BeiträgeForrester-Studie: Windows und Linux im Sicherheitstest
Schon wieder eine Studie, die sich mit dieser Frage auseinandersetzt. Gegenübergestellt werden einige populäre Linux-Distributionen und Windows unter anderem in Bezug auf die Zahl von Sicherheitslöchern und wie schnell die entsprechenden Patches verfügbar sind.
Die häufig vertretende Auffassung, dass unter Linux Sicherheitslücken schneller gestopft werden, konnte dabei nicht bestätigt werden. Windows schnitt in dieser Disziplin am besten ab. Allerdings sind die Sicherheitslücken unter Windows häufiger schwerwiegend. Einen eindeutigen Sieger gibt es nach dieser Studie wohl nicht. Ein Artikel auf eWeek fasst die Ergebnisse zusammen.
cyDome: Studie: Linux ist unsicherstes Serverbetriebssystem
cyDome: Ist Linux auf dem Desktop ein Sicherheitsrisiko?
Wer ist Sponsor der Studie?
Lassen wir Fakten sprechen. So behandelt Microsoft Sicherheitsprobleme. Dabei handelte es sich nicht um ein banales Problem. Auszug aus dem Spiegel vom 11.02.2004 der Artikel ist online noch verfügbar.
Vermutlich seien noch nie so viele Systeme durch einen Windows-Fehler bedroht gewesen.
Maiffret kritisierte, das Microsoft nach dem Hinweis seiner Firma sechs Monate brauchte, um ein Patch bereit zu stellen und die Öffentlichkeit zu informieren. eEye habe auf eine Bekanntmachung unmittelbar nach der Entdeckung des Fehlers verzichtet, weil man Microsoft Zeit geben wollte, das Problem zu lösen, sagte er.
Die Probleme betreffen die Betriebssystem Windows NT 4.0, Windows 2000, Windows XP und Windows Server 2003.
“Using these metrics, Forrester looked at security-vulnerability data for the period between June 1, 2002 and May 31, 2003 for the operating systems Debian, Mandrake, Windows, Red Hat and SuSE.”
Mh, das ist natürlich sehr präzise! Erstens sind alle außer “Windows” keine OSs, zweitens hat Suse in der Zeit als Beispiel eine neue Version rausgebracht, Mandrake sicherlich mindestens eine. RedHat bin ich mir nicht sicher. Debian soviel ich weiß nicht. Weiter welches Windows. Davon gibt’s ja schon ein paar. Und wurden da jetzt auch die Sicherheitslöcher der beiliegenden Offcieprogramme etc. bei Linux mitgezählt, oder wirklich nur das OS. Wenn doch, was wurde alles mitinstalliert. Solche Vergleiche sind allgemein sehr schwierig, wenn nicht gar unmöglich. Im Prinzip kommt man ganz wie man will zu einem Ergebnis (siehe Churchill).
“Microsoft came in with the lowest average “all days of risk” with an average of 25 days between disclosure and fix release.”
Hört sich gut an … aber wieder das selbe Problem (Version?, was gehört zum Fehlerbereich bei Win/Lin?, …)
Abgesehen davon hab ich ganz persönlich leider andere Erfahrungen, aber da ich diese nicht exakt protokolliert habe …!
OT:
Irgendwie hab ich die Formatierungen hier nicht so ganz raus, muss ich zum Zeilenumbruch extra was schreiben???
Gruß
Martin
@vowe Nachdem Linux erstaunlich gut abschneidet, könnte man auf den weltgrößten Computerkonzern tippen.
Oder hast Du konkretere Infos?
@Ingo Meldungen dieser Art gibt es zuhauf und sie werden gerade in Deutschland von den Medien immer wieder gerne aufgegriffen - was ich verstehen kann. Es steht auch außer Frage, dass Microsoft in Sachen Sicherheit nicht immer alles richtig macht. Das ändert nichts an der Tatsache, dass es auch bei Open-Source-Software ähnliche Mängel gibt, wie beispielsweise diese Studie belegt. Mein Eindruck ist, dass es da eher verziehen wird, denn schließlich ist die Software ja kostenlos. Einem geschenkten Gaul schaut man nicht ins…
@Martin Du hast Recht, der eWeek-Artikel könnte da etwas präziser sein. In der Studie gibt es vermutlich genauere Daten.
Leider kostet sie 899 US-Dollar. Wiedersprechen würde ich Dir allerdings in Bezug auf die Frage, ob eine Linux-Distribution ein OS ist oder nicht. Mir erscheint es eher so, dass Linux nur als abstrakte Entität existiert und die verschiedenen Distributionen relativ unabhängige Betriebssysteme sind. Jedenfalls sind die Unterschiede zum Teil größer als zwischen den verschiedenen Windows-Ausgaben. Was die Zeilenumbrüche angeht, Du kannst in meinem Blog HTML-Tags verwenden.
