'windows veiliger dan linux' - Client software algemeen

maandag 4 februari 2002 18:46

Acties:

Topicstarter

http://www.wininformant.com/Articles/Index.cfm?ArticleID=23958

verder:
http://securityfocus.com/vulns/stats.shtml
http://www.osnews.com/story.php?news_id=427

Seen this on WinInformat.com: "For at least the first 8 months of 2001, open-source poster child Linux was far less secure than Windows, according to the reputable NTBugTraq, which is hosted by SecurityFocus, the leading provider of security information about the Internet."
"(The company's 2001 statistics are available only through August 2001 for the time being.) According to NTBugTraq, Windows 2000 Server had less than half as many security vulnerabilities as Linux during the reported period. When you break the numbers down by Linux distribution, Win2K had fewer vulnerabilities than RedHat Linux 7.0 or MandrakeSoft Mandrake Linux 7.2, and it tied with UNIX-leader Sun Microsystems Solaris 8.0 and 7.0. A look at the previous 5 years--for which the data is more complete--also shows that each year, Win2K and Windows NT had far fewer security vulnerabilities than Linux, despite the fact that Windows is deployed on a far wider basis than any version of Linux. So once again, folks, you have to ask yourselves: Is Windows really less secure than Linux? Or is this one of those incredible perception issues?"

We would like to suggest caution when reading the table with the vulnerabilities. When an operating system has a very small number of vulnerabilities it may be because it is not a widespread OS, not because it is more secure, eg. BeOS or AIX. The more popular/used the OS is, the more vulnerabilities are uncovered. Linux holds around 25% of the server market and around 1% of the desktop market, both numbers significantly smaller than the Windows line of OSes, which makes the statistics discussed here today, even more gloomy for Linux's security.

Human Bobby

dinsdag 5 februari 2002 12:13

Acties:

Jive

MooMooMastah

Mag er voor linux-server distro's mischien wel meer vulnerabilites gevonden/gepost zijn ..

Feit blijft alleen dat de vulns die voor windhoos gevonden zijn vaak leiden tot directe zware gevolgen.

Als voorbeeld kun je zelfs zoiets als CodeRed nemen, was een worm gebaseerd op een fout die al 1 1/2 jaar bekend was.

Jive's Box
Jive @ DNET

dinsdag 5 februari 2002 12:29

Acties:

Verwijderd

Op dinsdag 05 februari 2002 12:13 schreef Jive het volgende:
Mag er voor linux-server distro's mischien wel meer vulnerabilites gevonden/gepost zijn ..

Feit blijft alleen dat de vulns die voor windhoos gevonden zijn vaak leiden tot directe zware gevolgen.

Als voorbeeld kun je zelfs zoiets als CodeRed nemen, was een worm gebaseerd op een fout die al 1 1/2 jaar bekend was.

ja als je niet patched dan ben je niet slim bezig... maar hetzelfde geldt voor linux (heb je al gepatched tegen de root exploit in printer services???)

dinsdag 5 februari 2002 12:42

Acties:

Jive

MooMooMastah

Op dinsdag 05 februari 2002 12:29 schreef betweter het volgende:

[..]

ja als je niet patched dan ben je niet slim bezig... maar hetzelfde geldt voor linux (heb je al gepatched tegen de root exploit in printer services???)

Draai geen printer-services .. dus geen last van.
Is alleen een verschil met windhoos, waar out-of-the-box al tigduizend services aanstaan waar nooit iets mee gedaan wordt.

Was zelfs bij win95 al een probleem, doe je file sharing, moet je printersharing ook aanzetten, is niet zo heel erg, maar op de achtergrond gelijk ook effe remote-registry aanzetten is gewoon heel erg VIES !!!

Jive's Box
Jive @ DNET

dinsdag 5 februari 2002 14:20

Acties:

TumbleCow

Waarschijnlijkheids elastiekje

Programmeurs zijn ook mensen, en mensen maken fouten. Aangezien de gemiddelde linux-distro met een gruwelijke hoeveelheid tooltjes geleverd wordt is de kans dat er in een aantal van die tooltjes security-leaks zitten vrij groot..

