Aberdeen Group concludeert: Linux onveiligste OS

Linux is niet één van de veiligere, maar juist het onveiligste OS, zo leren we van niet geheel onpartijdige bron WinInfo. Volgens een rapport van de Aberdeen Group waren meer dan 50 procent van alle beveiligingswaarschuwingen die CERT afgelopen jaar uitgaf voor Linux en andere open source-platforms. In 2001 werden er bijvoorbeeld geheel geen waarschuwingen voor trojan horses onder Windows uitgegeven, terwijl er twee werden gesignaleerd op Unix-achtige systemen. Ook routers en andere apparatuur met embedded open source software zijn niet automatisch veiliger dan Windows-alternatieven:

"Open-source software, commonly used in many versions of Linux, UNIX, and network routing equipment, is now the major source of elevated security vulnerabilities for IT buyers," the report reads. "Security advisories for open-source and Linux software accounted for 16 out of the 29 security advisories--about one of every two advisories--published for the first 10 months of 2002. During this same time, vulnerabilities affecting Microsoft products numbered seven, or about one in four of all advisories."

Het rapport lijkt dus korte metten te maken met de gangbare opvatting dat Windows als gesloten systeem per definitie minder veilig is dan een open source-alternatief. De open source-gemeenschap fixt beveiligingsproblemen minder snel dan algemeen wordt aangenomen, en software wordt vaak niet voldoende getest voordat deze voor het grote publiek beschikbaar wordt. Daarnaast zouden veel Linux-distributies nog altijd onvoldoende mogelijkheden bevatten om gemakkelijk updates te downloaden.

Lees meer

Reacties (134)

Bobco 28 november 2002 09:12

Ik heb maar eens de moeite genomen om het rapport (registratie verplicht maar gratis) van de Aberdeen Group te lezen. De onderbouwing van deze uitspraak valt nogal tegen. Even een wat langere quote dan in de post:

"Security advisories for open source and Linux software accounted for 16 out of the 29 security advisories — about one of every two advisories — published for the first 10 months of 2002 by Cert (www.cert.org, Computer Emergency Response Team). Keeping pace with Linux and open source software are traditional Unix-based software products, which have been affected by 16 of the 29 — about half of all — advisories to date during 2002. During this same time, vulnerabilities affecting Microsoft products numbered seven, or about one in four of all advisories."

Het eerste dat mij opvalt is dat zowel Linux 16 van de 29 als de traditionele Unixen 16 van de 29 advisories hebben gekregen. Bij elkaar opgeteld zijn dat er dus 32 van de 29. Mijn conclusie: de Aberdeen Group kan niet optellen.

Verder wordt er op geen enkele manier een poging gedaan om de zwaarte van de fout aan te duiden. een fout in een obscure FTP client kan dus net zo zwaar wegen als een fundamentele fout in een TCP/IP stack.

Ook heb ik eens bij CERT zelf gekeken. Ik kom daar voor het jaar 2002 27 advisories voor de eerste 3 kwartalen van 2002 tegen. Het kan zijn dat er in de oktober nog 2 bijgekomen zijn, maar dat kon ik niet zo snel achterhalen.

Gebaseerd op hun al eerder genoemde foute optelling komt de Aberdeen Group tot de conclusie dat Linux onveiliger is dan Windows. Voor wat betreft het aantal CERT incidenten klopt dat, er is alleen geen enkele poging gedaan tot kwalificatie van deze fouten.

AlBundy @Bobco • 28 november 2002 10:27

Het eerste dat mij opvalt is dat zowel Linux 16 van de 29 als de traditionele Unixen 16 van de 29 advisories hebben gekregen. Bij elkaar opgeteld zijn dat er dus 32 van de 29. Mijn conclusie: de Aberdeen Group kan niet optellen.

Sommige advisories zijn voor meerdere besturingsystemen, dus dit zou heel goed kunnen hoor. Stel dat er 8 vulnerabilities in bijv. Apache zijn gevonden waarbij een hacker root acces kan krijgen, geldt dit vaak voor zowel linux als een andere *nix variant.

mOrPhie 28 november 2002 00:41

Het grote verschil tussen windows en linux zit em hierin:
Als windows een security-issue-mailing de deur uit doet (en dat waren er heel wat dit jaar, ik ben lid van de security-mailing-list van MS) dan is daar meteen een update voor beschikbaar. Echter is op het moment van uitgave van de mailing, het probleem al ruim 2 weken bekend op securyteam of andere security-sites.

Bij unix-achtige systemen, is mijn ervaring, hoor je van het probleem voor het eerst en is een dag laten een update beschikbaar.

Daarbij ligt de oorzaak van onveiligheid van windows vaak niet bij windows zelf, maar bij de programma's die gebruikt worden. IIS, ISA, Exchange, MSSQL.... allemaal software paketten van MS die keer op keer weer in de security-mailing verschenen.

Begrijp me niet verkeer, ik ben niet pro-windows of pro-linux (als het om de techniek gaat), want ze kennen beide hun voordelen. Maar lukraak roepen dat linux minder veilig is dat windows (terwijl er 400 verschillende distributies van de linux-kernel zijn), getuigd van een niet al te slimme en suggestieve benadering van wininfo.

Q 28 november 2002 00:52

The stunning report makes several claims that seem to fly in the face of widely accepted beliefs. First, the Aberdeen Group says that Windows-based Trojan horse attacks peaked in 2001, when CERT released six such advisories, then bottomed out this year, when CERT didn't issue any alerts. However, Trojan horse-based attacks on Linux, UNIX, and open-source projects jumped from one in 2001 to two in 2002. The Aberdeen Group says this information proves that Linux and UNIX are just as prone to Trojan horse attacks as any other OS, despite press reports to the contrary, and that Mac OS X, which is based on UNIX, is also vulnerable to such attacks

*nix systemen zijn zodanig van opzet dat trojan horses alleen ECHT schade aan kunnen richten als ze door de root-user worden gestart. Anders zijn hooguit (enkele) gebruikers de dupe. Het systeem blijft operationeel.

