groups of equally experienced hackers will find the same number of Security exploits in them over the same time period, provided the OSes are configures by well-trained Admins.

Suppose that for some reason Doors share of market is N times bigger than Cockatux's one. That would mean that:

(1) There are N times more users under it.
(2) There are also N times more hackers there.
(3) Those hackers presumably find N times more Security bugs.
(4) The number of known exploits for this system will be N times bigger as well.
(5) Each exploit will affect N times more users because of (1)
(6) Negativity in public impression over Doors is proportional to both a) number of bugs found; b) number of people affected. In other words, it will be N² times greater!
(7) ...and we did not mention that there are more interesting resources protected by Doors than by Cockatux what makes Doors even more appealing target to hackers, worsening disbalance towards N^2...3.

Now, if one OS is 5 times more wide-spread than another, talk to me about switching to "more secure one". Well, not to offend anyone, but just to show how difficult an attempt of side-by-side comparison could be...



Рассмотрим две операционные системы, скажем, Двериус и Какадукс. Положим, они эквивалентно устойчивы ко взломам, вирусам и т.п. То есть, две группы по 100 одинаково опытных хакеров, работая в течение года, найдут и в Двериусе, и в Какадуксе по одинаковому количеству дыр. Допустим, что системы настраивались админами, которые разбираются в рекомендациях производителя и не полные идиоты.

Предположим, что в силу каких-то причин первая система в N раз более распространена, чем другая. Тогда:

(1) Количество её пользователей в N раз больше.
(2) Количество хакеров, работающих над ней, тоже примерно в N раз выше.
(3) Эти хакеры найдут в N раз больше багов.
(4) Для системы будет известно в N раз больше вирусов и прочей гадости.
(5) Из (1) следует, что каждый вирус задевает в N раз больше пользователей.
(6) Уровень визга в СМИ пропорционален: а) количеству пострадавших пользователей, и б) количеству дыр. То есть, он будет выше в N² раз.
(7) Добавим, что количество интересных ресурсов, защищённых Двериусом, тоже выше, что увеличивает привлекательность его взлома. Так что будет в итоге N^2...3.

Для N = 5 разница в количестве "разгромных" публикаций получается 25...125 раз. И это при одинаковой безопасности систем.

Нет, я ни на кого не хочу наехать. Просто к слову об объективных трудностях жизни и её восприятия...

Comments

[skytramp.livejournal.com]

Что, и у вас тоже "секьюрити пуш"?!

Вообще-то если обе системы ну совсем-совсем одинаковые, так это фигня, динамическое равновесие, то одну заломают, то другую, в более популярной системе будет больше привлекательных засекреченных ресурсов, которые будут по мере утери популярности системы перекладываться на хранение в другую, ну и так дальше, пока или хакеры, или админы не задолбаются совсем. Это jorney, not destination :)

[0242.livejournal.com]

как жупки поживають?

[skytramp.livejournal.com]

Жупки молча сидят в коробочке, зачем-то мне их с собой отдали ;) А вообще башка кружится, и жрать хоца...

[luly-lilu.livejournal.com]

конечно если сравнивать 1 раскрученную систему и 2 мало раскрученную, то все верно, а вот по отдельности они будут одинаковое количество раз разгромлены.

[dennyrolling.livejournal.com]

на самом деле не совсем так
если сравнить, например, колесницу и танк то с одинаковыми силами (ну например мушкетеры) разгромить первое гораздо легче.
__________________________
Привет из Цивилизации!!

[luly-lilu.livejournal.com]

((: мне нравится то, насколько четко ты проводишь параллели, из чего могу скзать только одно, такие вещи сравнивать бесполезно. Резве следует из этого сравнения, что 2систему разгромить проще?

[dennyrolling.livejournal.com]

не следует, конечно же

что из него следует - что по отдельности (с равными силами атакующих) одну систему будет "разгромить" легче чем другую. непонятно впрочем, будет ли она от этого менее популярной (хороший пример - Windows 95).
от популярности зависит зато количество шума в прессе и силы атакующих - ведь для каждой дырки в виндах найдется миллион человек кто ее запускает, а если Вася Пупкин написал свою VPOS и про нее никто не знает то никому он кроме Коли Хакерова неинтересен. и даже если Коля за год не найдет ни одной дыры в VPOS - это вообще не повод объявлять ее "unbreakable"

[luly-lilu.livejournal.com]

да-да, с этим я согласна (:

Вот например статистика за последний месяц...

[lelikov.livejournal.com]

... по веб серверам:
Developer November 2004 Percent December 2004 Percent Change
Apache 38028642 67.77 38614673 67.84 0.07
Microsoft 11923566 21.25 12062761 21.19 -0.06
Sun 1761705 3.14 1812966 3.18 0.04
Zeus 739006 1.32 687508 1.21 -0.11

или статистика OS в fortune 100:


это к вопросу о популярности и интересности ресурсов навскидку...

[sherper.livejournal.com]

У меня есть такая мысль: чем бы ты не занимался, все одно найдется какой-то м№дак (а то и сотня), который скажет, что ты - лох. Вот просто возьмет и скажет: "Ты - лох!" :)
И есть только один способ доказать обратное (грохнуть падлу не поможет - все одно интеллигент, судя по книжкам, будет до смерти сомневаться в своей правоте :) ) - это просто верить в то, что ты делаешь. Пока веришь - ты "не лох", выражаясь новорусским языком :).
Какое отношение к реальности имеют вопли линуксеров про уе%ищность мсофта с моей стороны вообще не видно, но как математик (хотя и плохой) я давно согласен с тобой, а не с коллегами, вопящими, что мсофт - "полная лажа".
:)
А что тебя это напрягло вообще? :)

[eugenebo.livejournal.com]

Да нет, меня это особо не напрягает :) Просто решил, так сказать, увековечить в камне то, что было только в голове :)

[towerless.livejournal.com]

I think #3 is not exactly correct. The dependency is not linear there, in fact the curve flattens as the number of attackers grows. Additionally many MS products actually have less security bugs then rival ones, here is one amusing illustration - http://www.securityfocus.com/archive/1/378632/2004-10-15/2004-10-21/0

[eugenebo.livejournal.com]

Regarding #3: I'd be really happy to see any quantitative measurement of that curve. Not because I disagree with you [not at all], but because I think it can yield very interesting results through some extra analysis...

As per the link you've provided -- that's just hilarious! Thanks!

[some41.livejournal.com]

а мне кажется, что зависимость количества попыток взлома от количества рабочих систем быстрее чем линейная. может даже экспоненциальная. это происходит потому, что от взлома больше выигрыш.

например, представим, что я расчетливый хакер и нашел дырку, скажем, в Мозилле. под какую ОС я буду делать свой вирус, если процентов 90 пользователей имеют установленной виндовз? правильно. а ведь есть и чисто виндовые продукты.

[dennyrolling.livejournal.com]

I love the article, especially "rudimentary security QA testing" =)

[(Anonymous)]

http://www.catb.org/~esr/graphics/esr001.jpg
Не согласен с выводом (6) (что пользователи и дыры перемножаются).
Про Apache и прочее тоже правильно намекнули.
Миша Степанов