Symantec: A Windows a legbiztonságosabb kereskedelmi operációs rendszer

A Symantec legújabb vizsgálódása szerint a biztonsági rések száma és azok javítási ideje alapján a kereskedelmi ("széleskörben használt") operációs rendszerek biztonsági rangsora (2006-ban hat hónapot átölelő időszakot figyelembevéve):

OS sebezhetőség magas prioritású átlagos javítási idő
Windows 39 12 21 nap
RHEL 208 2 13 nap
Mac OS X 43 1 66 nap
HP-UX 98 N/A 101 nap
Sun Solaris 63 N/A 122 nap

 
Köztudott, hogy a Symantec nem puszipajtás a redmondiakkal. A cikk itt. A Symantec oldalán itt olvashattok a beszámolóról.

Hozzászólások

A sebezhetőségek száma nem nagyon mond semmi érdemlegest, mivel ahány operációs rendszer annyi csomagból itt. összetevőből áll, viszont a reagálási idő annál inkább.

--
trey @ gépház

Köztudott, hogy az m$ több hibát javít egyetlen csomagban. Hivatalosan letöltesz egy javítást, aminek van valami kódja, meg leírása, hogy mit javít és közben még másik 5 hibát foltoz. Namost a kérdés az, hogy a symantech felmérése a valódi hibaszámmal, vagy a javító csomagok számával dolgozott??? Mert ha a javító csomagok számával, akkor szart sem ér az egész kimutatásuk. Akkor csak annyit jelent, hogy a RHEL-hez több kisebb adagban jön a javítás, az ablakokhoz meg nagy adagokban.

attól, hogy a Symantec nem puszipajtás, pénzért mindent el lehet intézni... és az M$-nek van bőven, főleg ilyesmire... ;)
---
www.haiku-os.hu

Összeesküvéselmélet ON
Szerintem gyakran csinálnak műbalhét a médiában azért, hogy aztán később a pozitív kritikát fel lehessen erősíteni azzal, hogy lásd az ellenségem mondta rólam, hogy én vagyok a legjobb. Nem csak szoftveriparban.
Összeesküvéselmélet OFF

hát nem tudom... az én olvasatomban a fenti táblázat a RH-t hozza ki győztesnek...
kérdés hogy mi számít sebezhetőségnek? szerintem 12 magas prioritású hiba 21 nap alatti javítása sokkal gázabb mint csupán 2 magas pr. hiba sokkal gyorsabb javítása

egyetértek. de végül is mit várunk a symantec-től, aki a norton commander óta forradalmi szoftvert nem igazán alkotott... :P

[conspiracy on]
én még azt is el tudom képzelni, hogy szándékosan szapulja a symantec az m$-t már jó ideje, hogy aztán ehhez hasonló szép szavakkal "hízelegjenek" és ne érhesse őket az a vád, hogy az m$ szekértolói :)
[conspiracy off]
---
www.haiku-os.hu

A symantec egy k**va! Ha pénzt kap, akkor sz**ja az MS farkát, ha meg nem, akkor sír a szája, sőt elmondja az MS-t minden féle k**vapecérnek.
Valahogy a symantec nem tud hiteles céggé nőni a szememben.
Amúgy nem két hónappal ezelőtt mondta, hogy a windows a legrosszabb biztonsági szempontból? Valahogy így volt asszem. Azóta kiderült, hogy a Vista védelmi redszerei igen gázosak, így valószínűleg szüksége volt egy olyan cégre, akivel együttműködhet. A McAfee, meg a többiek meg boztos nem akartak lefeküdni.
Mondom én, hogy a symantec a biztonságtechnika k**vája. :)

A kérdés megint a szokásos.
Sarkítva: Win esetében a gyárilag szállított kernel3s.dll-ben volt ennyi hiba, RH-ben meg még az OOo hibái is beleszámítanak?
Sajnos nincs időm átolvasni az egészet, ha valaki megteszi írja már ide légyszi.

ui.: azt látom, h a "location of underground economy servers" térképen azért mi is fel vagyunk tűnteve....