Het verschil zit em echter in 2 dingen:
- Linux heeft een goed uitgewerkt rechten-systeem. Alleen het noodzakelijke draait onder de root user, en dat is welbeschouwd de enigste user die 'echt' schade aan het systeem aan kan brengen. Bij windows heeft standaard elk proces alle rechten.

- Bij windows zijn er standaard al een hele berg van die tooltjes geactiveerd, waardoor windows 'out-of-the-box', een HEEL stuk onveiliger is dan de gemiddelde linux distro.

Verder vind ik de vergelijking met redhat-linux ook wel 'goed-gekozen', aangezien redhat bekend en berucht is als de meest onveilige linux distro, mandrake is gebaseerd op redhat, maar dan met nog wat meer dingen standaard enabled.

dinsdag 5 februari 2002 15:50

Acties:

Verwijderd

Goed een soortgelijke melding las ik ook op de Linux-kernel mailing list. De reactie van Alan Cox (RedHat kernel hacker):

> some of you might find this interesting others
> disheartening
>
> www.shortnews.com/shownews.cfm?id=16886&u_id=623

See "Accountancy, Enron"

3+Gb of software accounted as Linux
multiplied by each per vendor announcement

versus

only the stuff strictly on the base windows CD

I would have thought even Arthur Andersen could work that one out

De vergelijking gaat dus mank op een aantal terreinen:
• Linux = de kernel, de rest is bijkomende software, dus niet de complete collectie van RedHat (3 gigabyte software) met daarin de nodige dubbele pakketten zoals OpenOffice en KOffice meetellen.
• Linux heeft meerdere distributies die elk hun eigen securitybug-meldingen doen, een bug in OpenSSH vind je dus al gauw 10 keer terug in de meldingen.
Dus als je de vergelijking wilt trekken tussen beide OS-sen zorg dan wel dat je een goede basis hebt om te vergelijken. En dan zul je zien dat Linux er een stuk beter afkomt.

De door jouw gequote site heeft ook een disclaimer link geplaatst, n.l. http://securityfocus.com/vulns/stats.shtml. Let dan vooral even op de laatste regel, vetgedrukt.
The numbers presented below should not be considered a metric by which an accurate comparison of the vulnerability of one operating system versus another can be made.

dinsdag 5 februari 2002 16:31

Acties:

Verwijderd

Op dinsdag 05 februari 2002 15:50 schreef janjanjansen het volgende:
• Linux heeft meerdere distributies die elk hun eigen securitybug-meldingen doen, een bug in OpenSSH vind je dus al gauw 10 keer terug in de meldingen.

lezen?

when u break down the numbers by linux distribution....

maar het blijft gewoon een feit dat windows meer onder vuur ligt dan andere os-en...
1) vanwege zijn marktaandeel
2) vanwege de vage haat tegen microsoft (terwijl zonder ome bill we nu echt geen internet hadden zoals we het nu kennen.)

maar vergelijk eens voor de grap het aantal secu bugs in apache met iis (en dan bedoel ik niet in het laatste jaar maar totaal)... ik denk dat je je verbaast...

woensdag 6 februari 2002 00:17

Acties:

deadinspace

The what goes where now?

Op dinsdag 05 februari 2002 16:31 schreef betweter het volgende:
terwijl zonder ome bill we nu echt geen internet hadden zoals we het nu kennen.

Right. Zonder de man die het Internet een "fad thing that won't last" vond was het Internet nergens gekomen

maar vergelijk eens voor de grap het aantal secu bugs in apache met iis (en dan bedoel ik niet in het laatste jaar maar totaal)... ik denk dat je je verbaast...

Neuh - het aantal in apache is nog altijd drastisch kleiner (beta versies niet geteld uiteraard, maar dat snap jij ook wel).

Mag ik trouwens opmerken dat dat 'meer onder vuur liggen' van Windows niet helemaal terecht is? Er zijn namelijk meer webdomeinen (bijna twee keer zoveel) die op apache gehost worden dan op IIS. Van netcraft:
Afbeeldingslocatie: http://gemini.luon.net/~marcelm/tmp/overallc.gif

Afbeeldingslocatie: http://gemini.luon.net/~marcelm/tmp/overallc.gif

(plaatje uiteraard gehost op een apache server).

