"Veel meer lekken in Windows Vista na 90 dagen"
Microsoft haalde vorige week overal het nieuws toen het met trots aankondigde dat Windows Vista het veiligste besturingssysteem van de afgelopen negentig dagen was. Onterecht, aldus Joe Wilcox. Microsoft maakt weer de klassieke fout om het aantal onthulde beveiligingslekken als graadmeter voor de veiligheid van Windows Vista te nemen. Iets wat de softwaregigant al eerder heeft gedaan, en wat Wilcox het "telprobleem" noemt.
Jeff Jones gebruikt voor zijn rapport de cijfers van de National Vulnerability Database. Een handige tool, die laat zien dat Vista inderdaad tijdens de periode die Jones noemt slechts vier lekken kende. De afgelopen drie weken zijn er echter 11 nieuwe lekken bijgekomen. De Vista informatie geeft verder ook geen onderdelen weer die Microsoft niet als onderdeel van het besturingssysteem beschouwt. De twee dozijn waarschuwingen voor Internet Explorer 7 die tijdens de periode van Jones gevonden zijn, tellen dus niet mee.
De toename in maart geeft echter een beter beeld. Windows Vista was voor 30 januari slechts beperkt beschikbaar, en pas de afgelopen twee maanden wordt Vista veel meer gebruikt en onderzocht. "Aan de hand van waarschuwingen kun je niet de vooruitgang van de beveiliging meten. Ik twijfel niet dat de beveiliging van Vista ten opzichte van z'n voorgangers verbeterd is, maar het aantal security waarschuwingen is niet de manier om dit duidelijk te maken" gaat Wilcox verder.
veiligheid van een systeem, dat is inmiddels wel bekend. Het
is veel interessanter om te zien of het mogelijk is om een
composite index op te stellen die de relatieve security van
een systeem vast stelt op basis van een aantal meetbare
criteria.
niet zoveel zegt. Toch zegt de titel van dit stukje heel
plat 'veel meer lekken'...
steeds geen verstand van.
Stap maar eens over op Linux.
Gratis, en veiliger, en nog makkelijk ook.
Daar kan Ome Bill nog wat van leren.
Alles begint met een goede source-code, daar hebben ze bij
Windows nog
steeds geen verstand van.
Stap maar eens over op Linux.
Gratis, en veiliger, en nog makkelijk ook.
Daar kan Ome Bill nog wat van leren.
De kwaliteit van de code is grotendeels afhankelijk van de
commerciële druk daarop. Net als VHS is Microsoft-software
vaak geen state-of-the-art maar 'goed genoeg' zodat er meer
geld mee te maken valt. Open source-programmeurs lopen veel
minder of helemaal niet tegen die commerciële druk aan en
kunnen in principe dingen zo mooi maken als ze zelf willen
(boeien als het niet verkoopt!).
Ik denk dat de Microsoft-programmeurs heel best goede code
kunnen schrijven. Professioneler misschien dan veel
oss-programmeurs. Maar het bedrijf maakt andere keuzes en de
software moet daarbinnen passen.
ze bij Windows nog steeds geen verstand van.
Stap maar eens over op Linux.
Gratis, en veiliger, en nog makkelijk ook.
eerlijk is eerlijk: de standaard package repository van
menig Linux distributie loopt over het algemeen achter. Wie
inderdaad van de meest verse releases gebruik wil maken, zal
de broncode zelf moeten compileren. Dat heeft als bijkomstig
voordeel, boven generieke packages en boven de uitsluitend
generieke 32- en 64-bit uitgaves van Windows, dat je de te
genereren uitvoerbare bestanden voor je cpu-architectuur
kunt optimaliseren zodat je daar de capaciteiten beter van
benut.
Alles begint met een goede source-code, daar hebben ze bij
Windows nog
steeds geen verstand van.
Stap maar eens over op Linux.
Gratis, en veiliger, en nog makkelijk ook.
Daar kan Ome Bill nog wat van leren.
Symantec heeft Microsoft met Windows het veiligste van alle
veel gebruikte
commerciele besturingssystemen. Uit onderzoek van de
beveiliger blijkt
dat Windows, in vergelijking met Red Hat Linux, Mac OS X,
HP-UX en
Solaris, het minste aantal beveiligingslekken heeft en als
snelste met een
patch komt. Tijdens de laatste zes maanden van 2006 werden
er 39
lekken in Windows gevonden, waarvan 12 ernstig. Het kostte de
softwaregigant gemiddeld 21 dagen om de gaten te dichten.
Dit is wel een
stijging ten opzichte van de eerste helft van vorig jaar,
toen Microsoft met
22 lekken te maken had en die gemiddeld in 13 dagen wist op
te lossen.
Als tweede komt Red Hat Linux uit de bus, dat gemiddeld 58
dagen nodig
had om het totaal aantal van 208 lekken te dichten. Begin
2006 werden
er "slechts" 42 lekken gevonden, die Red Hat in 13
dagen patchte.
Mac OS X had met 43 lekken te maken, waar Apple gemiddeld 66
dagen
nodig had om op te lossen. Wel moet worden vermeld dat er
slechts één
kritiek lek was. Als laatste kwamen HP-UX en Solaris uit de
bus, waarbij
vooral Sun het moet ontgelden. Sun had gemiddeld 122 dagen
nodig om
63 lekken te verhelpen. Een getal wat volgens de zonnige
ontwikkelaar niet
klopt en het trekt de cijfers van Symantec dan ook in twijfel.
op zonder rekening te houden met bijvoorbeeld de remote
exploitability van een vulnerability, de installed base en
dergelijke. Een lek dat in een nauwelijks geinstalleerde
package van een Solaris- of Linuxdistributie zit is veel
minder erg dan een remote exploitable lek in IE.
Symantec heeft Microsoft met Windows het veiligste van alle
veel gebruikte commerciele besturingssystemen. Uit onderzoek
van de beveiliger blijkt dat Windows, in vergelijking met
Red Hat Linux, Mac OS X, HP-UX en Solaris, het minste aantal
beveiligingslekken heeft en als snelste met een patch
komt.
genoemd, waarbij weer de klassieke fout om het aantal
onthulde beveiligingslekken als graadmeter voor de
veiligheid van Windows te nemen. Aan de hand van
waarschuwingen kun je niet de vooruitgang van de beveiliging
meten. Frappant is wel dat bij Linux-distributies als
bijvoorbeeld Ubuntu alle gevonden lekken gedicht
zijn, evenals bij Mandriva, Red Hat, Suse en dergelijken.
Bij de gemiddelde Linux-distributie is 1% het maximum aan
ongepatchte lekken, uitzonderingen daargelaten.
Dat is bij Microsoft beduidend anders, gelet op de
hoeveelheid ongepatchte lekken:
Windows Vista 67%
Windows XP 18%
Windows 2003 9%
Windows 2000 17%
Windows NT4Server 20%
Windows NT Workstation 13%
Windows ME 10%
Windows 98/SE 12%
Van Apple OSX is 7% ongepatched.
(Percentages op basis van gegevens over de periode 2003-2007
van Secunia)
Ja en zo lult iedereen in zijn eigen straatje.
(...)
Als de uitkomst van een onderzoek je niet bevalt zeg je
gewoon dat het onderzoek niet deugt.
zo niet. Welk probleem heb je precies met de percentages van
ongepatchte lekken? Wanneer voor Windows in een bepaald
gekozen periode wellicht minder lekken gevonden worden, maar
deze niet worden gepatched terwijl voor een ander systeem
wellicht meer lekken worden gevonden die allen worden
gepatched, dan kun je op basis daarvan Windows niet met goed
fatsoen veiliger noemen.
Er zijn leugens, grote leugens ... ... en statistieken
Statistieken hoeven geen leugens te zijn. Maar er zijn
mensen die gewoon niet kunnen werken met Mathematische
Statistiek of zelfs maar de Beschrijvende Statistiek.
Er zijn er ook die de statistiek misbruiken voor hun eigen
misdadige doeleinden (zoals de Nazi's deden). Wie niet
goed in thuis is in de statistiek kan inderdaad makkelijk in een
valstrik worden gelokt.
(http://www.iss.net/documents/whitepapers/X_Force_Exec_Brief.pdf).
In dat rapport staat Microsoft op 1 in de top tien
'Vulnerable Vendors'. Maargoed, Vista kwam eigenlijk pas in
2007.
Voor het overige was het IBM-rapport te moeilijk voor Jeff.
Hij haalt alleen de aantallen eruit, terwijl het IBM-rapport
veel dieper gaat op uitbuitbaarheid en impact enz.
En niemand gaat in op de mogelijkheden die bijvoorbeeld een
besturingssyteem, biedt om kwetsbaarheden op te vangen.
Daarin is Windows Vista voor het eerst geen 'platte' Windows
meer (those who don't know UNIX, are doomed to reinvent it).
De vraag is of IBM z'n onderzoek volgend jaar nog eens wil
doen en publiceren:)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
