Nieuws
image

Microsoft: Met Windows minste risico

maandag 27 oktober 2008, 13:01 door Redactie, 25 reacties

Windows-gebruikers worden sneller van beveiligingsupdates voorzien dan bij Apple, Red Hat of Ubuntu het geval is, zo blijkt uit onderzoek van Microsoft. Beveiligingstopman Jeff Jones onderzocht de kwetsbaarheden waar de vier vendors de eerste helft van 2008 mee te maken kregen. In totaal ging het om 585 unieke beveiligingslekken, waarvan er 292 in Red Hat, 153 in Ubuntu, 222 in Apple en 58 in Microsoft zaten. Wie kan tellen zal zien dat deze cijfers bij elkaar opgeteld meer dan 585 zijn, dat komt omdat sommige beveiligingslekken (26,8%) bij meerdere vendors aanwezig waren.

Microsoft krijgt regelmatig kritiek omdat het bij dit soort rapporten minder ernstige lekken meetelt, terwijl de problemen in Windows vaak ernstig van aard zijn. Om dat argument te bestrijden, maakte Microsoft ook een overzicht van de ernst van de kwetsbaarheden. Wederom komt Microsoft als beste uit de bus, met een score van 53,2. Ubuntu is tweede met 75,8, net voor Apple dat op 96,5 blijft steken. Red Hat is met 121,5 laatste. De cijfers zijn gebaseerd op de formule dat 20 "low" kwetsbaarheden of 5 "medium" lekken, aan één ernstig lek gelijk zijn.

Risico
Het aantal kwetsbaarheden zegt nog niet alles over de veiligheid van een systeem. 'Days of Risk' speelt volgens Microsoft ook een belangrijke rol. Dit is het aantal dagen dat een vendor nodig heeft om een publiek bekend lek te patchen. Het gaat dan alleen om kwetsbaarheden die bijvoorbeeld op BugTraq zijn verschenen en niet alleen bij de vendor zijn gemeld.

Windows-gebruikers moeten gemiddeld 24 dagen op een patch wachten nadat een lek bekend is, terwijl dat in het geval van Ubuntu 72, Apple 98 en Red Hat 105 dagen is. Om de cijfers in perspectief te zetten, past Microsoft haar eigen formule toe en dat is niet gunstig voor Apple. Die komt met een score van 82 dagen op de laatste plaats, terwijl Ubuntu, 51 dagen, en Red Hat, 63 dagen, daar onder zitten. Microsoft eindigt met 25 dagen weer als eerste.

Een ander kritiekpunt waar Jones gehoor aan geeft, is dat Linux-distributies vaak optionele componenten bevatten die niet geïnstalleerd worden, maar wel meetellen bij het aantal beveiligingslekken. De beveiligingstopman maakte daarom een apart overzicht waarin hij alleen de standaard geïnstalleerde Linux onderdelen telt en dat heeft een positief effect op zowel Ubuntu als Red Hat. Het aantal lekken neemt namelijk sterk af, waardoor alleen Mac OS X als enige ver boven de honderd blijft steken. Ook na het toepassen van Microsoft's formule zitten Apple-gebruikers met de meeste beveiligingslekken opgezadeld.

Voor bedrijven is het met name belangrijk om te weten wanneer patches verschijnen en hoe vaak dit gebeurt. Wederom een gebied waarin Microsoft excelleert. In de eerste helft van 2008 kende de softwaregigant slechts vier patchmomenten, terwijl Apple er met tien te maken had. Wie Red Hat of Ubuntu gebruikt moest in de eerste zes maanden meer dan twintig keer aan het patchen slaan.

Vista stabiel
Het onderzoek van Jones laat verder zien dat het aantal gevonden lekken in Windows Vista stabiel is gebleven. Ging het in dezelfde periode vorig jaar om 20 kwetsbaarheden, dit jaar waren het er 21. In het geval van Windows XP is er beter nieuws te melden, daar daalde het aantal lekken van 35 naar 26. Een daling van 25%. "Een ander interessant cijfer is hoeveel problemen er binnen een dag na publieke bekendmaking gepatcht werden. Zo'n negentig procent van Microsoft's problemen was binnen een dag verholpen, relatief goed nieuws voor Microsoft klanten," aldus Jones, die denkt dat het succes te verklaren is doordat Microsoft nauw samenwerkt met beveiligingsonderzoekers. "Dat de andere vendors zo laag scoren is mogelijk inherent aan het opensource model, waarbij veel verschillende producten dezelfde code delen." Jones verwacht dat zijn rapport weer een hoop stof zal doen opwaaien, maar hoopt op constructieve feedback.

Reacties (25)
27-10-2008, 13:07 door Anoniem
Jammer dat Nomen Nescio niet meer hier is om te reageren :)
27-10-2008, 13:11 door [Account Verwijderd]
[Verwijderd]
27-10-2008, 13:16 door Anoniem
Nimrod, deze man gebruikt al 2 jaar vista even wennen en het gaat weer geweldig je stop hem vol patches en mods en het werk prima zijn dan de klachten gestoeld op onkunde vista is n goede oplossing voor later.
27-10-2008, 13:34 door meinonA
Ach, eind van het jaar zal er wel weer een artikel ergens verschijnen waaruit blijkt dat over heel het jaar, Microsoft's producten 90-95% van de tijd ongepatched was. Net als in 2006, 2005, 2004 ...

Iedereen weet toch dat als je veilige en stabiele software wil hebben je niet bij MS moet zijn? Leuk voor thuis (Linux tegenwoordig nog meer!), maar als het echt veilig moet zijn zou ik toch naar de concurrent stappen...
27-10-2008, 13:34 door Martijn Brinkers
"Een ander interessant cijfer is hoeveel problemen er binnen een dag na publieke bekendmaking gepatcht werden. Zo'n negentig procent van Microsoft's problemen was binnen een dag verholpen, relatief goed nieuws voor Microsoft klanten,"

Tja Microsoft zorgt ervoor dat alles onder de pet blijft totdat er een patch is (weet ik uit eigen ervaring). Tussen melden van security bug en patch kan meer dan een jaar zitten. Als ze eenmaal een patch hebben dan publiceren ze pas de vulnerability. Het zou dus veel eerlijker zijn (tja wat kan je verwachten van MS) om te tijd tussen melding van de vulnerability en de patch te nemen en niet, zoals in dit rapport lijkt te zijn gedaan, om de tijd tussen de publieke melding van MS en de patch te nemen want die is bij MS altijd kort.
27-10-2008, 13:45 door prikkebeen
Zolang er nog elke dag duizenden computers met Windows OS in botnets opgenomen worden en besmet raken met trojans is dat in mijn ogen nou juist het gevaarlijkste OS met de meeste risico's.
Nu ze een keer een tussentijdse patch hebben uitgebracht verschijnt in een keer dit fraaie (sic) stukje damagecontrol.

Verbaas u niet, verwonder u slechts is wat in mij opkomt.
27-10-2008, 14:07 door U4iA
Wellicht kloppen de cijfers wel en is Microsoft sneller met patchen dan de anderen en is Windows "minder lek", maar...voorlopig zijn het de Windows machines die vollop misbruikt worden (door exploits). Natuurlijk ligt dit voor een gedeelte bij de gebruikers zelf, maar wel een belangrijk puntje lijkt me zo. Voorlopig voel ik me op mijn OSX gatenkaas toch wel veilig. Overigens met Vista ook geen problemen tot op heden, dus dat zit ook wel snor.
27-10-2008, 14:10 door Anoniem
Wij van WC eend adviseren WC EEND
27-10-2008, 14:19 door Anoniem
Deze Jeff Jones komt iedere paar maanden met zijn wc-eend onderzoekje aanzetten, inmiddels is hij al zo vaak onderuit gehaald door de gemaakte vouten, dat hij DE clown van de IT wereld is geworden.
Voordat je ook maar een woord van deze leugenaar aanneemt zou je eerst eens wat kritiek op zijn methodes moeten lezen. Dan ben je meteen genezen.

Hier twee linken om te beginnen (verder zelg Google'n): http://opsamericas.com/?p=565
http://www.microsoft-watch.com/content/security/microsoft_is_counting_bugs_again.html

En ook grappig als je update is het ook al verdacht: http://www.fastsilicon.com/latest-news/microsoft-claims-firefox-less-secure-because-of-frequent-updates.html?Itemid=60

Maar het grappigst is natuurlijk wel dat zijn sprookjes niet overeenkomen met empirisch onderzoek van anderen, de werkelijkheid... die blijft weerbarstig voor meneer Jones ;)
27-10-2008, 14:41 door Anoniem
Hoe komt het toch dat Microsoft steeds meer schreeuwt en dat de praktijk meer en meer andere beelden laat zien. Ik zie en spreek zoveel mensen die het gebasel van MS gewoon zat worden. Zelf werken we met een mix (124) van Windows en Linux servers. Ook bij ons geldt de 80-20 regel; 80% van de servers is Linux maar ze kosten ons maar 20 promille van onze tijd. Microsoft kan schrijven, roepen, schreeuwen, etc. maar iedere keer wijst de praktijk uit dat de Linux servers ons veel minder problemen geven. Overigens zijn we tevreden met de stabiliteit en betrouwbaarheid van de Windows servers, maar ze halen het niet ten opzichte van de Linux servers.
27-10-2008, 14:57 door Anoniem
Weet je, dit soort onderzoeken zijn er ook niet om daadwerkelijke relatieve veiligheid aan te tonen, en ze zijn er ook niet om mensen zoals jij en ik (die op zijn minst nog proberen te begrijpen hoe het zaakje zit) ervan te overtuigen wat beter is. Ze zijn er voornamelijk zodat manager A bij manager A+1 zijn budgettering kan goedpraten met een extern rapportje, terwijl hij zelf ingedekt blijft voor eventuele problemen die daaruit voorkomen. Daarom blijven zulke dingen om de zoveel tijd uit komen. En daarom blijven ze ook onzinnig.
27-10-2008, 15:55 door DipSwitch
Microsoft erkent vaak pas heel laat dat er een beveiligingslek bestaat, m.a.w. dus "publiek maakt", het lijkt daarom dat ze heel snel met patchen zijn. Dit doet Microsoft volgens eigen zeggen om te voorkomen dat er meteen exploits voor gemaakt worden door kwaadwillenden. Open source heeft die geheimhouding niet, dus krijg je andere cijfers. Ik dacht toch echt dat dit inmiddels wel algemeen bekend zou zijn, maar blijkbaar had ik het mis.
27-10-2008, 16:08 door Napped
Voor Microsoft vs Linux moet je denk ik in meerdere sectoren verdelen.
Je hebt verschillende groepen zoals :
- Hosting .. Ideaal voor Linux , behalve als je echt Microsoft nodig heb.
- Intern Bedrijfsnetwerk ; i.v.m. de huidige beheerders en het overige personeel het meest met windows omgaan kan je beter op Windows blijven .Want 9/10 software pakketen zijn speciaal voor Microsoft uitgebracht en niet iedereen kan met Terminals werken of via RDP client.
- Thuisnetwerk Hangt van de gebruiker en hun budget af. Tuurlijk is Linux in Veel Aspecten veiliger maar echt niet in alles.

Dus de discussie kan eeuwig doorgaan. maar er is geen beste er is alleen een iets betere in BEPAALDE aspecten.
27-10-2008, 16:43 door Anoniem
Door Iceyoung
...
De Vendor wiens naam met een M begint is de beste !!
effe kijken: Red Hat, Ubuntu, Apple, Microsoft JA MICROSOFT GEWONNEN
...

Nee hoor, dan is Mandriva de winnaar ;)

Maar om even serieus er op in te gaan; Dit soort onderzoeken zegt heel erg weinig eigenlijk.
Bugs & lekken zullen altijd blijven bestaan in elk softwarepakket. Elke keer als er code bij komt, komen er ook weer meer mogelijkheden voor bugs\etc. bij. Het verschil zit er in hoe er mee wordt omgegaan. Er zijn voldoende verhalen bekend over Microsoft die pas na meer dan een jaar bv. pas een bekend gat dicht, maar bij Linux is dit ook wel gebeurt.

Tja, en dan zit je nog met third party software... Als Adobe een fout maakt dan wordt dat ook vaak bij de fabrikant van het OS geplaatst bijvoorbeeld...

Het is een eindeloze discussie, met voor en nadelen voor alle partijen, maar zoals al werd geschreven is het het beste om te kijken naar de toepassing van een OS en daarop de juiste te kiezen. Maar voor elk OS geldt: blijven patchen, ook al is het elke week... dan maak je maar een script die het automatisch doet als dat nodig is.
27-10-2008, 17:49 door Goeroeboeroe
"Een ander interessant cijfer is hoeveel problemen er binnen een dag na publieke bekendmaking gepatcht werden. Zo'n negentig procent van Microsoft's problemen was binnen een dag verholpen, relatief goed nieuws voor Microsoft klanten,"

Dit is toch werkelijk fabuleus! Aangezien Microsoft 1x per maand patches uitbrengt (hele extreme uitzonderingen daargelaten) betekent dat dat dus vrijwel alle problemen op de maandag voor de beroemde dinsdag publiek worden.
27-10-2008, 18:12 door Regenpak
Door U4iAOverigens met Vista ook geen problemen tot op heden, dus dat zit ook wel snor.
Ik heb ook geen enkel probleem met Vista. Zolang ik het niet op mijn systemen installeer blijft dat ook zo. En mijn werkgever is net overgegaan op XP...
27-10-2008, 19:48 door prikkebeen
Door Regenpak
Door U4iAOverigens met Vista ook geen problemen tot op heden, dus dat zit ook wel snor.
Ik heb ook geen enkel probleem met Vista. Zolang ik het niet op mijn systemen installeer blijft dat ook zo. En mijn werkgever is net overgegaan op XP...

LOL Ik ben vanwege Vista naar een niet nader te noemen conculega overgestapt en dat voldoet ook prima. Gelukkig kunnen we nog steeds kiezen.
27-10-2008, 22:53 door Anoniem
Zoals anderen inderdaad terecht opmerken: "Wij van WC-eend...". Hoe kun je een bedrijf serieus nemen als zij een maandelijkse patchdag hebben? Rebooten moet je het appraat toch.. Verder heb ik liever 10x per maand een update (security/bug/functionaliteit gerelateerd) in openheid, dan 1x per maand in geslotenheid (waar soms zelfs de belangrijkste niet bij zitten). Hoewel ik alle eerlijkheid moet bekennen, dat ik vaak problemen kreeg(/krijg?) door MS updates (op de servert), dat ik nu zelfs wacht met updaten, zodat ik er zeker van kan zijn dat de eerst uitgebrachte versie ook een goede is (daar gaat het maandelijkse patchmoment). Dit probleem heb ik nooit ondervonden op linux-systemen (ook servert) die ik gebruik.
Ach ieder zijn ding, maar dit soort rapporten zijn natuurlijk gebakken lucht....
28-10-2008, 09:08 door Anoniem
Nu blijkt Windows toch de beste te zijn en blijkt Linux helemaal niet zo goed te zijn!
28-10-2008, 09:18 door Anoniem
Leer maar eerst is met Vista om te gaan/instellen. Vista als werkstation kan echt wel tippen aan die linux-systemen.
Veiligheid in Vista is gewoon goed. Om terug te stappen naar XP is wel het slechtste wat je kunt doen kwa veiligheid. Alleen omdat de beheerder/gebruiker niet met Vista om kan gaan en omdat ze het niet sneller kunnen krijgen.

Als je er een beetje in verdiept maak je Vista juist sneller als XP.
Kwa servers is M$ nog ver achter(kan welles veranderen met 2009 server applicatie). Daar kies ik liever voor een BSD/LINUX/AS400-systeem.
28-10-2008, 09:50 door Jachra
Door Goeroeboeroe"Een ander interessant cijfer is hoeveel problemen er binnen een dag na publieke bekendmaking gepatcht werden. Zo'n negentig procent van Microsoft's problemen was binnen een dag verholpen, relatief goed nieuws voor Microsoft klanten,"

Dit is toch werkelijk fabuleus! Aangezien Microsoft 1x per maand patches uitbrengt (hele extreme uitzonderingen daargelaten) betekent dat dat dus vrijwel alle problemen op de maandag voor de beroemde dinsdag publiek worden.

Nee, de publicatie is een week eerder. Tevens is de de huidige patchcyclus tot stand gekomen omdat het bedrijfsleven in het verleden niet op elk willekeurige tijdstip een update wilde. Toen der tijd bestonden er nog geen pakketten als SUS en WSUS.

Momenteel is het dan ook een "zwakheid" binnen de Linux-distro's dat de patches nog steeds willekeurig verschijnen. Het kost dan ook het bedrijfsleven teveel geld om dit in correcte banen te leiden.
Het is leuk en aardig voor mensen thuis dat men snel hun updates krijgen, maar het bedrijfsleven zit hier niet op te wachten.

Door AnoniemZoals anderen inderdaad terecht opmerken: "Wij van WC-eend...". Hoe kun je een bedrijf serieus nemen als zij een maandelijkse patchdag hebben? Rebooten moet je het appraat toch.. Verder heb ik liever 10x per maand een update (security/bug/functionaliteit gerelateerd) in openheid, dan 1x per maand in geslotenheid (waar soms zelfs de belangrijkste niet bij zitten). Hoewel ik alle eerlijkheid moet bekennen, dat ik vaak problemen kreeg(/krijg?) door MS updates (op de servert), dat ik nu zelfs wacht met updaten, zodat ik er zeker van kan zijn dat de eerst uitgebrachte versie ook een goede is (daar gaat het maandelijkse patchmoment). Dit probleem heb ik nooit ondervonden op linux-systemen (ook servert) die ik gebruik.
Ach ieder zijn ding, maar dit soort rapporten zijn natuurlijk gebakken lucht....

Het bedrijfsleven, die de grote marktterrein is voor de meeste mainstream besturingssystemen, willen geen willekeurige patchmomenten. Ook de bekende Linux-distro's zullen ook gaan houden aan 1 update moment per maand.
28-10-2008, 15:38 door Anoniem
Momenteel is het dan ook een "zwakheid" binnen de Linux-distro's dat de patches nog steeds willekeurig verschijnen
Waarom is dat een zwakheid? Bedrijven kunnen toch zelf bepalen op welk moment zij patchen?
Is het juist niet handiger dat patches uitkomen zonder op patches voor andere software te moeten wachten?
Ook de bekende Linux-distro's zullen ook gaan houden aan 1 update moment per maand.
Kan je wat links geven naar uitspraken die dit onderbouwen?
Bovendien is het de vraag of het wel zo handig is. Microsoft moet nu toch buiten de patch-cyclus om patchen. En dat komt vaker voor. Windows-servers moeten rebooten wanneer de internet-browser gepatcht wordt. Zelfs bij updates voor de webbrowser, moet de server down. Trieste zaak anno 2008.
Windows-patches zorgen zo vaak voor problemen dat je er niet op kunt vertrouwen dat de machine nog werkt na updates. Patches vereisen grondige tests en eigenlijk speciale testomgevingen, wat de TCO van een paar Windozen flink verhoogt.
Mijn linux-machines auto-updaten al jaren elke dag (geen kernel en gerelateerd), draaien gewoon verder en blijven gewoon werken. Dat lijkt mij toch een heel stuk volwassener dan het zielige teletubby-gedoe met windoze.
Dus ik sluit me aan bij de ervaringen van Anoniem op 27-10 14:41.
Interessante artikeltjes overigens, van Anoniem op 27-10 14:19.
28-10-2008, 17:36 door prikkebeen
In Linux kun je kiezen hoe vaak er voor updates wordt gezocht. Je bent daar zelf baas in dus, zoals Anoniem@15.38 ook al zegt.
Als je in Windows de automatische update functie uitschakelt wil er nog wel eens een update geforceerd worden geïnstalleerd en dan kun je niet anders meer dan rebooten wat dan wel eens zeer ongelegen kan komen.
Vista bepaald zelf wanneer die reboot uitgevoerd wordt, wat nog vervelender is, om maar niet te zeggen waardeloos.

De maandelijkse patchdag van MS vind ik een hele slechte zaak. Juist de groep, waarvan MS zegt dat ze er om vragen, zijn de bedrijven die wel een admin hebben die Windows Update uit kunnen zetten. Het zijn de vaak onwetende thuisgebruikers die tussen elke patchronde in schade oplopen door niet gerepareerde/gepatchte lekken. Ik vind het een kul argument van MS dus.
Wanneer een patch gereed is uigeven dat ding en degene die hem later wil moet dat dan zelf weten. Er is eer maar een bedrijfstak die deze manier van werken toejuicht en dat is de anti virus branche. Een verachtelijk gedrag in mijn ogen.
30-10-2008, 08:49 door Anoniem
Ik vraag mij af hoe Jeff Jones dan de ongepatchte lekken van verschillende Windows versies inclusief Vista in zijn formule heeft verwerkt, die langer dan een maand of zelfs langer dan een jaar ongepatcht zijn, zoals weergegeven bij Secunia.
Bij laatst genoemde blijkt dat bijvoorbeeld Ubuntu geen lekken ongepatcht laat of heeft gelaten.
30-10-2008, 11:42 door Anoniem
Door Martijn Brinkers"Een ander interessant cijfer is hoeveel problemen er binnen een dag na publieke bekendmaking gepatcht werden. Zo'n negentig procent van Microsoft's problemen was binnen een dag verholpen, relatief goed nieuws voor Microsoft klanten,"

Ze hadden er pas een die zelfs in Windows 2000 al voorkwam, en die in 2006 al een keer was gerepareerd, en nu met grote spoed weer moest worden gerepareerd.
Shit happens, ook bij Microsoft, maar om nou te zeggen dat dat bedrijf sneller patcht en minder issues heeft, op basis van cijfers die nooit gepubliceerd worden, dat is wel erg zwak.
In de Securitybulletins staan praktisch uitsluitend issues die al buiten Microsoft bekend waren, en dat gaat al jarenlang zo.
Hier een paar willekeurig voorbeelden:
http://www.microsoft.com/technet/security/bulletin/ms08-jan.mspx
http://www.microsoft.com/technet/security/bulletin/ms08-feb.mspx
http://www.microsoft.com/technet/security/bulletin/ms08-mar.mspx

Ergens anders werd geopperd dat Microsfot vanwege die RPC-bug vand eze week, een marketing offensief is begonnen. het is jammer dat al die ICT-nieuwssites zich zo makkelijk en kritiekloos voor dat karretje laten spannen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure