Linux-distributeurs reageren op Forrester-onderzoek

De Linux-distributeurs Debian, Mandrake, Red Hat en Suse hebben in een gezamenlijke verklaring kritisch gereageerd op een rapport van onderzoeksbureau Forrester met de titel "Is Linux more secure than Windows?". In het rapport werd de conclusie getrokken dat alleen Debian en Microsoft redelijk snel reageerden op de ontdekking van veiligheidslekken. Volgens de reactie van de vier Linux-distributeurs is het onderzoek echter van weinig waarde voor de eindgebruiker. Hoewel zij zelf actief meewerkten en probeerden om de onderzoekers van Forrester van correcte gegevens te voorzien, vinden zij dat de uitkomsten verwarrend en twijfelachtig zijn. De vier leggen uit dat bugreports altijd door verschillende teams op hun gevaar worden beoordeeld, waarna ze ingedeeld worden naar prioriteit. Op die manier worden kritieke lekken normaal gesproken binnen enkele uren gedicht, en blijven de minder belangrijke dingen wel eens wat langer liggen. De onderzoekers zouden echter geen rekening hebben gehouden met deze prioriteitslijsten, maar slechts berekend hebben hoe lang alle bugreports over een heel jaar gemiddeld afgewerkt werden.

Tux achter desktop Door geen onderscheid te maken naar de aard van de lekken, wordt volgens de Linux-distributeurs ten onrechte ook de hoogte van de risico's buiten beschouwing gelaten, terwijl de gebruiker juist daar belang bij heeft. Martin Schulze van het Debian-team ondersteunt deze uitspraken over prioriteiten met cijfers. Een onderzoek uit 2001 wijst uit dat Debian er, gemiddeld over een jaar gemeten, 35 dagen over doet om gemelde veiligheidslekken te dichten. Meer dan de helft van het totaal wordt echter binnen tien dagen behandeld en ongeveer vijftien procent is zelfs dezelfde dag nog verholpen. Bij wijze van uitsmijter stellen de vier bedrijven dat de bewering in het rapport, dat één softwareleverancier gedurende de tijd van het onderzoek honderd procent van de gemelde bugs verhielp, aansporing zou moeten zijn voor een nader onderzoek van de conclusies ervan.

Reacties (23)

Verwijderd 8 april 2004 23:17

Een Linux-distro bestaat uit weet ik hoe veel losse programmaatjes, bugs worden er vaak in ontdekt. Patches tegen lekken worden soms zelfs gemaakt door diegene wat de bug ontdekte en doorgegeven aan diegene wat het programma beheerd en niet aan debian of een andere distro uitgever(?). Dat duurt dus ook weer lang. Tevens passen de bedrijven sources aan naar hun wensen waardoor er ook allens lekjes kunnen ontstaan.
Tijdje terug was er een zeer kritiek lek in de linuxkernel waardoor er rootaccess kon worden verkregen dat was ook zo opgelost.
Ik denk dat als ze echt gaan meten hoe lang het duurt tussen de ontdekking en oplossing van een zeer kritieke bug dat microsoft en debian of een andere distro de tijd veel korter zal zijn. Op die ene beruchte keer bij microsoft na dan met een periode van een half jaar

Alleen is het niet zo super dat microsoft maar 1 of 2 keer per week een patch online zet per programma.

edit:

ff wat veranderd voor dat gezanik over linux waarmee ik natuurlijk een linux-distro bedoelde

wzzrd @Verwijderd • 9 april 2004 10:01

Linux bestaat uit maar één los programmaatje: de kernel. Dank u.

Bor Coördinator Frontpage Admins / FP Powermod @wzzrd • 9 april 2004 10:59

Linux bestaat uit maar één los programmaatje: de kernel. Dank u

Hoewel dit feitelijk wellicht correct is, is het in de praktijk volkomen onzin. Hetzelfde zou voor Windows ook gelden dan. Mensen / eindgebruikers zien een distributie als Suse / Fedora etc ALS linux, met alle bijgeleverde programma's erbij.

deadinspace @Bor • 9 april 2004 14:58

Hoewel dit feitelijk wellicht correct is, is het in de praktijk volkomen onzin.

Als het feitelijk correct is, dan is het ook in de praktijk correct hoor

Hetzelfde zou voor Windows ook gelden dan

Nee, want Windows is niet de naam van een kernel. Windows is de naam van een distributie die onder ander Microsofts NT kernel (tegenwoordig althans) bevat. Dit onderscheid wordt niet zo vaak gemaakt, omdat er slechts een handjevol distributies is die allemaal worden uitgegeven door dezelfde vendor, Microsoft, maar dit onderscheid is er wel.

Linux is niet de naam van een distributie; Linux is de naam van een kernel. Zeggen dat je een distributie Linux kunt noemen is hetzelfde als zeggen dat je Windows net zo goed kernel32.dll oid kunt noemen.

