Tweede remote exploit voor OpenBSD in 10 jaar

Het is maar net wat jouw definitie van "alternatief" is natuurlijk.

(nee, dit is geen flamebait richting OpenBSD, ik gebruik het zelf namelijk ook)

Leuk bedoeld, maar het lijkt met stug dat er zo veel windows remote exploits zijn als jij doet vermoeden.

Ik ben eigenlijk wel erg benieuwd naar de hoeveel remote exploits van windows XP. Op een standaard installatie, dus niet via allerlei third-party installs.

De patch is niet het nieuws. Het nieuws is dat OpenBSD blijkbaar zo secure is dat er slechts 2 remote exploits voor hebben bestaan in de afgelopen 10 jaar.

2 remote exploits zijn ontdekt eerder. Maar er zullen er idd wel minder inzitten dan in de gemiddelde Windows, OSX of Linux...

Misschien had de oorspronkelijke poster het gloednieuwe ironie-mark moeten gebruiken?

Ach tja, aan de andere kant denk ik dat veel van die oudere servertjes die niet goed bijgehouden worden ook nog niet eens IPv6 support hebben. Verder moet men geloof ik ook fysieke toegang tot het lokale netwerk hebben om aan te vallen.
Als het goed is zijn belangrijke OpenBSD-servers ook uitgerust met secure-levels, die zelfs als je met root inlogt, nog ervoor zorgt dat je niet zomaar permissies hebt om alles te doen.
Desalniettemin zullen er zeker een paar niet goed onderhouden servertjes gekraakt worden.

In de default install is ipv6 nog steeds een optie hoor. Het is echter wel een onderdeel van het systeem.

Laat die default install bij OpenBSD nou wel ontzettend karig zijn..

Dat is een vaak gehoord argument. De OpenBSD packages bevatten wel vaker bugs, al past men een hoop packages zoals Apache wel aan dmv. audits, waardoor Apache voor OpenBSD doorgaans een stuk veiliger is dan Apache voor Linux.
Echter, NetBSD of Gentoo zijn na installatie veel kaler. Persoonlijk vond ik het erg bijzonder dat OpenBSD standaard een geconfigureerde sendmail had, en er zit een hoop meer op dan op een standaard NetBSD installatie voor zover ik me herinner.
Het hangt dus van je referentiekader af.

Het gaat vooral om de afhandeling van deze bugs, M$ is zo ongeveer het enige bedrijf dat hier niet fatsoenlijk mee om gaat. Natuurlijk krijgen zij meer bugs binnen maar zij krijgen ook VEEL meer geld binnen.

Jij hebt blijkbaar geen idee hoeveel servers hier op draaien!

OpenBSD is gebasseerd op code die al sinds 1994 onder de BSD licentie verspreid word. Al die tijd hebben mensen de code kunnen lezen, hergebruiken en controleren. Veel van deze code word ook gebruikt in linux en commerciele besturingssystemen.

Ik denk dat je daardoor maar gedeeltelijk gelijk hebt.

Ik denk dat de veiligheid wel groter is dan windows bij gelijke userbase, maar het aantal gevonden bugs zal wel omhoog gaan.

OpenSSH? Wordt door genoeg users gebruikt, vinden we nochtans toch niet echt elke maand een lek in ofzo.

Stel dat alle Windows gebruikers vandaag overstappen op OpenBSD zijn er van af volgende week ook maandelijkse updates, neem dat maar van mij aan

niets persoonlijk, dit argument duikt ontzettend dikwijls op, maar ik wil hier toch een kanttekening bij plaatsen.

Laat ik eerst een onderscheid maken tussen 2 soorten "bugs":

1) gemakkelijk te ontdekken = die iemand met beperkte of "gemiddelde" kennis van zaken kan vinden/exploiten.

