¿Es más seguro usar software menos escuchado que el software popular?

Depende. Si todas las alternativas razonablemente funcionales son fundamentalmente propensas a errores de programación, como es el caso de los navegadores, probablemente sea una buena idea utilizar uno que no sea tan popular.

En particular, si su modelo de amenaza no incluye adversarios sofisticados que esperan, observan y desarrollan ataques específicamente para su configuración, el uso del software no tan popular lo liberará de una gran cantidad de ataques y fugas / masivos. Escaneo / ataques de gusanos. Creo que esta es una política de seguridad efectiva para sistemas "prácticos", es decir, cualquier configuración industrial / doméstica más grande donde la configuración de software y hardware no se puede diseñar / comprar / aplicar desde el principio teniendo en cuenta la seguridad.

Obviamente, tampoco debe usar software que no tenga mantenimiento o que apenas se mantenga. El hecho de que no sea tan popular no significa que sea seguro.

FWIW, aquí hay un análisis estadístico simple de la tasa promedio de errores de seguridad de los paquetes Debian: enlace

Tenga en cuenta:

• Las métricas son de usabilidad limitada. Quizás lo más útil y fácil de entender es el MTTF, que es el tiempo medio entre incidentes de seguridad reportados para un paquete en particular.
• El sistema utiliza los repositorios y avisos de Debian para inferir esta información, pero, por supuesto, un error en el paquete vlc de Debian es también un error en el paquete vlc de todos los demás.
• Una tasa de errores promedio X no significa que los incidentes ocurran a esa tasa en su plataforma en particular. Es un límite superior, cubriendo todas las combinaciones posibles. Si está ejecutando Windows, es probable que muchos de los avisos de seguridad de Debian vlc no se apliquen a su Windows vlc.

El uso de aplicaciones oscuras es, como sugiere mi fraseo, una forma de seguridad a través de la oscuridad . Tal razonamiento es falso, y solo conduce a una falsa sensación de seguridad. La oscuridad es no la seguridad.

No seleccione su software crítico para la seguridad en función de su popularidad o no; selecciónelo en función de la cantidad de análisis que se haya realizado en el software, la rapidez con que el proveedor solucione los problemas de seguridad y las medidas de seguridad disponibles que ofrece.

@Polynomial hace muy buenos puntos con respecto a la "seguridad a través de la oscuridad" y definitivamente no debes asegurarte en base a la "oscuridad" porque se ha demostrado que no funciona. Sin embargo, no creo que la respuesta a su pregunta sea tan simple; creo que su pregunta es más una pregunta de "reducción de riesgo", pero podría estar equivocada.

Muy a menudo en la comunidad de seguridad, simplemente decimos "no". Elegir algo porque no es "popular" o no tiene una gran participación en el mercado, sin embargo, no es un simple "no" imho. De su pregunta, yo no creo que usted esté sugiriendo una "seguridad a través de la "política de la oscuridad".

He visto ejemplos de personas que emplean una estrategia exitosa utilizando software "menos popular". Sin embargo, es importante tener en cuenta que a menudo es una solución a corto plazo, en gran medida no una cosa a largo plazo.

Estoy bastante seguro de que es un hecho que la gran mayoría de los atacantes apuntarán a la tecnología que usa la mayoría de la gente, por eso generalmente Windows, Internet Explorer, Adobe Acrobat fueron atacados (así como el hecho de que parte del código era muy pobre). Las versiones posteriores de Windows e IE (IE9 son significativamente más seguras) han sido mejoras dramáticas en sus predecesores desde el punto de vista de la seguridad, ya que han atacado a los atacantes y la comunidad de seguridad, y han perdido participación en el mercado (posiblemente más perjudicial ). Sin embargo, a pesar de estas mejoras de seguridad, Microsoft sigue siendo un objetivo, Patch Tuesday todavía es a menudo "enorme" y se debe a su gran base de usuarios (un gran objetivo).

Por ejemplo, conozco personas que se mudaron de Windows a Mac porque tenía menos cuota de mercado y se consideraba "más segura", recuerde que campaña de Apple . A medida que Apple se ha vuelto más popular, se han dirigido mucho más y hay mucho más malware específicamente para MAC ahora que cuando no era tan popular, así que seguramente confirmaría tu sugerencia, que sí, fue más seguro cuando no lo era. No es tan popular. No es la infraestructura subyacente lo que la hace más insegura, pero en general todas las aplicaciones agradables que Apple agrega y las agrega a los usuarios, en su mayoría usuarios nuevos que no son tan técnicos como su base de usuarios original. No quiere decir que estuvieran "más" seguros antes de que Steve Jobs se hiciera cargo del mundo, pero creo que es seguro decir que corrió menos "riesgo" de ser atacado usando una Mac hace 6-8 años de lo que está hoy.

Sé que la gente ahora se está moviendo de Mac a Linux para eliminarse de la "superficie de ataque" de Mac. Si Linux se volverá tan popular como Mac en el escritorio es otra pregunta, pero hay muchas razones por las que el uso de Linux como escritorio es seguro (hay demasiados por aquí), y no solo porque la persona que usa Linux es muy inteligente y consciente de los riesgos. ) pero "menos popular / menos de un objetivo" puede ser uno de ellos.

De manera similar, con Adobe, su software fue atacado debido a la enorme base de objetivos que podría comprometer una explotación exitosa: existen otras vulnerabilidades en otros programas de PDF, pero no fueron atacados en la misma medida (¿lo eran?). Todavía están siendo atacados porque es la solución predominante para leer / escribir archivos PDF y vulnerabilidades a pesar de asegurar mucho más su software (por ejemplo, su tecnología de sandboxing)

Sé de mucha gente que usa Opera o navegadores menos populares para navegar por ciertos sitios importantes porque aunque también existen vulnerabilidades en ese software (como existe en todo el software), no son tan conocidos ni tan específicos. . Es mucho más probable que reciba un correo electrónico con un enlace a un sitio web que contiene una carga útil para explotar una vulnerabilidad de Firefox, IE o Chrome.

@Pepe también hace un muy buen punto con respecto a garantizar que el software que está utilizando se mantenga y se actualice regularmente (sin duda Opera). También agregaría para asegurar que sea un proyecto de buena reputación, investigar un poco en Internet para verificar la comunidad / persona detrás del software. Sourceforge es increíble, pero alberga algunas cosas "interesantes", como mínimo. En caso de duda, pregunte en Security Stackexchange :)

En resumen, no creo que necesariamente lo haga más seguro, pero si tiene la cabeza atornillada, es consciente de los riesgos, etc., entonces creo que esa filosofía puede usarse para reducir exitosamente su riesgo, si se usa. correctamente como parte de una estrategia global de defensa en profundidad y no confía totalmente en ella.

En términos prácticos, se puede ganar cierta seguridad "volando bajo el radar" si tal cosa es una opción para usted.
He visto miles de aplicaciones PHP fácilmente explotables que nunca reciben atención y nunca son explotadas "en la naturaleza", mientras que incluso el más pequeño error en una extensión de Wordpress o Joomla se explotará rápidamente. En términos estadísticos, si un error en su aplicación no aparece en Exploit-DB o en CERT, es probable que no sea explotado por robots de escaneo automatizados. Y las hazañas de los robots automatizados son su mayor preocupación si usted es un "nadie" en Internet.

Pero como solución a largo plazo, este es un tipo de refugio riesgoso para buscar.
Todo lo que necesita es un oportunista que note un error en su aplicación para arruinar completamente toda su estrategia. Las aplicaciones populares se vuelven populares en gran medida porque están bien soportadas, bien administradas y se actualizan rápidamente. El software menos popular a menudo se abandona o se actualiza con poca frecuencia. Un error en tal programa puede que nunca se actualice en absoluto. Y el cambio de plataformas en el futuro probablemente no sea una opción. Si nadie sabe acerca de su aplicación, es poco probable que exista una herramienta de migración: estará atascado y en un desastre.

Además, ciertas clases de peligros pueden analizarse genéricamente para
Esto incluye errores de inclusión remota, exploits de inyección de SQL y algunos otros. El atacante no necesita saber de antemano qué software está ejecutando o si es vulnerable o no. En su lugar, puede buscar ciertos patrones que a menudo acompañan a un componente explotable, incluso si no sabe qué componente es.

En este escenario, el software mal escrito lo morderá en cualquier lugar, incluso si lo escribió usted mismo y nadie tiene el código fuente, excepto usted.

Idealmente, deberías quedarte con un software confiable, revisado y bien mantenido, sin importar la popularidad.

