Linux i Windows tak samo niebezpieczne

[skynews]

Forrester Research przeprowadził badania, z których wynika, że Linux i Windows
są systemami równie bezpiecznymi lub też, w zależności od punktu widzenia,
równie niebezpiecznymi.

Pod uwagę wzięto produkt Microsoftu oraz cztery najpopularniejsze dystrybucje
Linuksa (Debian, Mandrake, Red Hat i SuSE). Jako podstawowe wyznaczniki
bezpieczeństwa przyjęto szybkość reakcji na ujawnienie "dziury", stopień
zagrożenia, jakie ona powoduje oraz skuteczność jego likwidacji.

Badaniami objęto okres od 1 czerwca 2002 roku do 31 maja 2003. Najbardziej
zaskoczył badających fakt, iż Microsoft okazał się najlepszy pod względem
szybkości reakcji na pojawienie się zagrożenia. Od momentu wykrycia "dziury"
do czasu pojawienia się łatki mijało średnio 25 dni. Najbliższy tego wyniku
był Red Hat, któremu potrzeba było jednak aż 57 dni na wypuszczenie łaty.

Znacznie gorzej firma z Redmond wypadła w kategorii "Stopień zagrożenia"; 67
proc. Microsoftowych "dziur" zaklasyfikowano jako "poważne" (SuSE, 63 proc.,
Debian, 60 proc.), podczas gdy Red Hat Linux miał 56 proc. poważanych
uchybień. Jednak w badanym okresie Microsoft poprawił wszystkie swoje
uchybienia, a w Red Hacie pozostawiono aż 229 "dziur".

W podsumowaniu badań Forrester stwierdził, iż dla bezpieczeństwa systemu
najważniejszy jest nie sam OS, lecz dobry administrator.

zrodlo: Chip Online

newsroom.chip.pl/news_88575.html

[Gość: JP]

Nastepne badania i wnioski z nich beda takie ze Linux wcale nie jest
stabilniejszym systemem od Windows.

Nie wiem dlaczego ale zwykle jak zwolennicy Linux chwala ten system za jego
stabilnosc, porownuja go z Windows98/Me.
Ciekawi mnie bardzo porownanie najnowszej i najlepszej wersji Linux z WindowsXP
SP2.
Ten Service Pack wnosi bardzo duzo i caly system zachowuje sie znakomicie.

Na swoim komputerze z WindowsXP Prof i SP2 niemam zadnego programu
antywirusowego tylko wlaczony Windosowski SP2 firewall.

Poniewaz nie uzywam zadnych dodatkowych programow typu antywir i firewall a
takze obcych przegladarek moj Internet Explorer dziala bardzo szybko i
bezblednie.
Blokuje mi reklamy lepiej niz Mozilla czy Opera a takze mam wglad we wszystkie
activex, shokwave flash i BHO objekty.

[Gość: jose_g]

eee tam - takie badania to zawsze mozna sobie o kant d... rozbic. niczego to nie udowadnia tym
bardziej ze nie znamy metodyki prowadzenia badan. ciekawe jak im wyszlo ze sredni czas na
wypuszczenie latki to 25 dni skoro w wiekszosci przypadkow (np jesli chodzi o kluczowe dla
bezpieczenstwa programy) czas ten jest znacznie krotszy!

a poza tym nie od dzis wiadomo ze najslabszy jest zawsze czynnik ludzki czyli admin

[Gość: JP]

Gość portalu: jose_g napisał(a):

> eee tam - takie badania to zawsze mozna sobie o kant d... rozbic. niczego to
nie udowadnia tym bardziej ze nie znamy metodyki prowadzenia badan. ciekawe jak
im wyszlo ze sredni czas na wypuszczenie latki to 25 dni skoro w wiekszosci
przypadkow (np jesli chodzi o kluczowe dla bezpieczenstwa programy) czas ten
jest znacznie krotszy!

Piszac to narazasz sie na smiesznosc jose_g.
Forrester to najbardziej renomowana, profesjonalna i niezalezna instytucja,
skupiajaca najlepszych ekspertow z dziedziny IT. Ma swoje oddzialy na calym
swiecie. Poczytaj sobie www.forrester.com/FactSheet

W swych badaniach Forrester bardzo szczegolowo wyjasnia metody swych badan.
W przypadku tego badania:

TABLE OF CONTENTS NOTES & RESOURCES
Understanding The Vulnerability Life Cycle

What Matters: Responsiveness, Relative Severity, And Thoroughness

The Four Best Metrics For Quantifying Platform Security

Microsoft, Debian Fix Fast; Red Hat, MandrakeSoft Miss Few Flaws

Platform Security's Future: Responsible Disclosure And Reduced Attack Surfaces

Handling Competing Platform Requirements

Recommendations
Handling Competing Platform Requirements

Supplemental Material

Niestety opracowania te nie sa darmowe.

ps. ubiegajac post graya powiem ze te badania nie byly prowadzone na zlecenie
Microsoftu.

[Gość: Fox]

Oj, I znów będzie dyskusja co jest lepsze- prod. Microsoftowskie czy linuksowskie. Powiem tylko- przesada w żadną stronę nie jest wskazana. Już jedną zdążyłem zobaczyć- JP, nie bądź takim fanatykiem. Co to znaczy lepiej blokuje pop-upy niz Mozilla I opera? To tak, jakbyś powiedział- moja gabka czyści lepiej niż inne gabki albo ta woda destylowana jest lepsza niz inne.. itd itp.

[Gość: JP]

Akurat w tym przypadku niema mowy o tym co jest lepsze a co gorsze a ze oba sa
tak samo zle lub tak samo dobre.
Poza tym ostatnia dyskusja rozwinela sie na temat czy Forrester jest wiarygodny
czy nie. Ja twierdze ze tak.

Co do tej gabki czy wody destylowanej to sa w nich takze pewne roznice.
Oczywiscie uzywalem i Mozilla i Opera i najbardziej mi odpowiada Internet
Explorer. Dlatego ze strony otwieraja mi sie najszybciej, bezblednie i bez
skokow tekstu. Do tego dochodzi najlepsza ergonomia pracy i ostatnie swietne
dodatki o ktorych pisalem wyzej. Ty to nazywasz fantyzmem?

[kwieto]

Bo problem z eksplorerem jest taki, ze lyka kazdy, nawet najgorzej napisany "smieciowy" kod.
Z jednej strony to fajnie, bo ma duza tolerancje dla bledow programistow.
Z drugiej strony - coz, w ten sposob powoduje obnizenie standardow i widywalem juz niby
"profesjonalne" strony ktorych bez eksplorera sie nie dalo otworzyc (bo tworca zapomnial ze sa i inne
przegladarki).
Sprytne.

[Gość: jose_g]

to fajnie ze jest renomowana. tylko ciagle nie moge jakos znalezc informacji o tym w jaki sposob im
wyszlo ze sredni czas oczekiwania na latke to 25 dni. nie mowie ze to za duzo czy za malo - po prostu
chcialbym wiedziec jak to liczyli. nigdzie nie widze linka do tego raportu. jest cos typu "Is Linux More
Secure Than Windows?" tylko ze dostep kosztuje... $899! no i to tyle. chyba sie nie dowiemy
szczegolow. czyli podtrzymuje swoja opinie ze badanie jest g.... warte bo nie jest "open source" i tak
naprawde nie wiadomo co i jak zbadano. no chyba ze ktos ma jakies blizsze informacje i pokaze mi ze
sie myle...

