Het is wel weer opvallend. Rapporten en artikelen tegen MS worden
nooit in twijfel getrokken. Een rapport dat opeens zegt dat er kwa
beveiliging geen verschil is tussen Linux en MS wordt opeens in twijfel
getrokken. In eerste instantie wordt er over dit Forrester rapport niks
gezegd op deze site. Pas als er een artikel verschijnt op een Linux
website die het in twijfel trekt, is het opeens nieuws! Voor mij is dit
zomaar een artikel zoals ik er ook 1 kan schrijven. Voor mij dus geen
waarde. Forrester heeft toch wel wat meer credits mag ik hopen?

Als een klein site-je als NewsForge zelf een onderzoekje
heeft gehouden dat de goed onderbouwde stellingen van de
grote organisaties Secunia en Forrester ongelijk geeft,
twijfel ik eerder aan NewsForge.....

Staat er nou echt in dat artikel een netmeeting vulnerability genoemd als een
remote exploit voor een windows 2003 enterprise edition?

Het Forrester-document is payware. Daarom wordt er door veel
mensen wat lacherig over gedaan.

Ik heb het document gelezen. Forrester heeft zeker een
aantal interessante opmerkingen.

Het probleem met dit soort rapporten in het algemeen
is dat bedrijven als Forrester, IDC, Gartner en dergelijke
nooit iets negatiefs zullen schrijven over de grote software
bedrijven... als dat namelijk zou gebeuren dan gaan die
grote software bedrijven nooit meer onderzoeken van
eerdergenoemde bedrijven betalen. Daarnaast zullen die grote
bedrijven dan geen toestemming verlenen om hun software
producten te laten testen. "Don't bite the hand that feeds
you", noemde iemand dat ooit.

Overigens vind ik de opmerking van meneer "Anoniem 3" nogal
suggestief. Alsof Newsforge geen gelijk zou kunnen hebben.

Tja, ze geven eerst aan dat je bij fouten in Linux niet mag
kijken naar andere programma's, die er wel standaard bij
worden geleverd, maar doen dit vervolgens wel bij Windows,
met programma's die er niet standaard worden bijgeleverd!
De enige reden dat Linux veiliger is dan Windows is omdat
Linux gebruikers over het algemeen veel meer verstand hebben
van hun OS dan Windows gebruikers. Kwa beveiliginsfouten is
elk OS bagger.

Slecht onderzoek van NewsForge.

Ja de onderzoeken missen objectiviteit, maar ook dit
onderzoek doet dat. Het lijkt bijna per definitie zo te
zijn, maar dat is bij bijna alle onderzoeken zo. Daarom moet
je ook nooit een conclusie geloven als ze er de cijfers, de
tot stand koming van die cijfers, en de manier van redeneren
bij zetten. En zelfs dan 4x lezen. En zelfs dan weet je het
eigenlijk toch nooit zeker :)

Onderzoeksfabrieken als Gartner en Forrester zijn vaak ook
self-fulfilling prophecies, als zij voorspellen dat iets
veel gekocht gaat worden gaan bedrijven die dingen kopen dus
worden ze veel verkocht en was de voorspelling waar. Hun
belangrijkste nut is dat managers eventuele beslissingen die
verkeerd uitpakken van zich af kunnen schuiven ("maar er was
voorspeld dat blabla en onderzoek wees uit dat het lang zo
erg niet is met blabla"). Waarschijnlijk zijn alleen de
niet-publieke onderzoeken die je zelf betaald echt betrouwbaar

Alsof dit geen goede reden is om Linux veiliger te
verklaren. Er is nu eenmaal gedegen openbare documentatie
nodig over een OS om het veilig te kunnen krijgen. Helaas,
ik zou willen dat het anders was, is technische documentatie
over de exacte werking van Windows niet beschikbaar zonder
meteen diep in de buitel te tasten. Ook is het bij windows
patches vaak niet duidelijk welke bestanden precies worden
vervangen en wat het exacte doel van deze bestanden is.
Zo zijn er nog legio andere fundamentele problemen welke
leiden tot de onveiligheid van Windows die wel in
onderzoeken zouden moeten worden meegenomen.

