web-dev-qa-db-ja.com

一般的なソフトウェアよりも聞いたことの少ないソフトウェアを使用する方が安全ですか?

非主流のアプリケーションを使用することは良いポリシーですか、それとも依存しますか?たとえば、ハッカーが悪用する可能性が低いため、あまり人気のないブラウザー、メディアプレーヤー、またはオペレーティングシステムを使用する方が良いでしょうか。一方、人気が高い場合は、サポートのためのコミュニティが大きくなる可能性があり、オープンソースの場合は、より多くの目と修正する人々がいます。

明確にするために、これに立つことができる3つのポジションを確認します。それはより良い、より悪い、それは特定の状況/無関係に依存します。

たとえば、私はかつてOperaを使用して聞いたことがあります(ターボモードでは)トラフィックをプロキシするため、Webブラウザは安全です。あまり人気がないので、それがより良いと思いました。

もう1つの考慮事項は、セキュリティソフトウェア自体の人気です。ウイルス作成者/ハッカーが最も人気のあるセキュリティチェックを無効にすることを目的とするのは理にかなっています。たとえば、ウイルスはアバストの検出またはノックアウトを回避するように設計されているが、トレンドマイクロに悩まされていない場合があります。

opensourcesoftwarecorporate-policy
29
Celeritas

場合によります。ブラウザの場合のように、合理的に機能するすべての代替手段が基本的にプログラミングエラーを起こしやすい場合は、それほど人気のないものを使用することをお勧めします。

特に、脅威モデルに待機、監視、開発を行う高度な攻撃者が含まれていない場合は、あまり人気のないソフトウェアを使用することで、大量のヒットアンドラン/大量スキャン/ワームから解放されます。攻撃。これは、「実用的な」システム、つまり、ソフトウェアとハ​​ードウェアの構成を最初からセキュリティを考慮して設計/購入/適用できない、より大きな産業/家庭のセットアップに有効なセキュリティポリシーだと思います。

もちろん、ほとんど保守されていない、または保守されていないソフトウェアも使用しないでください。それほど人気が​​ないからといって、安全であることを意味するわけではありません。

FWIW、Debianパッケージの平均セキュリティバグ率の簡単な統計分析を以下に示します。 https://freeside.trust.cased.de/apt-sec/hits

ご注意ください:

  • メトリックは、限られたユーザビリティのものです。おそらく最も有用で理解しやすいのはMTTFです。MTTFは、特定のパッケージについて報告されたセキュリティインシデント間の平均時間です。
  • システムはDebianリポジトリとアドバイザリを使用してこの情報を推測しますが、もちろん、Debianのvlcパッケージのバグは、他のすべての人のvlcパッケージのバグである可能性があります。
  • 平均バグ率Xは、特定のプラットフォームでその率でインシデントが発生することを意味するものではありません。すべての可能な組み合わせをカバーする、その上限。 Windowsを実行している場合、Debianのvlcセキュリティ勧告の多くがWindows vlcに適用されない可能性があります。
11
pepe

あいまいなアプリケーションの使用は、私の言い回しが示唆するように、 セキュリティによる不明瞭 の形式です。このような推論は誤りであり、誤った安心感をもたらすだけです。あいまいさはセキュリティではありません

人気の有無に基づいて、セキュリティが重要なソフトウェアを選択しないでください。ソフトウェアに適用された分析の量、ベンダーがセキュリティ問題に迅速にパッチを適用する速さ、およびベンダーが提供する証明可能なセキュリティ対策に基づいて選択します。

43
Polynomial

@Polynomialは、「あいまいさによるセキュリティ」に関して非常に優れた点を示しており、「あいまいさ」に基づいて自分自身を保護することはできません。しかし、私はあなたの質問への答えがそれほど単純であるとは思わない-私はあなたの質問がより「リスク低減」の質問であると思うが、間違っているかもしれない。

多くの場合、セキュリティコミュニティでは、単に「いいえ」と言います。 「人気がない」または大きな市場シェアがないために何かを選択することは、しかし、単純な「いいえ」の私見ではありません。あなたの質問から、私は、あなたが「セキュリティ」を提案しているとは思わないあいまいさ」ポリシーを通じて。

「あまり人気のない」ソフトウェアを使用して成功した戦略を採用している人々の例を見てきました。ただし、これは短期的な解決策であることが多く、長期的な解決策ではないことに注意してください。

攻撃者の大多数が大多数の人が使用するテクノロジーを標的とするのは事実だと確信しています。そのため、一般に、Windows、Internet Explorer、Adobe Acrobatがすべて標的にされました(また、コードの非常に悪かった)。後のWindowsとIE(IE9の方がはるかに安全です))リリースは、攻撃者とセキュリティコミュニティからこのようなタンキングを取っているため、セキュリティの観点から、前任者に劇的な改善をもたらしました。ただし、これらのセキュリティの改善にもかかわらず、Microsoftは依然として標的にされており、パッチ火曜日は依然として非常に頻繁に「巨大」であり、それはユーザーベースが大きい(大きなターゲット)ためです。

たとえば、私はWindowsからMacに移動した人々を知っています。市場シェアが低く、「より安全」であると見なされたためです Appleキャンペーン を思い出してください。 Appleがますます人気になっているので、それらははるかに標的にされており、今ではMACに特化したマルウェアがもっとたくさんあります。それほど人気が​​なかったときに、はい、それはより安全でした。それはそれをより不安定にする根本的なインフラストラクチャではありませんが、一般的にAppleが追加し、これらを喜んで追加するすべての素敵なアプリユーザー、ほとんどが元のユーザーベースほど技術的ではない新規ユーザーです。SteveJobsが世界を引き継ぐ前は「より安全」だったと言っているわけではありませんが、「危険にさらされていなかった」と言っても安全だと思います6-8年前のMacを使った攻撃を、今日よりも防ぐ。

私は、MacからLinuxに移行して、Macの「攻撃面」から自分自身を取り除くことを知っています。 Linuxがデスクトップ上のMacと同じくらい人気があるかどうかは別の問題ですが、Linuxをデスクトップとして使用することが安全である(ここでは多すぎる)理由はたくさんあります。特に、Linuxを使用している人は技術に精通していてリスクを認識している可能性が高いためです。 )しかし、「人気が低い/ターゲットが少ない」もその1つです。

アドビの場合と同様に、エクスプロイトの成功が危うくする可能性のある巨大なターゲットベースのために彼らのソフトウェアが攻撃されました-他のPDFソフトウェアに脆弱性がありますが、それらは同じ程度に攻撃されませんでした?)。ソフトウェアのセキュリティを大幅に強化しても(サンドボックステクノロジーなど)、PDFの読み取り/書き込みや脆弱性の主な解決策であるため、攻撃されています。

特定の重要なサイトを閲覧するためにOpera以下の人気のあるブラウザを使用している人がたくさんいることを知っています。そのソフトウェアにも脆弱性があるため(すべてのソフトウェアにあるように)、それらはそれほどではありません)よく知られているか、ターゲットが絞られています。Firefoxを悪用するためのペイロードを含むWebサイトへのリンクを含む電子メールを受け取る可能性がはるかに高くなりますIEまたはChrome脆弱性。

@Pepeはまた、使用しているソフトウェアが維持され、定期的にパッチが適用されていることを確認することに関して非常に優れています(Operaは確かにそうです)。また、評判の良いプロジェクトであることを確認し、インターネットで掘り下げてソフトウェアの背後にあるコミュニティ/人物を確認します。Sourceforgeは素晴らしいですが、控えめに言っても「興味深い」ものをホストしています。疑わしい場合は、 Security Stackexchange :)で質問してください。

要約すると、必ずしもより安全になるとは思いませんが、頭をねじ込んだり、リスクを認識したりしている場合は、そのような哲学を使用して、部分として正しく使用すれば、リスクを正常に削減できると思います全体的な多層防御戦略を採用しているため、完全に依存しているわけではありません。

14
Mark Hillick

実際には、そのようなことが選択肢である場合、「レーダーの下を飛ぶ」ことによってある程度のセキュリティが得られます。
私は何千もの容易に悪用可能なPHPアプリケーションが何も注目されず、「実際に」悪用されることは決してありませんが、WordpressまたはJoomla拡張機能はすぐに広く利用されるようになります。統計的に言えば、アプリケーションのミスがExploit-DBまたはCERTに表示されない場合、自動スキャンボットによって悪用されることはおそらくありません。 。また、インターネット上で「誰も」いない場合、自動化されたボットによる悪用は最大の懸念事項です。

ただし、長期的な解決策として、これは危険な種類の避難所です。
戦略全体を完全に台無しにするために、アプリケーションの間違いに気付いた1人の日和見主義者だけが必要です。人気のあるアプリケーションは、サポート、管理、更新が迅速であることが主な理由です。あまり人気のないソフトウェアは、しばしば見捨てられるか、まれに更新されます。そのようなプログラムの間違いはまったく更新されないかもしれません。そして、将来的にプラットフォームを変更することはおそらくオプションではありません。アプリについて誰も知らなければ、移行ツールが存在する可能性は低く、行き詰まって災害に陥ります。

また、特定の種類の危険は、一般的に-でスキャンできます
これには、リモートインクルードバグ、SQLインジェクションエクスプロイト、およびその他いくつかが含まれます。攻撃者は、実行しているソフトウェアやその脆弱性の有無を事前に知る必要はありません。代わりに、そのコンポーネントが何であるかを知らなくても、悪用可能なコンポーネントに付随することが多い特定のパターンを探すことができます。

このシナリオでは、たとえ自分で書いて、誰もソースコードを持っていなくても、不十分に書かれたソフトウェアはどこにでも噛みつきます。

理想的には、完全に人気に関係なく、信頼され、吟味され、十分に保守されたソフトウェアを使用する必要があります。

2
tylerl

質問する必要がある場合は、あまり人気のないソフトウェアを使用しないでください。適切な情報を見つけるのが難しくなります。私はGoogleを知っているChromeはサンドボックス化が非常に強力であり、それを人々に伝えて嬉しく思います。壊れたときにそれが聞こえます。一方、Operaはサンドボックス、またはその実装がどれだけ高く評価されているかを使用します。

OTOH、Operaの方が安全であり、セキュリティが十分に維持されていることを確実に知らされている場合は、お気軽にご利用ください。

誰も言及していないと私が思うことの1つは、「バイパス」要素です。あなたのもっとあいまいなソフトウェアは、いくつかの便利な機能を欠いている可能性があります。 (例えば、特定のウェブサイトでうまく機能しています)。ユーザーがソフトウェアを切り替えることを余儀なくされる場合、おそらく準備された安全なソリューションを使用する同じ機会がない場合、ユーザーは保護を失う可能性があります。

1
sourcejedi

テストされていない/あいまいなソフトウェアを使用しないと、バグやセキュリティの研究者に解放されます。

IE/Safari/Firefox/Chrome /などのために開発されたエクスプロイトが増える一方で、それらの背後にある企業はそれらにパッチを適用するという非常にプレッシャーがかかっており、非常にプレッシャーがあります。

「あいまいな」ソフトウェアを使用するだけで、最も可能性の高い脅威(組織内の脅威)に対するあいまいさが少なくなります。

1
November