Tijd om ze te thematisch te categoriseren naar platform, en op basis daarvan
een gewogen index samen te stellen volgens een envoudige rekensom.

Malware krijgt om te beginnen 1 punt.

Als het betreffende OS uit de doos, dus in z'n default configuratie, ervoor
ontvankelijk is, dan weegt dat "orde twee" (dus: honderd maal).

Als het om iets gaat dat volledig zelfstandig "remote" z'n werk doet, dan
weegt dat orde drie (factor duizend).
Is het weliswaar niet volledig zelfstandig, maar wel is er wel een
automatische installatievector als indirect en voor eindgebruikes
ondetecteerbaar "bijproduct" van reguliere onschuldige handelingen (het
lezen van passieve data, zoals een mailtje of website): orde twee (factor
100).

Zelfstandige, actieve propagatie - in tegenstelling tot 'social engineering' als
propagatievector - weegt in orde 2, met factor 100.

Als (gefingeerd) voorbeeld: een remote 'brute force' Kerberos key prediction
attack tegen OpenSSH onder FreeBSD krijgt om te beginnen score 1.
Aangezien PAM/Kerberos authenticatie niet aanwezig is in de default setup,
en OpenSSH services sowieso default niet aanstaan, blijft het daarbij.
Eindscore 1.

Een trojan die z'n ding doet bij het openen van een document in Word, of
een mailtje in Outlook o.i.d., scoort daarmee 100. Als de trojan vervolgens
het Outlook-adressenboekje oogst en zich daarlangs verder verspreidt wordt
de eindscore 10.000.

Een exploit op een service levert 1. Is die service "uit de doos" present en
actief, dan wordt dat 1000. Propageert de exploit zich na succesvol
toegeslagen te hebben automatisch, dan wordt dat 100.000.

En zo komt er een 'gewogen score' per geval. Vervolgens kan per platform
eerst geinventariseerd worden wat er überhaupt aan ellende is, en kunnen
de scores daarvan opgeteld worden: de Ellende Index van het betreffende
platform.

Stelling: De DOS/Windows Ellende Index is magnitudes groter dan de rest,
zelfs als de scores van de rest bij elkaar opgeteld worden.

De teller bij Kaspersky staat op dit moment al op 347.900.
http://www.kaspersky.com/avupdates

@anoniem 10:38

Wat een lang verhaal om MS te bashen.

Zie je verder nog enig nuttig doel voor deze calculatie behalve als
onderbouwing van je infantiele stelling?
J.

Ik ben een andere anoniem maar ik krijg het vermoeden dat
hij graag jou op de kast wou hebben ;)

Bzzt, rekenfout. Service exploitable = 1. Default configuratie exploitable =
*100. Remote autoexploit = * 1000. Verdere propagatie = *100.

Eindscore van het voorbeeld dus 10.000.000, niet slechts 100.000. Au.

Je krijgt mij alleen op de kast als het mij interesseert, ik ben geen fan van
eender OS maar gewoon iemand die zaken beroepsmatig beheerd.

Voor mij zijn dergelijke reacties, ook mijn reactie daarop voor de goede
orde, gewoon forumvervuiling.

Dus ik laat het hier verder bij. ;)
J.

Bijna ;-)
Toch ben ik benieuwd naar het nut van een dergelijke berekening behalve
als vlamvuur.

Toen ik nog de Symantec producten gebruikte, viel het mij op
(jaren geleden) dat de teller in de virusscanner van het aantal
virussen met 10.000 naar boven was verschoven. Stond de teller
op 50 duizend....maar men zou denken dat na 50.999 de 60 duizend
zou volgen. Maar nee, die werd op mysterieuze wijze plots op
70 duizend virussen gezet (!)

En het leuke was, dat heel weinig mensen deze plotselinge toename
van "10.000" virussen in een enkele minuscule update heeft
opgemerkt....

Nog altijd zijn er mensen die een anti-virus proberen te taxeren op het
aantal geadverteerde stuks malware. Dit is een zinloze methode, evenals
de actie van het tellen van malware zelf, want wie bepaald wat een nieuw
virus/malware is? Diverse trojans hebben tienduizenden varianten. En
zelfs daar geldt: wat is nu eigenlijk een variant? Is 1 bit verschil genoeg?

In het verleden probeerde anti-virus producenten sprongen in aantal te
detecteren virussen te verklaren door erop te wijzen dat iemand een
generator tooltje had gebruikt om 10.000 stuks te genereren. Niemand die
deze (DOS) virussen ooit tegenkomt in het wild, er is zelfs niemand die al
die varianten daadwerkelijk bekeken had. Maar het had wel gevolgen: als
er 1 anti-virus schaap over de teller dam is, volgen er meer.

Tellingen zijn sterk bepaald door de "detectiekracht" van de scanner, als
de scanner veel pro-actieve detectie heeft gaat de teller niet omhoog bij
nieuwe varianten.

Het is verleidelijk te stellen: hoe lager het aantal tellingen, hoe beter, maar
helaas, dat is ook weer te simpel.

Het komt erop neer dat tellingen tussen producten niet onderling
vergelijkbaar zijn, en dus op zijn best is er alleen wat zeggen over de
verschillen tussen diverse updates van één product.

En ook: soms zegt een telling alleen wat over de gebruikte malware
collectie.