Ach ja, die Analysten. Die wollen doch auch nur leben. Sag mir, was rauskommen soll, und ich suche mir ein paar passende Zahlen. Oder gib mir ein paar Zahlen und ich schreib Dir ein paar Geschichten. 100% minus ein paar Zehntel der Schmutzes, der hier täglich im Postkorb anlandet kommt von Windows-Würmern. Daraus könnte ich nun schliessen, dass a) alle Leute eh Outlook nehmen, b) dass nur die besonders dummen Outlook nehmen, c) andere Mailclients sicherer sind, d) e) f) … Oder ich kann die Beine von Sicherleitslöchern zählen und dann durch vier teilen, ohne Ansehen, ob es sich um Kühe, Menschen, Tausendfüßer oder Blindschleichen handelt. Jeder wird schon eine Studie finden, die seine Meinung untermauert. Das ist nun mal unser Geschäft. Wenn man den Sponsor der Studie kennt, weiss man schon mal, welche Meinung untermauert werden soll. Hat die Studie keinen Sponsor, muss sie ordentlich Aufruhr machen, sonst wird sie nicht gekauft. “PC Purzel hat 179 Festplatten zwischen hundert und zweihundert Euro getestet. Die billigste war die beste.” Yeah, right. Open Source setzt sich jedenfalls nicht durch, weil die Studien so toll sind, oder das Marketing so geil. Sondern einfach, weil sie besser ist.
Nein, du hast mich falsch verstanden - natürlich ist eine Distri ein OS, stimm ich dir völlig zu, aber Suse Linux 8.2 oder Redhat Linux 9 heißen die dann und nicht “Suse” oder “Red Hat”. Das ist, als ob man sagen würde Microsoft ist ein OS.
Ok, is vielleicht ein bisschen pingelig von mir =o).
@vowe Ja klar, die Analysten wollen auch leben, ebenso wie die Consultants und die Systemverwalter. Letztere müssen sich dann in der Praxis mit dem herumschlagen, über was die beiden anderen theoretisieren. Insofern sind wir wohl einer Meinung.
Was den Multiple-Choice-Test zu Outlook angeht, ich würde da auf a) tippen.
Wir stimmen auch darüber ein, dass Open Source besser ist. Es fragt sich nur warum?
a) Weil es nicht von M$ ist.
b) Weil es immer noch IT-Entscheider gibt, die glauben, dass der Einsatz kostenloser Software nichts kostet.
c) Weil der höhere Betreuungsaufwand neue Arbeitsplätze bzw. Aufträge für hoch qualifizierte IT-Fachkräfte schafft.
d) Weil es einfach Spaß macht, wenn gcc sich partout weigert, dass gerade so günstig erstandene Progrämmchen zu kompilieren.
e) Weil es das Selbstwertgefühl jedes Systemverwalters steigert, wenn er sich mit dem vi durch endlose Konfigurationsdateien gekämpft hat und dann sogar der Start von der Kommandozeile mit den richtigen Parametern gelingt.
f) Weil der Systemverwalter viel besser schläft, wenn er weiß, dass er rein theoretisch, also wenn er die Zeit dazu hätte, den Source Code nach Sicherheitslücken, Trojanern etc. durchsuchen könnte.
g) Weil Open Source einfach cool ist, bzw. weil mir gerade nichts Besseres einfällt.
Na ja, das war jetzt wieder mal nicht besonders sachlich vorgetragen. Aber hin und wieder muss auch mal ein Scherzechen erlaubt sein. :-))
Schon merkwürdig, dass Du auf den besten Grund nicht gekommen bist. Dafür hast Du wieder mal Open Source mit kostenlos, kompliziert, usw verwechselt. Weisst Du, was Darwin ist? Nein, nicht Charles und auch nicht der -ismus.
Bislang kannte ich Darwin nicht. Es ist ja nicht so, dass ich grundsätzlich etwas gegen Open Source hätte, auch wenn das vielleicht hier manchmal so aussieht. Natürlich gibt es da viele interessante Projekte. Open Source ist nur sicherlich kein Allheilmittel und schon gar nicht in Bezug auf Sicherheitsprobleme.
Es gibt keine Allheilmittel. Aber es gibt gute Heilmittel und schlechtere. Und Open Source ist ein besseres Heilmittel als Closed Source. Aus einem ganz einfachen Grund: Transparenz. Erst durch Transparenz kann Qualität bewerten. Das ist wie beim Essen: Es ist besser, man weiss, was drinsteckt.
“kann man Qualität” sollte das heissen.
Die Informatik hat bisher keine bessere Qualitätssicherung als massive peer reviews erfunden.
Eine ähnliche Debatte wird um die Offenlegung von Kryptoalgorithmen geführt. Wenn man den Algorithmus veröffentlicht, gibt man anderen Kryptologen eine bessere Chance, ihn zu knacken. Schaffen sie es nicht, wächst scheinbar das Vertrauen in den Algorithmus.
Damit wird der Algorithmus aber nicht wirklich sicherer, denn er leistet ja das gleiche wie vorher. Das zusätzliche Vertrauen ist aus mathematischer Sicht daher nicht begründet. Es bleibt die Tatsache, dass es durch die Offenlegung einfacher geworden ist, den Algorithmus auszuhebeln. Dieses Argument lässt sich übertragen auf Software im Allgemeinen. Nicht jeder Hacker der im Source Code eine Sicherheitslücke entdeckt, wird dies dem Hersteller mitteilen. Der Verlockung einen neuen Wurm zu programmieren, werden viele nicht verstehen können.
Auch stimmt es nicht, dass die Qualität von Software nur dann beurteilt werden kann, wenn man den Source Code kennt. Das ist wie mit der Qualität von Autos. Um zu entscheiden, ob ein Auto was taugt, schaue ich auf die Pannenstatistik und nicht auf die Konstruktionspläne. Letzteres ist in der Regel einfach nicht praktikabel. Mit Software ist es ganz genauso.
Merke: Jeder Vergleich mit Autos hinkt. Tut mir leid, Dir zu widersprechen. Es ist Stand der Wissenschaft, dass White Box besser als Black Box ist. Das ist nicht auf meinem Mist gewachsen.
Eine ähnliche Debatte wird um die Offenlegung von Kryptoalgorithmen geführt. Wenn man den Algorithmus veröffentlicht, gibt man anderen Kryptologen eine bessere Chance, ihn zu knacken. Schaffen sie es nicht, wächst scheinbar das Vertrauen in den Algorithmus. Damit wird der Algorithmus aber nicht wirklich sicherer, denn er leistet ja das gleiche wie vorher.
Die komplette Argumentationskette ist mal wieder weder logisch noch fachlich fundiert. Die gleiche Argumentationskette wird von Microsoft gefahren.
Die Offenlegung gerade im Bereich von Kryptografie hat nichts mit mathematisch besser oder schlechter zu tun, sondern es wird vermieden, das Drittschlüssel eingeschleust werden. Gerade PGP ist der beste Beweis, das man einem Unternehmen nicht traut, welches auf dem Code sitzt und es gab Drittschlüssel. Also man sollte schon im Thema sein, wenn man sich auf solch eine Diskussion einlässt.
Meine Güte, was soll Microsoft auch sonst erfinden, um irgendwie zu begründen, dass sie den Code geheimhalten müssen. Der Outbreak von Windows 2000 Code hat ja gezeigt, dass sie ausserordentlich guten neuen Code, und ausserordentlich schlechten Legacy Code haben. Die KÖNNEN den Kunden nicht offenlegen, welchen Dreck sie ihnen jahrelang verkauft haben. Also bemüht man irgendwelche Theater Security.
Ich kann mir durchaus vorstellen, dass MS den neuen Code offenlegt, sobald ihnen die Felle wegschwimmen. Aber das wird aus o.g. Gründen immer selektiv sein. Es täte ihnen jedenfalls gut.
@Ingo Ich denke, Du bringst da zwei Debatten durcheinander. Die Offenlegung der Implementierung eines Krypto-Algorithmus in Form einer bestimmten Krypto-Software und die Offenlegung des Krypto-Algorithmus selbst sind zwei unterschiedliche Dinge. Es gibt zwar Parallelen in der Argumentation und manchmal auch Überschneidungen wie in der Diskussion um DES, aber man sollte das besser nicht vermengen.
@vowe Hier von einem "wissenschaftlichen Stand" zu sprechen, ist übertrieben. Es gibt sicher viele Kryptologen, die diese Auffassung vertreten. Allerdings verlassen sie dabei ihr eigentliches Fachgebiet, da sich so etwas nicht mit mathematischen Methoden untermauern lässt. Außerdem gibt es viele Experten, die diese Ansicht nicht teilen. So liest man z.B. auf der Website des BSI:
Im Hochsicherheitsbereich wird man auf die zusätzliche Sicherheit, die ein geheim gehaltenes und dann notwendigerweise eigenentwickeltes Kryptoverfahren bietet, nicht verzichten können, da jede Offenlegung der Designprinzipien einen potentiellen Angreifer von vornherein in eine günstigere Position brächte und somit sich von selbst verbietet. Dem Anspruch auf Geheimhaltung muss dann natürlich auch die Methode der technischen Umsetzung Rechnung tragen.
Vielleicht hilft es, wenn Du Open Source und Krypotologie nicht in einen gemeinsamen Topf wirfst. Die Sicherheitsprobleme von Windows haben m.W. bisher nichts mit Kryptologie zu tun gehabt.