Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 37 reacties

Onderzoekers hebben een rapport gepubliceerd waaruit volgens de auteurs zou blijken dat Microsoft sneller 0day-patches uitbrengt nadat kwetsbaarheden bekend worden dan Apple.

Stefan Frei, Bernhard Tellenbach en Bernhard Plattner van de Swiss Federal Institute of Technology, een technische hogeschool in Zürich, hebben op de Black Hat 2008-hackconferentie in Amsterdam de resultaten gepresenteerd van hun onderzoek naar de snelheid waarmee Microsoft en Apple patches hebben uitgebracht voor hun besturingssystemen. Daaruit blijkt volgens de wetenschappers dat Microsoft relatief vaker 0day-patches weet uit te brengen dan Apple, en het besturingssyteem van de laatste heeft gemiddeld ook meer ongepatchte kwetsbaarheden openstaan dan bij Windows. Tevens hebben de onderzoekers afgeleid dat er de maanden voorafgaand aan de release van een nieuw besturingssysteem of servicepack, minder patches worden uitgebracht.

Patch/pleisterDe onderzoekers hebben gekeken naar kwetsbaarheden met een 'hoog' en 'middelhoog' risco tussen begin 2002 en eind 2007: 658 daarvan kwamen op rekening van Windows en in 738 gevallen was er sprake van een beveiligingsrisico in OS X. De onderzoekers hanteerden voor een 0day-patch de volgende definitie: een patch waarbij de kwetsbaarheid bekend is gemaakt op dezelfde dag dat de fabrikant de patch heeft uitgebracht. Er werd ook gekeken naar hoeveel patches er na 30, 60, 90 of 180 dagen na bekendmaking van het beveiligingsrisico werden uitgebracht.

Er zijn enige kanttekeningen te plaatsen bij het onderzoek. Een cruciaal punt bij de interpretatie van de onderzoeksresultaten is wanneer de kwetsbaarheid ontdekt wordt. Apple is hierbij in het nadeel, omdat een deel van het besturingssysteem opensource is en de ontdekking van kwetsbaarheden per definitie meer publiekelijk is dan bij de afgeschermde ontwikkeling van Windows. Omdat in veel gevallen kwetsbaarheden in Windows eerst worden gemeld aan Microsoft, heeft deze meer tijd om de bekendmaking ervan en het patchen op elkaar af te stemmen. Ook laten de tabellen zien dat Windows meer ernstige beveiligingsrisico's bevatte in de onderzochte periode en dat Apple de laatste jaren beduidend meer patches uitbrengt dan concurrent Microsoft.

Moderatie-faq Wijzig weergave

Reacties (37)

Kunnen we alsjeblieft ophouden met OSX is beter als Windows en Windows is beter als Linux of andersom? Kies een OS dat bij de taak of bij jou past maar probeer een ander niet te overtuigen dat jouw keuze de beste is. IMHO gaan alle fabrikanten zeer serieus om met alle beveiligingsproblemen en dat is een goede ontwikkeling. Maar er moet nog veel verbeteren natuurlijk.
Eindelijk een volwassen reactie. Als je de OS zealots tegenwoordig hoort praten over de andere OS'sen, lijken het godsdienstige extremisten. Mijn broertje is er ook zo een, van de Apple variant. Doet niks anders dan het evangelie van Steve Jobs te verkondigen. Ik zweer het je, als hij ooit SJ tegen het lijf loopt, gaat ie op z'n knieen en kust ie zijn schoenen. |:(

Laten we blij zijn dat er keus is, en dat we de vrijheid hebben om onze eigen keus te maken. En dan kunnen wij de keus van anderen wel fout vinden, maar het is hun keus. Niet de onze.
Allemaal fijn, maar OP DIT MOMENT loop je minder risico's met OSX dan met Vista
Kan in 2009 allemaal veranderd zijn, maar tod dan heb ik minder problemen gehad dan een gemiddelde windows gebruiker.

BTW: Structures fits functions aka evolutie, Als OSX vaker besmet word zal de evolutie ertoe lijden dat OSX minder lek wordt. :/
bron?

Hoe weet je dat zo zeker?