No utilizar software no probado / no probado lo deja abierto a errores e investigadores de seguridad.

Aunque habrá más vulnerabilidades desarrolladas para IE / Safari / Firefox / Chrome / etc, las compañías detrás de ellas están bajo una gran presión para aplicarlas.

Simplemente mediante el uso de un software "oscuro" se vuelve menos oscuro con respecto a las amenazas más probables: las de su organización.

Si tiene que preguntar, no use un software menos popular, porque es más difícil encontrar buena información al respecto. Sé que Google Chrome tiene un sandboxing muy fuerte, y estoy feliz de decirle eso a la gente. Cuando se rompe, escuchas sobre eso. Considerando que no sé si Opera usa sandboxing, o qué tan bien considerada es su implementación.

OTOH, si se le informa de manera confiable que Opera es más seguro y que la seguridad está bien mantenida, no dude en preferirlo.

Una cosa que creo que nadie ha mencionado es el factor "bypass". Es probable que su software más oscuro carezca de alguna característica útil. (Por ejemplo, trabajar bien con un determinado sitio web). Si los usuarios se ven forzados a cambiar de software a veces, tal vez sin la misma oportunidad de usar una solución segura preparada, entonces podrían estar perdiendo la protección ... tal vez incluso obteniendo lo peor de ambos mundos.

Es una buena pregunta, pero no tengo una respuesta clara y específica que pueda usar para todas las situaciones. Por supuesto, depende de las situaciones y del software y la aplicación que desee utilizar.

Para su ejemplo, un navegador, creo que es mejor usar un navegador popular pero de código abierto que pueda darle muchas extensiones de seguridad. Usando eso como una guía, tenemos varios navegadores web para elegir. Con estas extensiones de seguridad y su popularidad, podemos estar casi seguros acerca del código, pero debe saber que no solo los piratas informáticos amenazan la seguridad, sino que a veces también los mismos desarrolladores. Así que eche un vistazo rápido a la política de privacidad de la compañía y úselo para ayudarlo a guiar su elección. Este método también se puede usar para otras aplicaciones.

No existe un vínculo entre el software popular y no popular en términos de seguridad en general. Todos los navegadores pueden ser explotados de una forma u otra, lo que está sucediendo mucho. Incluso no es seguro usar wget o una herramienta similar con vulnerabilidades conocidas y futuras en algunos sitios web sin enjaularlo.

Todo lo que se conecta a Internet y está analizando el HTML está potencialmente expuesto a varios ataques, especialmente si se ejecuta el código del lado del cliente.

Debido a esto, es mejor que la ejecución del navegador esté enjaulada / cambiada a otro usuario sin la capacidad de capturar archivos de pantalla / soltar en la cuenta de usuario actual que ejecuta, por ejemplo. correo electrónico.

No ejecutaría el correo electrónico y la web en la misma cuenta del servidor, ¿por qué lo ejecutaría de esta manera en la PC de escritorio si también admite el almacenamiento en jaula, como lo hace Chrome, así que quizás también pueda probar con MSIE 9 (muy seguro)? , chrome, pero firefox? Como el navegador más popular, no parece ser seguro EN EL MOMENTO, y la pista histórica de errores es irrelevante, ya que lo que importa es la versión actual. Pero, ¿cuál es la seguridad de Firefox? No estoy seguro, pero es una característica nueva (aislamiento de complementos), y necesitaría más soporte del sistema operativo para aislarlo.

En Linux, puede ejecutarlo a través de "sudo" o a través de SELinux / AppArmor, en Windows puede hacer esto:

C:\>runas  /profile /env /user:win\test "C:\Program Files (x86)\Mozilla Firefox\firefox.exe"
Enter the password for win\test:

Y que el usuario de prueba no tiene la contraseña "prueba" o "contraseña" y no está en el grupo de administradores.

Con esto, puede ejecutar sitios web muy peligrosos y, en cualquier caso, simplemente borra la cuenta. Usted no configura sus permisos de escritura a ningún archivo. El correo y el sitio web se pueden mantener en la unidad asignada del servidor para una inspección y control adicionales.

Endurecer el escritorio es más fácil que un servidor. Esto se debe a que, en la mayoría de los casos, los equipos de escritorio ejecutan estadísticamente Windows, que puede protegerse desde una GUI simple y los archivos bat con runas son muy fáciles de hacer, también a través de una GUI.