В чем убогость винды?

[Old]

нет зависимостей ни от чего.

Это вы о чем?

не существует никаких внешних организаций,
которые проводят аудит кода гостайны.

Вы так думаете потому, что вы и в этом вопросе не специалист.
http://www.mstandard.ru/certification/

да, есть  сертифицированные системы, дающий гарантии и имеющие все необходимые для этого технические средства.
и майкрософт предоставляет услуги по их выдаче и обслуживанию.

Только верится ему с трудом.
Зная что все их системы сплошь состоят из уязвимостей и шпионского софта.

[Old]

дибил.

Понял, не буду больше вас отвлекать.

А для не дибилов, повторю: микрософт не предоставляет исходные коды своих систем для аудита. Никому. Поэтому, только идиот может использовать их системы в ответственных местах. А случай на иранской АЭС это отлично демонстрирует.

[kuzulis]

А случай на иранской АЭС это отлично демонстрирует.

ЕМНИП, там речь шла об атаке на скаду WinCC...

То-же самое было бы если бы там была другая скада (кстати, Вы знаете промышленные скады на Linux? Я - нет ) или другая ОС.

Например, на многих объектах стоит QNX, но они тоже не предоставляют исходников и никто не делает аудит кода... Но, оно же как-то работает... и никто не кричит "караул"  

Хочу сказать, что даже если бы использовался Linux на "особо важных" объектах - то это бы не спасло объект в любом случае если на него планировалась бы атака - это все "мифы от дядюшки Олда" ...

UPD: Да и никто у нас (да и думаю - и у них) не делает аудит кода - это все миф, откаты и прочее... это все хорошо на бумаге, все эти госты и прочее.. но в реальности все прозаичнее.

UPD2: Люди, не ругайтесь.. тем более, в праздничные дни.

[Old]

ЕМНИП, там речь шла об атаке на скаду WinCC...

Не совсем так. Проникновения были через уязвимости венды, а вот полезная нагрузка умела работать в скадах.

То-же самое было бы если бы там была другая скада (кстати, Вы знаете промышленные скады на Linux? Я - нет ) или другая ОС.

Аудит кода полезней для нахождения шпионских закладок, чем для поиска уязвимостей. Т.е. быть уверенным, что ничего не утекает.

Например, на многих объектах стоит QNX, но они тоже не предоставляют исходников и никто не делает аудит кода... Но, оно же как-то работает... и никто не кричит "караул"  

Пока гром не грянет...

Хочу сказать, что даже если бы использовался Linux на "особо важных" объектах - то это бы не спасло объект в любом случае если на него планировалась бы атака - это все "мифы от дядюшки Олда" ...

По вашей логике, можно и пароли не ставит и доступ на объекты не ограничивать. Если бы захотели, то все равно пролезли.
Здесь цель максимально это затруднить.

UPD: Да и никто у нас (да и думаю - и у них) не делает аудит кода - это все миф, откаты и прочее...

Ошибаетесь. Особенно за последние годы все сильно изменилось.

[kuzulis]

Аудит кода полезней для нахождения шпионских закладок

Да хоть сто-пицот аудитов, но закладочки-то "опаньки" в CPU (везде интель да амд-шечка), и аудит не поможет.

Т.е. быть уверенным, что ничего не утекает.

Закрываем фаервольчиком порты, отключаем езернет, отключаем USB и все в шоколаде - никаких утечечек

Пока гром не грянет...

Да тут всего предугадать невозможно. Атакующий всегда на шаг впереди, ИМХО.

По вашей логике, можно и пароли не ставит и доступ на объекты не ограничивать. Если бы захотели, то все равно пролезли. Улыбающийся
Здесь цель максимально это затруднить.

Не, ну это понятно. Но я-бы все-же так не расхваливал Linux - там тоже много всего находят (решето) и не фиксят или находят и используют в своих целях тихонечко-так.

Ошибаетесь. Особенно за последние годы все сильно изменилось.

Наврятли.

[kuzulis]

И могу придумать даже "обратный" негативный юз-кейс/сценарий при использовании открытого кода и аудита...

К примеру, ну отправили сорцы какой-то софтины на аудит - там сказали "все путем"... Ну ок, живем.. радуемся.. какое-то время...
А потом, какие-нить редиски (от-туда откуда мы все знаем), взяли и получили эти сорцы ... тоже проанализировали и.. опаньки-  нашли лазейку..
Написали эксплойт и они в дамках..

А вот - если бы это была софтинка с "закрытым" кодом.. то подобрать эксплойт - только реверс-инжинириггом..

