最もセキュアなOSはBSDとMac OS Xとする調査結果 212
ストーリー by Oliver
安心第一 部門より
安心第一 部門より
sillywalk曰く、"ITMediaの記事によれば、イギリスのセキュリティ調査会社mi2gが調査したところ、最もセキュアなオンラインコンピューティング環境はBSDとMac OS Xとの結果になりました。
同社は昨年11月~今年10月の1年間にわたり常時接続コンピュータへのアタック23万件あまりを分析。その結果、被害件数はLinux(65.64%)、Windows(25.19%)で9割以上を占めました。一方、BSDやMac OS Xは4.82%と低く他二者と比較してセキュアであることが実証された、といいます。ちなみにmi2g社はApple社とビジネス上の関係は何ら無いと断りを入れています。
しかしこの調査、そもそもBSDとMac OS Xの普及の絶対数が少ないから被害件数も少なくて当然なのでは?という気がします。事実、タレコみ人の師匠は*BSDのウィザードですが、師曰く「マイナーだからそもそも攻撃されない」「仮に侵入されても人が造ったExploitしか使えない小物のクラッカーでは*BSDを乗っ取るのは無理」と公言して憚りません。"
今更言うことではないですが・・・ (スコア:4, 参考になる)
Re:今更言うことではないですが・・・ (スコア:2, おもしろおかしい)
*BSD系が健闘(笑)してくれそうな気がしたけど、意外にMS-Windows系が健闘したりして。だって、自前でインストールする人なんかほとんどいないでしょ?「OSの定番となっているような解説書」にもインストール手順は書いてなかったりして。
Re:今更言うことではないですが・・・ (スコア:1)
TRONなら (スコア:3, おもしろおかしい)
Re:TRONなら (スコア:2, 興味深い)
Re:TRONなら (スコア:1)
#つまらない茶々を失礼 (^_^:)。
この割合って・・・ (スコア:3, すばらしい洞察)
OS X (スコア:3, 参考になる)
なかったんですが、BSD、Mach KernelベースのDarwin OSになった
とたんに、案の定、*nix関係のセキュリティー問題に悩むことに
なりました。
こう考えると、Mac OS9以前はもっとセキュアなOSだったと。
ここで、使っている人間が少ないのだから、単に穴が見つかって
いないだけじゃないの?という突っ込みもあるが、そう考えると
Windowsの穴は、その膨大な数のユーザー数から考えると、少なく
見えてしまうので、Linuxよりもセキュアではないか?ということ
になってしまう。
There is no spoon.
Re:OS X (スコア:1, おもしろおかしい)
#爆弾が出るセキュアなOSってのもなあ。
Re:OS X (スコア:2, おもしろおかしい)
セキュリティ保全に自爆装置は必須です。
利用者の意識じゃないのかなぁ。 (スコア:3, おもしろおかしい)
Linux: 絶対数はそれなり、セキュリティに関して慢心ぎみの初心者が割と居る。
Windows: 絶対数は多い、パッチが出てもパッチの影響が怖くてあてたくない人多数。
MacOSX: 絶対数は少ない、パッチが出るとありがたがって積極的にあてる。
# 私MacOSX使いです。やっすい維持費で穴塞いでもらえるのが楽でねぇ…
Re:利用者の意識じゃないのかなぁ。 (スコア:2, 参考になる)
1.キーボードが無事だった事をお祈り申し上げます。(噴出しては無いはずですが)
2.ありがたや~、ありがたやぁ
あのUpdateのインターフェースは割と良くできてると思うんですよ。
何が入るのか・どうなるのかが有る程度は見えますし、嫌なら拒めるし。
入れた結果起きた事も、今のところひどいのは無い気がするので、拒む必要無いし。
別にMacOSXセキュアじゃないよって意見もあるんでしょうけど、
ユーザにうまい事パッチを当てさせてる気はしますよね。Apple。
OS自体の部分だけでなくそういう所も含めて重要なのかなぁと。
数字の評価はもう至る所で腐るほどされてると思うので。
# 手を振り言葉残し、とかって37Aさんは解るんでしょうか。
それなら (スコア:2, 興味深い)
本来安心・安全であるべきサーバなのだから、マイナーで攻撃されないのならそれが一番なのでは?
元を読んでないのでわかりませんが、シェアと攻撃された割合をふまえてどのくらいの確率で攻撃されるのかも考慮に入れて発表してるのではと思うけど。
Re:それなら (スコア:1, 参考になる)
各種システム向け(Solaris等含む)攻撃ツールのアーカイブが残ってたとか。
*BSD程度ではマイナーとは言えませんぜ。
パッケージシステムの充実やスクリプト言語の隆盛をみると、UN*X系なら
どれでも(攻撃し易さは)一緒な気がします。
落し易さはシステムより管理者によるものだと思うけど。
# 乗っ取られてるらしい海外のサイト(linux?)みかけたAC
Re:それなら (スコア:1)
NetBSD-alphaとかsony-newsとかだと、十分マイナーですね。i386用のコードでバッファオーバーフロー攻撃を受けたら、プロセスは落ちるかもしれないけど乗っ取られはしないので。
Re:揚足とって申し訳ないが、 (スコア:2, おもしろおかしい)
誰も知らないなら、此処に書かれる訳がない:-(
ウィルスやワームは? (スコア:2, すばらしい洞察)
>「仮に侵入されても人が造ったExploitしか使えない小物のクラッカーでは*BSDを乗っ取るのは無理」
こういう慢心が一番やばいということを教えてあげた方が。
BSDだろうがLinuxだろうが、きちんと「ソフトウェアの更新をして
いない限りは危険だ」と思うんですけど、この人は何が言いたいのか。
(そして、きちんと更新されてるならLinuxもBSDも大体同等に
安全だと思うんですが)
Re:ウィルスやワームは? (スコア:1)
>BSDだろうがLinuxだろうが、きちんと「ソフトウェアの更新をして
>いない限りは危険だ」と思うんですけど、この人は何が言いたいのか。
もちろん*BSD系が100%安全だという気は毛頭ありません。常に更新し続ける事は大前提ですし、それすらせず放置していても大丈夫、などとは一言も言ってません。
現に4.82%は被害に遭っていますし、MacOS X用rootkitが発見された [srad.jp]との報も記憶に新しいところです。
And now for something completely different...
BSDはひとまとめですかい (スコア:2, 興味深い)
---- 6809
さらにもっとセキュアなOSは (スコア:2)
Win系 25.19%
BSD系(MacOSX含) 4.82%
発表されている3種類をすると95.65%
「BSD/Macは割合が低いから最もセキュア」って論調なら、
その他の4.35%に含まれているOS(TRON?MacOS9?BeOS?)の方がセキュアって言えてしまうような気が。
BSD がセキュアだというのは正しい (スコア:2, すばらしい洞察)
だから、脆弱性が出たら対応しなきゃいけないのは Windows も FreeBSD も一緒だけど、それに要する手間とか、対応しなけりゃいけない頻度は全然違うわけ。実際、FreeBSD の方が、Windows のサーバーより全然楽だ。リモートから直せるのも助かるし。そういった事を無視して、「脆弱性が出たら対応しなきゃいけないのは Windows も FreeBSD も一緒だから、Windows も FreeBSD もかかる手間は同じだ」っていうのは、詭弁。あるいは、使えない奴の「酸っぱいブドウ」的な意見。
OpenBSD は、ちょっとしか使ったことが無いが、セキュアである事が売りなシステムだし、NetBSD もちょっとしか使ったことが無いが、NetBSD を好んで使う硬派な管理者であれば、サーバーを構築するのに無意味なプログラムをジャンジャン入れて、Windows や、一部の Linux のディストリビューションみたいに、対応しなきゃいけない脆弱性を増やす様な狂った真似はしないだろう。
