Оставаться анонимным в интернете, это не всегда одно и то же что и безопасный веб-серфинг. Важно держать максимум технической информации о вашем устройстве в безопасности от посторонних глаз, чтобы злоумышленники не смогли воспользоваться уязвимостями вашей системы и украсть ваши конфиденциальные данные и использовать их в своих целях, которые могут принести серьезные последствия.
Если вы хотите остаться анонимным в сети и защитить свои данные, в этой статье мы рассмотрим самые безопасные дистрибутивы linux, которые помогут вам в этом.
Большинство из инструментов, перечисленных в этой статье можно использовать полностью бесплатно. Кроме них, есть и платные варианты, например, VPN, но эти бесплатные инструменты справляются со своей задачей гораздо лучше. Необходимость безопасности в интернете постоянно растет, всегда есть риск кибератаки и прослушивания со стороны спецслужб. Не удивительно, что сразу же было создано несколько дистрибутивов, объединяющих в себе инструменты, обеспечивающие максимальную анонимность в сети.
Эти дистрибутивы изначально были ориентированы на узких специалистов, но в последнее время они набрали большую популярность. В связи со спросом на такие системы со стороны пользователей они постоянно развиваются и добавляются новые, возможно, сейчас их существует больше двадцати, но мы рассмотрим только лучшие безопасные linux дистрибутивы.
Большинство из них используют для обеспечения анонимности программное обеспечение Tor, которое обеспечивает действительно высокий уровень анонимности, в отличие от VPN провайдеров, которые все еще знают ваш реальный IP адрес.
Но у VPN и сейчас есть множество преимуществ, что делает его лучшим вариантом в некоторых случаях. Если для вас важна скорость соединения или вы собираетесь передавать файлы по P2P, тут выиграет VPN.
Прежде чем рассматривать самые безопасные linux дистрибутивы, давайте поговорим о том, как обеспечивается анонимность Tor. Tor или The Onion Router это стандартный протокол шифрования, разработанный в ВМС США.
Программное обеспечение Tor работает с несколькими узлами, это и обеспечивает высокую надежность и анонимность. Данные при прохождении через случайный узел каждый раз перешифровываются и становятся полностью расшифрованными только на последнем узле. Разработчики Tor также отвечают за создание дистрибутива Tails, который рекомендует использовать Эдвард Сноуден.
Теперь вернемся к VPN. Обычно, это платные сервисы, найти хороший, бесплатный VPN очень сложно. Качество обслуживания VPN зависит от провайдера, но как правило, скорость работы серверов VPN намного быстрее, чем Tor.
1. Tails - анонимный LiveCD
Если вы хотите остаться неизвестным в интернете, Tails - отличный выбор. Его основная цель - следить, чтобы вы не оставили никаких цифровых следов во время веб-серфинга. Это один из наиболее часто используемых для обеспечения анонимности дистрибутивов, и единственный, где все интернет-соединения направляются через Tor.
Обычно Tails устанавливается на флешку, все данные хранятся в оперативной памяти, а после завершения работы стираются. Операционная система основана на Debian и поставляется с большим набором инструментов с открытым исходным кодом специально разработанных для обеспечения конфиденциальности. Здесь поддерживается подмена MAC адреса и камуфляж Windows, когда система выглядит очень похожей на Windows 8.
Tails использует устаревшую версию Gnome, которая выглядит некрасиво и минималистично без возможности дополнительной настройки и улучшения, поскольку файлы между сессиями не сохраняются. Возможно, для многих это неважно, ведь Tails выполняет свою работу. У дистрибутива есть отличная документация и вы можете прочитать ее на официальном сайте.
2. JonDo Live-DVD
JonDo Live-DVD - это коммерческое решение для анонимности в сети. Оно работает похожим образом на Tor, ваши данные тоже передаются через ряд смешанных серверов JonDonym. На каждом узле данные перешифровываются. Это отличная альтернатива для Tails, особенно если вы ищете что-то с менее ограниченным пользовательским интерфейсом.
Как и Tails, дистрибутив основан на Debian, а также включает в себя набор инструментов для обеспечения анонимности и наиболее часто используемые приложения.
JonDo Live-DVD это платный сервис, для коммерческого использования. Он ориентирован на использование в фирмах, а также быстрее чем Tails и тоже не поддерживает сохранение файлов.
Если вам нужно что-то совершенно другое, вам будет интересен Whonix. Здесь используется совсем другой подход. Это не LiveCD. Whonix работает в виртуальной машине VirtualBox, система изолирована от вашей основной системы, тем самым уменьшается риск подхватить вирусы или засветить свои данные в сети.
Whonix состоит из двух частей. Whonix Gatway выступает в качестве шлюза Tor, вторая - Whonix Workstation является полностью изолированной от сети и направляет все свои сетевые соединения через шлюз Tor.
Таким образом, здесь необходимо использовать две виртуальные машины, что может создать определенные проблемы, если у вас слабое оборудование. Но тем не менее она работает. Правда, это не самый безопасный дистрибутив Linux, как Live CD, поскольку там не сохраняются данные на жестком диске.
Whonix основан на Debian, но в качестве окружения рабочего стола используется KDE. Операционная система не подходит для повседневного использования и вы можете ее использовать только на виртуальной машине.
4. Qubes OS
Это еще один дистрибутив для обеспечения анонимности рекомендуемый Сноуденом. Qubes пытается исправить недостатки всех предыдущих дистрибутивов с недостаточно красивым и настраиваемым пользовательским интерфейсом. Это дистрибутив для повседневного использования, совмещающий в себе мощь Tor и Whonix.
Здесь совсем иной подход к анонимности. Идея Qubes - безопасность путем разделения. Это значит, что ваша цифровая жизнь будет разделена между изолированными виртуальными машинами. Любое приложение запускается в отдельной виртуальной среде.
Нужно отметить, что Qubes поставляется по умолчанию с флагманским ноутбуком от Purism. Этот ноутбук считается самым безопасным устройством для пользователей. И это правда, учитывая мощное программное обеспечения этого дистрибутива.
Если вам нужен удобный дистрибутив для повседневного использования со всей стандартной функциональностью и привычными приложениями, Qubes OS может стать отличным выбором. В отличие от выше перечисленных он может быть установлен на жесткий диск.
5. UPR (Ubuntu Privacy Remix)
UPR, это еще один устанавливаемый дистрибутив, ориентированный на безопасность. Он удобен для пользователей и обеспечивает изолированную среду, в которой конфиденциальные данные могут быть в безопасности.
