Est-il plus sûr d'utiliser moins entendu parler de logiciels que les logiciels populaires?
Est-il une bonne politique d'utiliser des applications non traditionnelles, ou cela dépend-il? Par exemple, il est préférable d'utiliser un navigateur, un lecteur multimédia ou un système d'exploitation moins populaire, car il est moins susceptible d'exploiter les pirates informatiques? D'autre part, s'il est plus populaire, il peut avoir une communauté plus importante pour le soutien et s'il est open source, il a plus d'yeux et les gens le fixant.
Pour clarifier, je vois 3 positions, on peut rester sur ceci: c'est mieux, c'est pire, cela dépend de la situation spécifique/non pertinente.
Par exemple, j'ai une fois entendu à l'aide de Opera navigateur Web est en sécurité car (en mode Turbo), le trafic de proxie. Je pensais que cela peut être meilleur parce qu'il est moins populaire.
Une autre considération est la popularité du logiciel de sécurité lui-même. Il serait raisonnable qu'un écrivain viral/pirate informatique viserait à vaincre les contrôles de sécurité les plus populaires, par exemple un virus pour éviter de détecter ou d'assommer Avast, mais peut ne pas avoir dérangé par Trend Micro.
Ça dépend. Si toutes les alternatives relativement fonctionnelles sont fondamentalement sujettes aux erreurs de programmation, comme si c'était le cas avec les navigateurs, il est probablement une bonne idée d'utiliser un non-si populaire.
En particulier, si votre modèle de menace n'inclut pas les adversaires sophistiqués qui attendent, observent et développent des attaques spécifiquement pour votre configuration, à l'aide du logiciel non aussi populaire vous libérera de beaucoup de scanner/guitage/ver attaques. Je pense que c'est une politique de sécurité efficace pour les systèmes "pratiques", c'est-à-dire une configuration de l'industrie/maison plus grande où la configuration logicielle et matérielle ne peut pas être conçue/achetée/appliquée du début avec la sécurité.
De toute évidence, vous ne devez pas non plus utiliser de logiciels à peine entretenus ou non entretenus. Juste parce que son non-si populaire ne veut pas dire sa sécurité.
FWIW, voici une analyse statistique simple du taux de bogue de sécurité moyen des packages Debian: https://freeside.trust.cased.de/apt-sec/hits
Veuillez noter:
- Les métriques ont une convivialité limitée. Peut-être le plus utile et le plus facile à comprendre est le MTTF, qui est la durée moyenne entre les incidents de sécurité déclarés pour un paquet particulier.
- Le système utilise les référentiels et les avis de Debian pour déduire ces informations, mais bien sûr, un bogue dans le paquet VLC de Debian est probablement également un bogue dans le paquet VLC de tous les autres.
- Un taux de bogue moyen X ne signifie pas que les incidents se produisent à ce débit sur votre plate-forme particulière. C'est une limite supérieure, couvrant toutes les combinaisons possibles. Si vous exécutez Windows, il est probable que de nombreux avis de sécurité VLC de Debian ne s'appliquent pas à votre VLC Windows.
L'utilisation d'applications obscures est que mon phrasé suggère, une forme de Sécurité via obscurité . Un tel raisonnement est faux et ne conduit qu'à un faux sentiment de sécurité. L'obscurité est non Sécurité.
Ne sélectionnez pas votre logiciel critique en fonction de la popularité de cela ou de ne pas; Sélectionnez-la en fonction de la quantité d'analyse qui s'est installée dans le logiciel, la rapidité avec laquelle le fournisseur est de corriger les problèmes de sécurité et des mesures de sécurité prouvables qu'elles offrent.
@Polynomial fait de très bons points concernant la "sécurité par l'obscurité" et vous ne devriez certainement pas vous protéger en fonction de "obscurité" car il s'est avéré de ne pas travailler. Cependant, je ne crois pas que la réponse à votre question est celle simple - je pense que votre question est plus une question de "réduction des risques" mais pourrait être fausse.