Verwijderd @Verwijderd • 8 april 2004 23:47

Het is opvallend het volgende te zien... Oracle heeft er net een jaar over gedaan om een remote heap overflow te fixen in een van hun producten... vrij kritiek probleem, en wordt net nu gefixt tijdens een grote hoeveelheid windows wormen zodat het niet zo opvalt...

http://www.inaccessnetworks.com/ian/services/secadv01.txt

n4m3l355 @Verwijderd • 9 april 2004 02:10

voor die desbetreffende rootaccess was de nieuwe kernel wel nog dezelfde dag gereleased.
hoelang duurde.. en duurt het nu nog niet voor een tal van windows bugs die fataal zijn?
daarnaast dat oracel zolang over een buffer overflow error op te lossen.. in windows kunnen ze dit gewoon niet met de huidige architectuur. in linux kan dit zeer moeizaam enkel in BeOS heeft men dit opgelost..

Tevens snap ik ook niet echt waarom de distributeurs er zo'n ramp van maken.. ze worden onderuitgeschoffeld door een bedrijf dat windows met debian op 1 lijn durft te zetten.. iedere gebruiker zou dan al plat moeten liggen

Verwijderd 8 april 2004 22:35

Bij wijze van uitsmijter stellen de vier bedrijven dat de bewering in het rapport, dat één softwareleverancier gedurende de tijd van het onderzoek honderd procent van de gemelde bugs verhielp, aansporing zou moeten zijn voor een nader onderzoek van de conclusies ervan.

Je moet de sponsor toch ophemelen

Echnon 8 april 2004 23:35

de vier bedrijven

Debian is géén bedrijf, maar een organisatie van vrijwilligers.

The Debian Project is an association of individuals who have made common cause to create a free operating system. This operating system that we have created is called Debian GNU/Linux, or simply Debian for short.

http://www.debian.org/intro/about

Verwijderd 8 april 2004 23:58

Ik ben nou weliswaar geen Linuxfan, maar Forrester publiceert altijd dubieuze onderzoeksresultaten. Het lijkt erop alsof ze weliswaar heel goed dingen kunnen onderzoeken en analyseren, maar totaal geen idee hebben wat ze nou eigenlijk onderzoeken.

Net als wanneer er een itempje over computers is te zien in programma's als "Kassa" en "De kat in de zak" (

), dan heb je ook het idee dat de redactie onder het computer-idee kennisniveau zit.

BezurK 8 april 2004 22:33

Het is ook altijd wat met die onderzoeken. Er komt altijd iemand slecht uit de verf, dat is nou eenmaal een kenmerk van zulksoortig onderzoek... en het is ook een kenmerk dat die benadeelde partij _altijd_ wel iets te klagen heeft daarover... ik sta er iig niet vreemd van te kijken.

Daarentegen vind ik de uitslag wèl verrassend. Ik neem het iig wel met een korreltje zout. Dat Debian snel is lijkt me heel logisch en daar keek ik niet van op, zelfde geldt voor Microsoft, ook dit had ik wel verwacht want die zijn er altijd rap bij vind ik vooral als je ziet dat het een commercieel bedrijf is. Maar dat Fedora/RedHat heel veel trager is dan Microsoft dat betwijfel ik...

blade181 @BezurK • 9 april 2004 11:07

Dat microsoft snel is met bugs verhelpen en veiligheidslekken te dichten dat valt me eigenlijk ook op. Ik heb nu al maandenlang niets op mijn Windows update pagina staan. En ik kan me niet voorstellen dat alle lekken op dit moment gedicht zijn in Windows (XP).

Debian echter heeft elke dag updates, updates van pakketten, updates van veiligheidsproblemen in de kernel of wat dan ook.

Verder valt het op dat als er vandaag een lek in Openssh gevonden wordt waardoor er root rechten verkregen worden op een linux pc. Dan is het morgen opgelost. Ik denk idd niet dat ze daar naar gekeken hebben.

Jit @blade181 • 9 april 2004 11:32

Dat in dit onderzoek naar voren komt dat MS snel is, komt ook door de onderzoeksmethode van Forrester. Die hield in dat ze keken naar de publicatie van het lek en de tijd die daarna nodig was om dat lek te dichten.
Op die manier wordt een lek waar zes maanden over gezwegen is, maar wel al actief aan gewerkt werd om te dichten heel positief meegenomen in de beoordeling omdat er bij de bekendmaking door MS gelijk een patch beschikbaar was.

Verwijderd @Jit • 9 april 2004 16:53

Ze hebben nu een kans om te laten zien hoe goed ze werken als ze onder dezelfde omstandigheden werken:
http://slashdot.org/article.pl?sid=04/04/09/0546203

Feit is dat als ze in de publiciteit aangeven dat ze zo goed zijn dat ze altijd dezelfde dag een bugfix publiceren dan proberen mensen dat uit door de bugs domweg bekend te maken. Volgens Cert is bovenstaande bug nog niet gefixt.

Countess @BezurK • 9 april 2004 01:01

windows laat eigenlijk allen zien dat ze critice problemen hebben opgelost, en soms wat minder critieke.
voor dat ze die hebben opgelost word er meestal geen melding van gemaakt naar de buitenwerld toe dus vraag ik me af hoe deze onderzoekers aan hun dat komen wat betreft MS.
bij de linux distributies kan je meestal alle door particuleren gesubmitte bugreports lezen, en deze zijn niet allemaal even belangrijk.

verder bestaan deze distributies uit honderden zo niet duizende verschillende programa waar de gemiddele gebruiker 1 tot 5% van gebruikt denk ik.
dus is er een beveiligings lek in zo'n programa is er maar een 1 op 20 kans (gemiddeled) dat deze lek voor jouw belangrijk is.

