È più sicuro usare software meno conosciuti rispetto ai software più diffusi?

Dipende. Se tutte le alternative ragionevolmente funzionali sono fondamentalmente inclini agli errori di programmazione, come nel caso dei browser, è probabilmente una buona idea usare uno non così popolare.

In particolare, se il tuo modello di minaccia non include sofisticati avversari che attendono, osservano e sviluppano attacchi specifici per la tua configurazione, l'uso del software non così popolare ti libererà da un sacco di hit-and-run / mass- scansione / attacchi worm. Penso che questa sia un'efficace politica di sicurezza per i sistemi "pratici", vale a dire qualsiasi più ampia configurazione industriale / domestica in cui la configurazione software e hardware non possa essere progettata / acquistata / applicata sin dall'inizio pensando alla sicurezza.

Ovviamente, non dovresti usare software mantenuto a malapena o non mantenuto. Solo perché non così popolare non significa che sia sicuro.

FWIW, ecco una semplice analisi statistica del tasso medio di errore di sicurezza dei pacchetti Debian: link

Nota:

• Le metriche sono di usabilità limitata. Forse il più utile e più facile da capire è l'MTTF, che è il tempo medio tra gli incidenti di sicurezza segnalati per un particolare pacchetto.
• Il sistema usa i repository e gli avvisi Debian per dedurre queste informazioni, ma ovviamente un bug nel pacchetto vlc di Debian è probabilmente anche un bug nel pacchetto vlc di tutti gli altri.
• Un tasso di errore medio X non significa che gli incidenti si verificano a quella velocità sulla tua piattaforma particolare. È un limite superiore, che copre tutte le possibili combinazioni. Se stai usando Windows, è probabile che molti degli avvisi di sicurezza vlc di Debian non si applichino alla tua vlc di Windows.

L'uso di applicazioni oscure è, come suggerisce il mio fraseggio, una forma di sicurezza attraverso l'oscurità . Tale ragionamento è falso e conduce solo a un falso senso di sicurezza. L'oscurità è non sicurezza.

Non selezionare il tuo software di sicurezza in base a quanto è popolare o meno; selezionalo in base alla quantità di analisi che è stata inserita nel software, alla rapidità con cui il fornitore deve correggere i problemi di sicurezza e a quali misure di sicurezza dimostrabili offrono.

@Polynomial fa ottimi punti riguardo alla "sicurezza attraverso l'oscurità" e sicuramente non dovresti metterti in sicurezza basandoti su "oscurità" perché ha dimostrato di non funzionare. Tuttavia, non credo che la risposta alla tua domanda sia così semplice - penso che la tua domanda sia più una questione di "riduzione del rischio" ma potrebbe essere sbagliata.

Abbastanza spesso nella comunità della sicurezza, diciamo semplicemente "no". Scegliere qualcosa perché non è "popolare" o non ha una grande quota di mercato, tuttavia, non è un semplice "no" imho.Dalla tua domanda, imho, non credo che tu stia suggerendo una "sicurezza" attraverso l'oscurità "politica.

Ho visto esempi di persone che utilizzano una strategia di successo usando software "meno popolare". È importante notare però che spesso è una soluzione a breve termine, non molto a lungo termine.

Sono abbastanza sicuro che è un dato di fatto che la stragrande maggioranza degli hacker bersaglia la tecnologia utilizzata dalla maggior parte delle persone, che è in genere il motivo per cui Windows, Internet Explorer, Adobe Acrobat sono stati tutti presi di mira (così come fatto che parte del codice era molto povero). Le versioni successive di Windows e IE (IE9 sono notevolmente più sicure) hanno apportato notevoli miglioramenti ai loro predecessori dal punto di vista della sicurezza, sia perché hanno subito un simile attacco da parte degli aggressori e della comunità di sicurezza, sia dalla perdita di quote di mercato (probabilmente più dannose ). Tuttavia, nonostante questi miglioramenti della sicurezza, Microsoft è ancora preso di mira, Patch Tuesday è ancora abbastanza spesso "enorme" ed è a causa della loro grande base di utenti (un grande obiettivo).

Ad esempio, conosco persone che passano da Windows a Mac perché hanno una quota di mercato inferiore e sono state ritenute "più sicure", ricorda Apple campaign . Poiché Apple è diventata più popolare, è stata presa di mira molto di più e ora c'è molto più malware specifico per MAC quando non era così popolare, quindi sicuramente confermerebbe il tuo suggerimento, che sì era più sicuro quando non era è così popolare Non è l'infrastruttura sottostante a renderla più insicura, ma in generale tutte le app carine che Apple aggiunge e le aggiunge per far piacere agli utenti, per lo più nuovi utenti che non sono tecnici come la loro base di utenti originale. Non è detto che fossero "più" sicuri prima che Steve Jobs conquistasse il mondo, ma credo sia giusto dire che eri meno "a rischio" di essere attaccato usando un Mac 6-8 anni fa rispetto a oggi.

So che le persone si spostano da Mac a Linux per rimuoversi dal Mac "superficie di attacco". Se Linux diventerà popolare come Mac sul desktop è un'altra domanda, ma ci sono molte ragioni per cui l'uso di Linux come desktop è sicuro (troppi per questo), non ultimo perché la persona che usa Linux è probabilmente tecnicamente esperto e consapevole dei rischi ) ma "meno popolare / meno di un bersaglio" può essere uno di questi.

Analogamente ad Adobe, il loro software è stato attaccato a causa dell'enorme base di obiettivi che un exploit di successo potrebbe compromettere: ci sono vulnerabilità in altri software PDF ma non sono stati attaccati allo stesso grado (vero?). Sono ancora attaccati perché è la soluzione predominante per la lettura / scrittura di PDF e vulnerabilità nonostante il loro software sia protetto molto più (ad es. La loro tecnologia sandboxing)

Conosco un sacco di gente che usa i browser Opera o meno popolari per navigare in alcuni siti importanti perché mentre ci sono delle vulnerabilità in quel software anche (come in tutti i software), non sono così conosciute o ben mirate . È molto più probabile che tu riceva un'email con un link a un sito web che contiene un payload per sfruttare una vulnerabilità di Firefox, IE o Chrome.

@Pepe è anche un ottimo punto per garantire che il software che si sta usando sia aggiornato e regolarmente aggiornato (Opera è certamente). Aggiungo anche che è un progetto stimabile, fare un po 'di ricerca su Internet per verificare la comunità / persona dietro il software - Sourceforge è fantastico ma ospita alcune cose "interessanti" a dir poco. In caso di dubbi, chiedi su Security Stackexchange :)

In sintesi, non penso che ti renda necessariamente più sicuro, ma se hai la testa fottuta, sei consapevole dei rischi ecc. allora credo che una tale filosofia possa essere usata per ridurre il rischio con successo, se usato correttamente come parte di una strategia di difesa approfondita e non ti affidi totalmente.

In termini pratici, c'è un certo livello di sicurezza da guadagnare "volando sotto il radar" se una cosa del genere è un'opzione per te.
Ho visto migliaia di applicazioni PHP prontamente sfruttabili che non attirano mai l'attenzione e non vengono mai sfruttate "allo stato selvatico", mentre anche il minimo errore in un'estensione di Wordpress o Joomla diventerà presto ampiamente sfruttato. Statisticamente parlando, se un errore nell'applicazione non viene visualizzato su Exploit-DB o in CERT, probabilmente non verrà sfruttato dai robot di scansione automatizzati. E gli exploit di bot automatizzati sono la tua più grande preoccupazione se sei un "nessuno" su Internet.

Ma come soluzione a lungo termine, questa è una specie di rifugio rischioso da cercare.
Tutto ciò che serve è un opportunista che nota un errore nella tua richiesta per rovinare completamente l'intera strategia. Le applicazioni popolari sono molto popolari perché sono ben supportate, ben gestite e rapidamente aggiornate. Il software meno popolare viene spesso abbandonato o aggiornato di rado. Un errore in tale programma potrebbe non essere mai aggiornato. E cambiare piattaforma in fondo alla strada sarà probabilmente una non opzione. Se nessuno conosce la tua app, è improbabile che esista uno strumento di migrazione: sarai bloccato e in disastro.

Inoltre, alcune classi di pericoli possono essere analizzate genericamente - Ciò include bug di inclusione remota, exploit di SQL injection e pochi altri. L'utente malintenzionato non ha bisogno di sapere in anticipo quale software è in esecuzione o se è vulnerabile. Invece, può cercare determinati modelli che spesso accompagnano un componente sfruttabile anche se non sa cosa sia quel componente.

In questo scenario, il software scritto male ti morderà ovunque, anche se l'hai scritto tu stesso e nessuno ha il codice sorgente ma tu.