De meeste mensen draaien hun windows systeem als administrator gebruiker. Dat is bijna per definitie het geval bij 95/98<font color=#786562>* [quote]
en meestal ook bij 2k en xp. (met name thuisgebruikers..)
</font>

Daarnaast zegt het aantal trojan horses dat ontwikkeld wordt volgens mij veel minder over de security van een OS dan bijvoorbeeld hoeveel virussen er zijn voor een OS. Een trojan horse moet door een gebruiker gestart worden (menselijke fout). Een virus/worm maakt gebruik van fouten in het OS en kan binnendringen zonder menselijke fout (met name worm zoals code red(?)) .
[quote]Even more troubling, perhaps, is the use of [b]open-source software[b] in routers, Web servers, firewalls, and other Internet-connected solutions. The Aberdeen Group says that this situation sets up these devices and software products to be "infectious carriers" that intruders can easily usurp.
[/quote]

Dus het is een slechte zaak dat (meting september 2002) 66.04 Procent van de webservers open-source software draait en dat dat percentage alleen maar groeid? (Apache). Dan moeten we maar eens heel groot alarm slaan. Ik ga meteen apache dumpen voor iss

bron: Netcraft. http://www.netcraft.com/survey/

I rest my case. Bovendien wordt hier ook nog eens het begrip linux en open-source door elkaar gegooid. [quote]

According to the Aberdeen Group, the open-source community's claim that it can fix security vulnerabilities more quickly than proprietary developers can means little. The group says that the open-source software and hardware solutions need more rigorous security testing before they're released to customers. This statement is particularly problematic because [b]many Linux distributions lack the sophisticated automatic-update technologies modern Windows versions contain[b].
[/quote]

De meeste open-source software wordt door (een team van) hobyisten gemaakt. Bij deze software wordt duidelijk aangegeven dat de software (vaak) nog in ontwikkeling is en dat je het niet moet gebruiken in productie-omgevingen. Tenzij je zelf de source er bij pakt en het zelf gaat auditten.

Let bovendien op het woordje "customer"..Curieus...

Over het update-mechanisme:

[debian]
Apt-get update
Apt-get upgrade

[mandrake]
Ingebouwde update tool

[redhat]
Ook (meen ik....)

I rest my case again. [quote]

We can rail against Microsoft and its security policies, but far more people and systems use Microsoft's software than the competition's software.
[/quote]

Dus? Ms is beter? Drogredenering.
[quote]
I believe that we'll never know how secure Linux is, compared with Windows, until a comparable number of people and systems use Linux
[/quote]

Dat weten we wel door middel van statistieken enzo. Ga je mer percentages werken. Bijvoorbeeld zo:

Most defaced web sites are hosted by Windows, and Windows sites are disproportionately defaced more
often than explained by its market share....

Bron:

http://www.vnunet.com/News/1116081[quote]
But despite the fact that Linux isn't as prevalent as Windows, we're still seeing a dramatic increase in Linux security advisories today. I think the conclusion is obvious
[/quote]

Ffies een paar zaakjes:

1. J.S. Wurzler Underwriting Managers’ “hacker insurance” costs 5-15% more if Windows is used instead of Unix or GNU/Linux for Internet operation.

3. The Bugtraq vulnerability database suggests that the least vulnerable OS is OSS/FS, and that all the OSS/FS OSes in its study were less vulnerable than Windows in 1999-2000, unless you counted every GNU/Linux vulnerability multiple times [ok niet up-to-date tot 2002...

Bronnen zijn te vinden op:

http://www.dwheeler.com/oss_fs_why.html#security

I finaly rest my case

[update: dus toch niet resten met die case ;)]

Wat nog erg slecht is van dit artikel: geen enkele verwijzing naar het echte bronmateriaal. (dus het onderzoek van die Aberdeen Group

En nog wat interessant commentaar van iemand die dit artikel ook gelezen heeft:

And yet, here I sit with my virus-free, trojan-free Linux box, receiving tons of viruses and trojans from Windows users (that don't affect me), watching news item after news item about sites run on Windows servers getting defaced and broken into."

Bron:

Klik hier <div class=r>[Reactie gewijzigd door [Q]]</div>

dr.lowtune 28 november 2002 00:29

Zoals al eerder gezegd denk ik niet deze stelling geheel correct is. Het feit alleen al dat de sourcode van linux voor iedereen beschikbaar is maakt het maken van software met tot doel "beveiligings schending" makkelijker. Daar komt nog bij dat de meeste linux users wel ervaring hebben met programmeren (en dus beter in staat zijn zoiets te schrijven) terwijl de doorsnee windows user net weet waar het start pictogrammetje voor staat.

en nee, ook ik denk dat WINinfo nou niet echt onpartijdig is.

en dan nog iets: linux is gratis, dan mag het van mij best wat foutjes bevatten. Een produkt van honderden euro's eigenlijk niet

Wouter Tinus @dr.lowtune • 28 november 2002 00:38

WinInfo kan wel niet geheel onpartijdig zijn, maar het zijn ook geen leugenaars, en de Aberdeen Group is ook niet zomaar de eerste de beste hoor. Verder ben je gruwelijk aan het generaliseren. Er zijn ook Linux-distro's waar je ook alleen maar in hoeft te klikken, en er zijn ook genoeg dingen die je met Windows kunt doen die voor de meeste mensen totale abracadra zijn.