Het is juist deze naieve houding die vaak tot onbeveiligde systemen leid. Vergeet niet dat de exposure van MS producten vele malen hoger ligt en zodoende ook veel meer bugreports ontvangt. Daar valt ook wat voor te zeggen als je kijkt naar security issues.

Wellicht meer bekende lekken, maar deze lekken worden wel verholpen... de een wellicht sneller dan de ander, maar ze komen aan het licht. Ik vraag me eerlijk gezegd af hoeveel onbekende lekken er in MacOS zitten.

edit: las net je BTW stukje: Je spreekt jezelf daarbij tegen, gezien het feit dat andere OS'es een langere exposure hebben gehad, zouden die veiliger dan OSX moeten zijn... Ik wil geen namen noemen, but you get my drift.

edit 2: typo's

[Reactie gewijzigd door Laurens-R op 29 maart 2008 00:07]

Niet alleen dat, de 'gemiddelde' windows-gebruiker draait niet eens Vista. Veruit de meeste systemen draaien nog steeds Windows XP en met een goed ge-update versie van XP Pro met SP2 heb ik al tijden geen last van malware, spyware, leaks, bugs of virussen.

Bovendien wordt vaak bewust voor een Apple gekozen, meestal door mensen die zich al bewust zijn van de 'gevaren', en veel Windows PCs zijn gewoon 'een computer' voor 'een gebruiker', waardoor je een aparte verhouding krijgt mbt het gedrag van de gebruiker op de computer. Het gevolg is vaker dat er meer windows computers geinfecteerd met virussen zijn omdat er ook relatief meer gebruikers van het type zijn 'klik hier? ok!'.

De vergelijking is vaak genoeg Apples met peren vergelijken.
waar baseer je dat op g4wx3?

ikdraai al een half jaar vista en die is, zover ik + mijn hulpprogamma's aangeven/kunnen zien, veel veiliger dan XP.. (de nodige malware krijgt de kans niet om geinstalleerd te worden.. (en nee geen speciale vista programma's die draaien)
http://www.roughlydrafted...-reality-of-mac-security/

Mooi artikel, zeker eens lezen

Quote: "Apple’s low penetration into the enterprise market means that Apple’s 8% of the total US market is actually a 10 to 20% or higher percentage in the home, SOHO, and education markets. Still, we don’t see Apple suffering from 10 to 20% of the malware out there in the wild; Macs effectively have no malware to worry about, and few users even run anti-virus software. There is also currently no need for spyware clean and repair utilities at all. Macs don’t have a fractional tenth of Windows’ problems; they have no real world security problems at all.'
ikdraai al een half jaar vista en die is, zover ik + mijn hulpprogamma's aangeven/kunnen zien, veel veiliger dan XP..
Hij heeft dan ook niet beweerd dat XP veiliger is dan Vista, maar dat OSX veiliger zou zijn dan Vista...
Valt eigenlijk ook wel uit het artikel te halen: Ook laten de tabellen zien dat Windows meer ernstige beveiligingsrisico's bevatte in de onderzochte periode
Het onderzoek begint een jaar nadat XP is uitgebracht (2002) en stopt in het jaar dat Vista uitkwam (2007). Je bewering kan adhv het artikel dus niet kloppen.
Allemaal fijn, maar OP DIT MOMENT loop je minder risico's met OSX dan met Vista
http://www.techworld.com/...?newsID=11825&pagtype=all
Mac gebruikers verstoppen zich graag achter de gedachte dat ze veilig zijn omdat er minder malware is voor OSX. Tevens denken ze dat de Unix laag die veiligheid nog meer waarborgt.

Ondertussen is de Unix laag best veilig. Helaas is de software die apple daar weer bovenop gooit dat niet :P Apple en MS zijn allebei brak als het op beveiliging aankomt. MS gebruikers worden er alleen meer mee geconfronteerd.
Of dit onderzoek helemaal representatief is valt dus te betwijfelen (zie laatste alinea) maar wat je in iedergeval wel kunt concluderen is dat Microsoft op de goede weg is en er een hoop is verbeterd daar mbt security in de afgelopen jaren, hulde.
Het open source zijn van een deel van de software (in dit geval de kernel) is geen excuus om dan maar langzamer te zijn met het patchen van de software. Natuurlijk geeft het de crackers een voordeel als je in de broncode kan kijken, maar dit voordeel is slechts relatief - je zult de code toch moeten interpreteren voor eventuele exploits.

Verder heeft 't open sourrce zijn ook een voordeel, omdat nette hackers de bugs juist melden bij de onderhouders van de broncode. Dat heeft dus weer tot gevolg dat Apple niet eens aan een patch hoeft te werken, maar dat 't meeste werk reeds door de open source gemeenschap gedaan is...

Als laatste is natuurlijk ook de vraag in hoeverre er lekken aanwezig zijn in Apple's open source producten (Darwin, Safari) die Apple zelf moet patchen en in hoeverre er lekken zijn in software van derden (OpenSSH, Apache) waar Apple over het algemeen kan volstaaan met het overnemen van patches.

Zijn de lekken verder aanwezig in Apple's closed source software dan staat Apple gelijk aan Microsoft, en heet MS op dat punt de boel beter voor elkaar...
Het open source zijn van een deel van de software (in dit geval de kernel) is geen excuus om dan maar langzamer te zijn met het patchen van de software.
Men is niet noodzakelijk langzamer met het patchen, maar bij OSS is een lek vaak snel bekend terwijl MS vaker de kans heeft een patch uit te brengen voordat de bug bekend is bij het grote publiek.
Het is geen kwestie van 'langzamer' patchen.
De onderzoekers hanteerden voor een 0day-patch de volgende definitie: een patch waarbij de kwetsbaarheid bekend is gemaakt op dezelfde dag dat de fabrikant de patch heeft uitgebracht.
Het criterium is dus publicatie, niet de ontdekking. Vaak worden kwestbaarheden discreet gemeld, en pas gepubliceerd als de patch er is, patches kosten nu eenmaal tijd als je ze ook wil testen. In open source kan je eigenlijk niet discreet melden, omdat de 'eigenaar' van de code een community is.
Kijk eens het raport ervan daarin staat totaal niks vermeld over welke patchen het gaat.
Of er sprake is van bugs die veroorzaakt door derden.

Ect ect , zeer mager raportage en valt geen conclusie uit te halen.
Bovendien zijn makers van OpenSource Software (OSS) wat sneller geneigt om een lek als kritiek te bestempelen (zie Firefox vs. IE lekken). Dit komt mede omdat ze in OSS de boel eerst goed af willen hebben en veilig willen hebben voordat ze aan bijvoorbeeld een user interface gaan werken (zie: Ubuntu, Firefox 1.x)

In Firefox wordt bijvoorbeeld een browsercrash (zelfs al wordt er geen gevaarlijke code uitgevoerd) als 'critical' bestempeld (hoogste niveau) terwijl Microsoft een crash van Internet Explorer eerder als 'light' zal bestempelen.
Volgens mij betekent een Hogeschool in Zwitserland alleen hetzelfde als een universiteit in Nederland. In andere woorden: het artikel suggereert dat er HBO opleidingen worden gegeven terwijl er WO opleidingen worden gegeven. Maakt voor de rest van het artikel niet uit, maar wel voor de waarde die gehecht mag worden aan de expertise van de betrokken onderzoekers.
Tsja, vroeger was het hier ook nog gewoon duidelijk. HBO opleidingen kreeg je op de HTS, en als je hogerop wilde ging je naar de TH. In 1985 werd dat de TU.
'er staan meer lekken open'

ja, maar hoe ernstig zijn die lekken nu werkelijk? is dat een lek die je alleen kunt misbruiken als je lokaal op de machine zit? (dus als non-priv. user jezelf naar hogere regionen kunt opkrikken, tot root aan toe?)

Ze flikken 't iedere keer, en iedere keer tuint de halve wereld er weer in. Is de basis van Mac OS X veiliger? Ik denk 't wel. Is de basis van OS X stabieler? Ja, dat denk ik ook. Is windows vista zo vreselijk slecht? Nee, ik denk 't niet, hoewel 't mijn persoonlijke voorkeur niet heeft.

Is er een OS wat niet security issues heeft? Tenzij je er eentje kunt vinden die absoluut geen input accepteerd van de buitenwereld (dus zowel ethernet, als toetsenbord/muis, etc, etc, etc) : nee.
De Poly/ETH is een technische hogeschool?


Met figuren als Albert Einstein, Wilhelm Röntgen, Carl Gustav Jung, Hendrik Berlage en Niklaus Wirth als voormalige studenten of professoren zou ik de ETH niet zo willen afdoen.
The ETH is regularly ranked among the top universities in the world. It is placed between 3rd and 6th in Europe and between 10th and 27th in the world in international rankings by the Academic Ranking of World Universities and the Times Higher Education Supplement World University Rankings. It was also ranked 12th by the latter in both sciences and technology in 2005.
Om wikipedia maar even te citeren.
Lijkt me wel een technische hogeschool he, ETH staat voor "Eidgenössische Technische Hochschule" Had je waarschijnlijk ook wel op Wiki kunnen vinden... Maar als je valt over "een" kan ik het zeker begrijpen :)

[Reactie gewijzigd door OM10 op 28 maart 2008 19:40]

Een "Technische Hochschule" is een TU. "Fachhochschule" is een Nederlandse hogeschool.
Er zijn wel meerdere onwaarheden in dit onderzoek.

http://www.roughlydrafted...-reality-of-mac-security/

Best veel leesvoer.
Grappig!

The study was “such a glowing affirmation of Microsoft’s increased focus on security in the past few years that it prompted [Andrew Cushman, director of Microsoft’s Security and Research] to ask [study researcher Stefan] Frei, ”Did Microsoft fund this research?“
er zijn weer heel wat lekken gedicht voor OS X, maar Apple stuurt ze iig niet rucksichtslos naar de end-users maar stelt ze eerst aan developers beschikbaar zodat eerst gekeken kan worden of er geen nieuwe issues door komen (zie macrumors.com)
De reden dat macosx veiliger is, is volgens mij gewoon omdat gebruikers een klein marktaandeel hebben en het dus voor hackers minder interessant is daar exploits voor te gaan schrijven, en blijkbaar weten ze dat in cupertino ook. Mocht het marktaandeel van mac computers stijgen, dan wordt het misschien interessant. Daarom zeg ik ook steeds tegen de mensen: koop geen mac , dan blijft het een kleine, oninteressante groep voor virussen, enspyware. :p
mwah, met 17% aandeel op de amerikaanse laptop markt, is het al heel snel een intressante groep hoor. En in Nederland, als ik de cijfers mag geloven een vriend van me die die dingen verkoopt, loopt 't ook heel erg goed.
Hierboven werd het al genoemd. 0-day patch is dat op dezelfde dag een patch uitkomt, als dat het lek bekend wordt gemaakt aan het grote publiek.

Met deze definitie heeft OSS gewoon een nadeel, omdat men in de source een gat kan vinden. Er wordt een bug gefiled en iedereen weet het gat. Vervolgens gaat men aan een patch werken, kost twee dagen en je voldoet niet aan 0-day.

Closed source wordt gehackt als een blackbox met een debugger, of intern gevonden. De patch wordt gemaakt, kost weer twee dagen. De patch komt uit en hiermee direct het bericht dat er een gat wa. Hoera! we hebben 0-day patch.

Daarom was de Mac als eerste gehackt. Miller had van te voren al gezegd dat hij dit ging doen, want hij had een lek in Webkit gevonden. Hij was tevens de eerste die ook maar iets probeerde. Zijn hack was al klaar, voor het event.
Wat dan wel weer mooi is, is dat de ubuntu 7.10 laptop op diezelfde contest niet gevallen is. Voor het feit dat je daar van te voren ook de hele bron door kan nemen om een foutje te vinden is het best knap.
(Anderzijds kan het natuurlijk ook iets zeggen over de hoeveelheid deelnemers en het aantal mensen dat op dit moment waarde hecht aan het hacken van een ubuntu distro)
Publiciteitstechnisch is dat veel minder interessant.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True