image

Microsoft onderzoek: Groter risico door gebruik Linux

donderdag 24 maart 2005, 10:21 door Redactie, 49 reacties

Bedrijven lopen een groter risico als ze voor het hosten van hun websites Linux in plaats van Windows gebruiken, zo blijkt uit een door Microsoft gesponsord onderzoek. Volgens het onderzoek hadden Webservers die op Windows Server 2003 draaiden met minder lekken te maken dan servers met Red Hat Enterprise Linux ES 3 in een standaard open-source configuratie. Verder zou Microsoft na het ontdekken van een lek eerder met een patch komen dan bij haar open source rivaal het geval was. Net zoals andere onderzoeken tussen Windows en open source systemen, heeft ook dit rapport al tot verhitte discussies geleid. Mark Cox van Red Hat liet op zijn weblog weten dat het onderzoek geen verschil maakte tussen ernstige en minder kritieke lekken. In dit geval zou Red Hat namelijk beter uit de bus komen. (Cnet)

Reacties (49)
24-03-2005, 10:38 door Anoniem
zo blijkt uit een door Microsoft gesponsord onderzoek???

ja zo kan ik het ook...

iedereen weet toch dat je geen windhoos moet gebruiken daarvoor?!
linux zou kunnen mits goed geinstalleerd

nog beter is freebsd ofzo...
24-03-2005, 10:49 door Anoniem
De bakker zei vanochtend dat zijn brood veel beter was dan
dat van de supermarkt. Hij had het zelf onderzocht!!
24-03-2005, 10:51 door Anoniem
iedereen met een beetje IQ weet beter, voor de rest ga ik geen verdere
opmerkingen hierover maken.

PS: hey geen flamewar starten mensen ! ;-)
24-03-2005, 10:56 door Anoniem
en tussen wel en niet gepubliceerde lekken.

maar standaard config tegen standaard config? yeah right.
24-03-2005, 11:01 door Anoniem
Is er daadwerkelijk nog *iemand* die dit soort dingen
serieus neemt? Dan verdien je het ook gewoon om in een
wurgcontract te zitten en aan alle kanten kapot gemalwared
te worden hoor.
24-03-2005, 11:01 door Walter
Even denken, een Windows 2003 server installatie
(waarschijnlijk zo dicht mogelijk gezet), en een standaard
RedHat Enterprise Linux ES3 zonder extra controles....

Goh, wat vreemd dat RH ES3 er minder goed vanaf komt..... De
reactie van Mark Cox spreekt inderdaad boekdelen.
24-03-2005, 11:12 door [Account Verwijderd]
[Verwijderd]
24-03-2005, 11:45 door Anoniem
Weet je, ik denk dat dit gebruikt wordt om niet koosjere
it-managers (met dus een verborgen agenda, ongetwijfeld
leuke bonusjes van de heren van M$) een manier te geven om
hun keuzes te verantwoorden bij hun bazen, die niet zo weten
waar het over gaat (wat dus de reden is dat ze daar managers
voor inhuren).
24-03-2005, 12:09 door Anoniem
Geez... het houdt nooit op.
Is het een idee om een apart hoekje op security.nl te maken waarin dit soort
(premature) 1-aprilgrappen bij elkaar gezet kunnen worden. Da's leuk voor
de lol en scheidt meteen serieuze zaken van onzin. :P
24-03-2005, 12:12 door Anoniem
Ik durf te zweren dat IT-managers bij grote concerns onder de tafel flink wat
toegeschoven krijgen door m$.

het is maar een kwestie van tijd totdat iemand hiervan het bewijs levert.
24-03-2005, 12:20 door Anoniem
Het lijk wel alsof er geen objectieve testen meer verschijnen....

Waarom nog uit reputatie een gratis objectieve test publiceren indien je
gewoon geduld moet hebben voordat een grote multinational je komt
betalen voor je uiteraard subjectieve mening?


Voor geld kan elke idioot iets fouts goed lullen.
24-03-2005, 13:03 door Anoniem
Grappig dat Micro$choft hun troep zo graag presenteert als
'beter dan linux'. Iemand die iets verder nadenkt, kan dan
maar een conclusie trekken lijkt me.
24-03-2005, 13:24 door Mr T
Ik vraag mij af wat ze exact gevraagd hebben aan dat
onderzoeksbureau.... Doe eens een onderzoek waaruit ons
product beter uit komt dan dan van de concurrentie :)
24-03-2005, 13:26 door frits danon
Door Anoniem
Ik durf te zweren dat IT-managers bij grote concerns onder de tafel flink wat
toegeschoven krijgen door m$.