Très souvent dans la communauté de la sécurité, nous disons simplement "non". Choisir quelque chose parce que ce n'est pas "populaire" ou n'a pas de grande part d'une part de marché, cependant, n'est pas un "non" "non" ime.from Votre question, IMHO, je ne pense pas que vous suggérez une "sécurité à travers l'obscurité "politique.
J'ai vu des exemples de personnes employant une stratégie réussie en utilisant des logiciels "moins populaires". Il est important de noter que c'est une solution assez souvent à court terme, ce qui n'est pas une chose à long terme.
Je suis à peu près sûr que c'est un fait que la grande majorité des attaquants ciblera la technologie utilisée par la majorité des personnes, c'est généralement pourquoi Windows, Internet Explorer, Adobe Acrobat a été tous ciblés (ainsi que le fait que certains du code était très pauvre). Les fenêtres ultérieures et IE (IE9 sont de manière significativement plus sécurisée) des rejets ont été des améliorations dramatiques sur leurs prédécesseurs d'un point de vue de sécurité, car ils ont pris une telle conversation des attaquants et de la communauté de la sécurité ainsi que de la perte. Part de marché (éventuellement plus blessant). Toutefois, malgré ces améliorations de sécurité, Microsoft est toujours ciblé, le tache mardi est toujours assez souvent "énorme" et c'est à cause de leur grande base d'utilisateur (une grande cible).
Par exemple, je connais des personnes qui ont déménagé de Windows à Mac, car elle avait moins de parts de marché et a été jugée "plus sécurisée", rappelez-vous la Apple Campagne . Comme Apple sont devenus plus populaires, ils ont été cible beaucoup plus et il y a beaucoup plus de logiciels malware spécifiquement pour Mac maintenant, alors que ce n'était pas aussi populaire que cela confirmerait votre suggestion, c'est-à-dire que oui était plus sécurisé quand ce n'était pas aussi populaire. Ce n'est pas l'infrastructure sous-jacente qui l'a rendue plus insécurité, mais généralement toutes les bonnes applications que Apple ajoute et ajoute ces utilisateurs, principalement des nouveaux utilisateurs qui ne sont pas aussi techniques que sa base d'utilisateurs originale. Il ne s'agit pas de dire qu'ils étaient "plus" sécurisés avant que Steve Jobs ait repris le monde, mais je crois qu'il est prudent de dire que vous étiez moins "à risque" d'être attaqué avec un Mac il y a 6 à 8 ans que vous ne l'êtes aujourd'hui.
Je sais que les gens se déplacent maintenant de Mac à Linux pour se retirer de la "surface d'attaque" Mac. Si Linux deviendra aussi populaire que MAC sur le bureau, c'est une autre question, mais il existe de nombreuses raisons pour lesquelles utiliser Linux, car le bureau est sécurisé (trop pour ici), notamment parce que la personne qui utilise Linux est très techniquement advevée et consciente des risques. ) Mais "moins populaire/moins d'une cible" peut être l'un d'entre eux.
De même avec Adobe, leur logiciel a été attaqué à cause de l'énorme base ciblée qu'un exploit réussi pourrait compromettre - il y a des vulnérabilitées dans un autre logiciel PDF, mais ils n'étaient pas attaqués au même degré (étaient-ils?). Ils sont toujours attaqués parce que c'est la solution prédominante pour la lecture/la rédaction de PDF et des vulnérabilités malgré la sécurisation de leur logiciel (par exemple, leur technologie de sandboxing)
Je connais beaucoup de gens qui utilisent des navigateurs Opera ou moins de navigateurs populaires pour parcourir certains sites importants, car il existe également des vulnérabilités dans ce logiciel (comme il y a dans tous les logiciels), ils ne sont pas aussi connus ou aussi bien ciblé. Vous êtes beaucoup plus susceptible de recevoir un courrier électronique avec un lien vers un site Web contenant une charge utile pour exploiter un Firefox, IE ou Chrome vulnérabilité.
@Pepe fait également un très bon point de veiller à ce que le logiciel que vous utilisez est maintenu et régulièrement corrigé (Opera est certainement). J'ajouterais également que c'est un projet de bonne réputation, faites-le sur Internet pour consulter la communauté/la personne derrière le logiciel - Sourceforge est génial, mais elle accueille des choses "intéressantes" pour le moins. En cas de doute, demandez-vous Security Stackexchange :)
En résumé, je ne pense pas que cela vous rend nécessairement plus sécurisé, mais si vous avez la tête vissée, êtes au courant des risques, etc. alors je crois que cette philosophie peut être utilisée pour réduire votre risque avec succès, si elle est utilisée correctement en tant que partie. d'une stratégie globale de défense en profondeur et vous ne vous en appuyez pas totalement.
en termes pratiques, il existe une certaine quantité de sécurité à gagner en "volant sous le radar" si une telle chose est une option pour vous.
[.____] J'ai vu des milliers d'applications facilement exploitables PHP applications qui n'obtiennent jamais une attention et ne sont jamais exploitées "à l'état sauvage", tandis que même le moindre faux pas dans A Wordpress ou une extension de Joomla deviendra rapidement largement exploité. Statistiquement parlant, si une erreur de votre demande ne s'affiche pas sur Exploit-DB ou en CERT, il ne sera probablement pas exploité par des robots de balayage automatisés . Et les exploits par des bots automatisés sont votre plus grande préoccupation si vous êtes un "personne" sur Internet.
mais en tant que solution à long terme, il s'agit d'un abri risqué de rechercher.
[.____] Tout ce qu'il faut, c'est un opportuniste qui remarque une erreur dans votre application pour ruiner complètement toute votre stratégie. Les applications populaires deviennent largement populaires car elles sont bien soutenues, bien gérées et rapidement mises à jour. Les logiciels moins populaires sont souvent abandonnés ou à jour rarement mis à jour. Une erreur dans un tel programme peut ne jamais être mise à jour du tout. Et les plateformes changeantes sur la route seront probablement une non-option. Si personne ne connaît votre application, il est peu probable qu'un outil de migration existe - vous serez coincé et dans une catastrophe.
En outre, certaines classes de dangers peuvent être numérisées de manière générique pour -
[.____] Cela inclut les insectes d'inclusion à distance, les exploits d'injection SQL et quelques autres. L'attaquant n'a pas besoin de savoir à l'avance sur quels logiciels vous utilisez ou si elles sont vulnérables. Au lieu de cela, il peut rechercher certains modèles qui accompagnent souvent un composant exploitable, même s'il ne sait pas ce que cette composante est.
Dans ce scénario, un logiciel mal écrit vous mordra n'importe où, même si vous l'avez écrit vous-même et que personne n'a le code source mais vous.
Idéalement, vous devez vous en tenir à un logiciel de confiance, de vérité et bien entretenu, totalement indépendamment de la popularité.
Si vous devez demander, n'utilisez pas de logiciels moins populaires, car il est plus difficile de trouver de bonnes informations à ce sujet. Je connais google Chrome a un bac à sable très fort, et je suis heureux de dire aux gens qui. Quand il est cassé, vous en entendez parler. Alors que je ne sais pas si Opera utilise Sandboxing ou à quel point sa mise en œuvre est fortement considérée.
OTOH, si vous êtes informé de manière fiable que Opera est plus sécurisé - et que la sécurité est bien entretenue - alors n'hésitez pas à le préférer.
Une chose que je pense que personne n'a été mentionnée est le facteur "contournement". Votre logiciel plus obscurs est susceptible de manquer de fonctionnalité utile. (E.G. Travailler bien avec un certain site Web). Si les utilisateurs sont obligés de changer de logiciel parfois, peut-être sans la même chance d'utiliser une solution de sécurité préparée, ils pourraient peut-être perdre la protection ... peut-être même avoir le pire des deux mondes.
L'utilisation de logiciels non testés/obscur vous permet d'ouvrir des bugs et des chercheurs de sécurité.
Bien qu'il y aura plus d'exploits développés pour IE/Safari/Firefox/Chrome/etc. Les sociétés derrière eux sont sous une pression extrême pour les corriger.
En utilisant simplement un logiciel "obscur", il devient moins obscur aux menaces les plus probables - celles de votre organisation.