Meg ha a 208 kisebb hibat 13 nap alatt javitjak (persze egyesevel mondjuk) akkor is osszesegeben kevesebb lesz mint 208 a Winhez kepest, mivel majd fele annyi ido alatt javitanak 1 hibat, tehat az a 208 szinte csak 104 :)

Ertem, barmi lehet de, 3 eszrevetel.
1, az atlagos 13 nap sztem sokkal jobb mint a 21.
2, a 39 bol 12 szanalmas a 208 vs 2 tekinteteben
3, nem tudom melyik 6 honapot valasztottak ki, de a frissitesek alapjan nehez lehetett h csak 39 hiba legyen..

Talan a legtisztessegesebb lenne az, ha azt vizsgalnank, mennyit kell koltenunk (munkaidoben, penzben) az egyik v masik rendszer eseten, illetve a biztonsagi res kiderulese eseten a kihasznalt biztonsagi res altal okozott kar merete kozvelemeny kutatas alapjan is tanulsagos lenne.
De teny 3 eve valamit probal tenni az M$. A problema az is, hogy az ismert sebezhetosegek szama egy oss szoftvernel varhatoan sokkal nagyobb lesz mint egy ugyanolyan biztonsagi szinttel rendelkezo zart forrase...

Szamoljunk:

200703-21 High dev-lang/php PHP: Multiple vulnerabilities

Disclosure Timeline:

31. October 2006 - Notified security@php.net, patch in CVS
01. November 2006 - Notified vendor-sec
03. November 2006 - PHP developers released PHP 5.2.0
03. November 2006 - Public Disclosure

Jo reakcioido :)

-- in vinnui veritas --

Ez se rossz:

http://research.eeye.com/html/advisories/published/AD20060509b.html (Patch dev. time: 210 nap)
http://research.eeye.com/html/advisories/published/AD20051108b.html (Patch dev. time: 224 nap)

Van még, lehet csemegézni (és ezek csak azok, amiket az Eeye talált meg):

http://research.eeye.com/html/advisories/published/

Itt pedig a jelenlegi Eeye által ismert hibák javítás nélkül:

http://research.eeye.com/html/advisories/upcoming/index.html

--
trey @ gépház

A kedvenc részem a doksiból:

"This metric will assess and compare the average patch development times for five different operating systems: Apple Mac OS X, Hewlett-Packard HP-UX, Microsoft Windows, Red Hat Linux (including enterprise versions and Red Hat Fedora), and Sun Microsystems Solaris."

Red Hat Linux: enterprise versions AND Fedora... Remek. Remélem Windows-nál including win98..vista

Biztos úgy gondolta, hogy hozzá dobjuk még az NT Kernelhez az összes drivert is amit írtak hozzá. Vagy RHEL ből szedik ki amit nem használ a teszt gép :)

(Tudom hülye vagyok.)

Vagy RHEL is csinálhata olyat, hogy alapértelmezésben minimális cúmót tegyen csak fel.
ilyesmivel tudjának feszíteni:

"Alapértelmezett telepítés esetén mindössze n távolról kihasználható biztonsági hibát tartalmazott a rendszerük alapértelmezett telepítés esetén az utóbbi m évben.

"Alapértelmezett telepítés esetén mindössze n távolról kihasználható biztonsági hibát tartalmazott a rendszerük alapértelmezett telepítés esetén az utóbbi m évben."

Esetleg koltseghatekonysagbol lehetne az OpenBSD oldalarol copy-paste-elni a szoveget.
---------------------
int iPhone,iMac,iPod; // Apple using Hungarian notation :)

Szeretnék valami megízható és átfogó védelmi megoldást a Linuxomra a Symantec -től, de iziben!!!
Most olyan védtelennek érzem magam... :(

--
//:wladek's world

Amióta áttértem Windows-ról Linux-ra, nincs kell szarakodnom a vírusirtókkal, a tűzfallal, és nincs szükségem még 5 féle cleaner-re. Ezzel le is van írva, melyik rendszer alatt érzem magam nagyobb biztonságban.

Miért érzem úgy, hogy a RHEL (+Fedora) biztonsági hibában nem csak az operációs rendszer hibái vannak benne, hanem az összes csomagé: az OpenOffice.Org, az AmaroK, a Kaffeine, a Totem, a Battle for Wesnoth, meg az összes kis vacak?

A Windows-nál pedig szerintem már az MsOffice-t sem veszik számításba.

Nagyon objektív, gratulálok...

Ez hasonlít azokra az okfejtésekre, hogy: Az alma piros vagy zöld, tehát az ősz a harmadik évszak ha a tavasztól számolunk. Érzed ugye, hogy a fent leírtak között nincs kapcsolat? A két állításodnak csak külön-külön van értelme. De ezeket összekapcsolni igen demagóg viselkedés.
Amúgy húzzunk fel egy minimal linux-ot, meg egy minimal windowst, next->next->finish-el, és azon végezzünk kísérleteket. A másik serpenyőben viszont ott van az, hogy egy disztrib default telepítésében tényleg bent van monjuk a totem és annak hibái, ahogy gondolom a mediaplayer és hibái is. Más kérdés, hogy éppen ebből kiindulva vajon nem jobb összehasonlítás e a winserver 2003 <-> RHEL és az XP<->Fedora összehasonlítás, mint fogni és egy kalap alá venni az össes Redhat disztribet.
Persze tudom, hogy a demagógokat nehéz meggyőzni.

én azért mégis megpróbálom:
mi a gond azzal, hogy egy termék esetén az összes összetevője beleszámít ebbe a statisztikába?
(azon kívül, hogy magasabb szám jön ki, mint szeretnéd)
ez csak egy szempont a sok küzül a megfelelő termék kiválasztásánál: ami itt negatívumként jelentkezik, az más szempontból előny

Ez csak azon múlik mit tekintünk a termék összetevőjének és mit kiegészítőnek. Az hogy a linuxos szoftverek ingyenessége miatt a sok csiribirit hozzácsomagolják az oprendszerhez, nem jelenti hogy azok az oprendszer részei. Lényeg hogy a Symantec ugyan nincs jóban a Microsofttal, azt azért mégse szeretné hogy a piaca (= Windows) csökkenjen.
Érdemes lehet a kritikus vs. nem kritikus hibák arányára is vetni egy-egy pillantást. Bármit meg lehet magyarázni ilyen statisztikákkal.

Szerintem lehet akárhogyan csűrni, a Fedora semmiképpen nem része a RHEL terméknek.
És ha ehhez hozzátesszük, hogy a Fedora (a Red Hat szempontjából) kifejezetten azért van, hogy a hibák azon jelenjenek meg, nem pedig a RH szerver termékein, akkor kifejezetten demagóg a Fedora hibákat összecsapni a RHEL hibáival (pláne RHEL címszóval).

Csaba

Ja kezdem kapisgálni. A "Red Hat" mint OS a hozzáértő olvasatában a __Red Hat cég által gyártott és támogatott__ operációs rendszert jelenti. A Fedora meg egy __közösség által támogatott__ operációs rendszer. A Fedora mögött a Fedora Projekt áll, amit a Red Hat szponzorál. A Red Hat nem támogatja a Fedora-t, így a cikk szempontjából semmi köze nincs hozzá. Éppen ezért ha valaki egy kalap alá veszi a Red Hat termékeit a Fedora "termékeivel" az hibát követ el.

--
trey @ gépház

Semmit sem szeretnék. Ha figyelmesen elolvastad, akkor azt is írtam, hogy egy disztróhoz igen is hozzátartozik a vele szállított alkalmazások hibája is. Úgyhogy nem is értem miért írtad, hogy én azt szeretném kevesebb jöjjön ki. Végig arról írtam, hogy nem egyszerű az összehasonlítás, mert rengeteg szempontot kell figyelembe venni. Ezért is mondtam, hogy a nex->next->finish telepítéseket lehet összehasonlítani relevánsan.
Az egyetlen kritikus megjegyzásem a fedora hozzácsapása volt az RHEL-hez, mivel nem tudom, hogy a windows címszó alatt csak az XP-t viszgálták, vagy a 200/2003 szervereket is.
Szóval akkor mit is szeretnék?

"mi a gond azzal, hogy egy termék esetén az összes összetevője beleszámít ebbe a statisztikába?"

Nincs ezzel semmi gond, csak fontos, hogy ezt is tudjuk, amikor értelmezzük a számokat. Egyébként pedig ez nem statisztikai kérdés - nem egy osztás fogja eldönteni, hogy melyik feladatra melyik operációs rendszer a jó és biztonságos választás.

igy van, felvehetjuk ezt is mint vegso ervet a listara:

mellekelem is a linux ervgyujtemenyemet:

1. netcraft szerint win megy a szerverukon, msberencek!!
2. dehat meg csak nem is w3c valid az oldaluk!!
3. de a linuxban tobb program van alapbol!!

--
The Internet has evolved from smart people in front of dumb terminals to dumb people in front of smart terminals.

Szerintem fölösleges belefolyni ebbe, mert a linuxnál a kernelt leszámítva mindenre rá lehet fogni, hogy "de hát az 3rdparty, kérem szépen, hogy jön ahhoz a symantec, hogy belevegye?"
Mi van az XP/Vista és a RHEL default install-ban (off: default install == amiben csak egy luk volt 8 év óta :-P), azt kell nézni. Ha a disztribútor beletette xy bugware-t, akkor vállalja a felelősséget. Csomagválogatás nem játszik, csak nextet kattintunk. ;-)
Szerintem.
--
'Please, just tell people to use Windows.' - Linus Torvalds on KDE and GNOME
Registered M$funboy #006

hadd javitsalak ki: a linuxban meg a kernel is third party
nem tudom miert nem vallalja valamelyik joceg, hogy forkolja az egeszet ugy ahogy van es rendesen fejleszti, mintha operacios rendszer lenne, es nem csak egy halom kod

--
The Internet has evolved from smart people in front of dumb terminals to dumb people in front of smart terminals.

Na jó, de Dillon sikeresen összeszedett olyan fanatikus állatokat, hogy nem közönséges, pl. az összes network drivert, a 802.1x meg a 802.1q meg mittudomén még hány subsystemet egy ember tartja karban, emellett nem kell a csomagkezelővel szarozni, meg úgy csinálták, hogy könnyen lehessen portolni cuccokat máshonnan (FreeBSD6-os hangrendszer már bekerült, most jön a CARP ), nem tudom, van-e 10 fejlesztő, az más kérdés, hogy már megvan az 1:1 userland threading, és most írnak valami simple MTA-t a sendmail helyére. :-)
--
'Please, just tell people to use Windows.' - Linus Torvalds on KDE and GNOME
Registered M$funboy #006

az az ember egy zseni :)
par ev es lenyomja az osszes tobbu unix rendszert egyedul :)

most meg valami olyat tervez, hogy az alaprendszer egyes reszeit is pkgsrc-bol akarja epiteni (a third party elemeket), hogy megtobb energiat fordithasson fejlesztesre

--
The Internet has evolved from smart people in front of dumb terminals to dumb people in front of smart terminals.

Hmmm... Valami nekem nem tetszik. 6 hónap alatt 208 hiba, az napi 3 új hiba legalább. Az nagyon sok. El tudom képzelni, hogy ennyi apró kis bug legyen, ami a nyílt forrás miatt kiderül, de akkor vegyük win hibának a nem megfelelően működő ms certified drivereket is... Van értelme számolni?