Confusion @BezurK • 9 april 2004 11:37

[..] _altijd_ wel iets te klagen heeft [..]

Zo kan je iedere kritische reactie wel afdoen als 'altijd iets te klagen hebben' en zou geen enkele kritische reactie dus meer terecht zijn.

De linux distributeurs staan er bepaald niet om bekend dat ze zomaar 'joint statements' uitbrengen om te klagen over een onderzoek dat in het nadeel van linux uitvalt. Dat ze dat in dit geval wel doen komt omdat Forrester het gewoon verknoeid heeft, door betekenisloze conclusies te trekken en deze suggestief te brengen.

]Byte[ 9 april 2004 08:09

Jaja.... ik ben dan wel eens benieuwd HOE het oplossend vermogen wordt beoordeeld.
Microsoft had laatst een bug er in zitten die ze 6 maanden stil hebben gehouden.
Toen ze 'm bekend maakten brachten ze ook gelijk een patch uit.
Kijk, als ze binnen 10 min. die patch klaar hebben staan voor de gebruiker, is dan de oplos-snelheid 10 min. of 6 maanden?
Ik begrijp ook wel dat het onwenselijk is dat je zo'n bug niet gelijk aan de grote klok hangt, maar dat was wel een serieuze! En waren gebruikers dus gewoon 6 maanden potentieel slachtoffer zonder het te weten of er iets tegen te kunnen doen.
Maar je kent het gezegde: Meten is weten!
Maar dat meten kan je in dit geval wel op meerdere manieren doen!

Verwijderd @]Byte[ • 9 april 2004 14:09

Er is niks mis mee om bugs te verzwijgen tot je hun patch uitbrengt... als je vanuit 1 bedrijf opereert! De community-structuur waarbinnen Linux-implementaties worden gecreeerd maakt dit verzwijgen daar onmogelijk.

Er is wel veel op tegen om dan de 'verzwijgtijd' niet mee te nemen in zo'n onderzoek (haha, wat een blunder) en om de prioriteit niet mee te nemen (nog zo'n blunder). Als dit klopt (het rapport is niet publiekelijk in te zien), dan zijn die Laura Koetzle, Charles Rutstein, Natalie Lambert en Stephan Wenninger (de schrijvers) incompetent of frauduleus.

Verwijderd 9 april 2004 08:43

Microsoft snel? Bij E-eye denken ze anders over, een lijstje met openstaande bugs bij MS:
http://www.eeye.com/html/Research/Upcoming/index.html

Grappig detail, ben deze week nog geconfronteerd geweest met een bug die al jaren in Outlook (Express) zit en die MS weigert te fixen. 3000 mails opnieuw mogen verzenden, omdat er door ongelofelijk toeval een lijn die begint met "begin " (2 spaties) in het bericht stond. Probeer het maar eens...
( http://support.microsoft.com/default.aspx?scid=kb;en-us;265230 )

Verwijderd @Verwijderd • 9 april 2004 09:46

dat is een beetje flauw, deze 'bug' bestaat omdat microsoft met outlook express netjes UUencoding ondersteund. tegenwoordig gebruiken we gewoon mime, wat veel beter gedefinieerd is, maar voor downward compatability ondersteunt microsoft UUencoding. ok, ze hadden iets beter kunnen checken, of uuencode optioneel maken.. het is ieg niet echt bepaalkd 'kritiek' te noemen, hooguit een beetje annoying, en idd lullig als je als bedrijf dit probleem tegenkomt met een mailing list...

PipoDeClown @Verwijderd • 9 april 2004 09:23

kzou zeggen
lees je artikel en update je outlook express o_O

besides je link is bugged, fix it...

Verwijderd 9 april 2004 00:42

Wat ik vooral lees, is dat de statistische manier van onderzoek (LEES: STATISCH!), niet meer voldoet..

edit:
Der Vati (hierboven) zegt het heel goed, in mijn ogen.

lost95 9 april 2004 09:41

De onderzoekers zouden echter geen rekening hebben gehouden met deze prioriteitslijsten, maar slechts berekend hebben hoe lang alle bugreports over een heel jaar gemiddeld afgewerkt werden.

Dit lijkt me weer een mooi gevalletje van de statisticus die verdronk in een rivier van gemiddeld één meter diep. Gemiddelden zeggen niks, met een standaarddeviatie erbij heb je al meer info. (en dit nog even los gezien van het feit dat er in het onderzoek schijnbaar geen rekening is gehouden met de ernstigheid van de bugs).

Verwijderd 9 april 2004 12:07

Ik vind het appels met peren vergelijken!
4 linux distrubteurs en 1 andere software bedrijf

Laat ze ook gelijk OS/2, Solaris en andere bedrijven doen. Dan pas levert het resultaat op!

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (23)

Sorteer op:

Weergave: