Újabb ``A Windows biztonságosabb, mint a Linux'' felmérés

Linux

Egy újabb tanulmány látott napvilágot arról, hogy a Windows 2003 Server biztonságosabb (ha hibát fedeznek fel, milyen hamar jön a javítás), mint a Red Hat Enterprise Linux 3. A felmérést a Security Innovations készítette. A tanulmányt több kritikai is érte az IT biztonsággal foglalkozó közösség részéről. Többen kritizálták a tesztelési metódusokat, mások pedig arra mutattak rá, hogy a Microsoft a háttérben finanszírozta a tanulmány elkészültét, így nyomást gyakorolhatott a készítőkre annak érdekében, hogy számára kedvező eredmények szülessenek.

A tanulmány végső verziója elérhető itt (PDF), a tesztelés módszertana itt (PDF), a kutatás honlapja itt.

A SearchSecurity cikke a tanulmányról és annak hátteréről itt.

( iron v | 2005. 03. 22., k – 22:33 )

Micskó Gábor wrote:
> Egy újabb tanulmány látott napvilágot arról, hogy a Windows 2003 Server
> biztonságosabb (ha hibát fedeznek fel, milyen hamar jön a javítás), mint a
> Red Hat Enterprise Linux 3. A felmérést a Security Innovations [0]
> készítette.

Lassan eljutunk odaig, hogy azzal merjuk a napokat, hogy hany ilyen
"biztonsagtechnikai felmeres" keszult el...

Nem unjak meg odaat?


IroNiQ
--
Member of Frugalware Developer Team
Web: http://www.ironiq.hu
LinuxCounter: #331532

( _Joel | 2005. 03. 22., k – 22:59 )

Miert akarjak elhitetni, hogy a Red Hat = Linux?

Mert a Microsoft a RedHat-et tartja egfőbb riválisának. Minden multinál megfigyelhető, de a Microsoft esettanulmány, hogy addig kell nyomatni a PR-t, míg az igazzá válik. És nagy kretekben, impozánsan kell előadni. Ajánlom a Nürnbergi perek közül Albert Speer tanúvallomásait aki nyíltan beszélt ennek szereperől és jelentőségéről (egyébként ő volt az egyetlen aki teljes mértékben elismerte bűnösségét a második világháború kitörésében). Szóval kipécézzük a legnagyobbat és abba rúgunk bele. A RedHat is a legtöbbször a Windows-zal veti össze magát. Az ironikus az, hogy szerintem a Microsoft, ha csak binary only kernelmodulokat alkalmazna és megjelentetné az ActiveDirectory-t és Exchanget linuxra, le tudná nyomni az ellenfeleket. A Microsoft egyébként tanulékon szervezet. A SUN kevésbé - nem bántás - nekik később sikerült felismerni bizonyos dolgokat. A Novell a nagy túlélő, aki viszont meglépte amit a MS nem és most ők szállítanak Nterprise és EDirectory termékeket és Desktopot. De ettől izgalmas az élet, nem? :-)

( nevergone v | 2005. 03. 23., sze – 00:51 )

> "A Windows biztonságosabb, mint a Linux"

És...? Ezt eddig is tudtuk. Valami újat...? :)

Hát tudd meg, hogy szebb, olcsóbb, és gyorsabb is!

És az eladásából befolyt összegeket kizárólag nemes, karitatív célokra költik.

Vezetőjük egy igazi lovag, aki nem abból a célból tett szert ekkora hatalomra, nem azért gázol át mindenkin, hogy ellensúlyozza a farokmérete miatt kialakult kisebbségi érzését, hanem azért, hogy eljutassa ezt a csudát a világ szenvedő népeinek, ABLAKOT nyitva ezáltal egy szebb, gazdagabb és boldogabb jövő felé.

( Nagyapa | 2005. 03. 23., sze – 05:41 )

Ja, persze, hogy az. Így van.

Csak éppen azt nem tudom: miért van az, hogy közel 3 éve netezem Linux alatt és tűzfal nélkül, de a tűzfallal és vírusortóval ellátott Windowsra mennek be a vírusok, wormok stb.

Csak ezt az apró nüansznyi dolgot nem értem.

Talán a Bill Gtes bácsi elmagyarázhatná nekem.

Tán mert "A felhasználó nem ért hozzá"?

Egyébbként a hír ROTFL.......

( Anomamusz | 2005. 03. 23., sze – 06:10 )

Ket idezet:

"amennyi faszlamer linuxadmin van, ez meg igaz is"

"vagy kevés a jó windows szakember"

> Mondjatok, hogy ez nem egy valos eletbol vett pelda...

Hát én mondom :)

Ha Oracle-t akarsz futtatni, akkor azon a gépen, ahol az Oracle fut, egy
éles rendsezrben nem nagyon vannak lokális usereid, ergo annyira talán
mégsem vészes az a local root lehetőség :)

--
--- Friczy ---
'Death is not a bug, it's a feature'

( Jedite | 2005. 03. 23., sze – 08:35 )

A szokásos rizsa!