[Bepec]

Да, технология черного ящика пока самая лучшая защита. Когда всё на виду - найти уязвимость реально. Я краем уха слышал о программке для аудита кода для обнаружения уязвимостей. Вот только она их находит не для того, чтоб их закрыть

Повторюсь - любая система имеющая двустороннюю связь - уязвима. Да хоть 100500 линуксов поставьте, всё равно пролезут, проберутся и взломают.
Вот вы гарантируете, что ваш кубунту в стандартной комплектации не шпионит? 100% гарантии дадите?

[Old]

Да хоть сто-пицот аудитов, но закладочки-то "опаньки" в CPU (везде интель да амд-шечка), и аудит не поможет.

Вот поэтому сейчас усиленными темпами допиливается все что уже есть своего и разрабатывают новое: cpu и микроконтроллеры.

Закрываем фаервольчиком порты, отключаем езернет, отключаем USB и все в шоколаде - никаких утечечек

Это самый идеальный вариант, только девочки из альфабанка только пасьянчики смогут разбирать.

Не, ну это понятно. Но я-бы все-же так не расхваливал Linux - там тоже много всего находят (решето) и не фиксят или находят и используют в своих целях тихонечко-так.

Но у вас хотя-бы есть шанс тоже ее найти и исправить.

[Old]

А вот - если бы это была софтинка с "закрытым" кодом.. то подобрать эксплойт - только реверс-инжинириггом..

Как показывает история и сайт http://bdu.fstec.ru/vul в закрытом ПО находят уязвимости гораздо больше, чем в открытом.

[Bepec]

Как показывает история, уязвимости в открытом ПО просто не раздуваются. Ибо ответственности никакой, денег за него не платили, ничего содрать в судебном порядке не получится
Самый простой вариант - добавляется закладка в скомпиленные установщики linux. При этом в репозиториях код без неё. И как вы узнаете, что за вами не шпионят в свежескачанной кубунте?

PS прошёл по ссылке, не вижу фильтра - ПО с открытым и ПО с закрытым софтом. Как сравнить уязвимости закрытого, не имея уязвимостей открытого? или я просто кнопочки не вижу.

update: Сравнил linux и Windows. 51 против 187.
А теперь сравниваем в % пользователей:
78% пользователей Windows
5% линукс.
187/78 = 0,4
51/5 = 10,2
   0,4% уязвимостей на 100% пользователей. (Windows)
   10,2% уязвимостей на 100% пользователей. (Linux)
Где больше?  

PS не пытайтесь подменить понятия. По сравнению с Windows - linux это малочисленная группа. Соответственно сравнивать надо в % соотношению по количеству пользователей/использований, а не в прямом сравнении.

[Racheengel]

дибил.

Понял, не буду больше вас отвлекать.

Дык слился уже трололо. Не придавайте значения

Ясное дело, что закупка той или иной оси банком ничего общего с "безопасностью" не имеет.
Просто в одном банке смогли впарить винду на уровне высшего начальства, в другом - линукс с платным саппортом.
Другое дело, когда речь об узкой специализации и специальном софте.
На производстве, например, часто используется Windows Embedded.
Дело тоже не в "безопасности" - просто существуют определенные коммерческие решения под конкретную платформу.

[Bepec]

Причём в большинстве организаций так же думают и об оборудовании
Лично я слышал такой разговор:

- Мб linux поставим на машине, нафига мы Windows покупаем?
- А драйверы для принтеров ты сам писать будешь?(имеются в виду китайские широкоформатные принтеры с встроенными сканерами, несколько штук от разных производителей. На дисках дрова только под xp, но спокойно работают на семерке)
- Да ну нафиг этот linux, давайте ещё лицензий на винду купим.

[Racheengel]

Причём в большинстве организаций так же думают и об оборудовании

Ну так организации обычно "сидят" на том, что нужно непосредственно для работы.
У нас тоже так.
Есть спрос-софт-железо под винду - работаем с виндой.
Появился заказчик с линухом - работаем с линухом.
(если конечно это не госконторы, где все решается на уровне откатов).
Конечно, и у корпораций бывают исключения - если маркетологи впарят какую-нибудь TDD-систему там верхнему начальству,
или какую-нибудь косую, но страшно дорогую тулзу - то в итоге страдает вся фирма.
Но если это средняя фирма "на самообеспечении", то такой фокус обычно не прокатывает.

[qate]

и как успехи?
покажите мне, как вы делаете обход каталогов?
как у вас с использованием c++1y?

успехи есть
а что там с обходом каталогов? (давно не обходил)
использую с++11 и mingw

[qate]

резюмируя:
халявный линукс - это только для фриков.
серьёзным людям нужны не халява, а надежность.

в этом опусе видно что халявным линуксом не прикрыть свой зад
а любая дыра, но с бумажкой, хорошо его прикрывает