Microsoft onderzoekers: Security rapport is onafhankelijk
De twee onderzoekers die gisteren een rapport publiceerde waaruit zou blijken dat Webservers die op Windows Server 2003 draaiden met minder lekken te maken hebben dan servers met Red Hat Enterprise Linux ES 3 in een standaard open-source configuratie, hebben de wind van voren gekregen toen ze bekend maakte dat Microsoft het onderzoek had gesponsord. "Het was bewijs dat Microsoft het beter doet, en nu is het bewijs besmet. Het resultaat mag dan kloppen, niemand zal er nog iets om geven, omdat men alleen nog de vooroordelen ziet." zo laat security goeroe Bruce Schneier weten.
De onderzoekers zijn het hier niet mee eens en beweren dat ze volledige vrijheid in hun onderzoek en analyse hadden. In het rapport worden de methodes besproken en ze nodigen anderen uit om die te controleren. Het tweetal, dat al tijdens de RSA conferentie verschillende onthullingen deed, wilde pas bij de presentatie van het volledige rapport de sponsor rol van Microsoft bekendmaken. "We wisten dat de sponsoring door Microsoft kritiek op zou leveren. Hierdoor moest onze methodologie open en transparant zijn, zodat ook anderen de resultaten konden nalopen." aldus onderzoeker Herbert Thompson. Toch heeft het rapport en de rol van Microsoft vooral Linux fans kwaad bloed gezet, zo gaat dit artikel verder.
peren vergelijken! Zo kan ik het ook. Een ongepatchte
windows server met een gepatchte Linux server
vergelijken...slaat nergens op.
Je moet maar eens een ongepatchte Windows server op het net
hangen. Het zal niet lang duren.....
nemen. Wie verkeerde methoden inzet verkrijgt resultaten
waarop onjuiste conclusies worden gedaan.
So much for Kyoto. :)
Gesponsord of niet, open of niet.... je mag geen appelen met
peren vergelijken! Zo kan ik het ook. Een ongepatchte
windows server met een gepatchte Linux server
vergelijken...slaat nergens op.
Je moet maar eens een ongepatchte Windows server op het net
hangen. Het zal niet lang duren.....
huh?
Gesponsord of niet, open of niet.... je mag geen appelen met
peren vergelijken! Zo kan ik het ook. Een ongepatchte
windows server met een gepatchte Linux server
vergelijken...slaat nergens op.
Je moet maar eens een ongepatchte Windows server op het net
hangen. Het zal niet lang duren.....
Staat dit in het rapport? Ik ben nog bezig maar ik heb al
zien staan dat beide systemen niet gehardenen zijn (default
install) en dat op beide systems alle patches zijn
geinstalleerd. Welk stuk heb je gelezen?
unhardened server online? Dat zou ook een aardig onderzoek
op kunnen leveren tussen de twee volkeren :)
Het rapport min of meer aan dat er geen relatie bestaat
tussen populairiteit en te verwachten elende. Want ondanks
het rapport in Microsoft's voordeel is gaf deze in de
praktijk veruit de meeste overlast terwijl deze een relatief
klein marktaandeel op de webservermarkt heeft.
Het rapport zegt heel veel maar tegelijkertijd ook helemaal
niets.
Dit maakt zo'n onderzoek niet nutteloos. Red Hat heeft in
deze opzet meer advisories en doet er wat langer over om
deze te patchen. Maar dat zegt niets over de veiligheid of
betrouwbaarheid.
En dat komt door de puur theoretische opzet die ver van de
praktijk staat. In de praktijk is niets default, zeker niet
bij modulaire systemen dat zelfs de noodzaak tot patchen
beïnvloed. Zo kan een gebruikte module in een advisory
worden genoemd en er toch niet ontvankelijk voor zijn. Daar
wordt volkomen aan voorbij gegaan maar zoals aangegeven
heeft men zich dan ook enkel geconcentreerd op
defaultinstallaties en verder niets.
Dat zulke onderzoeken binnen sterk beperkte kaders in het
voordeel van Microsoft (of wie dan ook) kunnen zijn, spreekt
voorzich. Het is in ieder geval een leuk tegengeluid, maar
zo kun je elk vooraf gedefinieerd gewenst antwoord
verkrijgen door een onderzoek te sturen door het te beperken.
Het rapport maakt zeker een punt maar wie zet er een
unhardened server online? Dat zou ook een aardig onderzoek
op kunnen leveren tussen de twee volkeren :)
Het rapport min of meer aan dat er geen relatie bestaat
tussen populairiteit en te verwachten elende. Want ondanks
het rapport in Microsoft's voordeel is gaf deze in de
praktijk veruit de meeste overlast terwijl deze een relatief
klein marktaandeel op de webservermarkt heeft.
Het rapport zegt heel veel maar tegelijkertijd ook helemaal
niets.
Dit maakt zo'n onderzoek niet nutteloos. Red Hat heeft in
deze opzet meer advisories en doet er wat langer over om
deze te patchen. Maar dat zegt niets over de veiligheid of
betrouwbaarheid.
[BRUGMAN] NIETS, das wel erg weinig :-)? Waarom niet. Doel je op
het type patch? Een invalshoek zou kunnen zijn: hoe sneller
je de mogelijkheid krijgt van de vendor tot patchen hoe
beter, hoe langer het duurt hoe langer je vulnerable bent.
Vraag is even voor wat.
En dat komt door de puur theoretische opzet die ver van de
praktijk staat. In de praktijk is niets default, zeker niet
bij modulaire systemen dat zelfs de noodzaak tot patchen
beïnvloed. Zo kan een gebruikte module in een advisory
worden genoemd en er toch niet ontvankelijk voor zijn. Daar
wordt volkomen aan voorbij gegaan maar zoals aangegeven
heeft men zich dan ook enkel geconcentreerd op
defaultinstallaties en verder niets.
Dat zulke onderzoeken binnen sterk beperkte kaders in het
voordeel van Microsoft (of wie dan ook) kunnen zijn, spreekt
voorzich. Het is in ieder geval een leuk tegengeluid, maar
zo kun je elk vooraf gedefinieerd gewenst antwoord
verkrijgen door een onderzoek te sturen door het te beperken.
product op de markt te zetten dat zich in de praktijk bewijst, dan
telkens met 'onderzoeken' op de proppen te komen die moeten
aantonen dat het concurrerende product nòg onveiliger is..
Maar is geen lijst toegevoegd met de lekken die er zijn
gevonden in Windows 2003 en Redhat en welke ze waarde die
ze aan het lek toekende.
Dus ik kan niet zelf de resultaten controleren.
Dus ik hecht geen waarde aan dit rapport.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.