- 212
- 380
- 9 Ноя 2016
Что такое CVE и с чем его едят. и как его используют неблагонадёжные журналисты в целях корпоративных гигантов.
Открываю — пардон — Cnews и вижу провокационный заголовок «Windows стала самой безопасной ОС».
Как?! Телеметрия, воровство персональных данных, потеря работоспособности после апдейта и куча дыр не помешали стать Windows «самой безопасной»?
Какие же тогда ОС самые опасные? Второе место по дырявости у Debian, третье — у Ubuntu, а первое у Android. Все три призовых места — это Linux, причем самые его популярные вариации. Безопасность Windows и Linux Начинаю разбираться.
Оказывается, журнализд залез на CVE Details и по своему понял значение термина Common Vulnerabilities and Exposures.
У нормальных людей CVE — способ поддерживать безопасность программного продукта на высоком уровне. Программа просматривается на ошибки, которые потенциально могут повлиять на безопасность, и все проблемные места документируются. Описать CVE нужно для того, чтобы пользователи программы и разработчики производных продуктов могли вовремя среагировать и защититься. Чем подробнее ведется документация CVE, тем выше безопасность. Количество CVE не является показателем незакрытых уязвимостей или потенциально опасных мест. Это показатель того, насколько хорошо и оперативно эти уязвимости отлавливаются. Не верите? Допустим, некий быдлокодер запилил некую программу X. Программа не стала особо популярной, поэтому аудитом безопасности никто не занимается, включая автора. Соответственно, и CVE не пишутся.
Можем ли мы на основании нулевого счетчика на CVE Details утверждать, что программа X — самая безопасная? Журнализд Cnews может и тем самым вводит пользователей, далеких от компьютерных тем, в заблуждение. А потом некоторые из этих пользователей принимают решение о том, заменять ли Windows на Linux в своих организациях. И какой будет ответ догадаться несложно — на кой может понадобиться ставить системы-рекордсмены по количеству дыр?
Или другой пример. Вася пишет программу A и выкладывает исходники в общий доступ. Петя пишет программу B и закрывает исходники. В первой программе общественность ищет уязвимые места и коммуникация экспертов по безопасности проходит именно по линии CVE. Программу Пети дебагером просматривают каккеры и все найденные ошибки специально скрываются, чтобы эксплуатировать найденные уязвимости. В первом случае счетчик CVE зашкаливает. Во втором он увеличится только тогда, когда приватный эксплоит утечет в паблик.
Можно ли на этом основании утверждать, что программа Пети «самая безопасная»? Мы — линуксоиды — должны следить за журналистами Microsoft и их попытками оболгать и оклеветать нашу любимую операционную систему. Видите нападки на open source — не проходите мимо!