Уже судя по имени, можно сказать, что он основан на Ubuntu. Дистрибутив предлагает безопасный серфинг в интернете и использование шифрованных флешек, для эффективной защиты ваших данных от несанкционированного доступа. Дистрибутив поставляется с предустановленными инструментами для шифрования, такими как GnuPG и TrueCrypt. UPR предназначен только для безопасного серфинга в интернете, а не для анонимности. Он отлично подойдет, если вы хотите установить систему на свой компьютер, а не использовать LiveCD. Если нужна еще и анонимность можно установить Tor или подключить VPN.
Выводы
Учитывая что Tails самый распространенный из всех упомянутых в этой статье, то можно решить что он самый безопасный. Но другие дистрибутивы тоже отлично служат своей цели. Так что тут все упирается только в личные предпочтения.
Мы часто пишем о безопасности мобильных ОС, публикуем информацию о найденных уязвимостях, описываем слабые стороны защиты и способы взлома. Мы писали и о слежке за пользователями Android, и о зловредных приложениях, которые встраиваются прямо в прошивку, и о неконтролируемой утечке пользовательских данных в облако производителя. Какая же из современных мобильных платформ наиболее безопасна для пользователя - или хотя бы наименее небезопасна? Попробуем разобраться.
Что такое безопасность?
Нельзя говорить о безопасности устройства, не определив, что мы, собственно, имеем в виду. Физическую безопасность данных? Защиту от методов низкоуровневого анализа с извлечением микросхемы памяти или же просто защиту от любопытных, которые не знают пароля и не умеют обманывать сканер отпечатков пальцев? Передача данных в облако - плюс это или минус с точки зрения безопасности? А в какое облако, кому и куда, каких именно данных, знает ли об этом пользователь и может ли отключить? А насколько вероятно на той или иной платформе подхватить троянца и расстаться не только с паролями, но и с деньгами на счете?
Аспекты безопасности мобильных платформ невозможно рассматривать в отрыве друг от друга. Безопасность - это комплексное решение, охватывающее все грани использования устройства от коммуникаций и изоляции приложений до низкоуровневой защиты и шифрования данных.
Сегодня мы коротко опишем основные достоинства и проблемы во всех современных мобильных ОС, которые имеют хоть какое-то распространение. В список входят Google Android, Apple iOS и Windows 10 Mobile (увы, но Windows Phone 8.1 назвать современной уже нельзя). Бонусом пойдут BlackBerry 10, Sailfish и Samsung Tizen.
Старички: BlackBerry 10
Прежде чем приступать к описанию актуальных платформ, скажем пару слов о BlackBerry 10, которая уже сошла с дистанции. Почему BlackBerry 10? В свое время система активно продвигалась как «самая безопасная» мобильная ОС. В чем-то это было действительно так, что-то, как всегда, преувеличили, что-то было актуальным три года назад, но безнадежно устарело сегодня. В целом нам нравился подход компании BlackBerry к безопасности; впрочем, не обошлось и без провалов.
- Микроядерная архитектура и система доверенной загрузки - это действительно безопасно. Прав суперпользователя за все время существования системы не получил никто (между прочим, пытались неоднократно, в том числе в серьезных конторах - BlackBerry далеко не всегда была аутсайдером).
- Также невозможно обойти пароль на разблокирование устройства: спустя десять неудачных попыток данные в устройстве полностью уничтожаются.
- Нет никаких встроенных облачных сервисов и нет целенаправленной слежки за пользователем. Данные не передаются на сторону, если только пользователь не решит установить облачное приложение самостоятельно (опционально поддерживаются такие службы, как OneDrive, Box.com, Dropbox).
- Образцовая реализация корпоративных политик безопасности и удаленного контроля через BES (BlackBerry Enterprise Services).
- Надежное (но опциональное) шифрование как встроенного накопителя, так и карт памяти.
- Облачных резервных копий нет совсем, а локальные шифруются с помощью безопасного ключа, привязанного к BlackBerry ID.
- Данные по умолчанию не шифруются. Впрочем, компания может активировать шифрование на устройствах сотрудников.
- Шифрование данных блочное, одноранговое; отсутствует понятие классов защиты и что-либо, хотя бы отдаленно напоминающее Keychain в iOS. Например, данные приложения Wallet можно извлечь из резервной копии.
- В учетную запись BlackBerry ID можно зайти просто с логином и паролем; двухфакторная аутентификация не поддерживается. Сегодня такой подход совершенно неприемлем. Кстати, если известен пароль от BlackBerry ID, можно извлечь ключ, с помощью которого расшифруется созданный привязанным к данной учетке бэкап.
- Защита от сброса к заводским настройкам и защита от кражи очень слабая. Она обходится простой заменой приложения BlackBerry Protect при сборке автозагрузчика или (до BB 10.3.3) понижением версии прошивки.
- Отсутствует рандомизация MAC-адреса, что позволяет отслеживать конкретное устройство с помощью точек доступа Wi-Fi.
Еще один звоночек: BlackBerry охотно сотрудничает с правоохранительными органами, оказывая максимально возможную помощь в поимке преступников, которые пользуются смартфонами BlackBerry.
В целом при грамотной настройке (а пользователи, выбравшие BlackBerry 10, как правило, настраивают свои устройства вполне грамотно) система способна обеспечить как приемлемый уровень безопасности, так и высокий уровень приватности. Впрочем, «опытные пользователи» могут свести все преимущества на нет, установив на смартфон взломанную версию Google Play Services и получив все прелести присмотра «Большого Брата».
Экзотика: Tizen и Sailfish
Tizen и Sailfish - явные аутсайдеры рынка. Аутсайдеры даже в большей степени, чем Windows 10 Mobile или BlackBerry 10, доля которой упала ниже отметки 0,1%. Их безопасность - это безопасность «неуловимого Джо»; о ней мало что известно лишь потому, что они мало кому интересны.
Насколько оправдан такой подход, можно судить по недавно опубликованному исследованию , в котором обнаружено порядка сорока критических уязвимостей в Tizen. Тут можно разве что подытожить давно известное.
- Если не проводились серьезные независимые исследования, то говорить о безопасности платформы нельзя. Критические уязвимости вскроются не раньше, чем платформа получит распространение. Но будет поздно.
- Зловредного ПО нет лишь из-за слабой распространенности платформы. Тоже в каком-то роде защита.
- Механизмы безопасности недостаточны, отсутствуют или описаны лишь на бумаге.
- Любые сертификации говорят лишь о том, что устройство прошло сертификацию, но ровным счетом ничего не говорят о фактическом уровне безопасности.
Jolla Sailfish
С Sailfish ситуация неоднозначная. С одной стороны, система как бы жива: на ее основе время от времени анонсируются какие-то устройства, и даже «Почта России» приобрела большую партию устройств с запредельно высоким ценником. С другой - пользователям предлагают заплатить стоимость крепкого середнячка на Android за модель под управлением Sailfish, обладающую характеристиками китайского дешевого смартфона трехлетней (!) давности. Такой подход сработает в единственном случае: если модели на Sailfish будут закупаться за бюджетные деньги, после чего раздаваться государственным служащим нижнего звена. Разумеется, о какой-то там безопасности при таком подходе думать участникам сделки совсем не интересно.
И даже наличие государственных сертификатов не дает никакой гарантии точно так же, как ее не дает открытый исходный код. К примеру, уязвимость Heartbeat была обнаружена в прошивках роутеров, исходный код для которых был в открытом доступе более десяти лет. В операционной системе Android, которая также обладает открытым исходным кодом, новые уязвимости обнаруживаются регулярно.
Экзотические ОС - это отсутствие инфраструктуры, крайне ограниченный набор устройств и приложений, недоразвитые средства управления корпоративными политиками безопасности и более чем сомнительная безопасность.
 |
 |
Samsung Tizen
Несколько особняком от остальных «экзотических» платформ стоит Samsung Tizen. В отличие от Ubuntu Touch и Sailfish, Tizen - вполне распространенная система. Под ее управлением работают десятки моделей умных телевизоров Samsung, а также умные часы и несколько бюджетных смартфонов (Samsung Z1–Z4).
Как только Tizen получила заметное распространение, за систему взялись независимые исследователи. Результат неутешителен: в первые же месяцы было найдено более сорока критических уязвимостей. Процитируем слова Амихая Нейдермана, который провел исследование безопасности Tizen:
Возможно, это худший код из тех, что мне довелось видеть. Все ошибки, которые можно было допустить, были допущены. Очевидно, что код писал или проверял кто-то, кто ничего не понимает в безопасности. Это все равно что попросить школьника написать для вас программное обеспечение.
В целом вывод понятен: использовать экзотическую, малораспространенную систему в корпоративной среде - открытое приглашение для хакеров.
Apple iOS
Apple мы будем хвалить. Да, это закрытая экосистема, и да, ценник несопоставим с техническими возможностями, но тем не менее устройства под управлением iOS были и остаются самыми безопасными из распространенных коммерческих решений. В основном это касается текущих моделей поколений iPhone 6s и 7 (и, пожалуй, SE).
Более старые устройства обладают меньшим запасом прочности. Для стареньких iPhone 5c, 5s и 6 уже есть способы разблокирования загрузчика и атаки на пароль устройства (за подробностями можно обратиться к разработчикам - компании Cellebrite). Но даже для этих устаревших устройств взлом загрузчика - дело трудоемкое и весьма недешевое (в Cellebrite просят за услугу несколько тысяч долларов). Думаю, мой или твой телефон никто таким способом ломать не станет.
Итак, что мы имеем на сегодняшний день. Начнем с физической безопасности.
- Все iPhone и iPad iOS 8.0 и выше (а в настоящий момент актуальна iOS 10.3.2, которая еще более безопасна) применяют настолько стойкие методы защиты, что даже их производитель как официально, так и фактически отказывается извлекать информацию из заблокированных устройств. Независимые исследования (в том числе в лаборатории «Элкомсофт») подтверждают заявления Apple.
- В iOS предусмотрена (и действительно работает) система защиты данных в случае кражи или потери устройства. Доступны механизмы удаленного стирания данных и блокировки устройства. Украденное устройство невозможно будет разблокировать и перепродать, если злоумышленнику неизвестны как пароль на устройство, так и отдельный пароль от учетной записи Apple ID владельца. (Впрочем, китайским умельцам доступно все, и вмешательство в аппаратную часть устройства способно обойти эту защиту... для iPhone 5s и более старых устройств.)
- Многоуровневое шифрование данных «из коробки» идеально спроектировано и реализовано. Раздел данных шифруется всегда; используется блочный шифр с ключами, уникальными для каждого отдельного блока, при этом при удалении файла соответствующие ключи удаляются - а значит, восстановить удаленные данные в принципе невозможно. Ключи защищены выделенным сопроцессором, входящим в систему Secure Enclave, и вытащить их оттуда нельзя даже с jailbreak (мы пробовали). Данные при включении остаются зашифрованными, пока ты не введешь правильный пароль. Более того, некоторые данные (например, пароли к веб-сайтам, скачанная на устройство электронная почта) дополнительно шифруются в защищенном хранилище Keychain, причем часть из них невозможно извлечь даже с джейлбрейком.
- Ты не можешь просто воткнуть в компьютер iPhone и скачать с него данные (кроме фотографий). В iOS предусмотрена возможность установления доверительных отношений с компьютерами. При этом создается пара криптографических ключей, позволяющих доверенному компьютеру делать с телефона резервные копии. Но даже эту возможность можно ограничить с помощью корпоративной политики безопасности или фирменным приложением Apple Configurator. Безопасность бэкапов обеспечивается возможностью установить сложный пароль (пароль требуется исключительно для восстановления данных из резервной копии, поэтому в режиме повседневного использования мешаться не будет).
Разблокировка iPhone сделана на достаточно безопасном уровне. Для разблокировки можно использовать как стандартный PIN-код из четырех цифр, так и более сложный пароль. Единственный дополнительный способ разблокирования устройства - отпечаток пальца. При этом реализация механизма такова, что у злоумышленника будет очень мало возможностей им воспользоваться. Данные отпечатка зашифрованы и будут удалены из оперативной памяти устройства после выключения или перезагрузки; через некоторое время, если устройство ни разу не разблокировалось; после пяти неудачных попыток; через некоторое время, если пользователь ни разу не вводил пароль для разблокировки устройства.
В iOS есть опция, позволяющая автоматически удалять данные после десяти неудачных попыток входа. В отличие от BlackBerry 10, эта опция контролируется на уровне операционной системы; для старых версий iOS (вплоть до iOS 8.2) существуют способы ее обойти.
Что у нас со слежкой за пользователем и с утечками?
В iOS есть отключаемая синхронизация с облаком через собственный сервис Apple iCloud. В частности, в iCloud обычно сохраняются:
- резервные копии данных устройства;
- синхронизированные данные - журнал звонков, заметки, календари, пароли в iCloud Keychain;
- пароли и история посещения ресурсов в браузере Safari;
- фотографии и данные приложений.
Все виды облачной синхронизации в iOS можно отключить, просто выключив iCloud и деактивировав iCloud Drive. После этого никакие данные не будут передаваться на серверы Apple. Несмотря на то что некоторые механизмы работают не слишком интуитивно (как пример - для выключения синхронизации звонков нужно отключать iCloud Drive, вообще-то предназначенный для синхронизации файлов и фотографий), полное выключение облачных сервисов синхронизацию полностью же отключает.
