The stunning report makes several claims that seem to fly in the face of widely accepted beliefs. First, the Aberdeen Group says that Windows-based Trojan horse attacks peaked in 2001, when CERT released six such advisories, then bottomed out this year, when CERT didn't issue any alerts. However, Trojan horse-based attacks on Linux, UNIX, and open-source projects jumped from one in 2001 to two in 2002. The Aberdeen Group says this information proves that Linux and UNIX are just as prone to Trojan horse attacks as any other OS, despite press reports to the contrary, and that Mac OS X, which is based on UNIX, is also vulnerable to such attacks
*nix systemen zijn zodanig van opzet dat trojan horses alleen ECHT schade aan kunnen richten als ze door de root-user worden gestart. Anders zijn hooguit (enkele) gebruikers de dupe. Het systeem blijft operationeel.
De meeste mensen draaien hun windows systeem als administrator gebruiker. Dat is bijna per definitie het geval bij 95/98<font color=#786562>* [quote]
en meestal ook bij 2k en xp. (met name thuisgebruikers..)
</font>
Daarnaast zegt het aantal trojan horses dat ontwikkeld wordt volgens mij veel minder over de security van een OS dan bijvoorbeeld hoeveel virussen er zijn voor een OS. Een trojan horse moet door een gebruiker gestart worden (menselijke fout). Een virus/worm maakt gebruik van fouten in het OS en kan binnendringen zonder menselijke fout (met name worm zoals code red(?)) .
[quote]Even more troubling, perhaps, is the use of [b]open-source software[b] in routers,
Web servers, firewalls, and other Internet-connected solutions. The Aberdeen Group says that this situation sets up these devices and software products to be "infectious carriers" that intruders can easily usurp.
[/quote]
Dus het is een slechte zaak dat (meting september 2002) 66.04 Procent van de webservers open-source software draait en dat dat percentage alleen maar groeid? (Apache). Dan moeten we maar eens heel groot alarm slaan. Ik ga meteen apache dumpen voor iss
bron: Netcraft.
http://www.netcraft.com/survey/
I rest my case. Bovendien wordt hier ook nog eens het begrip linux en open-source door elkaar gegooid. [quote]
According to the Aberdeen Group, the open-source community's claim that it can fix security vulnerabilities more quickly than proprietary developers can means little. The group says that the open-source software and hardware solutions
need more rigorous security testing before they're released to customers. This statement is particularly problematic because [b]many Linux distributions lack the sophisticated automatic-update technologies modern Windows versions contain[b].
[/quote]
De meeste open-source software wordt door (een team van) hobyisten gemaakt. Bij deze software wordt duidelijk aangegeven dat de software (vaak) nog in ontwikkeling is en dat je het niet moet gebruiken in productie-omgevingen. Tenzij je zelf de source er bij pakt en het zelf gaat auditten.
Let bovendien op het woordje "customer"..Curieus...
Over het update-mechanisme:
[debian]
Apt-get update
Apt-get upgrade
[mandrake]
Ingebouwde update tool
[redhat]
Ook (meen ik....)
I rest my case again. [quote]
We can rail against Microsoft and its security policies, but far more people and systems use Microsoft's software than the competition's software.
[/quote]
Dus? Ms is beter? Drogredenering.
[quote]
I believe that we'll never know how secure Linux is, compared with Windows, until a comparable number of people and systems use Linux
[/quote]
Dat weten we wel door middel van statistieken enzo. Ga je mer percentages werken. Bijvoorbeeld zo:
Most defaced web sites are hosted by Windows, and Windows sites are disproportionately defaced more
often than explained by its market share....
Bron:
http://www.vnunet.com/News/1116081[quote]
But despite the fact that Linux isn't as prevalent as Windows, we're still seeing a dramatic increase in Linux security advisories today. I think the conclusion is obvious
[/quote]
Ffies een paar zaakjes:
1. J.S. Wurzler Underwriting Managers’ “hacker insurance” costs 5-15% more if Windows is used instead of Unix or GNU/Linux for Internet operation.
3. The Bugtraq vulnerability database suggests that the least vulnerable OS is OSS/FS, and that all the OSS/FS OSes in its study were less vulnerable than Windows in 1999-2000, unless you counted every GNU/Linux vulnerability multiple times [ok niet up-to-date tot 2002...
Bronnen zijn te vinden op:
http://www.dwheeler.com/oss_fs_why.html#security
I finaly rest my case
[update: dus toch niet resten met die case ;)]
Wat nog erg slecht is van dit artikel: geen enkele verwijzing naar het echte bronmateriaal. (dus het onderzoek van die Aberdeen Group
En nog wat interessant commentaar van iemand die dit artikel ook gelezen heeft:
And yet, here I sit with my virus-free, trojan-free Linux box, receiving tons of viruses and trojans from Windows users (that don't affect me), watching news item after news item about sites run on Windows servers getting defaced and broken into."
Bron:
Klik hier <div class=r>[Reactie gewijzigd door [Q]]</div><!-- end -->