もちろん、Linux でも、最小限の物だけを選んでインストールできる硬派なディストリビューションなら、対応しなければいけない脆弱性を少しにできるというのは同じである。まあ、 BSD って、マイナーでそんなに沢山ディストリビューションが無いってのもあるけど。
# Mac OS X は知らないけど、、、
Re:BSD がセキュアだというのは正しい (スコア:2, すばらしい洞察)
セキュリティに関していうと,Linuxの場合は,全部一緒くたにされるというハンデがあるようです。どことはいわないが,ガードの甘いディストリビューションがあるため数字が大きく出がち。
最小構成でインストールできる,アップデートが簡単ということなら,Gentooはかなりいい線いっていると思いますよ。パケットフィルタのことまで考えるなら,現状では,OpenBSDかGentooがいいんじゃないかと思います。(FreeBSD 5.x系が枯れてくれば,FreeBSDでもよさそうですが。)
あと,SELinuxは重要な機能だと思います。
ズボラな管理者が多いので危険,という議論もいいのですが,きちんと管理するときにどこまでセキュアにできるか,という議論も重要でしょう。後者の議論なら,Linuxカーネルはかなりのレベルです。
Linuxの危険性はWindowsの2.5倍? (スコア:1)
>被害件数はLinux(65.64%)、Windows(25.19%)で
この数字を見る時点で・・・。
Re:Linuxの危険性はWindowsの2.5倍? (スコア:5, すばらしい洞察)
「マニュアル攻撃」っつーのがミソですな。ワームにやられてアヒャってる Windowsサーバを含めれば全然違った数字になるでしょう。
前出の (#647436) [srad.jp]にもあるように、 (LinuxならたいていのディストリビューションでPerlとかsendmailとか が入ってるけど、Windowsだと自分で入れる必要があるので) Windowsは乗っ取ってもあまりおいしくないから、わざわざ手動で アタックするならWindowsよりもLinuxを選ぶでしょうね。
とはいえ、つまりLinuxは積極的に狙われるってことなので 運営する際には注意が必要であるとは言えるでしょう。
Re:Linuxの危険性はWindowsの2.5倍? (スコア:2, 興味深い)
http://news.netcraft.com/archives/2004/11/01/november_2004_web_server_survey.html
Apache 67.92%
Microsoft 22.72%
とのことなので、「よく狙われるコンピュータ≒Webサーバ」と考えるとほぼ一致するような気がします。
# apacheに含まれるBSD系のOSの率がよくわからん
クラック数ベースの比較だと、クラック可能なコンピュータが一定の割合でクラックされるとすると(実際はクラックの人気度も絡むのかな?)、「稼動数 * 脆弱性の割合」ではなく「稼動数 * ほったらかしの割合」に近くなると思うのでOSの脆弱性云々とは全く別次元の比較の話のようにも思います。
WindowsUpdateとかapt-getとかyumが効果的に運用されることを前提とすれば、OS同士の比較としてもいい気もしますけど…
Re:Linuxの危険性はWindowsの2.5倍? (スコア:2, すばらしい洞察)
普及してる=狙われやすい
ってことじゃないですかね。セキュアかどうかは、どっちかっつーとOSよりも管理者次第・・・
Re:Linuxの危険性はWindowsの2.5倍? (スコア:1)
のに対して、Windowsでわざわざそんなサービスを提供してる人が少ないから・・・・かなぁ?
