Lieve anoniempje,

Wat je niet weet, is dat Microsoft een aantal bugs in één keer oplost met
een package. Dat betekend dat voor 1 gevonden lek, er misschien wel vier
gedicht worden.

:)

-R.

De resultaten van dit onderzoek zijn anders niet al te betrouwbaar. (ook al
is het van US-CERT) Zo zijn bijvoorbeeld de bugs van Firefox en Apache
onder Linux gezet terwijl dit eigenlijk multiplatform programma's zijn! Met
dit soort fouten kun je wel je twijfels hebben over de hele betrouwbaarheid
van het geheel.
Kijk maar eens rond op internet en dan lees je deze commentaren!

Tuurlijk is er verschil, en is het zuur, maar daar
rechtvaardig je het aantal niet mee!

De telling is objectief uitgevoerd, niet per patch.

En 1 bug voor Debian + 1 (zelfde) voor RedHat tellen
waarschijnlijk wel als 2?

Dat er dit jaar misschien meer bugs in de Linux kernel zijn
gevonden dan in de kernel van Windows betekend niet
automatisch dat er ook daadwerkelijk meer bugs in Linux zijn.

Ook moet je rekening houden met het feit dat Windows nog
altijd een broncode heeft dat niet publiekelijk beschikbaar
is in tegenstelling tot die van Linux. Daardoor kunnen
eventuele bugs in Linux veel sneller worden gevonden.

Ik denk zelfs dat het hoge aantal gevonden bugs beter is dan het lage
aantal dat in Windows is gevonden. Betekend namelijk dat er snel actie
kan worden ondernomen.

:)

-R.

Beetje vreemd ook om de problemen met windinges te
vergelijken met ALLE (of in ieder geval meerdere) Linux/Unix
versies.

Zullen we -om het geheel om te draaien- eens een enkele
recente linux distributie vergelijken met DOS 1.0 t/m WinXP
? Misschien niet helemaal een goede vergelijking omdat het
in het Linux/Unix geval niet gaat om meerdere versies van
het zelfde product.

Tuurlijk zat er wat sarcasme in de posting waar ik deze discussie mee
starte. Zoals Cerwin.N schrijft wil dit niet zeggen dat Linux de lekste is.

Toch blijft het opmerkelijk gezien het marktaandeel van Windows ten
opzichte van Linux dat er ruim 2x zoveel fouten in Linux zijn gevonden.

Is de beschikbaarheid van broncode hier de enige reden toe?

Zoja, is het dan dus veiliger closed source te gebruiken?

Door cr/h-ackers?

Flamebait... Je moet eens goed kijken waar die bugs in
zitten. Bugs in third party software moet je niet mee rekenen!

Andere mogelijke conclusies/vragen:
* Tel ook eens de exploiteerbare lekken bij elkaar op? Wie
zou dan winnen?
* En vermenigvuldig de penetratiegraad eens met dat getal?
* Wat is het duurste pakket? En waarom zit daar zo gruwelijk
veel pure winst op?
* Wat wordt door vrijwilligers inelkaar gezet en wat door
*kuch* 'professionals'?
* Wat is de gemiddelde tijd tussen vinden van lek en patchen
ervan?
* Zoek eens op hoe lang een kaal geinstalleerd systeem van
meerdere aanbieders (*nix/windows/mac/etc) er over doet om
geinfecteerd te raken...
* Etc, etc

Dan heb je je echte winnaar...

Jongens, gewoon uithuilen.

Het verschil is gewoon te groot om dicht te praten met allerlei excuses,
zeker als je bedenkt dat Windows veel meer belagers aantrekt die op zoek
zijn naar een lek dan Linux.

Kies je voor security dan kies je nu voor Windows.

"Kies je voor security dan kies je nu voor Windows."

Als je naar de argumenten had gekeken en uberhaupt de bron
had bekeken, zou je deze conclusie niet kunnen rechtvaardigen.

Hoe worden deze bugs geteld?

Zou je niet 1 distributie moeten vergelijken met 1
specifieke windows versie om tot een goed beeld te komen?

Is debian 3.1 minder veilig dan windows xp pro, omdat er in
suse, redhat en distributie a t/m z met third party software
a t/m z, die niet in debian 3.1 zit, x-aantal lekken zijn
gevonden? Of andersom?

Is het fair om een onvolledige lijst third party software,
die je eventueel zou kunnen installeren mee te rekenen?

Om bij *nix allerlei fouten (e.g. cross site scripting) in
apache scripts mee te rekenen, die ook onder windows draaien?

Om nog af te sluiten met: "this does not mean that the
vulnerability only affects the operating system reported
since this information is obtained from open-source
information."

M.a.w. ze geven zelf aan dat de conclusie die jij maakt,
niet te maken is aan de hand van deze gegevens. Of dat je er
uberhaupt een conclusie m.b.t. de veiligheid van een systeem
aan kan verbinden.

Ik zal verder niet ingaan op de discussie wat "beter" of "slechter" zou zijn;
Microsoft Windows of Linux. Bij de volgende opmerkingen heb ik echter
enkele retorische vragen, aangezien hier in mijn ogen sprake is van
stemmingsmakerij.

* Wat is het duurste pakket? En waarom zit daar zo gruwelijk veel pure
winst op?

Wat heeft dit te maken met hoeveel fouten er gevonden zijn in een bepaald
OS?


* Wat wordt door vrijwilligers inelkaar gezet en wat door
*kuch* 'professionals'?

Wat heeft dit te maken met hoeveel fouten er gevonden zijn in een bepaald
OS?

Aantal bugs heeft niets met marktaandeel te maken, dus daar
is helemaal geen relatie. (Als ik een prorgamma maak, gaan
ik niet ineens minder fouten maken als veel mensen het
gebruiken).
Door beschikbaarheid van source code is het inderdaad
makkelijker fouten te vinden, en door meer "kijkers". Source
code is immers makkelijker te lezen dan een binary.

Wat is veiliger ? Dat je code hebt waarvan je niet weet of
er fouten in zitten (nou ja, je kan er eigenlijk vanuit
gaan, ook programmeurs zijn maar mensen) en men die het
liefste stil houd, of is het veiliger als gevonden bugs snel
opgelost worden ?

Voor mij niets anders dan open source ... al is het maar
omdat de motivatie van de programmeurs me meer aanstaat
(closed source is de enige drijfveer vaak alleen geld
verdienen).

Het punt wat je hier raakt is waar het om gaat. Stel je hebt zowel Linux als
Windows onder beheer. Je weet goed wat je draait op beide machines en
maakt je geen zorgen over de veiligheid. Beide durf je dan 's nachts aan te
laten staan alleen weet je dat er meer aanvallen op Windows zijn dan op
Linux vanwege het grotere marktaandeel.

Wat is een willekeurige Windows gebruiker? Ben ik dat ook?
Dan durf ik te zeggen dat ik al jaren lang mijn bak draai
zonder enig beveiligingsprobleem.

Wat is een beveiligingsprobleem in jou optiek? Een linux bak
die niet volledig geupdate is, is dat ook een
beveiligingsprobleem? Of heb je alleen een
beveiligingsprobleem als je windows bak niet volledig
geupdate is?

Of zie jij misschien een daadwerkelijk geinfecteerde pc als
beveiligingsprobleem?


Hoe objectief is jou stelling?
Wat versta jij onder een beveiligingsprobleem?
Het blijft jou waarheid.


Ja dat durf ik, sterker nog mijn windows bak staat altijd
aangesloten op internet. Ik zal niet beweren dat windows
veiliger is dan linux, maar als je weet wat je doet is het
niet zo veilig / onveilig.

Nee, hij staat niet direct aangesloten op het internet, er
zit wel een routertje tussen, en er staat een firewall op.
Of telt dat niet?

Durf jij je linux bak zonder router en ingestelde
softwarefirewall 's nachts aan te laten staan terwijl deze
direct is aangeloten op internet, nee toch, je zou gek wezen !!!

gegroet

Waar het uiteindelijk om gaat: meer patches = meer werk = hogere kosten.

minder patches = meer openstaande gaten = meer
security-gerelateerde problemen = hogere kosten

Sterker nog, het heeft bij mij ruim een jaar zo gestaan, en
zelfs daarna was hij nog clean. Was een config foutje van
mij. Er draaide zelfs services op :-) (zoals telnet ... niet
echt bedoeld voor over internet :-) )

en daarom zijn in dit onderzoek ook de lekken geteld.

meer gaten = meer patches = linux

ff tussendoor.......als dat bedrijf die de test heeft uitgevoerd zou komen met
een verhaal waaruit blijkt dat eigenlijk windows niet deugt...zou de
amerikaanse economie heel veel cash gaan mislopen.
vandaar dat ze een manier van rekenen hebben gekozen om linux onderuit
te gooien.

zo gaat dat allemaal tegenwoordig.