Engem jobban bosszant a reklámjuk a TV-ben.

A Microsoft támogatja a vállalkozások jövőjét!!!!

Phö!

Ja, persze. Ha megveszed a termékeit több milláért. Azt ha valami gubanc van, akkor meg nem vállalnak adatvesztésért felelősséget.

Micsoda támogatás. És ha valami rosszat csinálsz nyakadra küldik a kopóikat a BSA-tól.

És támogatják a Szoftverfejlesztő vállalkozásokat is?

Ja ha megveszik a licenszjogokat a duplaegérkattintásra mi?

Addig mondják, hogy támogatnak, amíg fizetsz nekik.

Olyasmi mint az alvilág védelmi pénze.

Ha nem fizetsz ők maguk verik szét a boltodat, egyébként meg kutya sem nyulna hozzá.

Őszintén!

Számíhatunk más viselkedésre tőlük?

NEM!!!

( gerg0 | 2005. 03. 23., sze – 09:50 )

Borzalom.

(Nem szeretnék kifejezetten a linux mellé állni.)

Pár dolog :

  1. A közelmúltban is valami linux alap install -t vizsgáltak valami nagyon okosok. / no comment /
  2. Ezen tesztek hatására a sok lamer -től azt kell hallgatnom, hogy hogy a linux szarabb mint a windows, holott csak hallomásból ismerik azt a szót hogy linux.
  3. Tény hogy vannak hibák. Mindenhol vannak!
  4. Tény hogy a g33k megcsinálja magának a box -át úgy hogy ne nagyon lehessen b*szogatni.
  5. A windows sok pénzbe kerül, nem tudod az esetleges hibat javítani
  6. Free UNIX-like nem kerül pénzbe és azt csinálsz vele amit akarsz.
  7. Ha UNIX-like rendszert használsz, láthatóvá válik a lényeg :).

    Persze ez nem azoknak szól akik ezt régesrég tudják, ezért ők ne szóljanak meg ha kérhetem ;) .

"A windows sok pénzbe kerül, nem tudod az esetleges hibat javítani"

A Red Hat is sok penzbe kerul, es ugyanugy nem tudod magadnak a hibat kijavitani es meg kell varnod a hivatalos patch megjeleneset az up2date-ben.

"Free UNIX-like nem kerül pénzbe és azt csinálsz vele amit akarsz."

Az lehet, de az osszehasonlitas a RHEL3-mal volt, ami kemenyen fizetos szoftver.

"Ha UNIX-like rendszert használsz, láthatóvá válik a lényeg :). "

Sokkal megfigyelhetobb a rendszer, de egy dolog a nyilt forraskod, masik dolog a tamogatas es a tamogathatosag. Red Hat Support ugy elkuld a fenebe a kerdeseddel, ha mondjuk kicsereled magadnak a kernelt a gepen es problemad van belole...

"A Red Hat is sok penzbe kerul, es ugyanugy nem tudod magadnak a hibat kijavitani es meg kell varnod a hivatalos patch megjeleneset az up2date-ben."

A Red Hat is pénzbe kerül (sőt, drágább, mint a win2k3), ez igaz. Mivel a csomagok túlnyomó többsége forrásban is letölthető, a javítást általában meg tudod magadnak is csinálni, tehát a mondat második fele nem igaz. Csak ha meghakkeled, akkor a hivatalos javítás megjelenéséig és telepítéséig kevésbé lesz támogatott a rendszered.

"Akár rpm csomagot is gyárthatok belöle, persze a Redhat tanúsítványa nem lesy benne..."

Ok, nezzunk egy elo peldat. local root exploit a kernelben. Fogod a Red Hat-es kernel forrasat, megpatch-eled, leforditod, leallasi idot kersz a felhasznaloktol, rebootolsz. Ujraindul a gep, de valamiert nem indul el az Oracle az uj kernellel (pedgi azert vettel RHEL3-at, mert Oracle-t akarsz egy tamogatott platformon futtatni). Este 9 van, mert csak munkaido utan kaptal leallasi idot a felhasznaloktol. Reggel 8-kor mukodnie kell a rendszernek, es lehetoseg szerint a local root exploitnak sem kellene ott lenni, mert te mar csak ilyen paranoias vagy. A feleseged otthon var a harom honapos gyerekkel (azt mondtad, hogy 10re otthon leszel, csak egy gyors patchelest kell megcsinalnod).

Mondjatok, hogy ez nem egy valos eletbol vett pelda...

"Csak ha meghakkeled, akkor a hivatalos javítás megjelenéséig és telepítéséig kevésbé lesz támogatott a rendszered."

Kevesbe? Egy rendszer vagy tamogatott, vagy nem tamogatott. Ahol erre nem kell figyelni, oda imho nem is vesznek RHEL-t.

Kicsit pongyolan fogalmaztam, de meg is kaptam erte:)

Ertem en, hogy gyakorlatilag megteheted, es bizonyos kornyezetekben (kiemelt biztonsagi igeny, ahol azonnal javitani kell a biztonsagi hibakat, mert mondjuk direktben hostile kornyezetre csatlakoznak, vagy esetleg local root exploit van, es 5000 interaktiv felhasznalo log a rendszeren... Szoval van ilyen, es itt baromira fontos a minel gyorsabb hibajavitas. De komolyan: hany rendszergazdat lattal, aki inkabb nekiall kernelt hackelni ahelyett, hogy bevarna a vendor patch-et? Vagyis visszajutunk oda, hogy a vendor patch minel gyorsabb meglete egy alapveto metrikaja a rendszer biztonsaganak - nem a specialis (profi es bator rendszergazda), hanem az atlagos esetekben.

Igy jobb?

Anomamusz wrote:
> Ket idezet:
>
> "_amennyi faszlamer linuxadmin van, ez meg igaz is_"
>
> "_vagy kevés a jó windows szakember_"

Ezekkel tokeletesen egyetertek...


IroNiQ
--
Member of Frugalware Developer Team
Web: http://www.ironiq.hu
LinuxCounter: #331532

Dehogy allitok en ilyet:) Ejszakaztam en mar Solaris miatt is igy...

Felreertes ne essek: nem allitom, hogy a Windows biztonsagosabb, mint a Linux.

Eloszor is, a fenti cikknek hibas a cime, mert arrol szol, hogy "A Windows 2003 kevesebb es gyorsabban befoltozott hibaval rendelkezett egy bizonyos idointervallumban, mint a Red Hat Enterprise Linux 3 egy bizonyos felhasznalasi teruletet tekintve", es nem arrol, hogy a "Windows biztonsagosabb, mint a Linux". Ez a szokasos csusztatas az MS oldali tanulmanyok reszerol. Ha azt mondanak, hogy "kevesebb fajdalommal uzemeltetheto" abban tobb igazsag lenne, mint ebben a biztonsagosdi dologban. A biztonsag ugyanis folyamat eredmenye, nem termekeke... Ez kb olyan, mint a torestesztek. Lehet, hogy A auto torestesztje jobb, mint B autoe, de ha A autot foleg taho barom kopasz mazochista onkentes donor szaguldozok vezetik, akik gyakrabban irtjak ki magukat, akkor lehet olyan statisztikat mutatni, hogy A autoban egy evben 500-an haltak meg, B-ben meg csak 300-an, ergo B biztonsagosabb. Nehogy valaki is magara vegya a hasonlatot, mert irgumburgum:)

Ugyanakkor idegesit, amikor emberek nem gondolnak bele abba, amit olvasnak. Ha valaki elolvassa a bekuldott cikket, es elgondolkozik - nem csak erzelembol reagal - akkor arra a kovetkeztetesre kell jutnia, amit az elozo bekezdesben leirtam.

Ja, es ha ugyanez solaris-on tortenik es megfelelo minosegu 7/24-es supportod van, akkor 2-4 oran belul ott all melletted a support mernok...

De ez mar messzire vezet, uzemeltetesi szabalyok, tesztrendszeren vegzett elopatch-eles, alkalmazasok vegigtesztelese... Nem hiaba patch-elik ritkan a production rendszereket, es nem szeretnek a cegek mondjuk 2.5.1-es Solaris-rol update-lni (pedig az mar kb 10 eve jelent meg).

Szoval, hogy magamtol idezzek (valamelyik tavalyi IT Business-ben jelent meg):

"Egy rendszer azonban nem toldozás-foldozás, "biztonságos szoftverek" telepítésével válik megbízhatóvá és biztonságossá. A biztonság folyamat, melynek egy termék, egy rendszer teljes életciklusát át kell hatnia, a követelményspecifikációtól kezdve a használaton keresztül az üzemeltetésig."

Az a baj, hogy a Linux kernel fejlesztesenel sem erzem ezt a fajta biztonsagra torekvest (leszamitva a PaX, grsec fele patch-eket). De lehet, hogy csak tobbet kellene Linux security-val foglalkozo cikkeket olvasnom.

En is felejtettem nyitva mar tuzfalat egy RH-s szerveren. Samba, VSFTP, LDAP, PostgreSQL szaladgaltak rajta. Persze neten logott a a frissitesek miatt. Kb fel evig igy ment a haver husuzemebe, mire eszrevettem, hogy mi van.

Voltak aze probalkozasok. Termeszetesen a log allomanyokat vegignyalaztam es ennel rosszabbal sehol nem talalkoztam: "Authentication failed".

A legnepszerubbnek a Samba bizonyult ahol kb 18000 kulonbozo IP-rol probalkoztak a "latogatok" vagy inkabb worm-ok lehettek a bekes win-es netezok geperol.

Ezzel nem azt mondom, hogy az RH Linux bombabiztos, de az tuti, hogy ez ha egy W2003-as szerverrel tortenik meg, abbol mar cracker-klubot csinalak volna.

Mindenesetre nem biztam a veletlenre es meg masnap este ujraraktam :)