Re:Linuxの危険性はWindowsの2.5倍? (スコア:1)
あるいは、この調査で扱っていないと思われる他の方法(メール経由など)で乗っ取るのが容易だからか。
Re:Linuxの危険性はWindowsの2.5倍? (スコア:2, おもしろおかしい)
Re:Linuxの危険性はWindowsの2.5倍? (スコア:1)
パスワードが設定されていない、っつーのは論外だと思う…。 それじゃ、Linuxだろーが、*BSDだろーが、Solarisだろーが、SUN-OSだろーが、 Newsだろーが、NEXTだろーがダメだろ。
(Windowsはパスワードが無くても普通には外からログインできないけど)
でも、一時のLinuxブームが起きたときにはそんな常時起動・常時接続な Linuxマシンが乱立したのだろうか…。
どうも違和感のある数字だなぁ (スコア:1)
ITmediaの記事にある「常時接続されているコンピュータ」とか「マニュアル攻撃を受けて被害に遭う」といった言葉がどういう定義で使われているのかわかりませんが、どうも違和感のある数字ですね。
# Windowsの被害件数が意外と少ないから、サーバ限定の調査なのかも
タレコミには「BSDとMac OS Xの普及の絶対数が少ないから被害件数も少な」いだろうとありますが、Macを含めたBSD系とLinuxなら、(デスクトップ用途でもサーバ用途でも)シェアにそれほど大きな差はなさそうな気がする一方、被害件数は軽く10倍を超えてますし。
製品レベルのOS(Windows含む)ならどれでも、ある程度注意を払って運用していれば「そこそこ安全」にはなるはずですし、そもそもこういった「件数勘定に」どこまでの意義があるのかわかりませんが。
# そういった意味では、野良サーバが少ない(多分)Windowsの
# 被害件数が少なくなってるのは妥当な数字なのかな?
まあ、数え方次第でどんな数字でも出てくるよ、ということでしょう。
yp
Re:どうも違和感のある数字だなぁ (スコア:1, 参考になる)
Re:どうも違和感のある数字だなぁ (スコア:3, 参考になる)
せっかくなので(いまさらではありますが)タレコミやITMediaの記事で抜けている内容をちょっと紹介してみます。
miniカテゴリとmicroカテゴリで90%以上を占めているので、小規模サーバが集計の中心になっているようです。全体で23万件強という数字は、「損害を受けた」コンピュータの台数と一致するので、それだけを集計したと考えられます。
# 中古で5千円の「ファイアーウォール機能つきルーター」や
# 余った部品で組んだ「でっちあげゲートウェイ」は
# 「総額$7 million 以下のseparate firewall unit」に
# 含まれるんだろうか・・・?
「基本的なセキュリティは最新」ということは、最低限の管理はされているシステムのデータだけを集めたということなのでしょう(きっと)。「ハッカーによる手動攻撃」で「損害を受けた」ものの定義は相変わらずはっきりしません。
yp
どうも違和感のある数字だなぁ (スコア:1)
> 数え方次第でどんな数字でも出てくるよ
これに対して、
Microsoftな人、もしくはそれに類する者の観点
と言うのはどうでしょうか、こういう話題の場合いつもでる意見ですが、
あまりためにならない統計の結果ですし
単に「Linuxはサーバーとして危険すぎる」、と印象付けたいがための
正しい数字なのでは無いでしょうか。
Re:どうも違和感のある数字だなぁ (スコア:1)
クライアントと同じで、ユーザが多いものに巻かれろ方式で、バカな
ど素人がサーバを建てて放置してやられやすいパターンが多いのでは?
Windowsのサーバ系のものは高価なのでど素人が気軽に試しで手を
出せるようなものじゃないでしょうし...。
Mac OS Xでサーバを運用する人は少ないのでは?Mac OS Xをサーバ
として運用するにはやはりハードルが高いので、Mac OS X Serverと
数的には変わらない程度に少ないと思います。それに比べ、FreeBSDは
ハードルが高くてもサーバとしての実績や資料の量からいって、ずっと
多いと思います。*BSDのほとんどかも。
OSよりもアーキテクチャ? (スコア:1, 興味深い)
exploitのほとんどは機械語レベルで書かれているので,
当該CPUの機械語を理解する人の数が少なければ少ないほど
被害も小さいのかなと思ったり
むかしLinuxPPCのサーバーを立ててたけど,ほとんどアタックされた覚えが無い。
Re:OSよりもアーキテクチャ? (スコア:1)
i386以外で作るのもアリなんだろうなぁ。
Re:OSよりもアーキテクチャ? (スコア:1)
バッファオーバフロー系の攻撃が多いと思いますが、x86系だとレジスタが少ないので、引数も返り値もリターンアドレスもすべてスタックにつんでしまいます。それに比べて例えば PowerPC 系だと標準の ABI では 8 個まではレジスタで引数を渡しますし、リターンアドレスもリンクレジスタに入れるので x86 系に比べて攻撃しずらいです。レジスタを直接書き換えるのはスタックに比べて充分に困難だからです。
なので、用途によっては x86以外を選択するというのも一つの理由として充分にあり得るかと。
Re:使う人の違いじゃない? (スコア:1)
と言えそうだけれど、Mac OS X の場合はそうでもない。
単に WebObjects を使いたいから、という人もいそうだ。
Linux と大差ないタコ吸引力を持っていると思うよ。
Re:使う人の違いじゃない? (スコア:3, 興味深い)
タコはいないのでは?それからMac OS X ServerのSoftware Updateを侮っては
いけないと思います。分かっている人でもうっかり忘れたり面倒だからと後回しに
したりせずに、自動通知があり簡単にアップデートが出来る訳で。
Re:使う人の違いじゃない? (スコア:1)
Linuxの中にはSSHのPermitRootLogin がYesになっているディストリビューションが存在します。
これはSSHを使用したrootへのアタックが可能となると言うことです
他にもよりセキュアな方向に振られていない設定が有るかもしれません
#この1点で幻滅したのでそれ以降調べてません(苦笑)
同様に、ユーザーに必要のないサーバーアプリケーションも標準で導入されている物も有るでしょう
余分なアプリは余分なセキュリティホールを発生するのは当然の事です。
#そのころGentooはまだ無かったんですよねぇ~
サーバーを構築していますが、私がLinuxを嫌ったのは主にこの2点だったりします。
サーバーにX Windowは不要ですし、必要な物を最小限の手順で入れられる物として選んだらBSDになっただけです。
#さすがに男は黙ってシリアルコンソールとは思わないのでSSHは使ってますが(苦笑)
まぁでも、*BSDはLinuxより、流行ってない=わかってる人しか使っていないと言うのは最大の要因だとは思います
Re:使う人の違いじゃない? (スコア:2, 参考になる)
で、実はこれ単体では驚異と言えるほど危険にはなりません
ただし、これ以上にデフォルトで有効になっている可能性の高いPasswordAuthenticationが同時にYesとなっていると話は別です
これはSSH経由でrootのパスワードにたいし辞書攻撃がかけられる事を意味します
さらにrootがログイン可能になっているまずい点は、「root」と言うユーザーが特権ユーザであると、アタックする側にばれてしまっていると言う事です。
一般ユーザーは、どの様なユーザー名なのかホスト情報のみでは推測しにくいですが、rootはシステム固定のユーザです
そのため、ユーザー名とパスワードの組み合わせが判明しない限りログイン出来ない一般ユーザーより、パスワードに対しのみ攻撃をかければよいrootはアタックがかけやすくなります。
基本的にはsuまたはsudo等を使用すれば、一般ユーザー->ルート権限を取得する事が可能なのですから無駄な危険は避けたい物です
よって、デフォルト設定は何も弄らない人の事を考え、PermitRootLoginはNoとしてあった方がリスクは低いと言う事になります。
ちなみに、rootに直接アクセス出来なくても、rootに直接アクセス出来てもリスク変わらないとは思いません
直接アクセス可能な分、Password認証がYesになっていなくても微量のセキュリティは損なわれていると考えるべきでしょう
rootと言う特権ユーザーのユーザー名はばれてますから
言い訳を探すのはやめよう (Re:考慮されてるのかな?) (スコア:5, すばらしい洞察)
実際のクラック件数ベースなので、ある意味考慮されている、と言っていいと思いますよ。
一気にrootをとれなくても、合わせ技で最終的に目的のレベルまで
到達されてしまえばおしまいです。
でも、言い訳ばかり考えるのは、もうやめにしましょうよ。
かつて、WindowsよりLinuxが劣っている、というレポートを糧に性能を
いっそう伸ばしたことがありました。
今回も同様に、「じゃぁ、どうするのか」という行動が問われるのだと思います。
素人考えですが、アップデートをよりいっそう強化(強制)させたり、
オールドスタイルのツールの提供をやめたりするのが手かもしれません。
フレンドリなセキュリティーチェックツールを標準で動かすことがいいのかもしれません。
SELinuxの機能を使いやすいように整えたり、情報を提供していったりするのも
重要かもしれません。啓蒙サイトをどんどんだしていくことが解決につながることかもしれません。
危険な状態でサイトを放置している隣人に、やんわり注意してまわるしかないのかもしれません。
Windowsとの比較がどうこう、マイナーメジャーが云々はどうでもいいです。
15万4846件という数字をどう下げるか。
「自分たちのOSだ」と思うなら、これが私達に課せられた課題です。
それは、「素人な私」も含めて、です。
常識 (スコア:2, 参考になる)
/.erなら意味を知らない人を捜す方が大変では無いかと思いますが
簡単に言うとその道を極めた人ですね
他の人よりも優れていて、”それ”できわどい事までやってのけるなら
十分にWizardです。
# ハッカースラングを説明するのは大変なんだから、無駄な批判はやめてね
その他、ここでわからない言葉があればJargo Fileに頼りましょう
Re:常識 (スコア:1)
>*nix系の世界なら一般用語です。
いや、元発言の方が書いているのはそういう話ではなくて。
「師匠」で「*BSDのウィザード」の*BSDに関する発言ということで一見、信憑性が高い……と思いがちですが、実際には具体的な人名が出ているわけでもない「タレこんだ人だけが知ってる人」であり、本当に「*BSDのウィザード」かどうか読者には分からない(最悪、実在の人物かどうかも確証はない)ということでしょう。
私自身はまあ、そこまで疑いだしたらきりないし、その発言を論拠に記事を組み立てているわけではありませんから目くじら立てなくても、と思いますが。
タイトルにとらわれず内容もきちんと読んだほうがよいのではないかと。
(タイトルは「ウィザードと言っても一体どこのウィザードよ?」という意味かと)
確かに紛らわしくもありますが、少なくとも最後の1行で分かります。
-May the sakura-cards be with you.-
Re:常識 (スコア:1)
# 目くじらは立ててませんけど、そう見えたんですよね・・・・
# 最後の1行でもわかりませんでした(わしが非常識?)
Re:常識 (スコア:1)
># 目くじらは立ててませんけど、そう見えたんですよね・・・・
いえ、私からして目くじら立てているように見えたのは、IR.0-4さんではなく元コメントの人です。余談、雑談みたいな所なんだから、そこまで気にしなくてもいいんじゃないの?ということで。
-May the sakura-cards be with you.-
Re:常識 (スコア:2, 参考になる)
そりゃ1986年ですから、そう簡単には見つからないでしょう。 当時の表題は「What is a Unix Wizard?」でした。 これです。
=======
"何かあったら-----彼はguruだ",とか "あそこに真の Unix hackerが居る." というのをよく聞きますが,
"Unix Wizard"とは何だろう? "guru"とはどう違うのだろう?
これらの疑問の答えとして.....これがUnix社会の階級だ!!
名前と特徴( NAME DESCRIPTION AND FEATURES)
利用者は
John Gilmore {sun,ptsfa,lll-crg,ihnp4}!hoptoad!gnu jgilmore@lll-crg.arpa
May the Source be with you!
紙が貴方と共にありますように!
==
ここまで
Re:ウィザードって? (スコア:1)
ある時間になると自動的にログを暗黒方面に転送したり、ある時間になると周囲に攻撃を開始したり。。。
#間違いじゃあないよな。
Re:secureとuptime? (スコア:2)
ありますが)BSD/OSですが、ダウンタイムが許されない環境
で使用される他のOSのようにカーネルのホットパッチ機能
を有しているのでしょうか。汎用のOSで数年に及ぶuptime
はとても信じがたいのですが。
BSD/OSを使ったことがないので、ご存知の方に教えていた
だけると有り難いです。
メインフレームでもないのに、そんなに長期間ハードウェア
障害によるダウンがないのも不思議ですが。