Nee, de enige onderzoeken die betrouwbaar zijn zijn
onderzoeken die volledig volgens de wetenschappelijke
methode opgezet en uitgevoerd zijn, en waarvan de resultaten
openbaar gemaakt en reproduceerbaar zijn.

Aan deze criteria voldoen nagenoeg geen enkel "onderzoek"
uit de IT sector. Onderzoeken van bijvoorbeeld Gartner naar
TCO rammelen aan alle kanten. Onduidelijke definities,
gegoochel met cijfermateriaal, onduidelijke, incomplete of
compleet ontbrekende configuraties, onduidelijke hypotheses,
die ook nog eens niet geoperationaliseerd zijn. Kortom, geen
enkele wetenschappelijke onderbouwing van de conclusies die
uit dat soort rapporten getrokken wordt.

Een reden, geen goede. Als thuisgebruikers over zouden gaan
op Linux, zouden ze net zoveel aan security doen als aan hun
Windows bakken. Zo krijg je een nog veel onveiliger internet.
De onderzoeken zijn gedaan adhv het aantal security flaws,
en de ernstigheid van deze flaws. Hieruit is gebleken dat
Linux meer ernstige flaws heeft. Stel 50% van de windows
gebruikers gaat over naar Linux, zullen er dus meer flaws
gebruikt worden om zombie pc's te maken omdat mensen hun
bakken niet updaten. Doen ze dit te laat, zit er
waarschijnlijk al een rootkit op die men niet weet te vinden.

Wat is je definitie van "ernstige flaws"? Welk onderzoek
beweert dat? Hoe definiëren zij "ernstige flaws"? Bovendien,
waarin zitten die flaws dan? Kernel? Andere applicaties?
Hoeveel? Noem eens aantallen?

Het gaat me er niet om dat ik jou aanval. Ik ben gewoon
benieuwd naar de wetenschappelijke onderbouwing van hetgeen
je noemt. Ik ben benieuwd naar je beweegredenen om een
bepaalde partij te geloven. Ik vind namelijk dat alle
onderzoeken die qua security te vinden zijn behoorlijk
tekort schieten.

En dat is iets dat me behoorlijk irriteert aan veel
discussies op security.nl, maar ook op andere forums en
mailing lists, en in de IT in het algemeen. mensen zijn zo
goedgelovig... als een bepaalde vendor het roept dan moet
het wel waar zijn. Die vendor heeft uiteraard jouw belang
voorop staan. Mensen durven bijna niet kritisch te kijken
naar wat er gezegd wordt. En dat geldt voor Linux-aanhangers
en voor Windows aanhagers.

Gebaseerd op de onderzoeken van alle 3 de genoemde
organisaties. Op welke punten vind jij dan dat deze
onderzoeken te kort schieten?

Maar in hoeverre is er een overlap tussen het verkrijgen van
elevated privileges en de remote exploitable flaws? Dat
vertelt niemand je, en is ook niet uit bovenstaande gegevens
op te maken.

Ja fijne quote, en geweldig uit zijn verband getrokken. Als je verder leest zie je
dat er totaal niet is gekeken naar de aard van de bugs. De schrijver heeft 1
zo'n bug gevonden in Redhat, terwijl er 3 voor Windows waren. Conclusie:
Slecht rapport, slecht onderzoek, slecht resultaat.
(waarmee ik niet wil zeggen dat linux veiliger is dan windows, alleen dat het
onderzoek daar geen betrouwbare uitspraak over doet)

Uhm.... Hij heeft er 1 voor linux gevonden, en 3 voor
windows EN applicaties die op windows draaien terwijl hij
daarvoor aangeeft dat je Apache niet mee mag nemen in de
beveiliging van Linux.
Sowieso vind ik het een beetje raar om het te gaan
vergelijken. Er zijn in beide OS-en gigantisch veel lekken.
Ook is de hele structuur en werking van de 2 OS-en totaal
anders. Je kunt het gewoon moeilijk vergelijken, en als je
het wel doet, dan gaan mensen die eigenlijk te weinig
verstand van zaken (zoals NewsForge) lopen verkondigen dat
jou onderzoek niet goed is.
Secunia en Forrester moesten een aantal punten nemen om hun
onderzoek op te baseren. Zij hebben om 1 of andere reden
besloten een aantal punten mee te nemen. Uit deze punten
(die waarschijnlijk zodanig belangrijk waren dat ze werden
gekozen) blijkt dat Windows niet minder veilig is dan Linux.

Op zich kijk ik hier ook helemaal niet van op. Het blijft
een feit dat beide OS-en gigantisch veel fouten bevatten.

Bovendien ga ik niet twijfelen aan een onderzoek wat is
uitgevoerd door 2 gigantisch hoogstaande organisaties omdat
miezerige sites als security.nl en newsforge het er niet mee
eens zijn. Sterker nog, alleen newsforge, want bij
security.nl zijn het alleen de mensen die er altijd
discusieren die het er niet mee eens zijn, en uit mijn eigen
onderzoek is gebleken dat die helemaal nergens verstand van
hebben.....

Nogmaals mijn punt: de wetenschappelijke onderbouwing is ver
te zoeken.

Blijkbaar ben jij zo goedgelovig dat je alles wat men
beweert voor zoete koek slikt. Dat is prima, maar ga dan
niet roepen dat mensen die iets kritischer tegen over dit
soort onderzoeken staan nergens verstand van hebben.
Zeker niet als je eigen onderzoek aan alle kanten rammelt.

Wat een onzin. Niemand hier of op NewsForge heeft goede
argumenten gegeven om te twijfelen aan de bevindingen van
Secunia en Forrester.

Waarom zou ik moeten bewijzen wat zij al hebben bewezen?
Omdat jij denkt dat het ergens rammelt? Waar rammelt het
dan? Quote eens iets uit het onderzoek van Secunia en
Forrester wat rammelt. Ik krijg het idee dat jij gewoon
blind alles wat je verteld word door grote organisaties
niet geloofd. Je hebt er nooit goede redenen voor om
eraan te twijfelen....

Dit is zo typisch... omdat een groot bedrijf iets claimt
geloof je het, maar als iemand een ander geluid laat horen
moeten er meteen bewijzen op tafel.

Als jij zelf niet wilt en/of kunt nadenken, dan geeft dat
vooral een beperking in jouw kennis, ervaring en een gebrek
aan open mindedness aan. Da's vooral jouw probleem.

Ik sta sceptisch tegenover ieder onderzoek dat een beetje
met cijfers goochelt en daar vervolgens conclusies aan
verbind die op basis van het gepresenteerde cijfermateriaal
helemaal niet te trekken zijn. Maar goed, ik heb dan ook
lang genoeg op de universiteit gezeten :-)

Okee, maar je komt nog steeds niet met bewijzen. Secunia en
Forrester komen wel met bewijzen. Ik vraag je al een paar
keer een goede reden te noemen om jou te geloven en die 2
grote namen in de security wereld niet.
Of je nou op de universiteit gezeten hebt boeit mij dus echt
niet. Er zijn genoeg mensen die op de universiteit hebben
gezeten die alleen leerden wat ze moesten leren op hun IT
studie, en totaal helemaal geen verstand hebben van het
technische gedeelte van de IT.
Je argument "zij hebben ongelijk want ik zeg dat en ik heb
op de universiteit gezeten" neem ik dus lichtelijk in twijfel.

Voor iemand die op de universiteit heeft gezeten praat je
wel een hoop onzin zeg! Je onderbouwd niets, en denkt alleen
maar dat elk groot bedrijf iedereen voor zit te liegen.
Wat deed je precies op de universiteit? Koffiejuf?

Jullie kunnen allebei niet lezen geloof ik. Ik heb al
meerdere malen geroepen dat geen van de genoemde onderzoeken
enige wetenschappelijke basis hebben.
Op basis van de in de onderzoeken genoemde genoemde
cijfers durf ik niet de conclusies te trekken die deze
bedrijven wel durven te trekken. Dat komt omdat ik als
wetenschapper door mijn collega's terecht afgebrand zou
worden als ik conclusies zou trekken op basis van vaag
cijfermateriaal.

Ik heb ook geroepen dat ik sceptisch tegenover ieder
onderzoek sta dan niet helder en duidelijk van opzet is. Ik
sta sceptisch tegenover het onderzoek van secunia, dat van
forrester en zeker dat van newsforge, omdat ik vind dat ze
op basis van de resultaten de conclusies die ze trekken niet
kunnen trekken.

Ik vind het prima dat jullie dat als zoete koek slikken,
maar ik doe dat niet. Als dat betekent dat jullie mij willen
aanvallen daar op dan zegt dat veel meer over jullie gebrek
aan kennis dan over het mijne. Het feit dat jullie
onderbouwing van mijn uitspraken willen getuigt daar ook
van. Ga eerst maar eens een goed boek over statistiek en de
opzet van wetenschappelijk onderzoek lezen, en kom daarna
maar terug. Misschien begrijp je dan waar ik het over heb.

Tot slot, om op de reactie van meneer anoniem te reageren:
ik was geen koffiejuf, maar schoonmaker :-)

Okee, ik trek die onderzoeken niet in twijfel. Dat komt
omdat bedrijven grof geld betalen aan deze organisatisch om
onderzoeken te doen. Als de organisatisch hier niet toe in
staat zouden zijn, zouden grote bedrijven er ook geen geld
aan vuil maken. Als zij zeggen dat zij het aantal bugs
hebben geteld, en erachter zijn gekomen dat er meer
remote-root exploits waren voor linux dan voor windows,
waarom zou ik er dan aan twijfelen? Ze hebben niet gezegd
over hoe lange tijd ze dit hebben bekeken, maar ik heb reden
om aan te nemen dat zij wel in staat zijn goede conclusies
te trekken. Sowieso is het een heel verrassende uitkomst,
omdat het onder andere allemaal security experts zijn die
over het algemeen eerder pro-Linux zijn dan pro-MS.

Bovendien weet ik nog steeds niet welke cijfers jij precies
twijfelachtig vind. Vertel het eens. Als je er goede
argumenten bij hebt geef ik je misschien nog wel gelijk ook.
Tot nu toe heb ik nog steeds geen reden om te twijfelen...

Security experts zijn helemaal niet pro en anti. Echte
security experts hebben een open mind naar alle platforms en
staan gezond kritisch tegenover iedere security claim. Je
zult wel moeten om een open mind te kunnen houden en niet te
verzanden in papegaai-gedrag.

Uiteindelijk maakt het niet uit waar meer bugs in zitten,
Linux en Windows zijn allebei gebaseerd op een grof
tekortkomend security model. Of er nu 4 of 5 remote root
exploits inzitten is helemaal niet relevant, en louter een
argument dat gebruikt zou kunnen als marketingargument.


Ik ga niet voor jou denken.
Als jij niet zelf wilt nadenken vind ik dat prima, maar dan
hoef je mijn woorden ook niet in twijfel te trekken. Ik ben
het oneens met de onderzoeken, en dat heb ik via dit forum
gecommuniceerd. Jij niet, en dat heb jij gecommuniceerd.
Einde discussie, lijkt me.

Het is altijd wel grappig om te lezen hoeveel pogingen er
door beide partijen worden gedaan om zichzelf beter te laten
vinden en de concurent slechter. Dit gaat niet alleen op
voor besturingssystemen en ook niet alleen rond security
maar toch worden er nergens zoveel eindeloze discussie over
gehouden dan bij software.
Beter of slechter blijft altijd afhangen van welke eisen je
stelt. Of je het dan met die eisen en conclussies eens bent
is wat anders. Alleen zijn mensen helaas zo enorm goed
gelovig en willen graag aan wat hun het meest aantrekkelijk
en vertrouwt lijkt hun voorkeur geven. Het blijft voer voor
de pr machines.
Ik zou zeggen, een compleet veilige wereld krijgen we toch
niet, probeer het gezonde verstand te gebruiken om elkaar te
overtuigen en spring niet meteen in de lucht als je je
aangevoelen valt door de inhoud van een rapport of een
mening dat het rapport goed of slecht is. Alles heeft zn
voor en tegens.

Hier word geroepen dat het rapport niet goed is, en degene
die dat roept noemt de anderen dom. Als er word gevraagd
waarom het rapport niet goed is, noemt ie de mensen weer
dom. Niet echt sterk als je het mij vraagt. Ik vraag me af
of diegene de rapporten wel heeft gelezen, of dat ie er
gewoon niet mee kan leven dat Linux net zo brak is als Windows.

Tja, sommige mensen zijn zo goedgelovig dat ze alles dat van
grote, gerespecteerde onderzoeksinstituten voor zoete koek
slikken. Uiteraard zijn deze grote, gerespecteerde
onderzoeksinstituten volledig objectief en laten ze zich
niet betalen voor onderzoeken door partijen wiens software
onderzocht wordt.

Ga maar eens op de "get the facts" website van Microsoft
kijken. En kijk dan eens naar het aantal studies dat door
Microsoft betaald is. Uiteraard is dat toeval, want een
bewezen monopolist als Microsoft, die op illegale wijze
misbruik gemaakt heeft van dat monopolie om andere partijen
uit de markt te werken, zal natuurlijk nooit een bedrijf
betalen voor een studie en vervolgens niet verwachten dat
dat bedrijf in die studie een goed woordje doet voor
Microsoft software. Nee, want Microsoft gelooft in open
competitie, en speelt altijd eerlijk.

En uiteraard zullen die grote, gerespecteerde
onderzoeksinstituten eerlijk berichten over de software die
ze testen, uiteindelijk maakt het voor hun business niet uit
of ze positief schrijven over Windows of over een ander
operating system. Uiteraard, uitgemaakte zaak.

Nog een maal, en dat heb ik al geschreven, ik vind de manier
van onderzoeken op zijn minst twijfelachtig. Als jij dat
niet vind dan is dat prima, maar dan vind ik je behoorlijk
naïef. Discussie gesloten.

En wederom geef je geen enkele reden waarom de manier van
onderzoeken twijfelachtig is.
Kom eens met een reden. Misschien heb je wel hardstikke
gelijk. Ik weet het niet. Maar als je geen gegronde reden
geeft om het in twijfel te nemen, neem ik het ook niet in
twijfel.
Ik krijg het idee dat je enige reden om het rapport in
twijfel te nemen is dat je een hekel hebt aan MS. Dat is
gewoon niet goed genoeg....

Lees wat ik eerder gezegd heb. Ik twijfel aan de
wetenschappelijke onderbouwing. Ik twijfel aan statistische
correctheid van gegevens en conclusies. Als je begrijpt waar
ik het over heb hoef ik dit niet te verduidelijken.

Als je dit niet begrijpt, dan kan ik je zonder dat ik je een
les statistiek en een les wetenschappelijk onderzoek geef
dat niet duidelijker maken, binnen de context van dit forum
dan.

Het valt me wel op dat mensen steeds vaker gewoon - zonder de echte feiten
te kennen - commentaar leveren op onderzoeken. Die kerel van newsforge
geeft zelfs toe dat hij het echte rapport niet heeft gelezen, en toch heeft hij er
commentaar op.

Dat geldt volgens mij ook voor enkelen die hier reageren. Er wordt - terecht -
al diverse malen gevraagd om hun claims - dat het onderzoek niet deugd - te
onderbouwen, maar er komt niets anders uit dan:
- wie gelooft dat de grote onderzoeksbureaus objectief zijn is dom
- wie niet net zoals ik op de uni heeft gezeten is ook dom
- en - last but not least - wie het niet met mij eens is is ook dom

Als je hier wat beweert, wees een flinke vent/meid en maak het dan hard!

Die grote onderzoeksbureaus bestaan overigens bij de gratie van hun
onafhankelijkheid en objectiviteit. Anders zouden ze niet bestaan. En kom
dan niet met die samenzweringstheorieen dat ze door Microsoft worden
gesponsord en zo, want dat slaat nergens op. Microsoft kan onderzoeken
door die bureaus laten uitvoeren, maar dat kan jij ook. Dat is namelijk
gewoon de business van die bureaus.

Ik persoonlijk vind de resultaten van dat onderzoek best geloofwaardig. Het is
maar net hoe je er naar kijkt en hoe je bepaalde bugs classificeerd. Het is
een feit dat beide besturingssystemen niet super veilig zijn. Van MS weten we
het nu wel, en als je een beetje logisch redeneert en de feiten bekijkt, dan
moet je jezelf ook realiseren dat de gekozen architectuur gecombineerd met
de open source gedachte achter Linux ook niet perse tot een feilloos
systeem leidt.

danku