Dat hoeft niet eens. Geen enkele IT-manager durft zijn nek uit te steken en
iets anders te kiezen. Als dat namelijk fout gaat, als is het door
mismanagement, dan hangen ze.
Als er iets met M$ software misgaat dan begrijpt iedereen dat, zelfs
topmanagement, immers ze gebruiken het zelf ook, en is er dus niets
aan de hand. :-)
24-03-2005, 15:32 door Anoniem
Dit is toch al uit andere onderzoeken bekend? Ze vinden alleen nogmaals
hetzelfde. Maar ja sommigen ontkennen zelfs nog dat de lucht blauw is.
24-03-2005, 15:56 door Anoniem
Uiteraard is Microsoft Software veiliger! We moeten allemaal
aan de Microsoft Software. Windows is onze redding! Weg met
die achterhaalde, verouderde UNIX-rommel, die met gemak 1 TB
per dag aan kan. Weg met dat anarchistische Linux, dat de
kapitalistische normen en waarden te kakken zet, en weg met
dat foeilelijke MacOS, waar een kind mee kan werken.

Microsoft forever!
24-03-2005, 16:51 door Anoniem
Ja ja nu even de keiharde bewijzen....
er is een grote opkomst in de zakenwereld....
Die stappen mondjesmaat over op linux en ook openoffice.
Dat zal de reden zijn....
Nou daar lig ik in ieder geval niet wakker van...
Dag MS
24-03-2005, 16:54 door Anoniem
Webhosting?
Unix/BSD/Linux met enkel poort 80 en 443 open, apache + openssl
of Windows met IIS

Google maar naar Apache, IIS, slapper en code-red.

Staat Microsoft toch mooi in z'n hemd: kleinste
marktaandeel, grootste elende.
24-03-2005, 17:22 door Anoniem
wat een gezever.
Als linux echt zo goed en gebruiksvriendelijk was dan zouden ze na al die
jaren toch al een beetje marktaandeel hebben.
Dit is niet het geval.
Linux loopt gewoon achter.
24-03-2005, 18:29 door Anoniem
Door Anoniem
Als linux echt zo goed en gebruiksvriendelijk was dan zouden
ze na al die
jaren toch al een beetje marktaandeel hebben.
Op de
servermarkt heeft Linux een significant groter aandeel dan
je waarschijnlijk wil aannemen.
Op de hostingmarkt gebruikt slechts 20% (dalende) Microsoft
IIS voor hosting van hun website. We zullen het dan nog niet
gaan hebben over de enorme vernieuwende kracht van andere
producten dan die van Microsoft.
Maar het is inderdaad waar dat de boer niet vreet wat hij
niet kent.
24-03-2005, 19:08 door Anoniem
de vet-betaalde ICT-afdeling van UWV gelooft toch in
microsoft's producten, en niet in open source. is dat geen
argument?
drs.C
24-03-2005, 19:16 door Anoniem
Door Anoniem
wat een gezever.
Als linux echt zo goed en gebruiksvriendelijk was dan zouden
ze na al die
jaren toch al een beetje marktaandeel hebben.
Dit is niet het geval.
Linux loopt gewoon achter.

zielepoot,
apache heeft 70% van de markt
microsoft 20%
en dit is al jaren zo...

bewijs:
http://news.netcraft.com/archives/web_server_survey.html
24-03-2005, 19:38 door Anoniem
Door Anoniem
de vet-betaalde ICT-afdeling van UWV gelooft toch in
microsoft's producten, en niet in open source. is dat geen
argument?
drs.C
Nee, absoluut niet. Die vet betaalde banen gaan zichzelf
uiteraard niet wegautomatiseren dus wil je een systeem dat
meer dan afdoende aandacht nodig blijft hebben dat hun
aanwezigheid rechtvaardigd. Het zou zelfs zo kunnen zijn dat
het potje voor de automatisering perse op moest om er de
volgende keer weer voor in aanmerking te kunnen komen.
24-03-2005, 20:43 door Anoniem
lol, niemand gelooft dit onderzoek toch. Die windows server
2003 is echt een lachertje.
24-03-2005, 22:18 door Anoniem
Door Anoniem
lol, niemand gelooft dit onderzoek toch. Die windows server
2003 is echt een lachertje.


Binnen ZONDER kloppen!!
24-03-2005, 22:50 door Anoniem
Door Anoniem
Het is hoog tijd dat bevooroordeelde partijen als
Security.nl (een VNU dochter die al een tijdje word betaald
door MS) ...
Volgens mij ben jij de weg kwijt, deze
site is geen dochter van VNU :)
Ik ben GEEN cracker, maar een ethisch
HACKER!!
Toch een cracker dus :)
24-03-2005, 23:10 door Brugman
Weer, weinig constructief, wat anonieme Unix techneuten die wat liggen te
schreeuwen, zelf over het algemeen te weinig weten van Microsoft
producten (maar natuurlijk nu gaan zeggen, dat ze ook daar een guru in
zijn...typisch, beetje het NCC-1701 idee).

Dit is allemaal zo voorspelbaar, dat het trieste vormen begint aan te
nemen. Merendeel van dit opgeschoten Unix tuig zit in een vicieuze cirkel
die z'n weerga niet kent. Ze weten het allemaal beter en dat geeft te denken.
24-03-2005, 23:48 door Anoniem
Ik vind het alleraardigst dat de heer of mevrouw Brugman het
nodig achtte aan te geven waar zijn of haar eigen rationele
beperkingen liggen. Gelet daarop betwijfel ik dan ook ten
zeerste of die reactie Brugman is aan te rekenen.
25-03-2005, 00:19 door Anoniem
Door Anoniem
Ik vind het alleraardigst dat de heer of mevrouw Brugman het
nodig achtte aan te geven waar zijn of haar eigen rationele
beperkingen liggen. Gelet daarop betwijfel ik dan ook ten
zeerste of die reactie Brugman is aan te rekenen.
Leuke reactie ook dit...
Waarom denk je dat die poster zich 'brugman' noemt?
25-03-2005, 01:10 door Anoniem
Door Anoniem
Waarom denk je dat die poster zich 'brugman' noemt?
Dit is niet uit zijn of haar reactie te distilleren
en beschik ik niet over een magische bol waar ik dat even in
kan zien.
25-03-2005, 01:57 door Brugman
Het meest voor de hand liggende antwoord is blijkbaar te
moeilijk (ik had meer verwacht dan een verwijzing onder
water naar een pater....ik neem aan dat de slimmeren onder
ons dit soort cryptische omschrijvingen begrijpen).

Een en ander is puur op basis van wat op deze site de
laatste tijd te lezen is. Het gaat niet meer over C.A.I,
PKI, SSL, Authentication, Authorisation, Identity
Management, policies, beveiligingsbeleid, system hardening,
java cards, of wat dan ook. Over het algemeen is het gewoon
een hoop slap gepraat, en dat is jammer.

Eindeloze discussies over elke keer weer hetzelfde, security
patches, patch management en internet browsers (maar dan op
een laag niveau)

riddle this:

STTHREYOWEACVRIPMUISTRLRSGHOOIIETHL

Wat is mijn plain-text?
Welke 'security expert' heeft een tip nodig.
25-03-2005, 05:35 door Rene V
Door Brugman


STTHREYOWEACVRIPMUISTRLRSGHOOIIETHL

Wat is mijn plain-text?


Goeie vraag slimme gozert. Als ik jou was zou ik maar van de
paddo's en/of wiet afblijven, want je gaat er nu niet
duidelijker door lullen. Als je nou eens met een goed
argument kwam, on topic, waarom jij nu denkt dat in jou
opinie M$ beter zou zijn dan *nix wat betreft webhosting.

Het heeft namelijk nog steeds met security te maken, hoe je
het ook denkt te wenden of te keren. M$ doet een
"gesponsord" onderzoek om aan te geven dat zij een veilger
product hebben (qua security dus!) dan Red Hat.

Geef jij nou eens een goed voorbeeld dat M$ hier gelijk in
heeft i.p.v. quasi intellectuele gelul van je, hmm?
25-03-2005, 09:25 door Rob Jansen
Ik heb vaak genoeg een installatie van Linux distributie
gedaan , maar in de standaard installatie wordt er heel wat
geinstalleerd, wat je niet nodig hebt, als je deze als
server gebruikt, een server met X er op, lijkt me meestal
onzin. Ik gebruik meestal Debian voor de server, Debian
zelfs met de minimale installatie, installeert meer troep
als me lief is, wie ik niet installeer of weer er achteraf afgooit.

Ik heb even naar resultaten gekeken, maar er worden geen
detials gegeven wat er eigelijk allemaal geinstalleerd wordt
en welke lekken er allemaal gevonden in welke paketten , dus
we kunnen niet resultaten niet zelf controleren, maar dat
zal wel de bedoeling zijn.
25-03-2005, 11:53 door Anoniem
btw, wat doet dat grijze stukje daar? IOS dat ter opvulling
om RH langer te laten lijken?

gr
25-03-2005, 13:15 door Brugman
Door René V
Door Brugman


STTHREYOWEACVRIPMUISTRLRSGHOOIIETHL

Wat is mijn plain-text?


Goeie vraag slimme gozert. Als ik jou was zou ik maar van de
paddo's en/of wiet afblijven, want je gaat er nu niet
duidelijker door lullen. Als je nou eens met een goed
argument kwam, on topic, waarom jij nu denkt dat in jou
opinie M$ beter zou zijn dan *nix wat betreft webhosting.

Het heeft namelijk nog steeds met security te maken, hoe je
het ook denkt te wenden of te keren. M$ doet een
"gesponsord" onderzoek om aan te geven dat zij een veilger
product hebben (qua security dus!) dan Red Hat.

Geef jij nou eens een goed voorbeeld dat M$ hier gelijk in
heeft i.p.v. quasi intellectuele gelul van je, hmm?


Waarom moet ik zeggen dat Microsoft gelijk heeft?.......
Lezen blijft moeilijk. Er zit niet altijd een causaal
verband tussen sponsoren en een bepaalde uitkomst. Alles wat
Microsoft onderneemt op security gebied is bij voorbaat niet
goed en dat is fout, zeker als je ziet dat 99% verzand in
opmerkingen over monopolie, geld en bill gates.

Webhosting: Ik zal de laatste zijn die gaat beweren dat IIS
versies beter zijn dan Apache (ik noem maar wat). Het is
alleen jammer dat veel mensen die dat 5 jaar geleden zeggen
op basis van IIS 4.0, dit nog steeds zeggen op basis van
IIS 6.0. De webserver capability van windows 2003 is niet
slecht en iemand met een beetje verstand kan de zaak goed
hardenen. Helaas heeft Microsoft ooit een weg ingeslagen om
by default het systeem open te zetten, daar moet nog steeds
een prijs voor betaald worden naast het feit dat de
architectuur vroeger veel te zwak was. Dit is een van de
redenen.

Voor wat betreft paddo's en wiet, rare conclusie als je zelf
niet snapt wat je leest.

Ik ken de echte details van het onderzoek niet (dus ga en
kan ik ook niet oordelen op de manier waarop sommigen dat
hier menen te moeten doen), denk je dat Red Hat de vuile was
gaat buiten hangen en alleen maar het heilige boontje is.
Vergeet het maar, ook dat bedrijf is op geld uit, wacht maar af.
25-03-2005, 13:38 door Anoniem
Door Brugman
(dus ga en kan ik ook niet oordelen op de manier waarop
<i>sommigen</i> dat hier menen te moeten doen)
Nuance
is een schoon goed, ga zo door.
25-03-2005, 14:20 door Brugman
Door René V
Door Brugman


STTHREYOWEACVRIPMUISTRLRSGHOOIIETHL

Wat is mijn plain-text?


Goeie vraag slimme gozert. Als ik jou was zou ik maar van de
paddo's en/of wiet afblijven, want je gaat er nu niet
duidelijker door lullen. Als je nou eens met een goed
argument kwam, on topic, waarom jij nu denkt dat in jou
opinie M$ beter zou zijn dan *nix wat betreft webhosting.

Het heeft namelijk nog steeds met security te maken, hoe je
het ook denkt te wenden of te keren. M$ doet een
"gesponsord" onderzoek om aan te geven dat zij een veilger
product hebben (qua security dus!) dan Red Hat.

Geef jij nou eens een goed voorbeeld dat M$ hier gelijk in
heeft i.p.v. quasi intellectuele gelul van je, hmm?


tip: 6
25-03-2005, 18:26 door raboof
Brugman praatte en praatte
Over het algemeen is het gewoon een hoop slap gepraat, en
dat is jammer.

Grotendeels mee eens - maar lever dan zelf een nuttige
bijdrage. En ja, dat probeer ik af en toe te doen ja.

Wat is mijn plain-text? Welke 'security expert' heeft
een tip nodig.

Uhm, ja, een beetje hobby-cryptanalyse is leuk hoor, maar
dat heeft toch nog maar weinig met `security' te maken.

Wat overigens natuurlijk een slap excuus is voor het feit
dat het me niet gelukt is: ik heb even rot1 t/m rot26
geprobeerd (met `rotix'), en wat eenvoudige transformaties
op de volgorde (bijvoorbeeld iedere 6 karakters een `return'
invoegen en dan van boven naar beneden lezen). Andere dingen
worden me te tijdrovend :).
25-03-2005, 18:30 door raboof
Brugman
beetje het NCC-1701 idee

Overigens, uit nieuwsgierigheid, waar verwijs je hier naar?
25-03-2005, 18:56 door Anoniem
Door raboof
Brugman
beetje het NCC-1701 idee
Overigens, uit nieuwsgierigheid, waar verwijs je hier
naar?
Dat Brugman's psychopatische persoonlijkheid iets met
Star-Trek heeft.
NCC-1701 is het FAA registratienummer van een rare
vliegmachine door Matt Jefferies, de hoofdontwerper van de
originele Star-Trek series.
26-03-2005, 02:20 door Brugman
Door raboof
Brugman praatte en praatte
Over het algemeen is het gewoon een hoop slap gepraat, en
dat is jammer.

Grotendeels mee eens - maar lever dan zelf een nuttige
bijdrage. En ja, dat probeer ik af en toe te doen ja.

Wat is mijn plain-text? Welke 'security expert' heeft
een tip nodig.

Uhm, ja, een beetje hobby-cryptanalyse is leuk hoor, maar
dat heeft toch nog maar weinig met `security' te maken.

Wat overigens natuurlijk een slap excuus is voor het feit
dat het me niet gelukt is: ik heb even rot1 t/m rot26
geprobeerd (met `rotix'), en wat eenvoudige transformaties
op de volgorde (bijvoorbeeld iedere 6 karakters een `return'
invoegen en dan van boven naar beneden lezen). Andere dingen
worden me te tijdrovend :).


Moeite moet beloond worden. Dit is een voorbeeld van
transpostion ciphers.


- zet de eerste set van 6 letters verticaal
- zet de tweede set van 6 letters verticaal
- etc (dat dus 6 keer.
- lees horizontaal (dus niet verticaal)
- voila

Het lullige is alleen dat er een letter vergeten is (en dat was geen opzet.)
Er had 3x een T moeten staan (letter 2,3 en 4). Mijn welgemeende excuses voor deze domheid.

STTtHREYOWEACVRIPMUISTRLRSGHOOIIETHL

Cryptanalyse misschien minder met de praktische security te
maken. Cryptography zeker wel, ook PKI kun je op
verschilende manieren implementeren, de voor- en nadelen van
cryptografische keuzen kunnen behoorlijk doorwerken in de
kwaliteit van je uiteindelijke PKI. PKI mag ik wel scharen
als topic onder security verwacht ik.
26-03-2005, 02:21 door Brugman
Door Anoniem
Door raboof
Brugman
beetje het NCC-1701 idee
Overigens, uit nieuwsgierigheid, waar verwijs je hier
naar?
Dat Brugman's psychopatische persoonlijkheid iets met
Star-Trek heeft.
NCC-1701 is het FAA registratienummer van een rare
vliegmachine door Matt Jefferies, de hoofdontwerper van de
originele Star-Trek series.


NCC-1701 staat in bijna elke standaard woordenlijst als
mogelijk password van een Unix admin......
26-03-2005, 09:33 door raboof
Er is niet echt verschil tussen `verticaal schrijven,
horizontaal lezen' en `horizontaal schrijven, verticaal
lezen'. Het was me zelfs opgevallen dat je zo `security
visitors' kon maken, maar `security visitors
gehwithtreprohtamlol' leek me gibberisch. Toegegeven, het
was mogelijk geweest, maar een spelfout en het weglaten van
een letter maken het niet makkelijker ;).

Natuurlijk is een goed begrip van hoe en waarom crypto werkt
belangrijk: hoe vaak zie je niet dat ontwikkelaars in het
wilde weg over allerlei dingen MD5-hashes (of welk algoritme
dan ook) nemen en dan denken dat het daardoor secure is.

Aan de andere kant, hoe meer ik leer over de `gory details',
hoe meer ik ervan overtuigd ben dat je de feitelijke
crypto-implementatie moet overlaten aan de echte guru's.
Voorbeeld: RSA implementeren is niet heel moeilijk, zeker
niet als je kan beschikken over een goede lib om snel met
grote getallen te rekenen. Er blijkt echter dat als de
predecessor een van de priemfactoren (`p-1') op zijn beurt
alleen kleine priemfactoren heeft, het ontbinden voor een
attacker veel makkelijker wordt. Daar moet je dus wel even
goed op letten als je je priemfactoren kiest. Ooit begreep
ik ook precies waarom, maar ik zou het zeker niet verzonnen
hebben. Dan heb ik liever een betrouwbare library die dat
soort dingen voor me doet ;).
26-03-2005, 10:21 door Brugman
Tuurlijk. Je hoeft eigenlijk alleen de voor- en nadelen van de crypto
oplossingen te kennen en de beperkingen. Sommige kunnen enkel
bijvoorbeeld voor signing gebruikt worden en niet voor encryptie. Tevens
zou je moeten weten wat de preferred standards zijn. Op dit moment ligt
SHA-1 onder vuur. Er worden gaten geschoten in dit hash algorithme.
Beter zou zijn om nu AES te nemen (performance is ook weer beter).

De plaintext is horizontaal geschreven en opgehakt in sets van 6. Om de
ciphertext te produceren is er verticaal gelezen en enkel horizontaal
geschreven. Als je van ciphertext weer terug wilt naar de oorspronkelijke
plaintext zul je horizontaal moeten lezen (er is geen verticale tekst..) en
verticaal schrijven. Daarna moet je horizontaal lezen om de plaintext te zien.
26-03-2005, 12:19 door raboof
Ik snap wel wat je zegt, ik bedoel alleen dat `horizontaal
schrijven, verticaal lezen' niet relevant anders is, kijk maar:

STTtHR
EYOWEA
CVRIPM
UISTRL
RSGHOO
IIETHL
26-03-2005, 16:41 door Brugman
agreed
29-03-2005, 00:41 door Anoniem
Door Brugman
agreed
Okee, dus na 46 reacties kunnen we vaststellen dat M$'
onderzoek klopt?
30-03-2005, 02:37 door Brugman
Nee, was reactie op raboof. Zie andere posting omtrent dit onderzoek. Ik
heb geen tijd gehad om dat rapport te lezen
30-03-2005, 09:52 door Anoniem
Door René V
Door Brugman


STTHREYOWEACVRIPMUISTRLRSGHOOIIETHL

Wat is mijn plain-text?


Goeie vraag slimme gozert. Als ik jou was zou ik maar van de
paddo's en/of wiet afblijven, want je gaat er nu niet
duidelijker door lullen. Als je nou eens met een goed
argument kwam, on topic, waarom jij nu denkt dat in jou
opinie M$ beter zou zijn dan *nix wat betreft webhosting.

Het heeft namelijk nog steeds met security te maken, hoe je
het ook denkt te wenden of te keren. M$ doet een
"gesponsord" onderzoek om aan te geven dat zij een veilger
product hebben (qua security dus!) dan Red Hat.

Geef jij nou eens een goed voorbeeld dat M$ hier gelijk in
heeft i.p.v. quasi intellectuele gelul van je, hmm?

Inderdaad, waarom denk je dat Microsoft zo'n onderzoek laat doen.
Als je software safe zou zijn is zo'n onderzoek toch niet nodig, ja als je niks
verkeerd doet hoef je je ergens toch ook niet uit te praten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.