Idealmente, dovresti restare fedele a software fidato, controllato e ben gestito, completamente indipendente dalla popolarità.

Nessun utilizzo di software non testato / oscuro ti lascia aperti a bug e ricercatori della sicurezza.

Mentre ci saranno più exploit sviluppati per IE / Safari / Firefox / Chrome / etc, le aziende dietro di loro sono sotto pressione estrema per correggerle.

Semplicemente usando il software "oscuro" diventa meno oscuro per le minacce più probabili - Quelli all'interno della tua organizzazione.

Se devi chiedere, non usare software meno diffusi, perché è più difficile trovare buone informazioni a riguardo. So che Google Chrome ha un sandboxing molto strong e sono felice di dirlo alla gente. Quando si rompe, ne senti parlare. Considerando che io non so se Opera utilizza sandboxing, o quanto altamente considerato è la sua attuazione.

OTOH, se sei sicuro che Opera è più sicuro - e che la sicurezza è ben mantenuta - allora sentiti libero di preferirlo.

Una cosa che penso che nessuno abbia menzionato è il fattore "bypass". È probabile che il tuo software più oscuro manchi di alcune funzionalità utili. (Ad esempio funziona bene con un certo sito web). Se gli utenti sono costretti a cambiare il software a volte, forse senza la stessa possibilità di utilizzare una soluzione sicura preparata, potrebbero perdere la protezione ... forse persino ottenere il peggio di entrambi i mondi.

È una buona domanda, ma non ho una risposta specifica e chiara che puoi usare per tutte le situazioni. Ovviamente, dipende dalle situazioni, dal software e dall'applicazione che si desidera utilizzare.

Per il tuo esempio, un browser, penso che sia meglio usare un browser popolare ma open source che ti possa offrire molte estensioni di sicurezza. Usando questo come guida abbiamo diversi browser web tra cui scegliere. Con queste estensioni di sicurezza e la loro popolarità, possiamo essere quasi sicuri del codice, ma dovresti sapere che non sono solo gli hacker a minacciare la sicurezza, ma a volte gli stessi sviluppatori. Dai un'occhiata veloce alla politica sulla privacy dell'azienda e usala per guidare la tua scelta. Questo metodo può essere utilizzato anche per altre applicazioni.

Non esiste alcun collegamento tra software popolare e non popolare in termini di sicurezza in generale. Tutti i browser possono essere sfruttati in un modo o nell'altro, il che sta accadendo molto. Non è nemmeno sicuro utilizzare wget o uno strumento simile con vulnerabilità note e future su alcuni siti Web senza ingabbiarlo.

Tutto ciò che si collega a Internet e sta analizzando l'HTML è potenzialmente esposto a vari attacchi, specialmente se viene eseguito il codice lato client.

Per questo motivo, è preferibile eseguire il caged / switching del browser su un altro utente senza la possibilità di acquisire i file screen / drop sull'account utente corrente in esecuzione, ad es. e-mail.

Non eseguiresti email e web sullo stesso account del server, perché dovresti eseguirlo in questo modo sul pc desktop se supporta anche il caging, come fa Chrome, quindi forse puoi provare anche con MSIE 9 (molto sicuro) , Chrome, ma Firefox? Come il browser più popolare, non sembra essere sicuro AL MOMENTO, e la traccia storica dei bug è irrilevante, in quanto ciò che conta è la versione corrente. Ma quale è la sicurezza di firefox non sono sicuro, ma è una nuova funzionalità (plug-in di isolamento) e avresti bisogno di più supporto dal SO per isolarlo effettivamente.

In Linux, puoi eseguirlo tramite "sudo" o tramite SELinux / AppArmor, in Windows fai questo:

C:\>runas  /profile /env /user:win\test "C:\Program Files (x86)\Mozilla Firefox\firefox.exe"
Enter the password for win\test:

E che l'utente del test non ha password "test" o "password" e non è nel gruppo di amministratori.

Con questo, è possibile eseguire un sito Web molto pericoloso e in ogni caso basta cancellare l'account. Non hai impostato i permessi di scrittura su nessun file. Posta e web possono essere tenuti sull'unità mappata dal server per ulteriori controlli e controlli.

Indurire il desktop è più semplice di un server. È perché i desktop per la maggior parte del tempo eseguono statisticamente Windows, che può essere protetto da una semplice GUI ei file bat con runas sono molto facili da realizzare, anche tramite la GUI.