En ja, de source-code van Linux is beschikbaar, maar hoeveel mensen lezen en begrijpen die source ook daadwerkelijk? En hoeveel daarvan doen actief mee aan de ontwikkeling ervan? Ik denk dat dat nog wel eens tegen zou kunnen vallen.

wzzrd @Wouter Tinus • 28 november 2002 09:37

Eehmmm, Wouter, de naam "WinInfo" vind ik persoonlijk al behoorlijk veelzeggend, hoor. Aan de andere kant maken die alleen maar melding van het rapport, dus hebben ze eigenlijk niets mee te maken. Wat wel zo is: met betrekking tot de Aberdeen Group kan ik maar één ding zeggen: Microsoft is een HELE grote klant van die jongens. Het is een beetje naïef om te denken dat omdat het 'geen kleintjes zijn' ze niet te beïnvloeden zijn.

Ik - for one - vertrouw dit rapport voor geen meter. Ze hebben al eerder rapporten gepubliceerd in deze richting. Het is niet zo moeilijk om een rapport met een bepaalde conclusie te LATEN publiceren. Zéker niet als je ervoor betaalt... Wellicht herinnert iedereen zich het rapport van de Aberdeen Group nog, waarin ze 'bewezen' dat Windows goedkoper etc. was de *nix in bepaalde gevallen. Dat rapport was niet meer en niet minder dan een door MS gesponsord antwoord op de (ook niet geheel onpartijdige) onderzoekjes van wat *nix-guru's in die richting.

Linux en MS zijn duidelijk nog steeds in oorlog, no matter what Ballmer en zijn vriendjes beweren. Dit rapport is een (door MS gesponsord) antwoord op jarenlange beweringen dat Windows zo onveilig is. Het feit dat dit onderzoek nu 'bewijst' doet daar niets aan af, Windows blijft onveilig. Het is nu wachten op de tegenzet. Komt vanzelf wel.

Edit: ik zit me eerlijk gezegd ook meer en meer af te vragen of al die lekjes in *nix software (overigens 9 van de 10 keer niet zo ernstig als de gaten in IIS, het is maar waar je voor kiest. Zo onveilig is het dus niet. En ook nog eens snel gefixt) niet ergens hééél intensief worden opgezocht door mensen met een bedrag van MS op hun pay-check. Of ga ik nu te ver

CTVirus @Wouter Tinus • 28 november 2002 01:16

Misschien een leuke frontpage poll, hoeveel linux veiligheids lekken heb jij het afgelopen jaar gepatched. (of uberhaupt gemeld)

Verwijderd @dr.lowtune • 28 november 2002 00:43

Ik denk dat het grote probleem met het vergelijken van Windows en Linux een kwestie van definities is. Hebben we het over Windows dan weten we waar het over gaat (merendeel windows 2000 server). Als we het over Linux hebben dan hebben we het over zeer veel verschillende distributies met allen hun eigen doel. Eigenlijk zou je windows moeten vergelijken met een specifieke distributie.

dr.lowtune zegt dat linux omdat het gratis is best wat foutjes mag hebben. Hier ben ik het niet mee eens. Men wil steeds Linux vergelijken met Windows, en als er fouten in zitten dan zou dat niet meer hoeven? Nee, bij beide mogen er geen fouten in zitten.

(alleen kun je je hier dan ook weer afvragen waar je het over hebt, een foutje in een alsa driver voor mijn geluidskaart is minder erg dan een fout in apache)

The Dolf 28 november 2002 00:09

Volgens mij wort er ook harder gezocht naar lekken binnen linux dan welk ander OS ook.

Verwijderd @The Dolf • 28 november 2002 11:19

Ik heb dat onderzoekje er eens even bijgepakt. Wat getalletjes:
In de eerste 10 maanden van 2002 waren er 0 meldingen van virussen of trojans in microsoft producten, 2 voor Linux en UNIX-systemen en 6 voor 'network equipment', vier voor OSX en 7 voor 'firewalls and other security products'.

Hoe ze uit deze getalletjes concluderen dat Linux het onveiligst is, snap ik niet. Ik zou concluderen dat windows in de eerste 10 maanden van 2002 het veiligst was wat betreft virussen en trojans, en dat is iets heel anders.

Hoe dan ook snap ik niet hoe ze iets over Linux kunnen concluderen, aangezien ze niet expliciet onderschied maken tussen UNIX en Linux. Ze gebruiken ook nog algemene advisories en advisories voor Virussen/Trojans door elkaar waardoor het beeld helemaal troebel wordt, want elders in het rapport wordt gesteld dat er 7 windows vulnerabilities waren in de eerste 10 maanden van 2002. Bovendien hebben ze het over 29 vulnerabilities totaal gemeld, waarvan er ( naar mijn lezing ) 16 bij linux te vinden waren, 16 bij unix, zeven bij microsoft en 4 bij OSX. Ik kom dan echt op een totaal van 43 gemelde vulnerabilities ...

Tel daarbij op dat het hier een marketing research bedrijf betreft, geen wetenschappelijk of technisch instituut. Wat mij betreft kan dit 'onafhankelijk onderzoek' genoegelijk naar de prullebak verwezen worden, nog los van de vraag of het een 'sponsored report' is of niet, want dat melden de heren van Aberdeen Group niet.

yvez

@Verwijderd • 28 november 2002 12:32

eigenlijk kun je dan niet eens concluderen dat linux onveiliger is dan windows op het gebied van trojans e.d.
Je kan namelijk ook zeggen dat diege die die periode bezig zijn geweest met programmeren van trojans beter waren dan diegene die bezig waren met trojans voor windows. Je kan ook zeggen dat ze de uitdaging in windows kwijt zijn en het linux platform nu uitgebreid proberen te pakken.
Je kan ook zeggen dat ... etc etc

dit onderzoek is net zo fragiel als de toren van pisa een paar jaartjes terug. Als iemand hier waarde aan hecht, dan zal het ongetwijfeld een m$ aanhanger zijn, die zonder de feiten te kennen en hoe zoiets ECHT onderzocht moet worden, meteen dit artikel voor waar neemt.
Ik ztel dan ook voor dat linux.com oid ook zo'n zeeeeer betrouwbaar onderzoek doen.
sorry, maar dit artikel kan wat mij betreft tot de rommel gerekend worden die we wel vaker tegenkomen, een telegraaf artikel dus.

edit:

thnx ikiddo

gewijzigd, niet goed opgelet en gewoon dom

iKiddo @yvez • 28 november 2002 13:35

Het is dus de toren van Pisa en niet van pizza

Een toren van pizza is namelijk een hel stuk stabieler dan de toren van Pisa een jaar of 10 geleden was.

Verwijderd @The Dolf • 28 november 2002 01:19

Ik zie niet in waarom dat zo zou zijn. Een hoger percentage Linux gebruikers zal hardcore hacker zijn t.o.v. de Windows gemeenschap, maar in absolute aantallen vraag ik me af of het zoveel scheelt. Als je een betrouwbare bron hebt voor deze bewering, zou ik die graag willen zien.

Verder zegt het hard zoeken naar fouten niets over hoe veilig het systeem werkelijk is. Ten eerste is een fout nog steeds een fout. Ten tweede moet een gevonden fout ook gefixed worden, en volgens dit rapport gaat dit dus helemaal niet zo snel als wordt aangenomen. Ten derde moet de fix nog z.s.m. toegepast worden, en ook dat gaat volgens dit rapport nog vaak zat fout, omdat de eenvoudige update fasciliteiten van Windows beter zijn dan van die van Linux distributies. Als laatste opmerking geldt bovendien dat de veiligheid van een systeem vaker een uitdaging is op menselijk gebied (lees: kwaliteit van beheerder) is dan op technisch gebied.

BTW: Hiermee wil ik niets afdoen aan de kwaliteiten van Linux of Open Source in het algemeen. Wel hoop ik dat al het eeuwige geflame op Windows en MS op het gebied van veiligheid eens plaats maakt voor goede argumenten, onderzoek en bronvermeldingen, zoals dat ook hier is gedaan.

RG @Verwijderd • 28 november 2002 03:16

Ten tweede moet een gevonden fout ook gefixed worden, en volgens dit rapport gaat dit dus helemaal niet zo snel als wordt aangenomen.

Officiëel duurt het vaak even voordat er patches uit zijn inderdaad, maar bij open source software zijn er meestal binnen enkele ogenblikken semi-officiële patches uit (zo van: "Ehm, ja dit lost het op, maar we onderzoeken het nog"). Zoals bijvoorbeeld afgelopen maand het geval was bij de Linux kernel.

Ten derde moet de fix nog z.s.m. toegepast worden, en ook dat gaat volgens dit rapport nog vaak zat fout, omdat de eenvoudige update fasciliteiten van Windows beter zijn dan van die van Linux distributies.

Yeah right. Als er 1 systeem is dat superieur is aan alles en iedereen dan is het wel apt van Debian (+ aanverwante distributies zoals Xandros en Lindows). Zeker in combinatie met een security updates server en een script dat zovaak je wilt automatisch updates checkt en installeert...
Ik weet dan ook niet waar die stelling vandaan komt, maar tegenwoordig hebben alle distributies goede updatemogelijkheden. Maar zoals gewoonlijk zal het wel weer vergeleken zijn met RedHat 5.3 oid ...

Als laatste opmerking geldt bovendien dat de veiligheid van een systeem vaker een uitdaging is op menselijk gebied (lees: kwaliteit van beheerder) is dan op technisch gebied.

Zeer zeker, een aangezien Linux je over het algemeen meer dwingt om iets van het systeem te weten krijg je automatisch ook veiligere systemen, t.o.v. Windows waar iedereen zo ongeveer een server van kan maken. En daar heeft Windows voor een groot deel zijn slechte naam aan te denken en Linux kan nu mogelijke hetzelfde lot boven het hoofd hangen omdat distributies als RedHat, SuSE en Mandrake tegenwoordig net zo eenvoudig zijn als Windows...

MikeN @RG • 28 november 2002 15:48

Ach, emerge is leuk, maar je kunt geen binaries installen, en dat is af en toe wel handig.

Daarnaast is security.debian.org zeker wel snel en emerge world --update ging bij mij nooit echt vlekkeloos (zeker niet als één van de ebuilds niet helemaal flex is)

RG @RG • 28 november 2002 22:49

Maarja, RH, Mdk en Suse hebben nog altijd users en root, (itt lindows, maar daar kan het wel) voorzover ik weet kan een user (evt door een verkeerd virus in z'n mail te klikken) in windows nog steeds het hele systeem overhoop halen...

Dat heeft Windows ook, ook al gaat het niet zover als in UNIX systemen. Maar ook in Windows hoef je niet als "root" (admin heet ie geloof ik) te werken. Het is de gebruiker die dat doet omdat het allemaal zo makkelijk is.

Heb je wel eens *BSD of Gentoo Linux gebruikt? Dan zul je er namelijk snel achter gekomen zijn dat ports(-achtige) PMS's wel degelijk beter zijn. Bv. emerge van gentoo is een stuk sneller met het uitbrengen van alle patches etc. + het compileert van source. (ports van *BSD heeft dezelfde karakteristieken)

Omdat Gentoo sneller zou komen met updates is een ports-achtig systeem veiliger? Rare redenatie lijkt me dat. Als je een veilig systeem wilt is het sowieso al dom om een compiler en aanverwante development spul te installeren. Bovendien is Gentoo nou niet echt een getest systeem. Allemaal leuk en aardig, maar op een server waar veiligheid top prioriteit is, wil je dat gewoon niet.

RobT @RG • 28 november 2002 10:59

Maarja, RH, Mdk en Suse hebben nog altijd users en root, (itt lindows, maar daar kan het wel) voorzover ik weet kan een user (evt door een verkeerd virus in z'n mail te klikken) in windows nog steeds het hele systeem overhoop halen...

iKiddo @RG • 28 november 2002 13:28

Als er 1 systeem is dat superieur is aan alles en iedereen dan is het wel apt van Debian

Heb je wel eens *BSD of Gentoo Linux gebruikt? Dan zul je er namelijk snel achter gekomen zijn dat ports(-achtige) PMS's wel degelijk beter zijn. Bv. emerge van gentoo is een stuk sneller met het uitbrengen van alle patches etc. + het compileert van source. (ports van *BSD heeft dezelfde karakteristieken)

LollieStick @RG • 3 december 2002 21:10

hmm... Sinds kort heeft gentoo stable/unstable tree. Stable is dus ee nstuk veiliger en stabieler als de unstable tree. Jouw redenatie klopt dus ook voor geen meter. En waarom kun je beter geen compiler installeren? De binaries (RPM, DEB, etc) zijn ook allemaal gecompileerd.

edit:

reactie op RG

deadinspace @Verwijderd • 29 november 2002 03:08

Ten tweede moet een gevonden fout ook gefixed worden, en volgens dit rapport gaat dit dus helemaal niet zo snel als wordt aangenomen.

Nee, dat staat er helemaal niet. Er staat (in het artikel op wininformant.com) het volgende:

According to the Aberdeen Group, the open-source community's claim that it can fix security vulnerabilities more quickly than proprietary developers can means little.

Dus de bewering dat security issues in open source software sneller gefixt wordt wordt helemaal niet in twijfel getrokken, maar ze vinden wel dat het onboeiend is (rare instelling, maar goed).

En als je BugTraq enzo bijhoudt, dan merk je dus echt wel dat ernstige security issues in open source producten heel vaak heel snel gefixt worden.

Ten derde moet de fix nog z.s.m. toegepast worden, en ook dat gaat volgens dit rapport nog vaak zat fout, omdat de eenvoudige update fasciliteiten van Windows beter zijn dan van die van Linux distributies.

Nooit Debian gebruikt zeker

Debian is trouwens ook onwijs snel met security updates.

Suicyder

@The Dolf • 28 november 2002 00:37

Dat denk ik niet hoor. Hoe vaak ik Microsoft nou wel niet met de neus op de feiten gedrukt heb gezien. Het lijkt alleen maar zo. Ze testen het wel goed, alleen Linux wordt door kweeniehoeveel volk van gezegd dat het SUPERveilig is enzo. Nou hier hebben deze mensen hun antwoord. FOUT!!!! Linux is dus gatenkaas. Doe mij maar lekker Windows 2000 Professional, die is tenminste het best beveiligd getest. Maarjah, en wat dan nog? als iemand binnen wil komen op je thuispc'tje wat wil ie doen en wat heeft ie eraan? en als ze echt willen lukt het ze ook wel.

edit:
Microsoft is en blijft ook vol gaten zitten, doe je toch niets aan

[off-topic]Dank je voor het wegmodden. Zie alleen niet waarom

, maar dat wel weer aan mij liggen. Het is toch zo dat er geen OS is zonder gaten of zie ik dat nu fout. Het is er niet en zal ook nooit komen, maarjah.

Nog iets, het viel me net op dat ik een first post toegewezen kreeg

tis een reply dus kan het niet eens een first post zijn. Frappant

.

Heb ff off-topic erbij gezet. Het spijt me dat ik ff zo off-topic ben. Verkeerde been denk ik. [/off-topic]

Verwijderd @Suicyder • 28 november 2002 01:17

"hier hebben deze mensen hun antwoord. FOUT!!!! Linux is dus gatenkaas. Doe mij maar lekker Windows 2000 Professional, die is tenminste het best beveiligd getest."

Dus even kijken. Er is één onderzoek dat claimt dat Linux onveilig is. Door wie is dat betaald? MS heeft wel een geschiedenis van het kopen van 'onpartijdige onderzoeken'. Wat zijn die waarschuwingen? Wat telt er mee, elk bugje in elk onbetekenend derderangs pakketje of alleen belangrijke dingen?

Had MS trouwens niet een tijdje geleden eoa partner-programma voorgesteld waarbij informatie over lekken en zo NIET publiekelijk bekend zou worden gemaakt, maar alleen aan MS persoonlijk. Misschien is dat ook in werking?

Vergeet ok niet dat risico een produkt is van kans en gevolg. Eén succesvol Windows-virusje kan veel meer schade aanrichten dan een dozijn Linux-virussen omdat bv. Outlook virussen standaard voor je opstart en doorstuurt naar iedereen die je kent.

RobT @Verwijderd • 28 november 2002 11:01

De Aberdeen Group hangt conclusies aan het onderzoek van CERT.

Wat zeggen die getallen werkelijk? Wat is werkelijk het risico?
Daar zegt CERT niks over, maar AG trekt de conclusie dat we beter af zijn met MSWin.
Hmmm.

Aetje @Verwijderd • 28 november 2002 13:31

Zou men met Windows ook moeten doen. Fout in IE: Meetellen voor Win '95, 98, 98 SE, NT4 (workstation en server), 2K (pro en server), XP (home en pro). Da's dus 9 instanties van dezelfde fout

Bovendien... Sendmail hoort niet bij het linux OS, het is een apart programma dat als daemon installed wordt. Dat 't CERT dat onderscheid niet maakt...

