image

Linux meer lekken dan Windows

donderdag 26 augustus 2010, 14:08 door Redactie, 20 reacties

Linux is het besturingssysteem met de meeste beveiligingslekken, gevolgd door Apple's Mac OS X, zo blijkt uit het halfjaarrapport van IBM's X-Force. Het gaat om het aantal unieke kwetsbaarheden die in de eerste helft van dit jaar gerapporteerd werden. Zowel Microsoft, Apple als Linux zagen het aantal beveiligingslekken toenemen. Alleen het aantal lekken binnen Sun Solaris nam sterk af. Toch is BSD nog altijd het besturingssysteem met het minste aantal kwetsbaarheden.

Als er wordt gekeken naar de ernst van de beveiligingslekken, dan is Microsoft de absolute leider. Terwijl het aandeel "high" en "critical" kwetsbaarheden bij Linux, Mac OS X en Sun Solaris afnam, groeide het explosief bij de reus uit Redmond. Microsoft is goed voor 27% van alle OS-lekken, maar neemt 73% van alle ernstige kwetsbaarheden voor de rekening. Bij Linux is dit 31% tegenover 16%, terwijl Apple 29% van de OS-lekken doet, maar daarvan is slechts 9% ernstig.

Probleem
Het aantal gerapporteerde lekken in een besturingssysteem zegt niets over de veiligheid ervan. Met name omdat OS-lekken slechts 11% van alle gerapporteerde kwetsbaarheden uitmaken. "Het is de grote verscheidenheid aan applicaties die op het besturingssysteem draaien die het echte probleem zijn", zo is in het rapport te lezen. Hoewel besturingssystemen veel voorkomen, hebben veel bedrijven maatregelen genomen om ze zo snel als mogelijk te patchen.

"Dit zorgt ervoor dat ze veel lastiger zijn aan te vallen. Andere onderdelen, zoals webapplicaties, browsers en kwaadaardige documenten waaronder PDF's, hebben het besturingssysteem ingehaald als de gevaarlijkste aanvalsvector", aldus X-Force.

Reacties (20)
26-08-2010, 14:18 door meinonA
Hebben ze dan alleen lekken in de kernel geteld of alle applicaties die op dat platform draaien?

Bij Ubuntu krijg je bijvoorbeeld standaard duizenden applicaties erbij in de apt-repositories, zijn die allemaal meegeteld?
26-08-2010, 14:50 door Anoniem
Gek hè, ik geloof er niks van
26-08-2010, 15:22 door Anoniem
Door meinonA: Hebben ze dan alleen lekken in de kernel geteld of alle applicaties die op dat platform draaien?

Bij Ubuntu krijg je bijvoorbeeld standaard duizenden applicaties erbij in de apt-repositories, zijn die allemaal meegeteld?

Ik denk dat je het bericht even opnieuw moet lezen :)
26-08-2010, 15:26 door Anoniem
Waarom meteen in de verdediging en enkel de 'standaard duizenden applicaties' onder linux memoreren ? Telt voor het windows platform ook msie mee ? Of Office ?? SQL 2k8 ??? Zelfde vraag, alleen anders gesteld.

Zo aan de BSD-curve te zien alleen de standaard meegeleverde software. En daar zit 'm de crux, denk ik: wat is in de dagelijkse praktijk standaard op een computer ? En is er wel een schifting gemaakt tussen end user workstation en server, om maar een dwarsstraat te noemen.

Jammer dat ik het rapport niet kan inzien zonder NAW gegevens achter te laten. Het lijkt me weer een totaal uit zijn verband gerukt jubelverhaaltje, wat bij nader inzien weer zonde van mijn tijd bleek te zijn.

@redactie: de zinssnede "Hoewel besturingssystemen veel voorkomen, hebben veel bedrijven maatregelen genomen om ze zo snel als mogelijk te patchen." staat niet tussen aanhalingstekens, dus neem ik aan een redactionele bijdrage. Ik begrijp 'm echter niet. Verklaar u nader, zou ik haast willen zeggen.
26-08-2010, 15:51 door Anoniem
Linux is het besturingssysteem met de meeste beveiligingslekken,
Is de redactie hier met opzet het woordje "gerapporteerde" vergeten? Eigenlijk zou er moeten staan:
In de eerste helft van 2010 was Linux het besturingssysteem waarvoor de meeste beveiligingslekken zijn gerapporteerd,
26-08-2010, 15:56 door Zarco.nl
Het geeft toch een beetje een vertekend beeld door de BSD's te samenvatten.
Het aantal bugs in OpenBSD zijn nl. "Only two remote holes in the default install, in a heck of a long time!" :)
26-08-2010, 15:59 door Eerde
...het aantal unieke kwetsbaarheden die in de eerste helft van dit jaar gerapporteerd werden.
Tsja van M$ is bekend dat ze zo min mogelijk melden en als anderen het doen dan ontkennen of nix mee doen.