[Gość: kell]

imo zgadzam sie, takie badanie jest g***o warte, bo albo ma na celu podlizanie
sie reklamodawcy, albo pisza go osoby, ktore widza jakies numerki, ale nie
potrafia go zanalizowac. nie ma systemow bezpiecznych 'by default', ale dzieki
duzo lepszej ochronie dostepu (mowimy o autentykacji i autoryzacji, szkoda, ze
malo kto nie rozumie, ze sa dwa ODREBNE zagadnienia), o duzo bezpieczniejszej
drodze rozwoju (linuks nie wstydzi sie swoich bledow, dostep do zrodel jest po
to by wylapywac i szybko poprawiac bledy, windows bledow sie tak wstydzi, ze gdy
wyjdzie plotka o wycieku kodu pojawiaja sie opnie "jutro skonczy sie swiat").
tak strasznie komus zrozumiec, ze nie ma systemow bezpiecznych "by default",
tylko sa takie, ktore bezpieczenstwo niejako gwarantuja przez inteligentne
zarzadzanie. gdyby porownac serwery administrowane przez doswiadczonych
fachowcow odrzucajac takie ktore lepek z it z certyfikatem postawil bo szef mu
kazal to proporcje bylyby zastraszajaco inne. po prostu maszyna moze byc super
bezpieczna, ale jak ktos postawil na np waznej maszynie otwarty telnet, albo
kiepsko skonfigurowany serwer pocztowy, to nie ma, ze boli i ktos sie wlamal.
administracja podobnie jak cala informatyka wymaga sporo pracy, odrobine checi i
wlozenia w to swojego serca, a nie wyklikaniu czegos "bo na razie dziala"

[Gość: JP]

Widze ze zwolennikom systemu "L" (nie mylic z Leninem) mieknie rura :))
Juz nie mowia ze L jest bezwzglednie bezpieczny tylko ze to zalezy od
uzytkownika.

Cieszy mnie to dochodzenie do normalnosci :))

[Gość: kell]

nie zrozumiales. linuks w rekach dobrego administratora jest duzo
bezpieczniejszy od tego jaki windows bedzie kiedykolwiek. jezeli info o
krytycznym bledzie (takim w ktorym remap to dziecinny blad) jest przetrzymywana
w tajemnicy przez pol roku i tyle trzeba czekac na late, to ja dziekuje, za
takie bezpieczenstwo..

[Gość: JP]

Tylko niewiedzac dlaczego Forrester Research wykazal ze niektore dziury w Linux
dotychczas nie zostaly zalatane.

[Gość: kell]

zdefiniuj 'linuks' (bledy w kernelu, ktorejs z bibliotek, czy moze w gnome mines
- wersji sapera). podaj przyklady konkretnych dziur. moze forrester wie cos
czego developerzy nie wiedza. powinni zglosic to na 'bugzille' :)

[Gość: JP]

No nie licz na to ze ci co tworza i propaguja Linux beda jednoczesnie trabili
swiatu ze sa w nim dziury.

[Gość: kell]

rozumiem, wiec ktos specjalnie kasuje wpisy o bledach z bugzilli? to juz
zapowiada sie na jakis kryminal. nie sadzisz, ze wykasowanie czegos z miejsca do
ktorego wszyscy maja dostep i moga zweryfikowac rzeczony blad w mgnieniu oka
podnioslo by nieziemski raban? juz widze serwisy ktore rzucaja sie na taka
sensacje, czy microsoft trabiacy o "kompromitacji modelu open source"
zdarzylo sie cos takiego? a moze wiesz cos czego ja nie wiem?

[Gość: JP]

OK rozumiem. Ty twierdzisz ze ten artykol Chip powolujacy sie na Forrester to
wierutne klamstwo. Pewnie Chip Online tez pracuje dla MS. Zdaje sie ze wg
ciebie wszyscy oni klamia i sa na uslugach MS.

Pozwol ze pozostane przy swoim zdaniu.

[Gość: kell]

nie, sugeruje, ze pismaki jak zwykle nie odrobili zadania domowego.
kolejny powod by dac sobie spokoj ze zdecydowana wiekszoscia prasy komputerowej
(pozostaje prasa specjalistyczna).

[Gość: JP]

> (pozostaje prasa specjalistyczna) = Open Source-owa?

[gray]

ja np. twierdzę, że badania powinny być poparte czymś więcej niż jedynie nazwą
firmy. w ten sposób są dla mnie niewiarygodne. tym bardziej, że mam wątpliwości
co do wyników podanych przez chip.

[Gość: kell]

ja mialbym watpliwosci do czegokolwiek podanego przez chip. ta gazeta to porazka
i cien tego co bylo kilka lat temu...

ah, wiec w badania microsoftu nad tym, ze windows jest tanszy od linuksa tez tak
do konca nie wierzysz? dlatego uwielbiam informatyke, a nie znosze roznego
rodzaju kierunkow biznesowym. dla mnie to kierunek dla szarlatana, ktory z
odrobina znajomosci statystyki moze klamac na kazdy temat;)

ps. szkoda, ze wybiorczej nie stac na zatrudnienie fachowcow, bo to co sie
wyrabia od dlugiego czasu z serwerem jest zalosne i nieprofesjonalne.

[gray]

Gość portalu: kell napisał(a):

> ah, wiec w badania microsoftu nad tym, ze windows jest tanszy od linuksa tez
> tak do konca nie wierzysz?

a wiarygodne mogą być rankingi, w których za to, że twój produkt w nich wygrywa
sam zapłaciłeś? ;)

> dlatego uwielbiam informatyke, a nie znosze roznego rodzaju kierunkow
> biznesowym. dla mnie to kierunek dla szarlatana, ktory z
> odrobina znajomosci statystyki moze klamac na kazdy temat;)

też nie przepadam.

[gray]

Gość portalu: JP napisał(a):

> ps. ubiegajac post graya powiem ze te badania nie byly prowadzone na zlecenie
> Microsoftu.

pomimo to leciutko ciekawi mnie fakt jak panowie (i panie) z firmy forrester
obliczali czas wypuszczania poprawek dla każdego z badanych linuksów. kiedy
jest dziura w ssh to nową wersję ssh wypuszcza ssh.org a nie suse czy redhat.
chyba, że panowie (i panie) z firmy forrester liczyli czas upływający od
wykrycia dziury do wypuszczenia nowej wersji dystrybucji z nowym numerkiem w
trybie oficjalnym i na poduszkach co jest lekkim nieporozumieniem bo nie taka
jest idea tego systemu operacyjnego.
i tu wychodzi odwieczna bolączka linuksa - brak dobrych kursów, na które
panowie (i panie) z firmy forrester mogliby pójść i nauczyć się, że linuksa
łatamy sami a nie czekamy na windowsupdate kliknij i zainstaluj...

no i niedarmowe opracowania badań.. może jak będzie drogo to nie każdy zajrzy,
co?

[Gość: kell]

kursy? po co kursy, przeciez ktos kto chce wykonac badania do z gory zalozonych
wynikow nie potrzebuje zadnych kursow.
zawsze mozna sie przejsc na security.debian.org i np napisac, ze jaki ten debian
jest niebezpieczny, przeciez wyszlo 475 biuletynow nt bezpieczenstwa, gdy w
windows wyszlo tylko kilkanascie (szczegolnie gdy sa tak krytyczne jak
gnome-games czy jakies programy o ktorych malo kto slyszal). oczywiscie, ale gdy
podzieli sie te 475 przez kilka architektur i kilka tysiecy programow, to czy
jest tego cala masa?
ale magia liczb jest tak wielka, ze nie tak dawno spece z microsoft stwierdzili,
ze beda wydawac biuletyny co 2 tygodnie (powinni dopisac "prosimy o
niewykorzystywanie bledow do czasu wydania biuletynu i patcha - jakies 6
miesiecy" ;) bo nie ilosc i rodzaj bledow jest wazna, ale numerki, ilosci
biuletynow itd. klamstwa i naciaganie, a taka masa osob sie na to lapie