В iOS предусмотрен механизм для предотвращения слежки (система может представлять внешнему миру случайные идентификаторы модулей Wi-Fi и Bluetooth вместо фиксированных настоящих).
Хорошо, а как обстоят дела со зловредами? В iOS практически исключена возможность установки зловредного ПО. Единичные случаи были (через приложения, собранные с использованием взломанных инструментов для разработки), но они быстро локализовались и исправлялись. Даже тогда большого вреда причинить эти приложения не смогли: в iOS каждое приложение надежно изолировано как от самой системы, так и от других приложений с помощью песочницы.
Нужно отметить, что в iOS давным-давно был реализован гранулярный контроль за разрешениями приложений. Ты можешь по отдельности разрешить или запретить каждому приложению такие вещи, как возможность работы в фоновом режиме (в «чистом» Android такой возможности нет!), доступ к местоположению, уведомлениям и тому подобное. Наличие этих настроек позволяет эффективно ограничивать слежку со стороны приложений, которые сделали такую слежку своим основным бизнесом (это касается как приложений класса Facebook, так и игр наподобие Angry Birds).
Наконец, Apple регулярно обновляет iOS даже на старых устройствах, практически моментально (в сравнении с Android) исправляя найденные уязвимости. При этом обновления прилетают одновременно всем пользователям (снова «в отличие от»).
Что интересно, iOS начиная с 9-й версии защищена и от атак класса man in the middle с перехватом и подменой сертификата. И если в лаборатории «Элкомсофт» удалось отреверсить протокол бэкапов iCloud в 8-й версии системы, то в более новых ОС этого сделать не вышло по техническим причинам. С одной стороны, получаем гарантию безопасности передаваемых данных; с другой - у нас нет возможности достоверно убедиться в том, что на серверы не будет отправлена «лишняя» информация.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!
Чаще всего в контексте их беспрецедентной безопасности. Некоторые даже утверждают, что Linux - самые безопасные операционные системы из всех представленных на рынке. Это, разумеется, ничем не доказуемая гипербола. Действительно, многие дистрибутивы Linux оказываются на порядок безопаснее и , но большинство из них не дотягивает до стандартов FreeBSD, не говоря уже об OpenBSD, которая зарекомендовала себя как одна из наиболее защищенных пользовательских систем. И это даже если оставить в стороне узкоспециальные ОС типа всевозможных RTOS, IBM i, OpenVMS и TrustedBSD.
Теоретически, конечно, такое заявление все-таки имеет право на существование. Если учесть, что при словах «операционная система с открытым кодом» большинство пользователей думает в первую очередь (если не исключительно) о Linux (а порой даже считает, что Linux - это и есть название ОС), то они правы. При прочих равных условиях, популярные системы с открытым кодом действительно имеют преимущество с точки зрения безопасности по сравнению с закрытыми ОС. Тем не менее, семейство Linux - далеко не единственный образец операционных систем с открытым кодом.
Если считать Linux символом открытого ПО, а MS Windows - символом закрытого, тогда, конечно, можно сказать, что «Linux - самые безопасные системы из всех», притом что в понятие «все» входит всего две категории продуктов. Но ведь мир устроен далеко не так просто.
На самом деле, ОС Linux далеко не являются самыми безопасными, если учесть весь доступный ассортимент операционных систем. А некоторые дистрибутивы Linux так и вообще создавались исключительно в исследовательских целях и поэтому намеренно обладают минимальным уровнем защиты в стандартной конфигурации. По уровню варьируются от абсолютно не защищенных до таких монстров, как Hardened Gentoo. Ну а среднестатистический дистрибутив Linux находится, естественно, где-то посередине.
К тому же, вычислить « » не так просто, как это кажется на первый взгляд. Главный критерий, на который ориентируются пользователи, не разбирающиеся в стандартах безопасности (и те, кто манипулирует этими пользователями в корыстных интересах), - это количество выявленных уязвимостей. Но ведь мы-то с вами знаем, что минимум обнаруженных в системе лазеек - еще не повод считать ее надежно защищенной. Говоря о безопасности, нужно учитывать целый ряд факторов, в том числе:
Осуществляется ли проверка качества кода;
какие заданы стандартные настройки безопасности;
насколько быстро и качественно пишутся исправления;
как устроена система распределения полномочий;
...и многое другое.
Даже если не брать в расчет ОС, в которых не запускаются, к примеру, популярные веб-браузеры (Firefox), почтовые клиенты (Thunderbird) и офисные программы (OpenOffice.org) с графическим интерфейсом WIMP на компьютере с архитектурой Intel x86, среднестатистический дистрибутив Linux ни при каких условиях нельзя назвать самой защищенной операционной системой. И уж во всяком случае, Ubuntu - едва ли не самый распространенная ОС Linux - на это звание претендовать точно не может.
Да и вообще, в любой категории систем непременно найдется такая, которая оказывается на порядок лучше Ubuntu по всем параметрам, причем зачастую это просто другие дистрибутивы Linux. А ведь некоторые утверждают, что среди - самая безопасная. В таком случае, и если предположить, что системы Linux вообще самые защищенные на рынке, это значит, что Ubuntu даже безопаснее OpenVMS. Извините, что-то не верится.
Если вы тоже убеждены, что «Linux - самые безопасные операционные системы», настоятельно советую вам пересмотреть свои взгляды. Многие другие ОС оказываются намного безопаснее среднестатистического дистрибутива Linux. К тому же, если учесть, насколько разнообразно семейство ОС Linux в принципе и какие разные критерии приняты для оценки степени защищенности операционных систем, такое заявление звучит по меньшей мере идеалистически.
Ответ на вопрос «являются ли операционные системы Linux самыми безопасными» зависит от того, какие системы сравнивать и с какой точки зрения оценивать безопасность ОС (если, конечно, речь не идет об абстрактном сравнении открытого и закрытого ПО). Если же голословно заявлять, что Linux безопаснее всех, всегда есть риск столкнуться с человеком, который разбирается в проблеме гораздо лучше и легко сможет разнести эту необоснованную точку зрения в пух и прах.
Нужно быть точнее в своих высказываниях, иначе есть опасность усвоить поверхностный взгляд на проблему безопасности вообще и создать массу неприятностей для тех, кто склонен прислушиваться к таким заявлениям. Если имеется в виду, что при прочих равных условиях популярные операционные системы с открытым кодом безопаснее популярных ОС с закрытым, - нужно так и говорить. Если имеется в виду, что стандартная конфигурация Ubuntu безопаснее стандартной конфигурации
Есть множество ситуаций, когда пользователь, озабоченный своей конфиденциальностью, предпочтет использовать анонимный дистрибутив Linux, а не дистрибутив общего назначения. Поэтому мы отобрали пять разных опций со своими преимуществами и недостатками.