Laat het nou geen bedrijf zijn maar een Internetters van het eerste uur die
werken in een soort stichting. Het zijn gewoon harde feiten die je kan
controleren.

Overigens zit achter Linux (zoals bijv. SuSe - Novell) ook een aantal grote
multinationals uit de VS.

Precies, en zo zie je maar weer dat het beeld wat we van "Linux" hebben
moet worden bijgesteld.
Overigens ben ik een tevreden Linux gebruiker hoor, maar ik besef dat
welk OS ik ook gebruik, ik mijn eigen verantwoordelijkheid heb om de boel
veilig in te stellen en te gebruiken...

Waarom zou je dat moeten veranderen ? Omdat er een paar
grote bedrijven zich met Linux bezig houden ? Vergeet niet
dat er nog steeds volledig door de community gebouwde
distro's zijn (bijvoorbeeld gentoo).

Helemaal mee eens. Maar eigen verantwoordelijkheid is blijkbaar iets
waar veel mensen en organisaties zich niet van bewust zijn.

Misschien de enige voorwaarde om te mogen aansluiten op Internet en
als Internet provider op te treden: neem zelf verantwoordelijkheid.

De aandacht voor dit artikel valt me inderdaad tegen. Je zou verwachten dat
de Linux community zich nu eens serieus zorgen ging maken.

In plaats daarvan wijzen ze met de vinger weer naar M$ en doen
vervolgens helemaal niets!!

het maakt volgens mij weinig uit in welken van deze twee syteemen
de meesten fouten zitten het gaat nog steeds om hoe een beheerder
hier mee omgaat

hoe weet jij dat ze niks doen? en wat verwacht je dan, dat
ze allemaal overstappen op windows? net alsof die alles wel
perfect voor elkaar heeft.

Kijk, dat bedoel ik nou. Direct het op Windows betrekken! Daar gaat het nu
om: wel tegen M$ trappen maar vervolgens niets doen om de eigen
situatie te verbeteren.

Als Windows in de sloot springt hoeft Linux dat toch ook niet te doen?

De hele Linux community reageert er of niet op, of reageert "Windows is
ook niet alles / het onderzoek is niet eerlijk". Gewoon de kop in 't zand.

a) ik ben geen linux fan
b) dit is geen onderzoek maar een opsomming van diverse, verschillende(!), zaken
c) een hoop personen hier trekken de verkeerde conclusies gebaseerd op geruchten en onwaarheden (FUD).

a) spreekt niemand je op aan

b) het is een eindejaars overzicht van constateringen. mag je een
onderzoek noemen wat mij betreft.

c) klopt. En vervolgens doet niemand er iets mee. Bijvoorbeeld een
doelstelling om het aantal voor 2006 te halveren.

Alle onderzoeken naar Linux vs. Windows (in veiligheid) zijn
absolute bullshit. Wanneer leert men nou dat je een appel
niet met een peer kan vergelijken. Als je het over Linux
hebt, heb ik het dus over de Linux kernel + binutils. Nu is
binutils meerekenen ook al gevaarlijk, want dat hoort niet
bij de kernel. Maargoed, dan komen er een paar dodo's van
een of andere zuigende onderzoeksinstantie die Linux toch zo
nodig met Windows willen vergelijken. Tijdens dat onderzoek
komen ze er weer achter dat ze niet alleen de Linux kernel
met de NT kernel kunnen vergelijken, aangezien Microsoft
veel meer in hun kernel implementeerd, dat zou dan een
ongelijke strijd zijn. Dus wat dan?

Ah, dat pakken ze toch een aantal third party applicaties,
om het een beetje gelijk te trekken... En hier daalt de
geloofswaardigheid van onderzoek weer naar een negatief
getal. Ik ga immers ook niet zeiken dat Windows onveilig is
als een of andere 2e rangs hobbyist wat vulnerable software
released dat toevallig te compilen is op Windows (om maar
eens lekker te overdrijven).

Feit is gewoon dat door de verschillende filosofien van de
kernels en door het open source software vs. closed source
software bijna elke vergelijking tussen Linux en Windows kei
hard op poep slaat.

En voordat er weer kortzichtig gereageerd wordt door een of
andere Windows zealot die vaak niet eens weten wat security
noch linux precies inhoud: ik ben niet anti-microsoft, geen
linux fan en steek mijn kop niet in het zand. Ik ben gewoon
een standaard computergebruiker die open staat voor beide
systemen, die de positieve zaken in beide systemen in kan
zien en die deze positieve zaken in beide systemen weet te
(mis/ge)bruiken.