Játék a statisztikákkal... ;)
Szerintem reálisan akkor lehetne bármit is mérni, ha vennék a vizsgált os-eket, feltelepítenék a (nagyjából) hasonló szoftverekkel (mondjuk: böngésző, irodai csomag) és akkor nézzék meg...
Ja, és ne legyen a windózra ráhegesztve 600.000 antikutyámfüle virusirtó, ilyen-olyan cucc se... ;)
--
Coding for fun. ;)

Én azért kíváncsi lettem volna egy AIX-re, meg hogy melyik Solaris-ról beszélnek (x86/sparc), s bár nem értek hozzá, de azt látom, hogy a Sun azért tolja a sparcos Solaris patcheket.
(x86-os Solaris nincs a távolabbi környezetemben se, így arról nem tudok semmit.)

S amire sokan keresték a választ:
"With the exception of Microsoft, all vendors were affected by longer turnarounds for patches for thirdparty
components that are distributed with each operating system."
- 41 oldala a jelentésnek

"The data suggests that third-party components are considered a lower priority than those components
that are developed by the operating system vendor. However, the third-party components in question are
often open source, and security patches are often provided from an upstream vendor, such as the main
developer of the component. Depending on the specific operating system, many third-party components
provide core functionality and are enabled by default." - 41. oldala jelentésnek

Ahogy én olvasom: a Microsoftot kivéve legtöbb problémát a 3rd party softwarek okozzák, amik nagy része open source.
Nem derül ki hogy Windows 2003/XP vagy mi volt az oprendszer.
Ugyanígy nem egyértelmű, hogy mondjuk a böngésző hibái amiket külön vizsgál a jelentés, ide lettek-e számolva vagy sem.
Ha pedig kilóra mérték le az alerteket és a patchek számát amit az MS, Redhat, Sun, HP kiadott, akkor megérdemlik és szvsz végtelenül nem jelent semmit.

Az nem számít hogy a Symantec nem "puszipajtása" a Microsoftnak, attól még a Windows az egyetlen piacuk. Naagyon nem lenne jó nekik ha a népek Macre/Linuxra állnának.

Nem tudom, hogy a symantec mibol allapitotta meg, hogy melyik a jobb, de ha valasztani lehet, akkor en inkabb pl a 13 napos atlagos javitasi idot, mint a 21 naposat valasztom (ahol raadasul magas prioritasu bug is kevesebb volt - RHEL). (Szal szerintem itt valami nem stimmel.)

nem tudok linket adni, de ha jol emlekszem tavaly a simantec anyazta a legjobban ms havert, amikor bejelentette valami ms fejes, h a windows-ban lesz ms-fele virusirto.

ROTFLMAO

ha jol ertem, akkor ezek szerint ezek utan a Symantec inkabb linuxos biztonsagi megoldasokat fog szallitani, mert a windozosra nem lesz igeny:):):):)
vagy tonkre fog menni?
csak azt nem ertem, hogy eddig miert nem a Redhat-al kapcsolatos bevetelei voltak a Symantec-nek? Mi szukseg volt eddig windows-os biztonsagi megoldasaokra? kinek kellettek, amikor out-of-the-box is mennyire tokeltes a windows.;):):):)

Ha ráfogja mijen király rendszer tőbenn vesznek belőle. (Vista)
Ha sok Vista lesz a gépekre telepítve akkor több MS fűggetlen virusirtó termék fogy amit a Vistához fejlesztenek. A Symantec nek anyagi érdeke a Windows sikere.

Én személy szerint egyre jobban szeretem a médiát nemtom ti hogy vagytok vele.. Mindenesetre legalább az embernek van 1-2 vidám pillanata :)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Üllj le és kuss legyen!"..

Arról nincs sehol szó, hogy a Symantec mekkora szarokat állít elő? Erről Tuskó Hopkins jut eszembe: azért nem vették észre, hogy ő a légióban létszámfeletti, mert mindig ő olvasta a névsort. :-)
--
'Please, just tell people to use Windows.' - Linus Torvalds on KDE and GNOME
Registered M$funboy #006 (vigyázat: memetikai dágvány!!!11)

Ha ugyanaz lenne mindegyik rendszerben, vagy ugyanazokkal a szolgáltatásokkal rendelkező programokat és azok sebezhetőségeit vizsgálnánk, akkor tisztább lenne a kép.