@Linux4
Waarom 'klagen' over iets dat je zelf niet gebruikt? Of nivelleer je de interpretatie dat je klaagt opzettelijk weg door een schijn van objectieve nieuwsgaring met het plakken van een link over een onderwerp dat je - nogmaals - niets interesseert omdat je..... interesse in deze een contradictie moet zijn gezien je nickname 'Linux4?

Linux en Windows interesseert mij dus wel...omdat ik het beiden gebruik.

Daarom maar eens wat tegengas, want als gebruiker van beide systemen vind ik de zichzelf telkens weer opnieuw napratende Linux gebruikers over een OS dat zij in hoofdzaak niet gebruiken (Windows) op zijn minst lijken op een meermaals herbruikt theezakje waar niets met de associatie van thee meer uitkomt. Kortom: theetante gebabbel.

Dan nu:
Windows gebruik ik i.t.t Linux in hoofdzaak on-line en dat is vooral omdat Linux al jaren aaneen veel meer kwetsbaarheden heeft in vergelijking tot Windows en zeker in vergelijking met het Windows systeem dat ik gebruik: 8.1
Windows 10 kent in 2018 meer kwetsbaarheden dan Win 8.1 maar heeft ook weer meer gebruikers.
Waar dan, nogmaals, die veel hogere kwetsbaarheidsfactor (Linux) in vergelijking met het algemene veel grotere mondiale desktopgebruik van Windows deze contradictieve oorzaak zijn bron(nen) heeft, weet ik niet. Vanzelfsprekend: daar ga ik dus niet over speculeren. Het is allleen feit, en voor onderbouwing van dat feit zie:
https://www.cvedetails.com/top-50-products.php?year=0 (Betreft totaaloverzicht kwetsbaarheden software 1999-2018)

Vandaar dat ik Linux off-line bij voorkeur gebruik voor kantoor/office en AV.
Windows (uitgezonderd IE) voor Internet en email.

Persoonlijk lijkt mij dat het veiligste 'hybride' computergebruik.

Toegevoegd, 21:05 uur::
Op 1 oktober 2023 eindigt de security support van Microsoft voor Windows 8.1
Hoe ik dan verder ga met computers?
Wie dan leeft, wie dan zorgt is mijn motto.

Ik weet niet wat Linux4 ervan vindt maar ik vind dit wel degelijk relevante informatie! Ik zie het nog nergens staan op security.nl en het betreft een beveiligingsprobleem. Wel zo fijn om daarop gewezen te worden. Indien de toon van het artikel je niet aanstaat dan moet je bij de schrijvers zijn. The Inquirer in dit geval. Blijkbaar zorgt Windows voor steeds meer irritatie, wat je terugziet in de toon van artikelen en commentaren.


Daar is hier al meerdere keren over gediscussieerd. Dat er meer kwetsbaarheden in bepaalde software worden gevonden wil nog niet zeggen dat de software van slechtere kwaliteit is en dat je bij gebruik van die software een groter risico loopt. Want meer gevonden fouten kunnen een indicatie van een beter controleproces zijn of te maken hebben met het open source karakter van de software. Want het ontwerp van software met minder gevonden problemen kan inferieur zijn, waardoor er bij gebruik toch een hoger risico is op problemen. Want tijdig gevonden en opgeloste problemen halen het niet tot de gebruiker. Etc. etc. Feit is dat Linux op de server veel populairder is dan Windows, met name bij aan internet gekoppelde servers. Feit is dat grote bedrijven als Google en onderzoeksinstituten als CERN en alle supercomputers Linux voor de desktop gebruiken. Dat strookt dus niet met jouw aanname dat Linux onveiliger zou zijn dan Windows. Mogelijk om bovenstaande redenen.

Ook leuk is dat de JRE (Java Runtime Engine) helemaal onderaan staat. En daar is me hier toch over geklaagd in het verleden... (Het bleek echter dat niet de JRE maar een klein deel daarvan, nl. Java Applets, voor de waargenomen problemen zorgden. Wat door deze cijfers trouwens wordt bevestigd.)

Leek mij ook relevante informatie over een probleem waar ik in NL nog niets over gehoord heb.

Lijsten met kwetsbaarheden zeggen mij niet zoveel, het gaat er vooral om hoe snel ze gepatched worden.

Verder ben ik iemand van de praktijk qua desktop pc gebruik en Linux heeft mij al 7 jaar alleen maar voordelen gebracht t.o.v. Windows 7, 8.1 en 10 en dat is de enige reden dat ik het al 7 jaar dageljks gebruik. Mocht Windows 10 ooit stabieler, sneller, veiliger worden en dezelfde mogelijkheden bieden dan stap ik zo over. De praktijk laat voorlopig iets anders zien, vooral de 1809 upgrade is een duidelijk voorbeeld dat er nog veel mis is met Windows 10.

Oh en als je dan nog even 1803 blijft gebruiken is dat blijkbaar ook geen garantie voor een goed werkend systeem, b.v. op de toch niet goedkope Surface Book 2. Ach, een paar BSOD's meer of minder...
https://www.computerworld.com/article/3322750/microsoft-windows/microsoft-acknowledging-win10-1803-update-blue-screens-offers-limited-remediation.html

https://windowsunited.de/bluescreen-nach-windows-update-surface-book-2-betroffen/

Ik gebruik ook beide maar dat Linux meer kwetsbaarheden bevat kan ik -niet- beamen. De patchsnelheid is wel vele malen sneller met Linux. De kwaliteit van de updates ? Windows maakt de laatste 2 jaar weer een volledig soepzooitje met de patches en fixes. Bijna iedere maand is er wel een kl*te issue. Linux is dit vele malen minder. De vraag is ook wordt de quarterly update nu gezien als 1 fix of meerdere op de CVE lijst ?

Als we dan toch even los gaan wat dacht je van Office ? Één grote gatenkaas, iedere maand wel tenminste 4 fixes. Gek genoeg zie ik dit niet terugkomen in de CVE lijst.

Ik wil niet gelijk de CVE lijst in twijfelt trekken, maar er staan wel wat zaken op die ik niet zo ervaar. OS bashing is ook volkomen nutteloos overigens, die tijd besteed ik liever aan andere zaken, maar dat zaken genoemd en benoemd mogen worden is mij wel relevant.

Conclusie: Niet alle software is goed getest door leveranciers met 1809 en daar is nu een issue geconstateerd.
De vraag is nu: Hebben leveranciers hebben dus zitten slapen tijdens de beta testing, of is er last minute nog wat veranderd?

Citaat Balder:
"Windows gebruik ik i.t.t Linux in hoofdzaak on-line en dat is vooral omdat Linux al jaren aaneen veel meer kwetsbaarheden heeft in vergelijking tot Windows en zeker in vergelijking met het Windows systeem dat ik gebruik: 8.1
Windows 10 kent in 2018 meer kwetsbaarheden dan Win 8.1 maar heeft ook weer meer gebruikers."

In dit citaat worden door Balder een aantal fundamentele fouten gemaakt:

1. Het totaal van gemelde kwetsbaarheden (de kwantiteit) is niet relevant, wel de kwaliteit (de impactfactor). Je kan natuurlijk high-risk en low-risk kwetsbaarheden bij elkaar optellen, maar de som is niet representatief voor de stabiliteit en kwetsbaarheid van een OS. "Gain privilege" lijkt mij gevaarlijker dan een "Denial of service".

2. De snelheid waarmee gemelde kwetsbaarheden worden hersteld is in de tabel niet opgenomen. In de praktijk wordt Linux (X)ubuntu wekelijks, af en toe dagelijks bijgewerkt. Vergelijk dat met Windows 10 waarvan de update 1809 van oktober nog niet is uitgerold?? En dus alle Windows 10 gebruikers al maanden werken met ongepatchte software?? Dan is het mij volkomen duidelijk welke software het veiligst is: Linux.

3. Volgens Balder is er een relatie tussen het aantal gebruikers en het aantal kwetsbaarheden. Dat zie ik anders. Het aantal gemelde kwetsbaarheden is eerder afhankelijk van actieve testers.

Relevant voor de kwetsbaarheid van een OS lijkt mij alleen het aantal "High impact" ONGEPATCHTE kwetsbaarheden ....

https://www.rijksoverheid.nl/documenten/rapporten/2018/11/07/data-protection-impact-assessment-op-microsoft-office

Citaat: "Stand van zaken onderhandelingen Rijk en Microsoft met betrekking tot AVG compliance.

Een aantal grote ICT-leveranciers (zoals Microsoft, Oracle en SAP) heeft binnen de Rijksoverheid één
aanspreekpunt. Het aanspreekpunt voor Microsoft is Strategisch Leveranciersmanagement
Microsoft Rijk (SLM Microsoft), gevestigd binnen het ministerie van Justitie en Veiligheid en dit
wordt uitgevoerd door de plaatsvervangend secretaris-generaal Ronald Barendse.

SLM Microsoft heeft conform de AVG een Data Protection Impact Assessment (DPIA) laten uitvoeren
op de producten en diensten van Microsoft. Er is met dit eigen onderzoek van het ministerie van
Justitie en Veiligheid vastgesteld dat er via de producten ‘Windows 10 Enterprise’ en ‘Microsoft
Office’ informatie van en over de gebruiker verzameld en opgeslagen wordt in een database in de VS
op een manier die hoge risico’s meebrengt voor de privacy van de gebruiker ..." (einde citaat).

Conclusie: Windows 10 is ongevraagd data aan het verzamelen ... Dat heet toch spionage?

Mijn vraag is: welk CVE nummer heeft deze (bewust ingeprogrammeerde?) kwetsbaarheid?

Bij punt 2 haal je "Feature Updates" en "Quality Updates" door elkaar.
Systemen die nog 1803 hebben krijgen gewoon Security updates via de "Quality Updates".
Dus wanneer je nog op 1803 zit maakt niets uit of het "veiliger" is of niet.
Dus heeft ook niets te maken of het "ongepatched" is...
Als je hier je conclussie op trekt dat Linux veiliger is, dan doe je dat op een verkeerde aanname, eigenlijk ook dus een fundamentele fout waar je iemand anders op aanspreekt.

En weer een linkdumpje. Zonder maar 1 woord te schrijven zelf. Hoe gemakszuchtig, en saai.

..dubbel

Lees dat document eens behoorlijk . Het is geen dpia en onderzoek met doelen die tijdens het onderzoek veranderen...
Met een conclusie omdat we bepaalde zaken die niet op de onderzoeksvraag stonden kinnen zien, zijn ze schuldig.

Een voorbeeld van de minority houding alle verdachten zijn schuldig tenzij het tegendeel bewezen is.

Zo kan ik er ook een neerzetten.
Data analyse met ondoorgrondelijke algoritmes en de grootste datalekken zijn verbonden met oss en linux. We moeten van dat oss linux gedoe zo snel mogelijk af.

De betere houding is om echt inhoudelijk met informatieveiligheid bezig te gaan.

De stabiliteit van Linux staat voor mij buiten kijf. Ik heb nog nooit ctrl-shift-bksp, waarmee je teruggaat naar je aanmeldscherm hoeven gebruiken. Op dat gebied merk ik ook geen verschil met Win8.1 (Mijn referentie. Ik heb geen Win10)
Maar ik vind het als gewone gebruiker van een computer niet prettig voelen dat van een systeem dat aanmerkelijk minder wordt gebruikt naar verhouding veel meer kwetsbaarheden aan de oppervlakte komen. Laat ik zo stellen: Omdat Windows veel wordt gebruikt is het een 'verdienstelijke' target van malware compilers. Is het dan niet aannemelijk dat zij juist heel erg op zoek zijn naar kwetsbaarheden om die uit te buiten, maar die gelukkig niet vinden, omdat zij er misschien doodsimpel minder zijn? Linux daarentegen is minder aanwezig in de desktopwereld, is qua grootte (GB) kleiner dan Win8.1 maar kent toch meer kwetsbaarheden, die dan - dat vind ik een grote verdienste van de actieve Linuxgeemeenschap - i.t.t. Windows maarliefst wel 30 x per maand effectief onder de loep worden gehouden (als compensatie?) maar toch... die grotere hoeveelheid kwetsbaarheden is er wel en dat zit mij persoonlijk gewoon niet lekker.


Zie mijn opmerking hierboven. Sterker nog ik zie dagelijks updates voor Linux, dus niets dan complimenten.


Ja, maar daar bedenk ik onder de actieve testers ook lieden met minder zuivere bedoelingen.


Dat klopt, maar de ambivalentie zit hem in het aspect dat je daar zelden over hoort. Operating Systems zijn, of je het nu van de zijde (alfabetisch) Linux, MacOs of Windows beziet, ALLEN behoorlijk geworteld in fanclubs, zowel m.b.t gebruikers als ontwikkelaars, en die zullen het achterste van hun tong - begrijpelijkerwijs - niet vaak tonen, zelfs tegen beter weten in. Dat is gewoon de menselijke aard.

En weer een (nieuwe) update geeft BSOD's en is teruggetrokken door Microsoft.

https://www.techradar.com/news/microsoft-halts-yet-another-windows-10-update-after-blue-screen-of-death-errors

Het gaat weer lekker! De BSOD's begonnen afgelopen week op de Surface Book 2, nota bene Microsofts eigen hardware. De 1809 upgrade is echt één grote chaos.

Al 7 jaar draai ik diverse Linux Desktop distro's, meest Mint en Manjaro. Al 7 jaar feilloze upgrades en updates. Eén gezinslid gebruikt al 5 jaar een Macbook Pro met feilloze upgrades en updates, nog nooit een volledige herinstallatie nodig gehad en nog steeds een snel systeem. Ik probeer te begrijpen waarom mensen vasthouden aan Windows (10) maar ik begrijp het gewoon niet...

https://www.theregister.co.uk/2018/12/03/surface_book_2/ Conclusie: Heeft Microsoft zitten slapen tijdens het testen van updates op hun eigen hardware?

Ik ook niet. Af en toe moet ik software testen die (ook) onder Windows moet draaien of moet ik mijn mobiele telefoon of camera flashen met nieuwe firmware. De gemakkelijkste weg is dan om ik mijn computer met Windows 10 op te starten. Eerst een uurtje aan laten staan om het ding alle achterstallige updates te laten verwerken. En ja, ik weet het, als ik dat ding vaker aan zou zetten dan zou ik vaker en minder lang achtereen hoeven wachten. Als ik voorbij het update-tranendal en de onvermijdelijke herstarts ben en eindelijk aan het werk kan, dan raak ik al snel gefrustreerd door knulligheid en traagheid. En nee, ik ga niet investeren in duurdere hardware omdat het besturingssysteem mijn computer onnodig zwaar belast!

https://www.quora.com/Is-Linux-faster-than-Windows-To-be-precise-is-a-program-run-in-Linux-faster-than-that-of-Windows-given-the-same-hardware-specification

Wat is duur? Hardware is betrekkelijk goedkoop, zeker voor een desktop. Servers kan een ander verhaal zijn, maar de werkelijke kosten post zitten heel anders in elkaar.
Daarnaast wat heb aan een OS wat je benodigde applicaties niet draait? Heb je "super" OS, je kan er alleen niet mee werken.
Wat als je infrastructuur er niet geschikt voor is. Bij een bedrijf moet je niet even een ander OS implementeren. Dat noemen ze schaduw IT en is juist een gevaar voor bedrijven. Wordt vaak slecht onderhouden en voldoet niet aan de bedrijfsstandaarden, wat de nodige risico's met zich mee brengt.

En als je niet snapt waarom bedrijven op Windows draaien, dan mis je iets. Bovenstaande punten zijn misschien een verduidelijking.
Kan het... Natuurlijk... Bewijs is er ook. Er zijn divers bedrijven die Linux gebruiken. Heel veel op servers, en soms ook op desktops. Soms via schaduw IT, soms via een beheerde omgeving. Maar er moet een goede business case voor zijn, en die is er vaak gewoon niet. Waarna er een schaduw IT landschap ontstaat en waar het juist vaak fout gaat.....

Probeer dus niet Linux als de holy grail neer te zetten. Want dat is het gewoon voor veel oplossingen niet.

Maar de update qualiteit van Microsoft is momenteel zeker niet goed te noemen, het is bedroevend. Microsoft moet dit snel verbeteren.

Kunnen ze niet! Ze zijn eindelijk achterhaald door de brakkige architectuur van hun software, waardoor het teveel geld gaat kosten om het nog goed te krijgen. Dan trekt een commercieel bedrijf al snel haar conclusies. Als gebruiker moet je alleen zien te voorkomen dat je met het zinkende schip ten onder gaat.

Je bent weer aan het preken, mocht je dat nog niet door hebben.

Ik ga weer verder met mijn game middag hier. Iets wat volgens, jouw brakkige architectuur, toch net even iets beter draait. Dat de issues niet direct iets met architectuur te maken heeft, is even iets anders. Maar dat is lastig voor je te begrijpen.

Goede conclusies trekken is ook niet je sterke vak dat weten we hier al, Je kan wel als de beste preken. Maar zoals vaak blijkt, zorgt geloof alleen maar voor problemen.

Je geeft hiermee eigenlijk toe dat Windows een veredeld gameplatform is. Maar je eigen redenaties zijn voor jou lastig te begrijpen.


Argumenten heb je niet en heb je nooit gehad ook.

Iets wat echt een achterhaalde architectuur heeft is Linux. Zelfs redhat nu IBM de werkgever van Torvald weet dat..
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/windows_integration_guide/about-active-directory en https://rhelblog.redhat.com/2018/05/21/sync-vs-trust-red-hat-enterprise-linux-identify-management-integration-with-active-directory/ Dan hebben we niet eens over cloud open data en IOT rommel als gevolg van open source evangelisme.

Als je op linux probeert de https://www.security.nl/posting/587922/ISO+standaarden+voor+management in te vullen dan heb je een groot probleem. Het AP en wat andere instanties gebruiken dat soort hoog over richtlijnen om tot een uitspraak te komen. Dat gaat niet altijd goed, dat is wat anders.

Linux heeft geen problemen om goed werkende en correcte updates uit te brengen. En ze hebben nog een goed werkend updatemechanisme ook. Dat bijna geen reboots nodig heeft. Voor de hand liggende conclusie is dat het met de architectuur van Linux wel meevalt. Dat kan je dus niet stellen over de Windows architectuur. Zie mijn volledige post hierboven.


Jij bent de enige die dit soort problemen ervaart. Als een roepende in de woestijn, een Don Quichot, roepend vanaf de wal, de zijlijn.

Je toont totaal geen notie of besef te hebben hoe het er in grote organisaties aan toe gaat en dan verwijt je andere aan de zijlijn te staan? Als j zo'n figuur bent die met je evangelisme bij beslisser over de vloer komt ben je een groot gevaar voor informatieveiligheid. Doe je het als thuishobby, maak je dan niet zo druk over anderen.

https://www.cybersecurityraad.nl/010_Actueel/iot-toepassingen-vormen-bedreiging-voor-veiligheid-en-privacy.aspx
https://www.ncsc.nl/binaries/content/documents/ncsc-nl/actueel/whitepapers/ict-beveiligingsrichtlijnen-voor-mobiele-apps/1/ict%252Bbeveiligingsrichtlijnen%252Bvoor%252Bmobiele%252Bapps.pdf
https://wwww.rijksoverheid.nl/binaries/rijksoverheid/documenten/kamerstukken/2017/12/22/kamerbrief-over-informatiebeveiliging-bij-de-overheid%2Fkamerbrief-over-informatiebeveiliging-bij-de-overheid.pdf

Ik werk op professionele basis voor grote organisaties dus helaas voor jou gaat dat argument niet op.


Die grote organisaties waar jij pretendeert banden mee te hebben hoor je niet over de door jou hier te berde gebrachte problemen. De voor de hand liggende conclusie is dat deze vermeende problemen zich (alleen) in de wereld van jouw fantasie afspelen.

Aangezien je tegen elke securityframework ageert als iets hopeloos voor management, totaal niet thuis bent hoe je dat zou moeten laten doorwerken op een goede manier, toon je eigenlijk aan dat je een gevaar bent. Dat is vrij ernstig.
Kijk de bovenstaande links even na. En ja ik heb een aantal van dat soort mensen inderdaad kunnen waarnemen met jouw houding van het evangelisme. Behoorlijke slechte resultaten al geloofden ze zelf dat het anders was.

Het is waar: jij bent de enige die tegen de door jou beschreven problemen aanloopt. Vraag: waarom duikt iedereen, inclusief alle grote spelers zoals zelfs Microsoft, op Linux-oplossingen? Omdat het onveilig is? Omdat het ruk is? Omdat het slecht implementeerbaar is? Nee Karma4, de problemen die jij ervaart zijn problemen die JIJ ervaart. Je kunt je dan afvragen of je de materie dan wel beheerst?

Ik werk ook op professionele basis bij een groot bedrijf. De systemen die ik beheer zijn uitstekend dicht getimmerd, zijn veilig, zijn up-to-date en zijn eigenlijk altijd uptime. Kon ik vroeger met dat "andere" (je weet wel, dat systeem dat we al lang geleden "het raam" uit hebben gegooid) systeem niet zeggen. Reboots, downtimes, efficiëncy-verlies, slecht te beheersen waren aan de orde van de dag.

Als jij zoveel problemen ervaart, ga je kennis maar eens opvijzelen, in plaats van jouw eigen "evangelie" te prediken. Je bent compleet niet objectief, bent zelf verblind door je eigen afkeer van een systeem die prima is maar jij niet beheerst, en reageert dat constant af door verkeerde en onjuiste aannames te doen, ware alsof het "waarheid" is.

Hou er eens mee op. Ga eens op cursus en leer je eigen werkwijze af. Misschien is dat een openbaring voor je.

Kap eens met die onzinnige os flaming.
Kijk naar al die massale data lekken het aantal cve en kwetsbaarheden waar ze optreden. Dat de realiteit en praktijk niet volgens jouw geloofsovertuiging is, is nogal schokkend.

Combineer dat met het wijzen naar anderen als het niet lukt en je hebt bijna alle grote ict faals verklaard. Juist dat denken dat het met de installatie op een doos van een os alles bepaald is kletskoek. Outsourcing cloud is de beleidsstap om daar vanaf te komen. Niet voor niets dat de grote organisaties die kant op gaan.

De cloud draait op Linux...

Hè snodeju!

https://www.howtogeek.com/fyi/windows-10-sends-your-activity-history-to-microsoft-even-if-you-tell-it-not-to/

Hè, dat had ik nou echt helemaal niet verwacht! Nooit geleerd dat dit een functie van een Operating System is. Oh nee, dat is waar ook, Windows 10 is spyware ;-)

"Het is geen dpia en onderzoek met doelen die tijdens het onderzoek veranderen"

De onderzoeksvraag luidt: voldoet Windows 10 aan de eisen van de wet AVG.
De conclusie is: "Er is met dit eigen onderzoek van het ministerie van
Justitie en Veiligheid vastgesteld dat er via de producten ‘Windows 10 Enterprise’ en ‘Microsoft
Office’ informatie van en over de gebruiker verzameld en opgeslagen wordt in een database in de VS
op een manier die hoge risico’s meebrengt voor de privacy van de gebruiker ..."
Dat is een glasheldere conclusie.
Wat maakt het voor verschil dat volgens Karma4 "de doelen tijdens het onderzoek veranderen" ???


"ondoorgrondelijke algoritmes"

Ik denk dat een eerste stap tot het doorgronden van algoritmes het vrijgeven van de broncode is. Daar is al een naam voor bedacht: Free and Open Source Software (FOSS).
* FOSS is transparant (per definitie)
* Closed Source software kan niet transparant zijn, en biedt alle mogelijkheden voor stiekeme acties (de goede niet te na gesproken, maar je weet nooit wie de black hat of white hat is)


"grootste datalekken zijn verbonden met oss en linux"

Als je een kluisdeur open laat staan hoeft een dief niet veel moeite te doen. De linux-kluisdeur is prima, maar de beheerders kunnen steken laten vallen door het gebruiken van bijvoorbeeld zwakke wachtwoorden.
Closed source software daarentegen is een black box, waarvan je alleen kunt afwachten of die veilig is. De Not-Petya malware (Windows-only) was gebaseerd op de Eternal Blue expoit (ook Windows-only), die weliswaar bekend was bij de NSA, maar niet is gemeld als vulnerability. Waarschijnlijk bewust, om er zelf gebruik van te kunnen maken. Dan denk je een kluisdeur te hebben (Windows) maar zelfs het drie keer omdraaien van de sleutel helpt niet om de dief tegen te houden, want de kluisdeur (de black box) is onzichtbaar lek.
Eternal Blue is een goed voorbeeld van een ongepatchte zeroday. En ongepatchte zerodays zijn de grootste bedreiging voor ieder OS. Snel melden en snel patchen zou de algemene praktijk moeten zijn.

Welke "grootste datalekken zijn verbonden met oss en linux" ?? Voorbeelden noemen graag, Karma4.

Vind dit een raar argument...Als je naar die lijst kijkt zie je dat 'de linux kernel" en historie heeft van 20 jaar, nogal wiedes dat je dan bovenaan staat... De windows versies staan allemaal afzonderlijk in de lijst...wat zou er gebeuren als we Windows 2000, XP Vista, 7, 8, 8.1 en 10 even bij elkaar optellen...Gok zomaar dat Linux dan niet op de eerste plaats staat...

Inderdaad! Weet je wat het is, de mensen kunnen tegenwoordig gewoon niet meer (zelf) logisch nadenken. En dan krijg je van die rare interpretaties.

Hoef je echt niet te gokken, kijk maar onderaan op https://www.cvedetails.com/top-50-products.php?year=0 naar het plotje Total Number Of Vulnerabilities Of Top 50 Products By Vendor. Mag jij raden welke Vendor met een zeer ruime score op de 1e plaats staat qua aantal kwetsbaarheden. Hint: Vendornaam begint met een M.

Nou die is echt prachtig dat soort lijstjes gevolgd en de verassing is het begint met een L oss en meer van die ellende.
Iot heeft de top bereikt van onbetrouwbaarheid (linux) zodat men daar wettelijke kaders onvermijdelijk acht.

Niet zo raar als linux gelovigen security frameworks als iso27k nen7510 sans owasp maar niets vinden.

Je trekt nu openlijk de CVE statistieken in twijfel? Dat soort lijstjes?
Nee, je weet nu gewoon niet meer hoe je iets wat krom is recht moet praten...

Ja, het wordt steeds dunner qua 'argumentatie'.

https://www.cvedetails.com/top-50-products.php top 6:
Het wordt inderdaad steeds gekker met die gelovigen elke cijfermatige onderbouwing wordt ontkend. Overigens lijkt me dat een kenmerk van gelovigen, dat is wel duidelijk. De wereld is plat en geschapen in zeven dagen.

In het lijstje van vendors moet je Oracle en Sun samen nemen 7139 niewe 1, of nee IBm redhat en apache dat is 7483. Natuurlijk is PHP en Wordpress fantastisch met een positie 19 en 33.
Kijk je naar foten per product dan is wireshark echt niet goed. …. Ik kan met gegevens en data overweg.
Het is duidelijk dan gelovigen iets anders als doel hebben en liever de waarheid geweld aan doen. (manipulatie).

Je vergeet even het aantal kwetsbaarheden van alle Microsoft producten bij elkaar op te tellen! Maar dat hoef je niet zelf te doen want als je onderaan de tabel kijkt zie je een mooie grafiek waar Microsoft met stip op nummer 1 staat met 10573 kwetsbaarheden t.o.v. van 2179 in Linux.

En ga geen religie in dit onderwerp betrekken want dat heeft er helemaal niets mee te maken.

Heet van de naald: je kan het versturen van Windows telemetrie toch stopzetten:

https://lifehacker.com/windows-10-collects-activity-data-even-when-tracking-is-1831054394

Heel nuttige vondst!

Als Linux promotie als een soort evangelisme bedreven wordt met alle kenmerken van religie dan is dat een waarneming.

Voor het cijferwerk met CVE details het aantal producten staat in de linkerkolom. Die had ik in de eerdere post al meegenomen waarbij Linux oss er zeer slecht uit komen. Fusies meenemend (oracle sun , IBM redhat apache) en wireshark als enkel product met zeer vele kwetsbaarheden. Het aantal kwetsbaarheden per product MS=12 bij Linux 128.
Daarmee heb je een cijfermatige onderbouwing dat Linux 10 maal meer fouten bevat dan MS.

In de bovenste balk heb je de jaren, die moet je ook eens aan klikken. 2018 2017 2016 je moet heel ver terug als je google Apple niet in de top ziet (Linux)

Als je echt in de ICT zou werken dan zou je weten dat voor het meeste niet eens een CVE gemaakt wordt. Veel blijft onder de pet als tussentijdse verbetering (met nieuwe fouten). WE zullen het maar niet de OSS cultuur gaan hebben waar asociaal gedrag hand in hand gaat met het gelijk willen hebben.

Als die tijd dat jij druk bezig bent met bashing… Je had het nuttiger kunnen inzetten met productverbetering.
Ik had het een tijdje niet gevolgd. Nu je over bedrijven begint. Waar IBM redhat achterblijven is er met MS toch verandering.
https://www.theverge.com/2018/11/26/18109784/microsoft-apple-market-cap-2018-valuable-company

Volgens mij staat dit onder het kopje Linux KERNEL. Als ik de Vulnerabilities even lees voor Memory Corruption, betrefen ze allemaal de Linux Kernel.

Als ik dit naast Windows leg, kom ik met Windows toch echt op ongeveer 717-780 Vulnerabilities in de zelfde lijst. En dat is dan inclusief Powershell, JetDatabase, http stact trace....

Dus nog steeds ongeveer een 1/3 van wat de Linux kernel heeft. En dat is dan alleen de Linux Kernel. Niet over andere producten zoals openssl, bash of andere applicaties die allemaal bij Linux gebruikt worden.

Maar als we inderdaad bij top vendors kijken, staat Microsoft boven aan. https://www.cvedetails.com/top-50-vendors.php
Wel met 500 producten 6058 issues, dat zijn ongeveer 12 Vulnerabilities / per product.
Kijken we naar Linux (9de plaatst), dan komenw e uit op 2192 Vulnerabilities op 17 producten. Dat is 129Vulnerabilities / per product, dat is wel 10 keer meer dan Microsoft gemiddeld per product heeft.

Als jij gelukkig wordt van jouw redeneringen dan laat ik jou met rust in je eigen wereldje. Discussies hierover blijken steeds weer zinloos te zijn.

@ Karma 4
Er staan nog een paar vragen open voor jou: 12-12-2018, 16:14.

Ook als je dit document "behoorlijk leest" ontkom je niet aan de conclusie die het SLM ook al getrokken heeft: Windows 10 verzamelt informatie van en over de gebruiker, die opgeslagen wordt in een database in de VS op een manier die hoge risico’s meebrengt voor de privacy van de gebruiker.

Karma4 beweert dat dit geen DPIA is (waarom niet?) en dat de "doelen tijdens het onderzoek veranderen". Wat bedoel je daarmee, Karma4? En waarom rechtvaardigt het niet de eindconclusie die het SLM trekt?

Ineens van onderwerp insteek schakelden ok.....

Lees je in wat een DPAI inhoud de links heb ik eerder gegeven.
Kijk dan wat als onderzoeksdoel aangekondigd is en wat er tussendoor zo ineens is bijgehaald.
Vervolgens een verhaal omdat er niets gemeten gezien kan worden zal het wel fout zijn.
Met die aanpak kan ook zeggen dat Linux en OSS totaal onverantwoord is omdat telkens blijkt dat hoewel iedereen de code kan zien er nog steeds ontzettend veel fout gaat.

Als het terugmelden van gegevens als correct mechanisme niet door hebt mis je echt wat beveiliging inhoud.
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/SYS/SYS_2_2_3_Clients_unter_Windows_10.html is een uitwerking van security policies kijk even naar SYS.2.2.3.A4 dan heb je daarna
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/SiSyPHuS_Win10/SiSyPHuS_node.html

Als agnost moet je geen enkele leverancier zo maar geloven, elke bewering staaf je op een onderbouwde wijze.
Als je de praktijk kent weet je dat je je daarmee nooit geliefd maakt. Er lopen nogal product aanhangers rond.
Eh, ja die product aanhangers van OSS en Linux zijn helaas de kwalijkste gebleken.

SYS.2.2.3.A4 Telemetrie und Datenschutzeinstellungen

Die Telemetriedienste, also die Diagnose- und Nutzungsdaten, die Microsoft zur Identifizierung und Lösung von Problemen, zur Verbesserung der Dienste und Produkte und zur Personalisierung des Systems mit eindeutigen Identifizierungsmerkmalen verknüpft in die USA überträgt, können im Betriebssystem nicht vollständig abgeschaltet werden. Es MUSS daher durch geeignete Maßnahmen, etwa auf Netzebene, sichergestellt werden, dass diese Daten nicht an Microsoft übertragen werden.

SYS.2.2.3.A25 Umgang mit Fernzugriffsfunktionen der "Connected User Experience and Telemetry"(CI)

Die Komponente "Connected User Experience and Telemetry" (CUET) ist bei Windows 10 fester Bestandteil des Betriebssystems und stellt neben Telemetriefunktionalität auch eine Fernzugriffsmöglichkeit für den Betriebssystemhersteller auf das lokale System bereit. Ein Fernzugriff auf den Windows 10-Client durch den Betriebssystemhersteller SOLLTE netzwerkseitig geloggt und falls erforderlich geblockt werden.

Ik kan bovenstaande citaten niet anders lezen dan een zeer expliciete bevestiging van Windows 10 telemetrie.
"Es MUSS daher durch geeignete Maßnahmen, etwa auf Netzebene, sichergestellt werden, dass diese Daten nicht an Microsoft übertragen werden"
In het Duits betekent muessen een strenge verplichting. Sollen betekent een een zwakkere verplichting, of een advies.
Dus "Het MOET door geeigende maatregelen, bijvoorbeeld op het vlak (gebied) van het netwerk, zeker gesteld worden dat
deze gegevens niet aan Microsoft overgedragen worden" .....

https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/SiSyPHuS_Win10/AP4/SiSyPHuS_AP4_node.html
In diesem Projektteil werden die Funktionalitäten und Eigenschaften der Microsoft Telemetriekomponente analysiert. Daneben wurde eine Empfehlung zur Konfiguration bzw. Abschaltung der Telemetrie in Windows 10 als eigenständiges Dokument erstellt.

Dit laatste is zeer lezenswaardig voor de Windows10 gebruikers die Windows10 telemetrie willen uitschakelen. Opgenomen in dit document:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/SiSyPHus/Analyse_Telemetriekomponente.pdf?__blob=publicationFile&v=4

In hoofdstuk 4 van dit document staat op pagina 18 van 27: "Wirksamkeit und Empfehlung" waar diverse anti-telemetrie maatregelen worden opgenoemd die met "Wirksamkeit: Vollständig" worden beoordeeld. Hoe dit in te stellen is staat in hoofdstuk 3 van dit document.

Het BSI "Bundesamt fuer Sicherheit in der Informationstechnik" loopt hiermee naar mijn mening mogelijk ver vooruit op het binnen het ministerie van Justitie en Veiligheid gevestigde Strategisch Leveranciersmanagement Microsoft Rijk (SLM Microsoft). Of is het SLM toch niet overtuigd van de effectiviteit van de door het BSI opgesomde anti-telemetrie maatregelen?

Citaat Karma4: "Als agnost moet je geen enkele leverancier zo maar geloven, elke bewering staaf je op een onderbouwde wijze. Als je de praktijk kent weet je dat je je daarmee nooit geliefd maakt. Er lopen nogal product aanhangers rond."
Daarmee ben ik het volledig eens. Ik ben ook een agnost.

Citaat Karma4: "Eh, ja die product aanhangers van OSS en Linux zijn helaas de kwalijkste gebleken."
Sorry, dit is jammer, want dit is een niet onderbouwde bewering, en lijkt mij onnodig kwetsend geformuleerd. Kan je deze bewering staven?

Het is helaas praktijkervaring. Het zit in de lijn methttps://securityaffairs.co/wordpress/78874/data-breach/brazilian-taxpayers-data-leak.html Wat dan afgedaan wordt als configuratiefouten. Die ontstaan doordat de keten van OS naar applicatie in dit geval APache-webserver niet klopt. Zet er nog eens een tool boven en nog twee stappen voordat je aan de plek met gevoelige informatie komt.
Zet je dat af tegen de richtlijnen doelen die je met een security framework moet halen dan loopt het vast op het OS deel.
Je hoeft alleen maar alle reacties op deze site in een OS flame te zien dat het niet uit die OS silo komt.
Neem deze: https://www.security.nl/posting/587922/ISO+standaarden+voor+management en je hebt de uitspraken daarvoor.

Deze van de BSI is voor Unix (Linux) servers. Ik moet zeggen ze hebben het netjes heel open source neergezet zonder iets echt vrij te geven https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/SYS/SYS_1_3_Server_unter_Unix.html kijk even naar SYS.1.3.A5 Sichere Installation von Software-Paketen en SYS.1.3.A8 Verschlüsselter Zugriff über Secure Shell
kun je verder met https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi-server_pdf.pdf Ga dan eens voor Distributed databases hadoop of wat dan ook. Het is maar een voorbeeld.
Je kent vast de NIST adviezen en frameworks https://en.wikipedia.org/wiki/NIST_Cybersecurity_Framework deze zie je vaak in de eigen policies van een bedrijf terugkomen. Ik zag hem ook bij de BSI NIST Special Publication 800-123, Juli 2008, zuletzt abgerufen am 15.11.2017. Onderaan bij Unix link.

Je hebt gelijk muess is een verplichting net zoals mandatory. Prachtig (niet heus) als projectleiders de uitweg zien om alles via een toegestane uitzondering te willen gaan regelen. Je komt dan in dat vlak van serviceaccounts voor aparte herkenbare delen functiescheiding en meer. Daar loop je in Linux omgevingen servers met os beheerders vast. Heb jij voorbeelden waar dat goed gescheiden is, ik niet. Tja dat gaat hem niet worden in een forum te gevoelige achtergronden.

Het BSI is meer vergelijkbaar met het NCSC. Bij het het NCSC mis ik dit soort detailuitwerkingen, ze zouden met de BSI en andere EU staatsdelen kunnen samenwerken.

Het SLM rijk is strategisch https://www.rijksoverheid.nl/documenten/publicaties/2018/11/12/strategisch-leveranciersmanagement-microsoft-rijk-slm-microsoft Strategisch betekent (Rik Maess 9 vlaks model) geen inhoudelijke kennis. "Centraal staan het organiseren van netwerken, gezamenlijke ontwikkeling van kennis en kunde en het mobiliseren van innovatiekracht." Dat is het houden en bezoeken van congressen waarbij er vooral gepraat wordt.
Ze hebben voor een onderzoek, dat ze niet zelf kunnen, een extern bedrijf ingehuurd. BSI doet het, NCSC kan het. Verder kijkend in dat rapport met eigen analyses en achtergronden ingaand kom ik tot mijn eerdere conclusies dan dat het: en geen DPIA is (begint met vast te stellen welke gegevens) en geen gedegen onderzoek (onduidelijk doel en tijdens het onderzoek veranderend van onderwerp office naar os).
Een onderzoek naar office (APP?) bij de BSI. agnostisch van leverancier wat er na te lopen is. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/APP/APP_1_1_Office-Produkte.html

Alsof een inkoper (SLM rijk) de techniek begrijpt van wat er ingekocht wordt. Sorry, maar met die rolverschuivingen van inkopen voor ICT naar figuren die over contracten en geld gaan, daar heb ik wat slechte ervaringen.


Goed, fraai dat je het BSI verhaal wat status betreft ver vooruit vindt zijn. Hoe kan je, kunnen wij, daarvan profiteren?

Okaaay... Pilletje?

Dat komt door commerciële indoctrinatie, gemakszucht en domweg niet beter weten. Alles is gericht op het aanleren en bedrijfsmatig in stand houden van de gewoonten van de consument. Tot aan het cultiveren van een verslaving aan toe.

In de advertentie industrie wordt het in stand houden van een merknaam "mind share" genoemd. Vergelijk dat maar gerust met propaganda of agitprop, want dat verschilt in de praktijk niet zo veel van elkaar.

https://en.wikipedia.org/wiki/Mindshare