2) moeilijk te ontdekken = een serieuze, diepgaande kennis/ervaring/expertise is nodig om deze te vinden, maw, de top, of indien dit te nauw is, de top en sub-top van "hackers"

(dit staat los van de ernstigheid van de bug, alhoewel de indeling waarschijnlijk wel zo zal zijn dat de fractie ernstige bugs groter is in de moeilijk te ontdekken groep, aangezien algemene debugging tijdens tests ed voor een groot deel gemakkelijk te ontdekken/detecteren bugs zal vinden en ernstige bugs gemakkelijker opvallen)

voor de eerste categorie zou het argument van "veel meer gebruikers leidt tot veel meer bugs vinden" nog opgaan, moest de huidige situatie echt zijn dat er maar een handvol mensen het draaien. Wanneer we spreken over zelfs maar 1% van de totale markt, gaat het over voldoende systemen om bij een (extra) groei in "numbers" geen of verwaarloosbaar "powers in numbers" effect te hebben.

voor de tweede categorie maakt een groei in marktaandeel helemaal niet uit: de top en sub-top zoekt sowieso toch (al dan niet met nobele intenties), grotere populariteit gaat dus grotendeels of bijna uitsluitend "mindere goden" aantrekken, die, per definitie van de indeling, in deze categorie toch niet veel gaan presteren.

My point: mijn standpunt (groter marktaandeel zou niet leiden tot exponentieel meer bugs/exploits) is even "theoretisch", maar ik heb mijn standpunt wel rationeel onderbouwd vs gewoon een gratuite uitspraak te doen die in het beste geval gebaseerd is op wishful thinking.

Iedereen heeft recht op z'n mening, niemand hoeft het eens te zijn met mijn mening, maar "wilde" uitspraken (= zonder een link naar een deftige, liefst onafhankelijke bron of zonder persoonlijke argumentatie) dragen absoluut niets bij en verzinken automatisch onmiddellijk in een wel/niet discussie

Probeer eens achterom te werken met Windows, zet alle services eens uit en schakel alleen in wat je nodig hebt, kijken of het dan nog zo onveilig is.

Dat lijkt me een afschuwelijke puzzel. Er werkt dan bijna niets meer. Door de geslotenheid van Windows en software is moeilijk te achterhalen wat nodig is voor elke functie. Een kwestie van eindeloos proberen-en-mislukken. Het aantal combinaties van n services is n-faculteit (of vergis ik me?).
Zonder administrator-rechten doe je ook niet veel onder Windows. Wel eens geprobeerd als beperkte gebruiker de virusscanner te laten updaten, of een scanner te gebruiken, bijvoorbeeld?

Hoewel Darx mischien een beetje in het rond strooit met getallen. Lijkt het mij wel overduidelijk dat het Windows platform vele malen intresanter is voor hackers dan OpenBSD.

Dat neemt uiteraard niet weg dat OpenBSD echter wel vrij veilig is.

En niet te vergeten dat Windows Vista is geschreven uit ong. 56 miljoen regels code. Enorm veel om natuurlijk lek-vrij te krijgen. OpenBSD bestaat uit 800k* regels. Eigenlijk kun je het dus niet met elkaar vergelijken.

Een fiets is immers makkelijker te repareren maken dan een verbrandings motor.

*Bedankt CTvirus.

De BSD's lenen elkaars code bij het leven. Het is dus best waarschijnlijk dat deze bug ook in FreeBSD en NetBSD zit. Vooral omdat al deze OS'en hun IPv6-code van het KAME-project hebben.

wikipedia

Darwin is built around XNU, a hybrid kernel that combines the Mach 3 microkernel, various elements of FreeBSD 5 (including the process model, network stack, and virtual file system), and an object-oriented device driver API called I/O Kit.

Mach was initially hosted as additional code written directly into the existing 4.2BSD kernel, allowing the team to work on the system long before it was complete. Work started with the already functional Accent IPC/port system, and moved on to the other key portions of the OS, tasks and threads and virtual memory. As portions were completed various parts of the BSD system were re-written to call into Mach, and a change to 4.3BSD was also made during this process.

OpenBSD (geforked uit NetBSD 1.0) en FreeBSD stammen af van dezelfde code de 4.4BSD-lite release. Maar veel van deze code is ondertussen al herschreven!

Ik durf hierdoor wel te beweren dat osX zonder gui en openBSD ongeveer evenveel op FreeBSD lijken.