En uiteraard blijft het belachelijk dat er zo'n 5000 Linuxprogsels (gemiddelde distributie) worden vergeleken met alleen datgene wat je bij Windows krijgt.

woensdag 6 februari 2002 10:57

Acties:

Verwijderd

Op woensdag 06 februari 2002 00:17 schreef deadinspace het volgende:
Right. Zonder de man die het Internet een "fad thing that won't last" vond was het Internet nergens gekomen

hehe. maar hij heeft de toch maar voor gezorgd dat iedereen er makkelijk bij kon. ibm bijvoorbeeld wilde het redelijk elitair houden... (alleen universiteiten en grote bedrijven enzo) well think about it

Mag ik trouwens opmerken dat dat 'meer onder vuur liggen' van Windows niet helemaal terecht is? Er zijn namelijk meer webdomeinen (bijna twee keer zoveel) die op apache gehost worden dan op IIS.

ja met webservers heb je gelijk.... maar alle andere markten niet... (hmmm misschien nog wel een paar specifieke servers die vaker op unix/linux gebaseerd zijn)

woensdag 6 februari 2002 11:05

Acties:

Predator

Suffers from split brain

Win2K had fewer vulnerabilities than RedHat Linux 7.0 or MandrakeSoft Mandrake Linux 7.2

'nuf said
Wat een vergelijking

Linux is niet alleen Redhat & Mandrake.
Volgende punt zoals reeds gezegd zitten er veel 3th party progs op sommige linux systemen. Die zijn soms wel wat meer buggy.

Verder -> Op een linux systeem wordt veel meer meegeleverd dan wat een windows systeem doet. Dus meer progs, meer kans op bugs.

Maar het is ook wel verkeerd om zo maar te gaan blaten dat windows een zeef is. Bij linux moet je veel patchen maar als je dat bij winNT ook doet is dat systeem best ook wel veilig.
Bugz in een linux prog worden altijd aan linux toeschreven. Een bug in een 3th party prog in windows worden niet aan windows toegeschreven.

Verder hoop ik dat er weer geen geflame van linux<->windows komt

Everybody lies | BFD rocks ! | PC-specs

woensdag 6 februari 2002 13:24

Acties:

deadinspace

The what goes where now?

Op woensdag 06 februari 2002 10:57 schreef betweter het volgende:
hehe. maar hij heeft de toch maar voor gezorgd dat iedereen er makkelijk bij kon. ibm bijvoorbeeld wilde het redelijk elitair houden... (alleen universiteiten en grote bedrijven enzo) well think about it

Mwa... Netscape (toegegeven, 1.0 ofzo) was al gewoon te downloaden en gebruiken door "de gewone mensen" toen MS pas over IE begon na te denken. Zonder MS had iedereen gewoon Netscape op OS/2 gebruikt of Mozilla op GNU/Linux of whatever...

woensdag 6 februari 2002 14:01

Acties:

Janoz

Moderator Devschuur®

!litemod

Op woensdag 06 februari 2002 13:24 schreef deadinspace het volgende:

[..]

Mwa... Netscape (toegegeven, 1.0 ofzo) was al gewoon te downloaden en gebruiken door "de gewone mensen" toen MS pas over IE begon na te denken. Zonder MS had iedereen gewoon Netscape op OS/2 gebruikt of Mozilla op GNU/Linux of whatever...

Eerste browser was mosaic

.. en MS begon pas veel later dan NS1.0 aan IE te denken

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

woensdag 6 februari 2002 15:10

Acties:

Verwijderd

Op woensdag 06 februari 2002 14:01 schreef Janoz het volgende:

[..]

Eerste browser was mosaic .. en MS begon pas veel later dan NS1.0 aan IE te denken

ik heb helemaal niks gezegd over browser wie eerst was of niet, maar zonder ome bill had internet echt niet zo'n vogelvlucht genomen... "DOS heeft de wereld veranderd"

andere os-en hebben dit niet gedaan/gewild...
(overigens naar mijn idee is DOS doorgebroken doordat alles zo makkelijk illegaal te kopieren was

en de benodigde hardware redelijk goedkoop was... )

woensdag 6 februari 2002 17:54

Acties:

Justice

Topicstarter

btw alle distributies vna linux wordne bij elkaar opgeteld, dezelfde bugs staan er dus meerdere keren in! het bericht klopt van geen kanten dus, maar ja ach grappig

Human Bobby