Deze cijfers heb je dus nix aan. Dat schrijven ze ook het zou bij een OS om slecht 11% van de lekken gaan de rest zit in de apps.

In dit licht is de kop van het schrijfsel weer eens fnuikend suggestief. Dit is geschreven door journaille.
26-08-2010, 16:47 door Anoniem
leuk grafiekje. Opmerkelijk is het lijntje van Solaris. De laatste twee punten zijn wel erg tegen de trend in. Of is Sun (oracal) gewoon gestopt met melden.
Andere vraag is wat is windows linux en BSD. Is windows de NT kernel of alles wat op de DVD staat en Linux alleen de kernel of ook de complete distro op DVD maar welke dan. Geld het zelfde voor DSB. Verder bestaat de linux kernel al langer bij Windows worden de niet belangrijke en on bekenden (in de buiten wereld) lekken gewoon niet gepacht waardoor Windows dus veel lager scoort met de niet belangrijke lekken. Voor appel geld het zelfde
26-08-2010, 18:42 door Anoniem
Ja Bsd is ook net geen Linux ,en ook geen OSX of Windows.
Wel is bsd familie van Linux,net als OSX
Hoe komen ze erbij dat er in BSD dan het minste kwetsbaarheden zijn?,ja misschien omdat het minder dan Linux,Windows,of Osx wordt gebruikt.
Ieder besturingssysteem heeft zijn eigen lekken op een andere plaats dus ook BSD.
Of het er meer of minder zijn dan bij Linux,Windows of OSX kan je niet vergelijken.
26-08-2010, 21:30 door Anoniem
Door Anoniem: Jammer dat ik het rapport niet kan inzien zonder NAW gegevens achter te laten. Het lijkt me weer een totaal uit zijn verband gerukt jubelverhaaltje, wat bij nader inzien weer zonde van mijn tijd bleek te zijn.

Hier staat ie online zonder je persoonlijke gegevens in te leveren - behalve je ip-adres dan:
Nep gegevens werkt overigens ook gewoon

ftp://public.dhe.ibm.com/common/ssi/ecm/en/wgl03003usen/
27-08-2010, 00:49 door Anoniem
"Microsoft far outpaced other operating system vendors in terms of vulnerabilities with critical and high CVSS (Common Vulnerability Scoring System) ratings, accounting for 73 percent of those. In sheer numbers, however, Linux took the No. 1 spot, with Apple coming in at No. 2, according to the report."
http://www.eweek.com/c/a/Security/IBM-Security-Report-Puts-Apple-Microsoft-as-Most-Vulnerable-Vendors-190732/
27-08-2010, 09:07 door SirDice
Voor FreeBSD is het makkelijk, alleen het base OS telt mee. Geen Xorg, geen Gnome, geen KDE, geen whatever. Alleen de base en verder niets. En dat levert deze (korte) lijst op:
http://www.freebsd.org/security/advisories.html

Als er echter bij bijv. Linux ook bugs in (delen van) Gnome of KDE worden meegenomen dan gaat de vergelijking scheef. Diezelfde applicaties draaien ook op FreeBSD en zijn dan, naar alle waarschijnlijkheid, net zo lek. Ze worden alleen niet meegeteld.

Een overzicht van security bugs in Freebsd ports:
http://www.freshports.org/vuxml.php?all
27-08-2010, 09:41 door Anoniem
Het lijntje van Solaris laat pijnlijk zien hoe zinloos dit soort vergelijkingen zijn: Sinds de overname van Oracle zijn velen skeptisch over de toekomst van Solaris. Dit uit zich in een sterke daling van interesse in Solaris bij security researchers, en daardoor wordt er minder gezocht naar lekken (en dus ook minder lekken gevonden, en gerapporteerd).
27-08-2010, 09:47 door Anoniem
Door Zarco.nl: Het geeft toch een beetje een vertekend beeld door de BSD's te samenvatten.
Het aantal bugs in OpenBSD zijn nl. "Only two remote holes in the default install, in a heck of a long time!" :)

Juist, remote holes. Er is niet bij gezegd wat voor soort vulnerabilities hier geteld zijn maar het lijkt me aannemelijk dat het ook over lokale gaten gaat. OpenBSD hamert erg op allerlei maatregelen die het exploiten van lekken bemoeilijken, maar de lekken worden nog altijd gerapporteerd en tellen dus mee.

Daarbij komt ook de vraag of ze vulnerabilities dubbel tellen als die in meerdere BSD's aanwezig zijn, wat vaak het geval is dankzij hun gedeelde roots en code-uitwisseling die nog steeds plaatsvindt.