- Доступность
- Стадия разработки
- Защита работы в Сети
- Безопасность информации
- Производительность
- Удобство рабочего стола
- Документация и поддержка
- Вердикт
Анонимные операционные системы
Обладает самой солидной репутацией и заявляет об обеспечении анонимного доступа к Интернет, позволяющего избежать любой цензуры.
Ubuntu Privacy Remix (UPR) совмещает анонимность с мощными средствами защиты данных. Он работает только в режиме Live, шифрует ваши данные и защищает их от нежелательного доступа.
Похваляется наличием таких же функций, что и у Tails, однако идет еще дальше, разделяя вашу работу на два потока: сервер и рабочая станция.
Qubes OS реализует подход «безопасность через разделение», но на сей раз он противостоит другим альтернативам.
И, наконец, весьма интересное решение - , выросший из мультиплатформенного JonDonym, приложения анонимности при работе в Интернете с упором на конфиденциальность и безопасность.
Анонимность и безопасность идут рука об руку, поэтому мы рассчитываем на дополнительный бонус в виде возможности укрепить вашу систему, защитив ее. Мы сравним все эти опции в разных условиях, и победитель должен быть не только безопасным, но и в целом сбалансированным и дружелюбным к пользователям-нетехнарям.
Доступность
Что нужно сделать, чтобы они заработали?
Решаясь взять дистрибутив-анонимайзер, вы должны отдавать себе отчет, что за это придется платить, причем цена бывает разная; поэтому давайте рассмотрим, как работают наши конкурсанты.
Tails - самый известный дистрибутив, и мы рассчитывали скачать его ISO-файл и записать его на карту USB с помощью какого-нибудь удобного инструмента вроде dd или интерфейса типа ImageWriter. Однако весь процесс с Tails оказался не настолько прост, так как образ нужно менять утилитой Isohybrid. Итак, надо сделать следующее:
isohybrid tailsi3861.2.3.iso h 255 s 63
dd if=tailsi3861.2.3.iso of=/dev/sdc
bs=16M
где /dev/sdc - ваша флэшка.
После этого он работает превосходно. Система загружается в сессию Live, как обычный дистрибутив Debian.
Whonix и Qubes OS запустить будет гораздо сложнее, и вот почему: Whonix идет в виде двух виртуальных машин VirtualBox - одна для Gateway [Шлюз] и одна для Workstation [Рабочая станция]. Суть здесь в том, чтобы изолировать ту среду, где вы работаете, от точки доступа к Интернету. Поэтому первым делом следует запустить и настроить Whonix Gateway на одной ВМ, и затем получить доступ к ней с другой ВМ, где и будет делаться вся работа. Проблем у нас с этим не возникало, однако мы вынуждены признать, что выполнять свою работу в Whonix смогут только продвинутые пользователи.
Нет, это не хамелеон SUSE посинел: это Ubuntu Privacy Remix с крутым Предохранительным Панголином! После записи ISO Qubes OS на флэшку USB и загрузки с нее мы обнаружили, что здесь нет сессии Live, только режим установки. Qubes OS основана на недавнем релизе Fedora и использует одинаковую с ним программу установки. Однако требования этой ОС удивляют: ей нужно 4 ГБ ОЗУ и 32 ГБ для раздела root, и она предпочитает встроенный видеочип Intel, поскольку у Nvidia и AMD в Qubes OS возникают проблемы. Системе необходимы настолько завышенные ресурсы вследствие ее подхода «Безопасность через изоляцию», который мы будем обсуждать дальше.
И, наконец, Ubuntu Privacy Remix и JonDo Live-DVD оказались исключительно просты в запуске. Их сессии Live были быстрыми и простыми в использовании.
Стадия разработки
Ныне они безопасны и конфиденциальны, но активно ли поддерживаются?
Зтот аспект часто недооценивают, однако он жизненно важен, поскольку постоянным пользователям нужен современный дистрибутив с активной поддержкой. В реальности есть дистрибутивы, обеспечивающие секретность, которые брошены своими разработчиками (например, Privatix) или остаются без поддержки долгие годы (как Liberte). Кое-кто может подумать, что речь идет о новых функциях и отладках, но не будем забывать, что у заброшенных дистрибутивов Linux могут быть проблемы с работой на современном оборудовании, где есть такие вещи, как UEFI и Secure Boot.
JonDo Live-DVD обновлятся поразительно часто. Tails - один из дистрибутивов безопасности с самой лучшей поддержкой и с очень быстрым темпом разработки. Новые релизы появляются каждые 2-4 месяца, то есть в 2014 г. у Tails было 6 релизов, и он очень оперативно прошел путь от версии 0.23 до 1.2.3.
По сравнению с ним разработчики Ubuntu Privacy Remix (UPR), похоже, не особо спешат, но зато поддерживают разработку на стабильном уровне. UPR появился в декабре 2008 г. и придерживается соответствия релизам Ubuntu. Текущая версия - 12.04r1 (Protected Pangolin [Предохранительный Панголин]), которая поддерживает новое оборудование, тем не менее оставаясь очень легковесным дистрибутивом.
Относительно новый проект, он появился в 2012 году, и с тех пор находится в весьма активном процессе разработки. Сейчас, на версии 9.6, Whonix по-прежнему обновляется каждые несколько месяцев.
Qubes OS похож на Whonix в том, что он тоже появился в 2012 г., и проект достиг релиза R2. Разработка Qubes OS ведется весьма активно, с публикацией хорошо документированных альфа- и бета-версий и релиз-кандидатов каждые несколько месяцев.
И у нас остается совершенно безумный по скорости рекордсмен разработки . Это действительно потрясающе, но JonDo может похвастаться журналом изменений, обновляемым каждые 5-10 дней!
Защита работы в Сети
Насколько эффективно они вас защищают от web-угроз?
Выход в Интернет всё усложняет: тут никто не гарантирует вам «абсолютную» безопасность. Но большинство наших дистрибутивов изо всех сил стараются защитить вас по максимуму.
Мы, впрочем, считаем, что хотя нашим основным приоритетом и остается безопасность,
пользователям тем не менее нужно: проверять почту; хранить пароли и прочие важные данные; скачивать и загружать файлы; и выполнять другие повседневные задачи в Интернете.
