image

Microsoft onderzoekers: Security rapport is onafhankelijk

vrijdag 25 maart 2005, 13:17 door Redactie, 10 reacties

De twee onderzoekers die gisteren een rapport publiceerde waaruit zou blijken dat Webservers die op Windows Server 2003 draaiden met minder lekken te maken hebben dan servers met Red Hat Enterprise Linux ES 3 in een standaard open-source configuratie, hebben de wind van voren gekregen toen ze bekend maakte dat Microsoft het onderzoek had gesponsord. "Het was bewijs dat Microsoft het beter doet, en nu is het bewijs besmet. Het resultaat mag dan kloppen, niemand zal er nog iets om geven, omdat men alleen nog de vooroordelen ziet." zo laat security goeroe Bruce Schneier weten.

De onderzoekers zijn het hier niet mee eens en beweren dat ze volledige vrijheid in hun onderzoek en analyse hadden. In het rapport worden de methodes besproken en ze nodigen anderen uit om die te controleren. Het tweetal, dat al tijdens de RSA conferentie verschillende onthullingen deed, wilde pas bij de presentatie van het volledige rapport de sponsor rol van Microsoft bekendmaken. "We wisten dat de sponsoring door Microsoft kritiek op zou leveren. Hierdoor moest onze methodologie open en transparant zijn, zodat ook anderen de resultaten konden nalopen." aldus onderzoeker Herbert Thompson. Toch heeft het rapport en de rol van Microsoft vooral Linux fans kwaad bloed gezet, zo gaat dit artikel verder.

Reacties (10)
25-03-2005, 13:44 door Walter
Goh, wat een verrassing........
25-03-2005, 13:51 door Mr T
Gesponsord of niet, open of niet.... je mag geen appelen met
peren vergelijken! Zo kan ik het ook. Een ongepatchte
windows server met een gepatchte Linux server
vergelijken...slaat nergens op.
Je moet maar eens een ongepatchte Windows server op het net
hangen. Het zal niet lang duren.....
25-03-2005, 14:05 door Anoniem
Grappig dat de onderzoekers hun methoden niet in twijfel
nemen. Wie verkeerde methoden inzet verkrijgt resultaten
waarop onjuiste conclusies worden gedaan.

So much for Kyoto. :)
25-03-2005, 14:10 door Su-Root
Door Mr T
Gesponsord of niet, open of niet.... je mag geen appelen met
peren vergelijken! Zo kan ik het ook. Een ongepatchte
windows server met een gepatchte Linux server
vergelijken...slaat nergens op.
Je moet maar eens een ongepatchte Windows server op het net
hangen. Het zal niet lang duren.....

huh?
25-03-2005, 14:19 door Brugman
Door Mr T
Gesponsord of niet, open of niet.... je mag geen appelen met
peren vergelijken! Zo kan ik het ook. Een ongepatchte
windows server met een gepatchte Linux server
vergelijken...slaat nergens op.
Je moet maar eens een ongepatchte Windows server op het net
hangen. Het zal niet lang duren.....

Staat dit in het rapport? Ik ben nog bezig maar ik heb al
zien staan dat beide systemen niet gehardenen zijn (default
install) en dat op beide systems alle patches zijn
geinstalleerd. Welk stuk heb je gelezen?
25-03-2005, 16:25 door Anoniem
Het rapport maakt zeker een punt maar wie zet er een
unhardened server online? Dat zou ook een aardig onderzoek
op kunnen leveren tussen de twee volkeren :)
Het rapport min of meer aan dat er geen relatie bestaat
tussen populairiteit en te verwachten elende. Want ondanks
het rapport in Microsoft's voordeel is gaf deze in de
praktijk veruit de meeste overlast terwijl deze een relatief
klein marktaandeel op de webservermarkt heeft.
Het rapport zegt heel veel maar tegelijkertijd ook helemaal
niets.
Dit maakt zo'n onderzoek niet nutteloos. Red Hat heeft in
deze opzet meer advisories en doet er wat langer over om
deze te patchen. Maar dat zegt niets over de veiligheid of
betrouwbaarheid.
En dat komt door de puur theoretische opzet die ver van de
praktijk staat. In de praktijk is niets default, zeker niet
bij modulaire systemen dat zelfs de noodzaak tot patchen
beïnvloed. Zo kan een gebruikte module in een advisory
worden genoemd en er toch niet ontvankelijk voor zijn. Daar
wordt volkomen aan voorbij gegaan maar zoals aangegeven
heeft men zich dan ook enkel geconcentreerd op
defaultinstallaties en verder niets.
Dat zulke onderzoeken binnen sterk beperkte kaders in het
voordeel van Microsoft (of wie dan ook) kunnen zijn, spreekt
voorzich. Het is in ieder geval een leuk tegengeluid, maar
zo kun je elk vooraf gedefinieerd gewenst antwoord
verkrijgen door een onderzoek te sturen door het te beperken.
25-03-2005, 20:16 door Anoniem
Jamaar, jamaar, het is echt waar hoor! Echt!
26-03-2005, 02:47 door Brugman
Door Anoniem
Het rapport maakt zeker een punt maar wie zet er een
unhardened server online? Dat zou ook een aardig onderzoek
op kunnen leveren tussen de twee volkeren :)
Het rapport min of meer aan dat er geen relatie bestaat
tussen populairiteit en te verwachten elende. Want ondanks
het rapport in Microsoft's voordeel is gaf deze in de
praktijk veruit de meeste overlast terwijl deze een relatief
klein marktaandeel op de webservermarkt heeft.
Het rapport zegt heel veel maar tegelijkertijd ook helemaal
niets.
Dit maakt zo'n onderzoek niet nutteloos. Red Hat heeft in
deze opzet meer advisories en doet er wat langer over om
deze te patchen. Maar dat zegt niets over de veiligheid of
betrouwbaarheid.

[BRUGMAN] NIETS, das wel erg weinig :-)? Waarom niet. Doel je op
het type patch? Een invalshoek zou kunnen zijn: hoe sneller
je de mogelijkheid krijgt van de vendor tot patchen hoe
beter, hoe langer het duurt hoe langer je vulnerable bent.
Vraag is even voor wat.


En dat komt door de puur theoretische opzet die ver van de
praktijk staat. In de praktijk is niets default, zeker niet
bij modulaire systemen dat zelfs de noodzaak tot patchen
beïnvloed. Zo kan een gebruikte module in een advisory
worden genoemd en er toch niet ontvankelijk voor zijn. Daar
wordt volkomen aan voorbij gegaan maar zoals aangegeven
heeft men zich dan ook enkel geconcentreerd op
defaultinstallaties en verder niets.
Dat zulke onderzoeken binnen sterk beperkte kaders in het
voordeel van Microsoft (of wie dan ook) kunnen zijn, spreekt
voorzich. Het is in ieder geval een leuk tegengeluid, maar
zo kun je elk vooraf gedefinieerd gewenst antwoord
verkrijgen door een onderzoek te sturen door het te beperken.
26-03-2005, 12:03 door Anoniem
Microsoft doet er verstandiger aan om gewoon een veiliger
product op de markt te zetten dat zich in de praktijk bewijst, dan
telkens met 'onderzoeken' op de proppen te komen die moeten
aantonen dat het concurrerende product nòg onveiliger is..
26-03-2005, 20:22 door Rob Jansen
Ik heb het rapport doorgelezen.

Maar is geen lijst toegevoegd met de lekken die er zijn
gevonden in Windows 2003 en Redhat en welke ze waarde die
ze aan het lek toekende.

Dus ik kan niet zelf de resultaten controleren.

Dus ik hecht geen waarde aan dit rapport.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.