Verder ben ik erg benieuwd naar de metingen van komende kwartaal. Ik weet dat men bij NetBSD bezig is aan een serieuze "testing spree" waarbij ze veel automatische tests aan het schrijven zijn voor componenten van de kernel en userland. Het zou me niets verbazen als daar een flinke lijst bugs uit voortvloeit die mogelijk ook vulnerabilities tot gevolg hebben. Deze zullen wellicht ook in andere BSD-varianten aanwezig zijn.
27-08-2010, 10:13 door Anoniem
Je mag dus concluderen dat elk systeem even lek is en dat dit grafiekje laat zien hoe er intern en extern naar deze lekken wordt gekeken. Linux opensource alle lekken liggen zijn snel bekent (en meestal ook snel gedicht). Windows we houden alles geheim en alleen als er wat uit lekt of er is een pach voor dan maken we het bekent, kijk naar de verhouding tussen gevaarlijke en ongevaarlijk lekken. In Solarus is geen interesse meer. Dit leide er eerst in dat ontwikkelaars er geen zin mee in hadden en een sterke groei van het aantal lekken. Nu zijn de gebruikers er ook klaar mee en daalt het aantal gevonden lekken sterk.
BSD wordt blijkbaar alleen de kernel geteld. Verder gebruiken Linux en BSD de zelfde ondersteunende software. Maar die worden wel bij Linux mee genomen. Op zich jammer want als je BSD en Linux op de zlfde manier meet kan je hier een goed uitspraak doen over het aantal lekken.
Apple ach ja apple die doen het lekker op hun eigen manier.
27-08-2010, 10:38 door SirDice
Door Anoniem: BSD wordt blijkbaar alleen de kernel geteld.
BSD is meer dan alleen een kernel hoor.

Verder gebruiken Linux en BSD de zelfde ondersteunende software.
V.w.b. Xorg, Gnome, KDE etc. ja. Het base OS is echter specifiek BSD.

http://www.over-yonder.net/~fullermd/rants/bsd4linux/bsd4linux1.php
27-08-2010, 11:00 door Anoniem
Ik geloof er geen klap van. Is er ook rekening gehouden met de bug report policy van Microsoft? Ze bekennen pas een bug als er een fix voor is. Ik ga dat rapport maar eens lezen.
27-08-2010, 14:09 door SirDice
Deze zie ik nu pas...
Door Anoniem: Ja Bsd is ook net geen Linux ,en ook geen OSX of Windows.
Wel is bsd familie van Linux,net als OSX
NEE! *BSD is absoluut GEEN familie van linux (of andersom). De *BSDs zijn directe afstammelingen van de enige echte originele AT&T UNIX. De code is dusdanig geevolueerd dat er geen proprietary AT&T code meer in zit maar het is in principe nog dezelfde source. http://www.freebsd.org/cgi/cvsweb.cgi/~checkout~/src/share/misc/bsd-family-tree?rev=1.139;content-type=text%2Fplain

Linux is een kernel die volledig vanaf scratch is gescheven door Linus. Het heeft wel de 'look 'n feel' van UNIX maar daarna houdt elke vergelijking op. Onder water zijn ze totaal verschillend.

OS-X is een mengelmoes. De basis is de Mach microkernel waar wat delen van de monolitische FreeBSD kernel aangeplakt zijn. Verder komen een aantal van de userland tools ook van FreeBSD af. De rest is door Apple zelf gemaakt.
30-08-2010, 12:45 door Anoniem
Door Eerde:
...het aantal unieke kwetsbaarheden die in de eerste helft van dit jaar gerapporteerd werden.
Tsja van M$ is bekend dat ze zo min mogelijk melden en als anderen het doen dan ontkennen of nix mee doen.

Deze cijfers heb je dus nix aan. Dat schrijven ze ook het zou bij een OS om slecht 11% van de lekken gaan de rest zit in de apps.

In dit licht is de kop van het schrijfsel weer eens fnuikend suggestief. Dit is geschreven door journaille.
Zeg Eerde, kan jij nou niet gewoon eens een keer jouw kop houden? Iedereen hier weet nou wel dat jij te pas en vooral te onpas laat zien dat jij MS haat en dan de troep van anderen gewoon niet wilt zien.
30-08-2010, 12:47 door Anoniem
Door Anoniem: Ik geloof er geen klap van. Is er ook rekening gehouden met de bug report policy van Microsoft? Ze bekennen pas een bug als er een fix voor is. Ik ga dat rapport maar eens lezen.
Kijk eens goed om je heen. Ik lees altijd dat er een lek in sotware van MS is, maar dat het van de concurrentie pas gemeld wordt als er een patch voor is. Precies andersom dus.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.