Deze discussie is al heel oud en dit articel reflecteerd de
werkelijkheid nog het meest:
http://zone-h.com/en/winvslinux2

In fact, nowadays many of the intrusions are performed at
database or application level.

Regardless the OS.

Regardless the web server.

Sql injection and file inclusion are the most used tecniques
in the latest months.

The moral is, in this historical period of the Internet,
don't trust anybody who is "lecturing" about the inherent
vulnerability of a particular Operating System.

Het ligt maar net aan de skill set van de beheerder (of de
ingehuurde expertise) de functionaliteiten van de machines.
En of de security policy en het aanvaarde risico dat een
bedrijf wil lopen zonder dat het efficiency en vrijheden te
verliezen.

Beveiliging is een gevoel en als het aantal uitgegeven
patches per jaar belangrijk is voor jouw gevoel dan is dat
de maatstaaf waar je mee kan vergelijken. Voor de
volwassenen onder ons geven risico evaluaties, eventuele
hardening en een opgestelde security policy en misschien wel
een verzekering een veilig gevoel.

Met vriendelijke groeten,

Alex

Ehhmmm... Een overzicht is echt geen onderzoek..
Waarom zou je FUD willen halveren? FUD moet je laten voor wat het is.. Fear, Uncertainty en Doubt.. Mensen met verstand van zaken leggen het toch naast zich neer.

Of doel je op die lijst? Waarom zou je die willen halveren? Waarom zou ik me zorgen maken over gaten in software pakketten die ik helemaal niet gebruik? Waarom zou ik moeten "bewijzen" dat de stelling van de OP niet klopt? Waarom moet ik bewijzen dat er duidelijk ook FreeBSD bugs mee gerekend zijn in de Linux lijst? Waarom zou ik moeten bewijzen dat
Software pakket X niets met het OS Linux te maken heeft? Waarom ziet niemand dat er weer appels met peren vergeleken worden?

Overigens staat er op die site nergens dat het om een onderzoek gaat. Ik zie dan ook niet in waarom ik dit als zodanig zou moeten zien.

omdat sommige mensen hun belachelijke keuzes moeten
"verantwoorden" en daar onzin "gegevens" voor nodig hebben.
Daar wordt een complete financiele sector kunstmatig mee in
leven gehouden.

Laten we niet de definitie van een onderzoek gaan bepalen. Volgens mij
heb ik die term gebruikt omdat het hier gaat om analyses van lekken. Een
verzameling van analyses, lijst, heb ik een onderzoek genoemd. Is
taxonomie beter?

Wat ik bedoelde: Als ik die lijst zie dan zou ik me voor kunnen stellen dat de
open source community zich dit aantrekt en besluit voor volgend jaar er
voor te zorgen dat er minder lekken zijn.

Wat appels en peren betreft valt me op dat ze soms erg veel op elkaar
lijken. Er wordt vrij veel over en weer geleend en gejat.

Als je daarmee een hiërarchische ordening bedoelt, redelijk.. Het is nog steeds geen onderzoek.. Sterker nog, ze zeggen het zelf..

Vriendelijke vriend, kijk nou eens een keertje goed door die lijst. Er staan advisories voor HP-UX, AIX, SCO, IRIX, FreeBSD, NetBSD en weet ik wat nog meer in die lijst. HP-UX en AIX bijvoorbeeld zijn niet eens Open Source. Die hebben toch echt helemaal niets met Linux te maken (de BSD's ook niet trouwens). Op de zelfde wijze staan er bijvoorbeeld ook Cisco en Citrix advisories in de Windows lijst. Het lijkt me wel duidelijk dat MS daar niet zoveel "schuld" aan heeft. Puur het totale aantal advisories bekijken geeft dus een compleet verkeerd beeld.

Goh je tilt wel zwaar aan dat onderzoek. Ok, het is dus niet het resultaat van
hun eigen onderzoek maar dat van anderen.

Wat heeft jou observatie dat het meerdere systemen betreft te maken met
het aantal lekken? Daar gaat het toch helemaal niet om?

Laat ik het anders formuleren: jij denkt dus dat er geen reden tot
ongerustheid is en dit geen aanleiding tot verbetering van (open source)
producten moet zijn?

De OP:

Zucht.. Laat ook maar.... Ik begin op een kapotte grammafoonplaat te lijken.. In het vervolg reageer ik maar niet meer op dit soort threads.. Het heeft toch geen zin..

Het is heel simpel.
Mensen die windows hebben en nooit problemen ondervinden
zouden voor de verandering eens moeten kijken of de stekker
er wel in zit.

Het is duur, je krijgt zes keer niks, behalve een hoop ellende.
Ik kom nu al een jaartje of 4 bij half nederland over de
vloer om voor de tien duizendste keer alles te herstellen.

"Ik heb het geprobeerd met systeemherstel meneer" is het
eerste wat ik meestal hoor. "Nadat ik dat had gedaan deed
helemaal niets het meer". Ja, ik weet het mevrouw. "We
hebben XP speciaal gekocht omdat het zo goed moest zijn"
Ja, moest zijn ja. "Maar meneer, we hebben alle software
gekocht die we konden kopen tegen virussen en hackers, maar
als we op het blauwe E'tje klikken dan doet niks het meer"
Ja ik weet het meneer u bent toevallig vandaag precies
de10.000 klant met dit probleem. "Maar niemand vertelde ons
toen we deze week een nieuwe computer gingen kopen dat we
opnieuw bergen ellende zouden krijgen" We computeren al heel
lang en weten er redelijk veel vanaf.
Ik begrijp het mevrouw. "deze problemen zijn er nu eenmaal
met Windows Xp dat is normaal" zei de verkoper." ik twijfel
ook niet aan uw kennis over computer. Ook mensen die heel
goed om kunnen gaan met computers hebben die problemen".
"Op internet zegt iedereen dat xp zo goed is. Zeker toeval
dat die van mijn broer, zus en vriendin van de sportschool
het ook niet goed doen" Ben bang van niet mevrouw.
" Die laptop van u, die Windows ken ik niet" Nee, dat is
Linux. "Oh, en heeft u dan geen problemen net als wij"?
Nee, bijna nooit. "Zeker erg duur?" Nee mevrouw, minder dan
100 euro en alle software zit erbij. U krijgt er 1 DVD bij
van 8 gigabyte.
"Maar dan worden we toch opgelicht met die XP ?"
"Binnen een week deed ie het niet meer, en ik had nog zo
gezegd: zet alles erop wat nodig is" Ik weet het mevrouw,
het is mijn werk. Ik zie niets anders.
"Maar waarom koopt iedereen dan Windows ?" Omdat iedereen
dat kent en het makkelijker is in het gebruik dan Linux. "Oh"

Herhaling, herhaling, onbekend en geroutineerd altijd problemen.

Het kan aan mijn waarneming liggen, maar de mensen die de
moeite hebben genomen linux te leren en overstappen krijgen
spontaan een ander probleem erbij. Ze worden dement of zijn
mijn telefoonnummer kwijt.
Ze bellen me bijna nooit meer, of het is om me te bedanken.

Ik ben blij dat mensen windows gebruiken.
Als ze allemaal overstappen op linux verdien ik veel minder.
Toch begrijp ik die mensen niet.
Waarom zou je genoegen nemen met bagger waar je een hoop
geld voor neer moet leggen, terwijl je voor bijna niks
kwaliteit kan krijgen wat met "liefde" word gemaakt door
freaks en liefhebbers.

Oke, eerlijk is eerlijk.
Windows is perfect en 100% betrouwbaar,
zolang die stekker er uit blijft.
Mensen die beweren nooit problemen te hebben met windows zie
je vaak op internet maar nooit in het echt.
Het verbaasd me dat ze nooit beginnen met:
Er was eens een windows...............
Waarom solliciteren deze mensen niet bij Microsoft ?
Zij weten schijnbaar iets wat ze bij Microsoft nog niet
helemaal snappen.
Geen computerproblemen, spy en ad shit hebben in deze tijd
waar kazaa al weer verleden tijd is en de torrents om je
oren vliegen is bijna onmogelijk met Windows.
Slapen doen we snachts, overdag ben je bezig alle troep
eruit te halen.

En Linux, dat is helemaal niks.
Niks spyware, niks adware, niks virussen, niks stress,
niks ellende.

Windows.
Zo heete Bill Gates eerste vriendinnetje.
Hij betaalde een hoop poen voor weinig seks!
"Dat kan ik beter" moet hij hebben gedacht.
"Ik noem mijn syteempie Windows"

Het is duur, maar je word in ieder geval wel flink genaaid.
En niet zo hard ook !