Er bedre sikkerhet i Linux en myte?

[int20h]

Er bedre sikkerhet i Linux en myte?

Det blir stadig satt fokus på sikkerhet i Microsofts produkter og selskapet har etterhvert blitt oppfattet som den store, stygge ulven med tanke på dårlig sikkerhet. Nye studier setter imidlertid fokuset på Linux. Er gresset egentlig grønnere på den andre siden av gjerdet?

 

Les artikkelen her

[Shetil]

Interessant tema som mange har meninger om. Problemet med artikkelen er at det er mange spekulasjoner og få kilder. I hvert fall ingen kildeanvisninger.

 

At flere forsøker å knekke Windows er et sikkerhetsproblem med Windows og er et godt argument for å ikke bruke operativsystemet.

 

Det er også helt klart at det fremtidige ryktet til Linux avhenger av standardinnstillingene i de forskjellige distroene. Og ryktet er helt avhengig av at distroene finner den riktige balansegangen mellom sikkerhet og brukbarhet. Min Linux erfaring har vært med SuSE 8.2 og denne distroen har ganske restriktive innstillinger.

 

 

Det er også klart at sikkerheten i Windows kan forbedres med et par enkle tiltak, som å skifte nettleser og epostleser, men det er også andre innstillinger som ikke er tilgjenglige for den allmenne brukeren. Da tenker jeg på hvilken porter og protokoller som står åpen. Et problem som også Linux sliter med.

 

Et annet aspekt er hvor lett det er å kryptere filer og begrense tilgangen på disse i systemet. Her sliter både Linux og Windows.

 

--

Skrevet på Windows XP med Firebird.

[oyvindr]

Jeg vil si den høye kompetansen som blir forbundet med linux-brukere langt på vei er en myte. For et system som øker i popularitet vil selvfølgelig mange av brukerne være helt ferske og enda flere være temmelig ferske. Når disse brukerne setter i gang med å åpne tjenester ukritisk er det klart man får usikre bokser på nettet. Legg til at en linux-maskin på en dsl-linje er et ganske attraktivt mål, langt mer enn en windows-maskin på tilsvarende linje.

En annen kilde til usikre linux-maskiner er de magiske boksene ingen tør røre som en gang for lenge siden ble satt opp av en som ikke lenger jobber der, ikt-lærling eller en kompis av sønnen til den tidligere elskerinna til sjefen. Jeg er ansvarlig for et par slike selv, og dersom ingen har vedlikeholdt dem ville jeg ikke stolt på dem.

Ellers er det ikke tvil i mine øyne om at en default install av en moderne linux-distro er langt sikrere enn windows.

Med sikkerhetshull i rpc i windows får man blaster. Sikkerhetshull i rpc i linux, selv om systemet hadde vært mer utbredt, ville ikke ført til spredning av noen orm, siden porten ikke er åpen mot internet, og det er slik det bør være.

Alle åpne porter er potensielle sikkerhetshull, det er temmelig urealistisk av ms å tro at de greier å skrive feilfri kode.

[ærlige_roffen]

Ellers er det ikke tvil i mine øyne om at en default install av en moderne linux-distro er langt sikrere enn windows.  

 

En fordel Linux har her, er jo at det stadig kommer nye og oppdaterte distribusjoner. En default install av en Linux-distribusjon som kom samtidig som Windows 2000 vil neppe være særlig sikrere. Å sammenligne Windows og Linux "out of the box" blir dermed ikke helt rettferdig. (Må likevel innrømme at jeg ikke har sjekket ut Win2003. Dersom default-installasjonen der er like "åpen" som Win2000, trekker jeg tilbake dette argumentet).

[oyvindr]

Husker ikke helt hvor langt de hadde kommet i 2000, men fra 7-serien lytta ikke RedHat på unødvendige porter. Det kan dermed ha kommet 42 advarsler på bundlet software som apache, wu-ftpd, bind, sendmail, etc etc, uten at det har noen som helst betydning for en default workstation install. Lytter du ikke på portene kan du ikke bli angrepet over internet, så enkelt er det.

 

Men det er et poeng at mye skyldes utbredelsen til windows, ikke nødvendigvis fordi det er mer attraktivt, men fordi det er en monokultur. Monokulturer er en like dårlig ide innen software som det er innen biologi. Utfra det ønsker jeg ikke at et enkelt os, om det er linux, *bsd, mac os, windows, whatever skal ha den posisjonen windows har i dag, uansett.

[drall]

Jeg har et inntrykk av at kjente sikkerhetshull i linux-software blir raskere fikset enn tilsvarende i windows. Som et eksempel har vel internet explorer rundt 30 kjente sikkerhetshull uten patch.

 

slashdot:

There's 31 un-patched holes in IE, but MS won't talk about it... It took them nearly a month to roll out a new patch after this one was found to be more or less useless.

[MailMan13]

I denne sammenhengen ser det ut som de fleste definerer god risiko som at det er teknisk vansklig å bryte systemet, eller hvor mange publiserte sikkerhetshull som finnes, det syns jeg blir litt feil fra et driftsmessig standpunkt.

 

Jeg definerer god sikkerhet som liten sannsynlighet for at noe uønsket oppstår. Hvis det betyr f.eks at man med rundt 70% sikkerhet kan si at en mye brukt og veldrevet windosklient får et virus i løpet av et år mot ca 0.2% for en *nix klient (har ikke sjekket noen tall, men det er ikke usannsynlig), så definerer jeg det som uakseptabelt dårlig sikkerhet.

 

På serverside viser det seg nok om man undersøker det at antall angrep er nokså proporsjonalt med en platforms utbredelse, så her er de i større grad personen bak tastaturet som avgjør.

[AccessDenied]

Enig med de fleste av synspunktene som blir lagt frem i artikkelen. Det at linux-distribusjonene begynner å bli så brukervennlige at "inkompetente" brukere begynner å ta det i bruk tror jeg har mye av årsaken til at Linux stjerne er dalende hva sikkerhet angår.

 

Har selv min kompetanse på NT/2000/2003 og jeg kan skrive under på at de serverne jeg setter på denne plattformen er mye sikrere enn om jeg skulle kastet meg på Linux hvor jeg har minimalt med erfaring.

 

En god del servicer er av som standard på 2003-serverne. Særlig merker man endringer på IIS-en (v6.0) hvor alt er av pr. default. Innebygd firewall, pop-server, sql-motor osv gjør at denne i langt større grad nå er konkurransedyktig med Linux (som har hatt alt dette i lengre tid).

 

Problemet er dog at NetBIOS er på som standard på nettverkskort på MS-maskiner. De fleste hackerangrep utnytter jo hull her.

Er jo bare disable dette på det eksterne kortet, men det er utrolig mange som glemmer dette enkle tiltaket.

 

Har bla.a satt opp en del MS 2003 Web Edition-servere og jeg må si meg imponert over lav pris på dette produktett til MS å være. Tror de vil kapre store markedsandeler ene og alene her.

[gspr]

Selvfølgelig vil ALLE OS omtrent til enhver tid ha sikkerhetshull, da OSene er skrevet av mennesker, og mennesker (som kjent) feiler fra tid til annen. Forskjellen mellom Windows og GNU/Linux ligger bl.a. i hvor stor effekt det får for systemet som en helhet, når et hull oppstår, og aller mest i hvor lett/ofte hullene fikses. Som en her allerede har nevnt, er det et tredvetalls kjente, men ufiksede hull i IE. Noe slikt ville ALDRI skje i for eksempel Mozilla, da prosjektet er åpent, og hvem som helst med tilstrekkelige programmeringsferdigheter vil kunne fikse hullet, og vil måtte gjøre fiksen allment tilgjengelig. Selv om frivillige vil fikse IE, har de ingen mulighet til det, og må (som alle andre Microsoft-slaver) sitte pent og vente på at folkene på Redmond får fikset produktet.

[Civilix]

Jeg har et inntrykk av at kjente sikkerhetshull i linux-software blir raskere fikset enn tilsvarende i windows. Som et eksempel har vel internet explorer rundt 30 kjente sikkerhetshull uten patch.

 

Likevell så har alle større angrep gått på sikkerhetshull som det har eksistert patcher til, microsoft må prioritere; derfor vil ikke alt bli patchet med en gang, men man kan føle seg relativt trygg mot generelle trusler uansett.

 

(hilsen en til daglig har ansvaret for flere hundre windows xp klienter og alle(2!) windows-serverene i bedriften jeg jobber, og enda tilgode og få sikkerhetsproblemer som ikke brukere selv har laget(vedlegg og pop-opp)

[w00pla]

Ikke for å forsvare Microsoft (for all del ikke): En av grunnene til at MS bruker så lang tid på å ordne patcher og det er 30 kjente sikkerhetshull i IE og ingen patcher er vel rett og slett at de må prioritere. Og når de har et OS med så mange sikkerhetshull så er det jo ikke rart det tar tid. De stakkars ansatte kommer på jobb og ser DEN listen over sikkerhetshull som må plugges igjen

---------

Jeg vil også si at det er viktig å skille mellom Windows og Linux (GNU/Linux): Windows er en pakke med en kjerne og haugevis av applikasjoner som også inneholder sine sikkerhetshull i tillegg til selve kjernen. I tillegg finnes det tredjeparti programvare som inneholder sikkerhetshull.

 

Når vi titter på Linux har du egentlig kun kjernen som er linux, men på kjernen kjører GNU og skaper OS'et GNU/Linux. Linux kjernen har jo selvsagt sikkerhetshull, men det er ikke der de værste hullene er. Derfor må jo konklusjonen være at de fleste sikkerhetshullene ligger i programvare fra andre "selskaper"/grupper. I Windows er det jo litt annerledes.

-------

 

Ellers vil jeg takke for en fin, reflekterende og objektiv artikkel

[gspr]

Ikke for å forsvare Microsoft (for all del ikke): En av grunnene til at MS bruker så lang tid på å ordne patcher og det er 30 kjente sikkerhetshull i IE og ingen patcher er vel rett og slett at de må prioritere.

 

Rart at de ikke prioriterer å fikse browseren som omtrent 95% av alle internettsurfere og (sikkert) 99% av alle Windowsbrukere bruker da.

[Civilix]

Rart at de ikke prioriterer å fikse browseren som omtrent 95% av alle internettsurfere og (sikkert) 99% av alle Windowsbrukere bruker da.

 

hvis de kunne fikset alle sikkerhetshull(eksisterende og framtidige som kommer opp) på en helg med en håndfull programmerere, tror du ikke at de hadde gjort det?

[drall]

Rart de ikke ser seg råd til flere programmerere til å fikse sikkerhetshullene, når microsoft kanskje er det mest profitable selskapet i verden? De trenger ikke fikse sikkerhetshullene, alle fortsetter å bruke windows uansett.

[gspr]

Rart at de ikke prioriterer å fikse browseren som omtrent 95% av alle internettsurfere og (sikkert) 99% av alle Windowsbrukere bruker da.

 

hvis de kunne fikset alle sikkerhetshull(eksisterende og framtidige som kommer opp) på en helg med en håndfull programmerere, tror du ikke at de hadde gjort det?

 

 

Hvorfor blir alltid hull i Mozilla fikset raskt da?

[Dromle]

En fordel Linux har her, er jo at det stadig kommer nye og oppdaterte distribusjoner. En default install av en Linux-distribusjon som kom samtidig som Windows 2000 vil neppe være særlig sikrere. Å sammenligne Windows og Linux "out of the box" blir dermed ikke helt rettferdig. (Må likevel innrømme at jeg ikke har sjekket ut Win2003. Dersom default-installasjonen der er like "åpen" som Win2000, trekker jeg tilbake dette argumentet).

 

Jeg synes sammenligningen er rettferdig pga. at hver gang MS lager en ny SP til f.eks Win2000 leverer de også nytt media til å installere fra. Den siste CD'en som er gjort tilgjengelig for f.eks Windows 2000 Server er datert i August eller September 2003.

 

Denne uken har jeg installert 7 servere, og har brukt CD'en "Windows 2000 (Advanced) Server with SP4" som man kan få fra MS. Default-installasjonen har blitt bedre siden den første versjonen ble sluppet, men jeg husker ikke om dette skjedde ved SP3 eller SP4. Nå installeres f.eks ikke IIS som default lenger.

[llehsirK]

Argumenter om bytte nettleser etc, sitter selv i opera nå kan ikke si jeg er så fornøyd, ofte jeg må høyreklikke over et åpent omeråde velge load image, nei ikke no northen ellerno som "lukker" dette. aldri testet mozilla untatt på rh, men rh var litt "jalla" så tilbake til xp igjen her til jeg gidder innstalere no nytt igjen.

[[0x]]

Last ned denne og finn ut hvor mange av partchene til windows som ikke virker....

 

Microsoft tar ikke sikkerhet på alvor og vil heller aldri gjøre det

[wormw]

Ta en windows maskin og prøv å lukk alle portene ..

At noe så banalt som dette ikke går ann, er alene utrolig :|

 

Og nei, å lukke porter er ikke det samme som å blocke dem ..

 

 

os

[Pilzmachinae]

hvis de kunne fikset alle sikkerhetshull(eksisterende og framtidige som kommer opp) på en helg med en håndfull programmerere, tror du ikke at de hadde gjort det?

 

Hvorfor skulle Microsoft prioritere slik? Det finnes ingen incentiv(sp?) for Microsoft å sette inn utvikler-ressurser på feilretting i Internet Explorer. Å "fikse fremtidige feil" er ikke urealistisk. (Å skolere utviklerne til å tenke sikkerhet fra dag 1 er noe annet og vil på sitt beste kun begrense antall sikkerhetsfeil.)

 

Microsoft har allerede vunnet den såkalte "browser-krigen". Det finnes mange markedssegmenter som er mye viktigere for Microsoft enn nettlesersegmentet som de allerede kontrollerer. (Rekk opp en hånd de som bidro til dette.)

 

Utviklingsressurser vil selvsagt heller bli brukt der det strategisk sett er viktig å enten styrke markedsposisjonen eller få nytt fotfeste.(Slik ville ihvertfall jeg valgt.)

 

I det store og hele betyr det INGENTING(for Microsofts markedsandel i nettlesermarkedet) om Microsoft retter opp feil i Internet Explorer nå eller senere eller for det meste driter i det.

 

Alle netttjenester som utvikles nå og i framtiden må ****ALLTID**** gjøre sitt beste for å omgå bugsene i IE.

Det er stikk motsatt fra "hvis du låner 1mill og ikke kan betale så har DU et problem, hvis du låner en milliard og ikke kan betale, så har banken et problem" :

"Hvis du som webapplikasjonsutvikler har en bug i web-applikasjonen din så har DU et problem, hvis IE har en bug så er problemet fremdeles ditt!"

 

Er jeg en bitter og surmaget webutvikler? Ja.

Er jeg full, trøtt og burde kanskje ikke svart på dette? Ja (innser sakte men sikkert at jeg vrøvler litt... "Av barn og fulle folk skal man høre sannheten")