CodeVision @Verwijderd • 28 november 2002 07:58

"Dus even kijken. Er is één onderzoek dat claimt dat Linux onveilig is. Door wie is dat betaald? ..."

de bron die dit bericht vermeld mag dan wellicht niet geheel of geheel niet onpartijdig zijn, volgens mij heeft microsoft nog steeds de CERT niet in z'n zak, aangezien dit gewoon een overheidsgefinancieerde instelling is.

Verwijderd @Verwijderd • 28 november 2002 10:53

De gegevens van het CERT zullen wel kloppen, de vraag is natuurlijk hoe je telt, zoals bij alle (wetenschappelijke) onderzoeken. Kijk je alleen kwantitatief ( dus hoeveel meldingen zijn er met het woord Linux erin, ik noem maar een kriterium ) of kwalitatief ( heb je een scoresysteem voor de ernst van de lekken ). En aangezien Microsoft, zoals al opgemerkt, een geschiedenis heeft van 'onafhankelijke' onderzoeken kopen, ga ik echt niet op 1 rapport af van een instelling waar ik nog nooit van gehoord heb.

MieRoels @Verwijderd • 28 november 2002 13:17

Dit soort onderzoek heeft ook de neiging om Linux fouten meerdere malen te tellen. Als er in Sendmail een vulnerability zit wordt dat geteld voor alle distributies apart. Met SuSe, RH, Mandrake, Gentoo en Debian zit je dan op 5 vulnerabilities.

blouweKip @Suicyder • 28 november 2002 01:09

Er is meer informatie beschikbaar over problemen onder linux (mede omdat het anders dan windows open-source is), de ernst en de effecten zijn vaak klein en vaak worden fouten in meerdere oude versies van een bepaald stuk software bij elkaar opgeteld terwijl er al lang een update is die de problemen verhelpt

Dit neemt natuurlijk niet weg dat de veilgheid op een systeem voor een substantieel deel afhangt van een bekwame sysadmin

Dat er verder geen waarschuwingen of informatie over problemen in windows aan het licht komt ligt ook meer aan de gesloten aard van de bedrijven die verantwoordelijk zijn voor die software

Aetje @blouweKip • 28 november 2002 03:10

Daar komt nog eens bij:
Als je ECHT je systeem waterdicht wil hebben en je wilt tot in de kern van je OSje gaan snuffelen om zeker te weten hoe alles werkt, dat je dat bij Linux kan. Bij Windows moet je Billy Gate$ vertrouwen met het feit dat er in Winsock32.dll geen trojannetje zit...

Verder sluit ik me aan bij wat hierboven staat: Voor elk OS geldt, de kritieke veiligheidsfactor is de bekwaamheid en alertheid van de admins.

MRic3 @blouweKip • 28 november 2002 10:29

PSIES... kortgezegd

een OS is zo goed als de sysadmin die hem instaleert/beheerd

Chaoss Moderator Spielerij @The Dolf • 28 november 2002 08:24

Dat zou kunnen maar dat lijkt me sterk, bij Microsoft is er gewoon een team full time bezig met het zoeken en oplossen van bugs en security problemen etc. Bij een open source OS hangt het alemaal van de huis tuin en keuken prutsers af... en daar zit nou net het gevaar in!

OK er zijn over het jaar 2001 meer security patches voor linux dan voor windoos uitgebracht, maar dat geeft volgens mij eerder aan hoe lek linux is.

Standeman @Chaoss • 28 november 2002 10:19

Veel van die huis tuin en keuken prutsers zijn mensen die zichzelf al helemaal bewezen hebben in de IT-wereld en vaak voor nop aan het werk zijn voor de Open Source Community. Het zijn echt geen pukkelige tieners die in het donker een beetje progjes in elkaar aan het draaien zijn!

Overigens zegt de omvang van het test-team, het aantal gevonden bugs en gaten helemaal nix over de veiligheid van een OS. Het lullige van ervan is dat je nooit helemaal kan bewijzen dat een applicatie helemaal zonder bugs of gaten is (met normale middelen, wiskundig gezien is het wel mogelijk, maar het is nogal een enorme taak).

Dus als er in een jaar 50 fouten in een OS gevonden worden, betekent het niet dat er geen fouten meer inzitten en zegt het al helemaal niets over het aantal fouten die er nog wel inzitten. Daar kan je simpelweg niets voer zeggen..

(huh, first post

)

freaky @The Dolf • 28 november 2002 10:36

Ja dit zijn echt bullshit vergelijkingen... Windows gaat het -altijd- afleggen als het op dezelfde grond vergeleken zou kunnen worden.

Met linux pakken ze meteen alle applicaties die ervoor beschikbaar zijn of bijv. in SuSE zitten. Nou telt SuSE zo'n 2000 applicaties ofzo, dus om dat een beetje vergelijkbaar te maken zou je in MS wereld ook ff alle applicaties van bijv. adobe, borland en alle allerhande applicaties die op tucows en sourceforge voor windows te vinden zijn.

Dan komt d'r nog bij dat software veel vaker gereleased word onder linux/bsd/open source OS'en. Kijk alleen al naar de kernel.... v2.4.19, v2.4.20-pre1, pre2, pre3 enzovoort tot pre20 ofzo, dan word het rc1 - rc10 en dan eindelijk 2.4.20. Bij windows gaat het meteen van 2.4.19 naar 2.4.24 en wat daar tussen in zit is alleen intern gereleased.

Lekker vergelijken zo.

Kan het ook omdraaien natuurlijk... linux is alleen een kernel. Eens kijken hoeveel bugs de -officiele- kernel releases gehad hebben ten opzichte van alle MS software... Denk niet dat er iemand is die er nog hoeft na te denken wie dat wint...

egeltje @freaky • 28 november 2002 13:16

Dit lijkt me inderdaad een hele interessante.
Leg de basic kernels naast elkaar en ga dan testen.
Alleen... Wat noem je Windows?
Win95/98/NT/2000/XP? Die mag je niet zo maar op een hoop gooien.

