15楼#
发布于:2005-08-11 17:16
|
|
16楼#
发布于:2005-08-11 17:16
Mi2g Ltd 公司自己就是个说谎精,不值得相信。 这个说法有甚么根据吗? 是 Mi2g Ltd 说谎,还是你在乱说,大家应该能自行判断吧。 |
|
|
17楼#
发布于:2005-08-11 17:16
|
|
18楼#
发布于:2005-08-11 17:16
我只是说 Mi2g Ltd 不太对劲。其它咨询公司包括 Yankee 说 Linux 不好的报告,至少都能自圆其说。 至于 Linux 的安全性,我没什么看法。 http://attrition.org/errata/charlatan/mi2g-history.html Security company mi2g is fond of telling customers and the media that it has been "collecting data since 1995". This is a clear distortion of facts, made up by combining their current business with the fact the business was originally founded in 1995. However, if you look at their history, you will see that they were not doing security work in 1995 and very likely not collecting attack data. Look at a brief history of mi2g and a cornerstone of their lies: Aside from selling security services and information, their other business is selling automotive information: http://www.carlounge.com Carlounge was one of mi2g's original businesses (circa 1996). Started as a message board/portal thingy: http://web.archive.org/web/199812020501 ... /setup.htm They also operated a cheesy search engine called Middle East Information Database Search (MIDAS): http://web.archive.org/web/199612280237 ... .mi2g.com/ At the time, Chairman DK Matai was working on his PhD in "high-performance computing (HPC)" in 1996: http://web.archive.org/web/199612192201 ... .mi2g.com/ In short, mi2g looked like a wanna-be website/e-commerce development company (motto: Bringing The Web To The World) until about 1999. Suddenly, mi2g morphed into a "security intelligence provider": http://web.archive.org/web/199910130629 ... /mi2g.com/ "By integrating state-of-the-art software engineering technology with super computing capability, mi2g is revolutionising the world of eCommerce and for the first time maximising the return from the internet whilst minimising the risk. mi2g software is a London based eRisk management enterprise that is at the leading edge of building secure on-line trading, broking and banking architectures around the world." At the same time Matai appears to have morphed his academic program. According to this 1999 page, Matai had dropped HPC and was "in the process of submitting his PhD thesis on The Creation and Protection of Online Wealth in Computing at Imperial College (London University)": http://web.archive.org/web/199904220258 ... /mi2g.com/ Matai's PHD was submitted between 1995-1999 according to one press release. In 2003, there is still no reference to Matai with a PhD title. Looking at one of the sparse references to "Matai + PhD", this March 2003 Complexity Digest quotes Matai w/o a PhD title, while quoting several others as such. I'm sure that if Matai had actually finished the PhD he had been touting, he would have requested credit as such. mi2g is quite up front about the fact that hey learned everything they know about security from running Carlounge: http://web.archive.org/web/199910130629 ... /mi2g.com/ "Through the counter-attack techniques developed on mi2g lounges^Ù, which have 3½ Million users to protect and grow, the SIPS team is continuously identifying where the emerging weak points are in the threat from the internet and computer dial-in." E.g. in 1999 mi2g pulled some numbers out of its arse, "There have been over 1,700 serious attacks world-wide in the first half of this year, costing more than £4.3 billion": http://web.archive.org/web/199910130629 ... /mi2g.com/ Why is this figure important? Checking the Attrition defacement mirror, you will find we recorded 3746 defacements in 1999. Divide by 2 and you get 1837, which is conveniently close to their "over 1,700" number. Given they had no public quotes or evidence of being in the security field, or tracking attacks.. this number is very suspect. In summary, mi2g has not been in the security industry since 1995. The continued claims of collecting data that far back are unsubstantiated and unverified. DK Matai's insistance of working on a PhD in information security appear to be nothing more than wishful thinking. These are cornerstones of mi2g's claims of being experts in the field, and appear to be lies. |
|
19楼#
发布于:2005-08-11 17:16
实际上咨询公司的东西,也就是那么回事。
我以前还见过,同一间公司,一个部门抛出报告说 Linux 的 TCO 很高,另一个部门却用自己内部部署 Linux 降低 TCO 的案例(好象是 IM 应用?)大力推销 Linux。 |
|
20楼#
发布于:2005-08-11 17:16
你引用的文章是关于 Mi2g Ltd 到底是在 1995 年,还是在 1999 年才开始安全有关业务,与这个安全报告有多大关系? "Mi2g Ltd 告诉客户在 1995 年开始安全有关业务,但有人指出其实 Mi2g Ltd 在 1999 年才开始安全有关业务",这样的指控是否属实也不知道,又怎能用来否定 Mi2g Ltd 2004 年的安全调查报告? 如果有一些指 Mi2g Ltd 的任何调查报告不正确的文章,可以贴出来,或许还有些参考价值。 |
|
|
21楼#
发布于:2005-08-11 17:16
我说的自圆其说,就是自圆其说的本意,报告内部并无逻辑问题。有人可能会质疑报告本身采用的方法,但那是另一回事。 就是说,报告前面说我出生于 2000 年,后面说我今年 5 岁,那就是自圆其说;如果后面说我今年 1 岁,那就是不能自圆其说,因为今年是 2005 年。 [quote="abc@home"] 你引用的文章是关于 Mi2g Ltd 到底是在 1995 年,还是在 1999 年才开始安全有关业务,与这个安全报告有多大关系? "Mi2g Ltd 告诉客户在 1995 年开始安全有关业务,但有人指出其实 Mi2g Ltd 在 1999 年才开始安全有关业务",这样的指控是否属实也不知道,又怎能用来否定 Mi2g Ltd 2004 年的安全调查报告? 如果有一些指 Mi2g Ltd 的任何调查报告不正确的文章,可以贴出来,或许还有些参考价值。[/quote] 我记得 Mi2g 得出 Linux 最不安全的这份调查报告,声称其用于分析的数据是从 1995 年开始亲自搜集的。 所以我说它不能自圆其说。 至于这份指控,其数据来源都是 archive.org 保存的历年 Mi2g 官方网站上的页面,应该还是比较可靠的。 当然,也不能排除 Mi2g 的地下党式秘密安全研究是从 1995 年开始,直到 1999 年才转入公开状态。 总之,就和你说的那样,大家应该能自行判断吧。 |
|
22楼#
发布于:2005-08-11 17:16
>我记得 Mi2g 得出 Linux 最不安全的这份调查报告,声称其用于分析的数据是从 1995 年开始亲自搜集的。
查了一下网上的文站(但没看到报告原文),这一句似乎记忆有误,可能数据样本是 2003 年到 2004 年的某段时间取得的。 不过 Mi2g 号称从 1995 年开始安全研究,但实际上从 1999 年开始,那就仍然是说谎。 |
|
23楼#
发布于:2005-08-11 17:16
这个报告好象只计算了手工入侵,病毒和蠕虫攻破的系统并未计入?否则就不知道针对 Linux 的攻击怎么会比针对 Windows 的多了。 不知道 Mi2g 是怎么统计的。原文是不是要付费,网上似乎没见到。 |
|
24楼#
发布于:2005-08-11 17:16
>我记得 Mi2g 得出 Linux 最不安全的这份调查报告,声称其用于分析的数据是从 1995 年开始亲自搜集的。 那你便认真读一片吧: 不过 Mi2g 号称从 1995 年开始安全研究,但实际上从 1999 年开始,那就仍然是说谎。 这家公司有否欺骗客户,我不清楚,没意见。 至于这个报告是否伪造,我也不清楚,大家自行判断好了。 |
|
|
25楼#
发布于:2005-08-11 17:16
统计的结果大家都看到了,至于统计的究竟是什么东西,究竟是一个什么样的人在出具报告,那就不清楚,呵呵。 我也能给几个统计证明 Linux 比 Windows 安全得多。那又怎么样呢?无非你再给两个统计证明 Windows 比 Linux 安全的多。 结果什么也不代表不了,只能说明我们总是可以通过精心选择统计内容来控制统计结果。 由 Linux 用户投票得出的统计结果
CERT 漏洞数据库统计。这篇文章采用的是发表时的数据,比较老。按照 CERT 的规则,评级在 40 或以上的漏洞被认为相当严重。刚查了一下,如果我没有数错的话,Windows 漏洞总数 250,严重程度在 40 以上的漏洞 36 个,Redhat 总数 57,严重程度在 40 以上的漏洞 3 个,Linux 漏洞总数 120,严重程度在 40 以上的漏洞 6 个。 难道这就能证明 Linux 比 Windows 更安全?我看未必。
coverity 公司的静态代码扫描工具报告的缺陷数量,Snopsys、Oracle、Wind River、nVidia、VMWare、Veritas 都是这公司的客户。 那个版本的 Linux 内核的代码共 570 万行,发现 985 个 bug。规模相当的商业软件 bug 数量在 5700 到 40000 之间。也就是说,Linux 内核的质量比商业软件强得多。 coverity 前两天刚发布的结果,新版本的 2.6.12 内核源代码 630 万行,缺陷率进一步减少 2%。
|
|
26楼#
发布于:2005-08-11 17:16
|
|
|
27楼#
发布于:2005-08-11 17:16
linux的诞生就具有黑客色彩,当然很多黑客类的酷客的手工攻击比windows的多。
但是linux漏洞可以得到很快的修复,这可能是在linux下自动化攻击无法泛滥的一个原因吧。 |
|
28楼#
发布于:2005-08-11 17:16
呵呵,无法看到收费原文,估计很难搞清楚那些统计数字到底是怎么算出来的,数据样本又是怎么得来的,因此意义大打折扣。 前面我也说,
尽管即使仅计算手工入侵,这个结果仍然让我吃惊。个人经验,网上的 Script Kid,对 3389 比 ssh 熟悉得多。 所以我说,统计数字对大多数人来说没什么意义的,而且对统计者的人品要求很高。而 Mi2g Ltd,我感觉刚好属于人品不太好的那一类。 即使统计者并非存心误导,要正确理解统计结果的意义,仍然要求读者对统计的对象有程度很深的相关知识,否则无法分辨其正确性和合理性。 因此性能测试、统计数字、TCO 数字这类东西,看看就算了,没必要当真,更没有必要以此为依据,质问对方 "有统计支持吗" ![]() |
|
29楼#
发布于:2005-08-11 17:16
|
|