it-swarm-es.com

OpenBSD vs. seguridad de NetBSD

Si busco las dos palabras: OpenBSD y NetBSD en http://www.exploit-db.com/ , obtengo 17 resultados relacionados con errores de seguridad en OpenBSD y 8 resultados relacionados con errores de seguridad en NetBSD .

Entonces, ¿cuáles son las diferencias exactamente y cómo auditan NetBSD y OpenBSD su código?

14
LanceBaynes

@rook: debe ejecutar una diferencia en los dos núcleos, después de todos esos años (17 desde la división) de divergencia, no hay mucho que todavía sea común, sin embargo, todavía hay cruces entre proyectos y una muy buena idea se extenderá por todos lados.

OpenBSD tiene mucho más en el camino de la arquitectura de seguridad, ya que en el soporte del compilador para evitar desbordamientos de búfer, aleatorización de direcciones por todos lados para que un atacante no pueda predecir nada, protección de memoria estricta para que la memoria grabable no sea ejecutable, ese tipo de cosas hacen que cualquier error Habría pasado a sus desarrolladores curiosos ojos mucho más difícil si no imposible de explotar. También hace que ejecutar software inseguro sea un poco más seguro.

OpenBSD también fue el primero en introducir muchos avances, especialmente en el campo de la criptografía práctica, p. hashing de contraseña más fuerte (bcrypt), encriptación de intercambio ... Cosas que no afectarán ningún recuento de exploits (lo que no significa mucho como una métrica de seguridad, si uno no encontró un error, tal vez simplemente no buscó lo suficiente ) pero hace mucho por la seguridad práctica. Además, en la parte práctica de seguridad, se puede ver la separación de privilegios generalizada, el chrooting generalizado, ya que las cosas que deberían suceder, lo harán mucho menos malo ...

Descargo de responsabilidad: solía ser un committer de OpenBSD, pero fue hace mucho tiempo.

17
Bruno Rohée

El primer punto que destacaría es que el número de visitas a una determinada vulnerabilidad/explotación db no es un indicador confiable de la seguridad general. Esto podría definirse en gran medida por otros factores, como el enfoque de los esfuerzos del investigador de seguridad o las políticas de divulgación.

Incluso una lectura rápida sobre los sitios web del proyecto proporciona un indicador de la probable postura de seguridad comparativa entre los dos. OpenBSD establece claramente que uno de sus objetivos principales "es ser el NÚMERO UNO en la industria por seguridad". Proporcionan una gran cantidad de información y detalles sobre su enfoque para lograr esta tarea. No quiero repetir la respuesta de @Bruno Rohée, pero han implementado una serie de características de seguridad avanzadas, fueron pioneras en versiones nuevas (y ciertamente controvertidas) de funciones c de uso común (strlcpy y strlcat, que desde entonces han sido adoptadas por NetBSD y FreeBSD) , proporcionan una gran cantidad de información relacionada con su riguroso proceso de auditoría de código fuente y envían el sistema operativo en lo que llaman un modo 'Seguro por defecto'.

Aunque NetBSD no carece de seguridad en ninguna comparación generalista, sus objetivos centrales del proyecto no mencionan explícitamente la seguridad:

  • proporciona un sistema BSD bien diseñado, estable y rápido,
  • evita gravar las licencias,
  • proporciona un sistema portátil, que se ejecuta en muchas plataformas de hardware,
  • interopera bien con otros sistemas,
  • se ajusta a los estándares de sistemas abiertos tanto como sea práctico.

... mientras que OpenBSD hace:

  • Presta atención a los problemas de seguridad y arréglalos antes que nadie. (Intente ser el sistema operativo más seguro número 1).
19
TobyS

¡No está mostrando la realidad! Es exactamente como la diferencia de error entre Apache y nginx. Apache tiene mucho más, pero esto es solo porque se usa mucho más que nginx.

No sé nada sobre la auditoría de código de NetBSD, pero OpenBSD es muy serio al respecto. Lea eso (Proceso de auditoría): http://www.openbsd.org/security.html

Si necesita un sistema operativo confiable, entonces OpenBSD debería ser su elección.

Saludos

4
Sacx