Veel MS patches die uitkomen fixen namelijk dingen in Office, of in Outlook (Express), of in Internet Explorer (hoewel dat lekker diep in het OS zit ingebakken). Die mag je dan eigenlijk ook niet meetellen...

denios 28 november 2002 00:11

Gezien het aantal mensen dat slim genoeg is en kennis heeft om Linux worms/trojans te maken of dit systeem anderszins te bedreigen, en het VEEEEL grotere aantal dat dit men windows kan (elke scriptkid met een betje tijd), vind ik dit een zeer ongenuanceerde uitspraak...

Wouter Tinus @denios • 28 november 2002 00:22

Meer mensen lopen risico bij een fout in Windows dan bij een fout in Linux, klopt. Maar een gat is een gat, en als er een gat in jouw OS zit dan moet je dat fixen als beheerder, of het risico nou groot is of niet. Scriptkiddies kan iedereen wel tegenhouden, maar de echte crackers zijn moeilijker te stoppen. Een OS veilig noemen omdat minder mensen er virussen voor kunnen schrijven is dus een beetje krom.

ATS @Wouter Tinus • 28 november 2002 11:38

Op zich is het nog niet zo'n heel gekke gedachte vind ik. Als je kijkt waardoor de meeste schade is ontstaan in de laatste jaren (en dat lijkt me een belangrijk criterium!), dan denk ik dat je moet concluderen dat dat scriptkiddies zijn geweest. Is het dan zo vreemd om dat - mede - als veiligheidscriterium te gebruiken?
Natuurlijk is een OS daarmee niet veiliger voor mensen die gericht en met kennis van zaken proberen een specifiek systeem binnen te dringen, maar het is wel minder kwetsbaar voor allerlei 'random toeslaande' bedreigingen van scriptkiddies.

FCA 28 november 2002 00:50

Ik heb het maar eens even opgezocht bij de Aberdeen groep zelf, en die zeggen het volgende

Virus and Trojan horse advisories affecting Microsoft products peaked at six in 2001, which then bottomed out at zero for the first 10 months of 2002.

Waarom krijg ik dan nog steeds virus mailtjes?
Hier wordt geclaimd dat er geen virus uitbraken voor Windows zijn geschreven dit jaar.
Ik noem een W32.Brid.A@mm
of een andere van de tig ander virussen die volgens Symantec rondzwerven, die alleen al in oktober zijn ontdekt.

kvdveer @FCA • 28 november 2002 01:02

Het betreft nieuw gevonden lekken, in het besturingsysteem. Die Aberdeen-groep lijkt (in tegenstelling tot MS) IE en OE niet tot het besturingsysteem te rekenen.

FCA @kvdveer • 28 november 2002 01:43

Dan zie ik niet in hoe ze aan zoveel lekken in Linux kunnen komen. Ik bedoel, ik ken weinig beveiligingslekken in de Linux kernel. Ze zullen er vast wel zijn, maar bijna alle advisories zijn over Apache, OpenSSH, of dergelijke dingen geweest.

deadinspace @kvdveer • 29 november 2002 03:08

Het betreft nieuw gevonden lekken, in het besturingsysteem. Die Aberdeen-groep lijkt (in tegenstelling tot MS) IE en OE niet tot het besturingsysteem te rekenen.

Maar ze lijken wel Apache, bind, sendmail en weet ik wat bij "open source" te rekenen.
Alle open source producten tegen één (of vijf als je de verschillende Windowses zo graag apart wil rekenen) OS van één fabrikant.... Zo kan ik ook aan scheve getallen komen ja.

Verwijderd 28 november 2002 00:10

moet deze discussie nou weer gevoerd gaan worden?

ohohoh wat is linux toch onveilig....
Ik blijf erbij, het ligt niet aan je os maar voornamelijk aan de administrator.

demonite @Verwijderd • 28 november 2002 08:10

Ja dat is lekker makkelijk, blame it on the admin.
Aangezien iedereen kan neuzen in de source code van linux is het veel makkelijker om bugs/gaten te vinden als bij windows.
Wie zegt dat degene die zo'n fout vind daar een patch voor gaat maken ? Misschien gaat ie er wel gewoon grof misbruik van maken! Die lui die nu voor windows van die vervelende dingen misbruik maken kunnen dat ook met linux doen hoor...

En als er dan wat mis gaat is het zeker de schuld van de administrator ? Helaas is het iig de verantwoordelijkheid ervan, niet voor niets dus dat de meeste admins het toch gewoon bij een windows houden of een closed source unix variant.

Feit is gewoon dat er zoveel exploits voor windows zijn omdat het het meest gebruikte OS is. Hoe meer linux gebruikt gaat worden, hoe meer exploits er voor linux er zullen komen.. En niemand kan ontkennen dat je een exploit makkelijker zult vinden/bedenken als je de source code bij de hand hebt.

RobT @demonite • 28 november 2002 11:11

Precies zo is het maar net.
Niet.

MSwin is open by design, lees bv dit maar:
[url="http://encryption_policies.tripod.com/industry/campbell_270400_microsoft.htm"]http://encryption_policies.tripod.com/industry/campbell_270400_microso ft.htm[/url]
Goed, bewijzen zijn er niet, maar toch...

Security specialisten zijn het er allang over eens: security by obscurity (wat je doet bij een closed source systeem..) is geen goede beveiliging.

Er zijn zoveel exploits voor Windows, omdat het nooit met het idee van veiligheid is gemaakt, onlangs eindelijk door MS toegegeven.

Linux is met UNIX als basis, gebouwd met een multiuser idee (echt multiuser, dwz die gebruiken tegelijkertijd hetzelfde systeem), en dus ook met een filesysteem dat inherent veiliger is etcetc.