Требует определенных компромиссов - например, более низкой скорости скачивания и большей строгости политики безопасности паролей; однако мы настаиваем на необходимости удобства работы в Сети. Но не путайте большую степень безопасности и ужесточенную политику в Интернете с хорошей безопасностью пользовательских данных. Это совершенно разные вещи, и мы поговорим о них позднее.
JonDo Live-DVD ★★★★★
JonDo Live-DVD обеспечивает анонимность в сети с помощью своего IP changerv (он же JonDonym), это Java Anon Proxy, подобный Tor. JonDo включает режим работы в Сети (через JonDoBrowser на базе Firefox) с опциональным псевдонимом, и отправляет запросы через каскад и смешивает потоки данных разных пользователей, чтобы скрыть данные от посторонних.
Анонимная операционная система JonDo Live-DVDСтоит отметить, что хотя код JonDo открыт, существуют бесплатный и коммерческий план. Бесплатный может использовать только порты назначения 80 и 443, применяемые для протоколов HTTP и HTTPS (этого достаточно для просмотра сайтов и FTP). Премиальный сервис предлагает дополнительные прокси SOCKS для дополнительной анонимности и большей скорости соединения. В принципе, мы нашли, что JonDo безопаснее, чем Tor, потому что JonDo намного более централизованный и не может включать вредоносные узлы (а в Tor такое иногда случается).
Qubes OS ★★★★
Qubes OS реализует другую концепцию изоляции на базе виртуализации. Система запускает гипервизор Xen с несколькими экземплярами виртуализации измененной Fedora 20 на нем. Qubes OS делится на несколько «доменов», и приложения можно запускать в виде виртуальных машин (AppVMs).
Стандартный способ сделать сетевой трафик анонимным - использование Qubes TorVM, который соединяется с Интернетом и запускает Tor. Другим приложениям можно дать команду использовать «Tor’ифицированное» соединение. Плюс в том, что приложению даже не надо знать о Tor; оно запускается в обычном режиме без всяких дополнений, а весь TCP- и DNS-трафик IPv4 направляется Tor. Минус в том, что все требуется настраивать вручную. Мы также заметили, что эта концепция имеет тенденцию ограничивать, а не предотвращать распространение атак и вредоносного ПО извне домена/AppVM.
Безопасность информации
Насколько сохранны в этих дистрибутивах важные для вас данные?
Хотя важнейшей функцией Tails является его «амнезия» в режиме live, Tails можно установить на жесткий диск и применять как обычный дистрибутив Linux. Помимо прочих достоинств этого варианта, вы обнаружите, что ваше ОЗУ очищается при каждой перезагрузке или выключении, защищая ваши данные от технологий восстановления информации.
Ubuntu Privacy Remix по части безопасности данных просто сияет. Единственный способ сохранить их - использовать расширенные TrueCrypt-Volumes, сохраняемые только на внешнем USB-носителе (монтируемом с опцией ‘noexec’). У вас нет шансов оставить данные на разделе диска даже случайно или по недосмотру.
«Амнезия» у Whonix слабее других. На стороне Workstation все данные можно хранить постоянно, и способ их хранения зависит только от вас. Можно зашифровать и защитить их с помощью дополнительного пароля или хранить их в изолированном месте. Но в целом безопасностью данных Whonix озабочен мало.
Qubes OS по безопасности данных много лучше, поскольку позволяет изолировать важные данные в отдельном домене/ AppVM без доступа к сети; но опять же, уровень безопасности сильно зависит от способностей пользователя и его дисциплинированности. А JonDo Live-DVD предлагает способ постоянного хранения, и мы сочли его вполне дружелюбным к пользователю. Он готов использовать зашифрованные с помощью LUKS брелки и диски USB и предлагает специальный ассистент для подготовки вашего носителя.
Увы, в Ubuntu Privacy Remix (UPR) вообще нет сетевой функциональности. Ядро системы модифицировано так, что она игнорирует любое сетевое устройство, превращая UPR в идеально изолированную систему, куда нельзя проникнуть через LAN, WLAN, Bluetooth, Infrared и т. д., поэтому здесь нет web-браузера, нет куки, нет никаких троянов и никаких данных, скачанных из Сети, а также никакого обмена сообщениями или удаленных или облачных сервисов.
Анонимная операционная система Ubuntu Privacy RemixПочти все следы сетевого соединения из UPR устранены, хотя кое-что там осталось - например, команды ifconfig и ifup/ifdown; однако они абсолютно беспомощны, поскольку сетевое оборудование принудительно отключено. Итак, в этом тесте UPR проигрывает, продемонстрировав полнейшую бесполезность для работы в Сети, хоть это и является частью ее дизайна. Однако если вы страдаете паранойей и вам нужна система, которая старается вообще не быть онлайн, UPR станет для вас идеальным решением.
Tails ★★★
Tails включает превосходные функции для работы в сети, и самая важная из них - Tor, открытая сеть анонимных серверов, которые не позволяют вас идентифицировать и защищают от анализа трафика.
Кроме него, имеются Vidalia, интерфейс для простой настройки; пред-настроенный web-браузер Firefox, снабженный кнопкой Tor; и расширения HTTPS Everywhere, NoScript и AdBlockPlus.
Среди множества дополнительных функций Tails присутствуют анонимная сеть I2P, интерфейсы для прокси и VPN, виртуальная клавиатура Florence, изоляция приложений через AppArmor, генератор сильных паролей PWGen и KeePassX для управления ими, AirCrackNG для аудита беспроводных сетей, и т. д.
Трафик Tor и I2P также разделяются, благодаря специальному I2P Browser, а Pidgin использует более безопасный режим Off-the-Record (OTR).
Whonix ★★★★★
Whonix тоже использует Tor для обеспечения сетевой анонимности и имеет много общих с Tails сторонних инструментов. Итак, отметим отличия. Здесь клиент Tor использует Whonix-Gateway, который обеспечивает лучшую защиту от определения IP и местонахождения на Workstation.
Анонимная операционная система WhonixУровень защиты от утечек в протоколе IP и DNS практически такой же, но в Tails есть возможность неправильной настройки, которая может привести к появлению утечки IP, а в Whonix на это шансы отсутствуют. Даже если рабочая станция будет взломана (например, если кто-то сумеет получить доступ root), реальный IP все равно будет не определить. Изоляция прокси-сервера внутри отдельной ВМ (или, возможно, настоящего ПК) отлично работает. Кроме того, Whonix использует “entry guards [охрану входа]” в Tor (случайным образом выбранные оконечные точки), чего в Tails по умолчанию не предусмотрено.
Производительность
Насколько хорошо они работают?
У свежего Tails ядро 3.16.7, и в аварийном режиме по умолчанию грузится Gnome Shell 3.4. Рабочий стол очень легковесный и почти так же быстр, как классический Gnome 2 в предыдущих релизах Tails, но официальные системные требования говорят, что ему нужно не менее 1 ГБ ОЗУ для нормальной работы, что, по нашему мнению, многовато.
Ubuntu Privacy Remix обновлен до пакетов Ubuntu 12.04 LTS, и поэтому имеет множество бэкпортов и современных функций, при этом не очень нагружая ресурсы.
UPR использует классический рабочий стол Gnome 2, который загружается за пару секунд. Мы полагаем, что 512 МБ ОЗУ достаточно, хотя UPR может использовать и больший объем ОЗУ, поскольку система использует ‘ramzswap’ для хранения файла подкачки в ОЗУ.
JonDo Live-DVD способен загружаться даже на очень старых CPU, и его рабочий стол Xfce очень быстрый. Однако вам потребуется 1 ГБ ОЗУ для нормальной работы с приложением JonDo на базе Java и web-браузерами.
Whonix и тут отличается, потому что требует хост, на котором могут работать две гостевых машины VirtualBox одновременно. Ваша ОС хоста и настройка целиком зависят от вас, но понадобится не менее 4 ГБ ОЗУ и 12 ГБ на жестком диске. Плюс чрезвычайно приветствуются SSD и CPU с поддержкой виртуализации оборудования.
Для Qubes OS нужна еще более мощная машина: 64-битный CPU, 4 ГБ ОЗУ и не менее 32 ГБ для раздела root. Так что Qubes OS самый требовательный.
Удобство рабочего стола
Можно ли сохранять анонимность, получая полноценный рабочий стол?
Хотя Tails страдает «амнезией», в нем есть программа установки, которая может создать постоянный раздел как на флэшке USB, с которой вы загружаетесь, так и на другом устройстве хранения USB. Благодаря этому Tails чрезвычайно удобен для постоянной работы в режиме live. Кроме того, он включает широкий выбор программ, от LibreOffice и GIMP до Audacity и Sound Juicer.
У JonDo Live-DVD также имеется очень удобный рабочий стол Xfce live, где налицо
все основные настольные программы; однако основное его преимущество в том, что вы можете установить и IP changer из JonDo, и браузер JonDoFox на любой дистрибутив Linux. Это огромный бонус: вы можете остаться на своем уже настроенном компьютере Linux и спокойно перейти на анонимную работу.
Ubuntu Privacy Remix (UPR) включает только основные аксессуары Gnome 2 и всего лишь несколько приложений рабочего стола (ярчайшие примеры - Scribus
и LibreOffice). Рабочий стол в UPR неудобен до такой степени, что даже изготовление простого экранного снимка превращается в проблему. Сквернее всего то, что дистрибутив совершенно сознательно не предоставляет никаких вариантов изменения. Так что исправить рабочий стол не получится.
Обе гостевые машины Whonix используют рабочий стол KDE на Debian. Нам очень нравится KDE, но на стороне Gateway он кажется излишним. Работать на Workstation очень удобно. Если не принимать во внимание некоторые незначительные замедления и ограничения из-за виртуализации и системы брандмауэров, то Who-nix Workstation можно использовать как полноценную настольную систему.
Qubes OS совершенно иной: в установке он прост, но потом может начать работать очень медленно. Его рабочий стол KDE вполне интуитивный, но взаимодействие между доменами требует дополнительных навыков. Например, копирование и предоставление распределенного доступа к файлам с одного домена или AppVM на другой требует собственной логики, и использование буфера обмена ограничено.
Документация и поддержка
Есть ли подсказки и как получить ответы на вопросы?
Хорошие страницы wiki, FAQ и прочие полезные документы важны для любого программного продукта. И уж точно они важны для дистрибутивов анонимности, способных озадачить даже опытных линуксоидов.
Tails предлагает подробнейшую документацию для конечного пользователя - с общей информацией, «первыми шагами» и детальным объяснением почти всех аспектов, даже тех, которые не относятся к Tails напрямую, но важных для изучения основ конфиденциальности и шифрования. Здесь даже есть чат-рум и форма «запроса на функцию».
Ubuntu Privacy Remix обладает симпатичным и компактным сайтом, хотя там не так уж много материалов; правда, количество ресурсов соответствует его набору функций. Вы найдете здесь полезные руководства how-to и инструкции по созданию персональной сборки UPR
(с индивидуальным набором программ).
Почти вся документация Whonix располагается в специальном и весьма подробном портале wiki. Мы нашли его всесторонним и более детальным, чем ресурсы, предлагаемые Tails - в Whonix больше статей, больше опций поддержки и очень активный форум.
В проекте Qubes OS тоже есть портал wiki с базовыми и расширенными статьями. Архитектура ОС объясняется очень подробно, и имеются обучающие слайды и пользовательская документация. В Qubes OS масса дополнительных функций, таких, как работа с non-Linux AppVM, и она освещается в подробном руководстве. Имеется также очень полезный
уголок разработчика, оснащенный всем необходимым для создания индивидуальных решений.
JonDo предлагает подсказки, FAQ, портал wiki и форум. Хотя он выглядит вполне завершенным, пристальный осмотр выдает немало слабостей. FAQ короткий, а wiki очень мала. На самом деле рассматривается всего несколько тем, и это огорчает.
Вердикт
Java Anon Proxy - стартап 2007 г., и за ним стояло много лет солидной исследовательской работы. И мы видим плоды этой работы, поскольку JonDo Live-DVD явно превосходит экс-короля анонимного web-доступа, Tails. Оба проекта - отличного качества, со сбалансированными функциями и активной разработкой. Трудно сказать, обеспечивает Tor идеальную анонимность или же нет, но технически возможно выделить пользователя Tor через скомпрометированный узел, или сопоставив трафик и поведение пользователя с другой информацией, или даже посредством корреляционных синхронных атак.
Однако выбор узлов JonDo менее случайный, чем в Tor, и мы не уверены в степени его надежности. Оба решения изрядно замедляют скорость Интернет, и каскад прокси JonDo, похоже, даже медленнее, чем цепь узлов Tor. Однако скорость соединения - не главный приоритет, поскольку вы получаете хорошо проверенную и поддерживаемую анонимность. Другие участники четко определяют цену расширенной безопасности и конфиденциальности. Whonix заставляет использовать виртуальную машину (что всегда медленнее компьютера-хоста), поддержка 3D очень слабая или ее нет вовсе, и требуются дополнительное время и усилия на первичную установку. Но, проделав это единожды, вы сможете настроить Whonix на свое усмотрение, подобно любому дистрибутиву на Debian.
Qubes OS ладит только с весьма продвинутым оборудованием (даже на нем он медленнее, чем виртуализованный Who-nix), зато обеспечивает достойную анонимность, хотя его основная цель - изолировать разные сегменты, чтобы один сегмент, даже будучи скомпрометированным, не повлек за собой сбой других сегментов. Кроме того, вам придется разузнавать, как программные домены общаются между собой. У Ubuntu Privacy Remix подход нетрадиционный, но он тоже обеспечивает анонимность. Сайт проекта показывает, как вы можете создать свою редакцию UPR и использовать его в качестве идеально изолированной системы, не оставляющей следов на компьютере. UPR может также определять виртуальные среды и удалять свои ISO из их настроек, но все это исключительно локально, без какого-либо соединения с внешним миром.
Рассмотрите также…
Многие люди разделяют ошибочное мнение, что они невидимы и их нельзя найти в Сети, если они используют Tor. Что, на самом деле, является правдой только до тех пор, пока пользователь не нарушит закон или иным способом не привлечет к себе внимание структур безопасности. Пожалуйста, используйте анонимность исключительно в мирных целях
и на свой собственный риск. С другой стороны, вы вправе защищать свои данные от посторонних, так почему бы не принять определенные меры?
Дистрибутивов анонимности сушествует куда больше, чем мы рассказали. И Privatix, и Liberte уже давно не обновлялись, однако ими по-прежнему можно пользоваться, и они готовы к работе в Сети на большинстве машин. Есть также и другие проекты, например, IprediaOS, Polippix и Mandragora, которые не вошли в Сравнение, но тем не менее достойны упоминания. По сути, не так уж трудно превратить ваш существующий дистрибутив Linux в цифровую крепость. Почти все инструменты анонимности в Linux - с открытым кодом, включая интерфейсы Tor, расширения и методы шифрования.
Сайт www.сайт выражает огромную благодарность специалисту журнала LinuxFormat Александру Толстому за этот обзор лучших анонимных дистрибутивов.
09.01.2017, Пн, 14:07, Мск , Текст: Владимир Бахур
По данным CVE Details, самой проблемной ОС по числу уязвимостей оказалась Google Android, далеко обогнав по числу багов прошлогоднего «лидера» Apple Mac OS X, многочисленные версии Linux и оставив далеко позади семейство Microsoft Windows.ОС Android вышла в лидеры «дырявой» статистики
Согласно базе данных сайта CVE Details, отслеживающего и систематизирующего безопасность различных программных продуктов из-за ошибок кода, семейство Microsoft Windows в прошедшем году продемонстрировало наименьший уровень уязвимости среди операционных систем. «пропустив» вперед Apple Mac OS X, многочисленные версии Linux и «лидера» по числу обнаруженных уязвимостей – Google Android.
Согласно данным статистики CVE Details прошлого года, в «лидерах» по числу обнаруженных багов числились Apple Mac OS X (444 уязвимости) и iOS (387). В 2016 году эти операционные системы сместились в рейтинге топ50 наиболее уязвимого ПО на 11 и 15 места с 215 и 161 обнаруженными уязвимостями, соответственно.
Наиболее «дырявая» ОС 2016 года – Google Android, напротив, в 2015 году имела всего лишь 125 замеченных уязвимостей, увеличив, таким образом, печальные показатели более чем в четыре раза всего лишь за один год.
Наиболее часто в прошедшем году у Android обнаруживались уязвимости, связанные с повышением привилегий (39,8%) и отказа в обслуживании (25%). Также важно отметить, что среди 523 обнаруженных ошибок, 254 имели рейтинг уязвимости CVSS (Common Vulnerability Scoring System) на уровне 9 баллов или выше, что на практике означает очень высокую степень опасности таких багов.
В тройку «абсолютных лидеров» 2016 года по числу уязвимостей также вошли Debian Linux и Ubuntu Linux с 319 и 278 обнаруженными багами, соответственно. Четвертое место досталось мультимедийному плееру Adobe Flash Player с 266 багами, хотя в 2015 году он занимал более высокую третью ступеньку с 329 уязвимостями.
Статистика CVE Details 2016 года
И, напротив, наиболее часто «склоняемые» за баги ОС семейства Windows заняли в этом году далеко не «призовые» места». Так, Windows 10 «набрала» 172 бага, Windows 8.1 – 154, Windows 7 и Windows Vista – 134 и 125 обнаруженных уязвимостей, соответственно.
Среди серверных версий наиболее уязвимой (16 строчка рейтинга) оказалась Windows Server 2012 с ее 156 багами, Windows Server 2008 заняла 22 место с 133 уязвимостями.
Статистика CVE Details по браузерам 2016 года также отметила наиболее уязвимым Google Chrome с его 172 багами. За ним со значительным отставанием следует Microsoft Edge (135), далее Mozilla Firefox (133), Microsoft Internet Explorer (129), и в самом низу списка на 44 позиции Apple Safari(56).
Офисный пакет Microsoft Office занял предпоследнюю, 49 строку рейтинга с 48 обнаруженными за 2016 г. уязвимостями.
Статистика CVE Details 2016 года по вендорам
Срез статистики CVE Details топ50 по компаниям вывел в 2016 году на первое место Adobe с суммарным показателем 1383 багов по всем упомянутым в рейтинге продуктам компании (Flash Player, разновидности Acrobat Reader и Acrobat). Второе место досталось Microsoft с ее 1325 багами, на третье место вышла Google (695 ошибок), четвертое и пятое места достались Apple (611) и Red Hat (596).
Специфика методики учета уязвимостей CVE Details
База данных CVE Details учитывает уязвимости ПО в том случае, если они были официально зарегистрированы в базе данных Common Vulnerabilities and Exposures (CVE) корпорации MITRE – негосударственной некоммерческой организацией из США, управляющей федерально финансируемыми исследованиями при поддержке Минобороны, Федеральным управлением гражданской авиации, Департаментом национальной безопасности, Национальным институтом стандартов и технологий
Независимые аналитики отдельно подчеркивают, что, несмотря на интригующие данные CVE Details, воспринимать их следует в определенном, надлежащем контексте. Назначая какому-либо отдельному программному продукту уникальный показатель уязвимости, CVE предоставляет возможность пользователям убедиться, что в конечном итоге софт получил адекватное обновление и защиту от выявленных уязвимостей.
Однако цифры CVE совершенно не имеют отношения к каким-либо рейтингам безопасности продуктов. Иными словами – по аналогии с медициной, число посещений поликлиники совершенно не означает рейтинг здоровья пациента.
Далеко не все оценки CVE равны по степени опасности уязвимостей. Более того, ряд производителей ПО выпускает обновления продуктов без предоставления им рейтингов CVE.