Bovendien, alle linuxen zijn een beetje anders, die diversiteit zorgt ervoor dat de kans klein is dat je alle 'stock' systemen binnenkomt met dezelfde exploit; ander kernel, andere versies van geinstalleerde software etcetc.

En ik ontken lekker wel (zie je wel dat het wel kan) dat je een exploit gemakkelijker vindt met de sourcecode in de hand.
Als een systeem nl waterdicht is, vind je met of zonder source code geen lek. (let op, ik beweer dus niet dat linux waterdicht is, alleen dat je bij een waterdicht systeem niks hebt aan de sourcecode...)

En zonder sourcecode is de druk veel minder om te zorgen dat het systeem waterdicht is.
Dus dat feit maakt het streven voor MS en open source heel anders:
bij os is het streven een waterdicht systeem, en bij MS is het streven een systeem dat waterdicht lijkt.

Kies zelf maar.

demonite @RobT • 29 november 2002 07:33

Heb je gelijk in.. Maar het is dus niet zo Opensource per definitie een waterdicht systeem geeft.. (na verloop van tijd, als er maar genoeg mensen aan blijven werken natuurlijk wel)
Maar wat ik wil aangeven is dat het blijkt dat linux nog niet waterdicht is. En dat je die gaten veel eenvoudiger zal vinden als bij een closed source systeem...

En hoe meer mensen in die source gaan kijken hoe meer gaten er zullen worden gevonden en worden opgelost.. De vraag is alleen, voordat de bugfix op jouw systemen zijn toegepast, wat is er dan al gebeurd? D'r zit nou eenmaal een tijdverschil tussen het ontdekken van een bug, en het fixen van een bug, het uitbrengen van een patch en het installeren hiervan.
Wie zegt dat 1 of andere lamer die bug al niet eerder heeft ontdekt maar nooit heeft gemeld maar er misbruik is van gaan maken?

Even nog een domme vergelijking:
linux: ik laat op een druk terras mijn gsm op het tafeltje liggen.
windows: ik gooi mijn gsm in het dashboard kastje van mijn auto.

in welk van de 2 gevallen is de kans groter dat ik een reusachtige telefoon-nota krijg ?

Verwijderd @RobT • 29 november 2002 15:23

re demonite:

Zoals je zelf al zegt dat bij Open Source de gaten eerder zijn gevonden (meer mensen werken eraan etc.) en dat er een of andere lamer een bug/exploit heeft gevonden, wil dus niet zeggen dat een ander persoon die bug/exploit niet vind, en op het moment dat die lamer die bug/exploit gebruikt vertelt hij het "meestal" wel tegen andere mensen.
Zodoende wordt zo een bug redelijk snel gevonden.

[semi-offtopic]
En dan over die domme vergelijking:
Als jij op een druk terras jouw gsm laat liggen die uitstaat en een pincode heeft, of jij je gsm aan laat staan in de auto in een buurt waar criminelen leven, en je deur zit niet op slot. Wel dicht. [/semi-offtopic]

NoFli overigens

Shuriken 28 november 2002 01:08

Op [H]ardOCP stond er een opmerking bij dit stukje. Nl. dat de Aberdeen Group nooit uit eigen intitiatief dit soort onderzoeken doen. Dat doen ze in opdracht voor een bedrijf. Ze worden uiteraard betaald voor dit soort opdrachten.

Dus het is maar de vraag hoe objectief dit onderzoek is......

Q @Shuriken • 28 november 2002 01:14

Aberdeen Group is a leading IT market analysis and positioning services firm" to use their own words, and they make no bones about selling "sponsored reports."

http://www.aberdeen.com/ab_company/about/about.htm

Some past Aberdeen efforts have resulted in comments like this:
"We live in a world of propaganda. Government propaganda, corporate propaganda, interest group propaganda, and even "news" propaganda. When an 11 page report came out of 'The Aberdeen Group' slamming the AMD performance rating, my immediate impression was that it was a "slander-by-proxy" attack, paid for by Intel. I refrained from making that allegation in my story on the so-called report.

Well, now it's not just an allegation any more, after it turns out that the Aberdeen Group did not even speak with a single person at AMD, and that the report was financed by Intel. This kind of corporate propaganda should make consumers angry. I find it despicable when large corporations pay supposedly independent research groups to attack their smaller rivals, rather than just competing on the merits of their products."

http://www.kickassgear.com/News/NewsArchive/NewsArchive_Mar02.htm

Microsoft is a customer of theirs:
"The Boston-based research group recently published a study that claims large enterprise customers who use Windows 2000 data center software pay significantly less to manage a system compared to those running Unix. However, that survey was sponsored by Microsoft, Manter said."

http://www.infoworld.com/articles/hn/xml/02/04/01/020401hnunixcamp.xml

There's tons more like that out on the web. Is this report objective and well-researched, or is it more likely a bit of "brand building" paid for in Redmond? You be the judge...

Het antwoord op je vraag....

Verwijderd 28 november 2002 00:26

Hoezo Linux geen automatische update zoals live-update in windows. Als je Suse neemt zit daar Yast in. Een onderdeel van Yast (Yet another setup tool) is You (Yast online update). Daarmee kan ik automatisch via ftp m'n Suse distro updaten en dit geheel automatisch laten installeren. Klinkt toch aardig richting Live Update. Ohja en nu wordt er niets naar Suse verstuurd. You vraagt nl welke updates zijn er, en kijkt dan welke jij geinstalleerd hebt en haalt automatisch de juiste op.

burne @Verwijderd • 28 november 2002 03:22

Tip: in Redhat heet het up2date, in Mandrake urpmi en in debian schuilt het onder de naam apt-get.

En het doet allemaal hetzelfde.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (134)

Sorteer op:

Weergave: