PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Microsoft will Linux beim Thema Sicherheit packen



bischi
12-11-2003, 13:08
Microsoft plant eine massive PR-Kampagne bezüglich Sicherheitsprobleme, in der das Unternehmen Linux beim Thema Sicherheit packen will. Der Vorwurf: Bei Linux-Software dauere es zu lange, bis Bugs gefixt werden. Dies geht aus einem Bericht unserer Schwesterpublikation " PC Advisor " hervor.

Mehr: (http://www.pcwelt.de/news/software/35516/)

MfG Bischi

peschmae
12-11-2003, 13:10
bei Debian ist das kein Problem (sorry, dass ich schon wieder mit meiner Lieblingsdistri komme ;))

Aber eben, behaupten kann man viel...
Die Frage ist nur, wers glaubt.

MfG Peschmä

-Sensemann-
12-11-2003, 13:35
Naja ich weis nicht.
Wer im Glashaus sitzt sollte nicht mit Steinen werfen?

Jorval
12-11-2003, 15:48
falls die Herrn mit "weniger prominenten Projekten" zufaellig eine der zigtausend Applikationen meinen die mit einer Linuxdistribution daher kommen sollten man vielleicht anmerken das das nicht vergleichbar ist...

schliesslich steigen die sicherheitsluecken bei MS ja auch sobald man 3rd party produkte installiert.

ich wuerd drauf wetten das der vergleich genau auf diese situation hinauslaeuft...

naja ...
M$ studien interresieren mich eh nicht...

J

tuxipuxi
12-11-2003, 17:00
wow... langsam scheinen sie die laecherlichkeit ihrer aussagen selbst nicht mehr zu merken. durchschnittliche patchzeit bei entdeckten(!) sicherheitsluecken bei linux software( beinhaltet linux selbst ) sind vielleicht 1, hoechstens 2 tage. bei microsoft ist es 1 woche - 2 monate.(eher letzteres) ....

xare
12-11-2003, 17:10
Im Endeffekt rückt MS mit diesen Studien Linux immer mehr ins Blickfeld der Anwender und verschwendet damit Geld für Werbung für Linux. Was wollen wir mehr?

MfG Xare

Vispo
12-11-2003, 17:44
hätte mal ne frage.
Wieviele Sicherheitslücken würden wir finden wenn der Source Code von M$ mal an die öffentlichkeit gelangen würde?
:confused:

(geschweige denn die ganze M$ spyware und was ich sonst noch alles vermute)

Schönen feierabend
Vispo

peschmae
12-11-2003, 19:41
ich glaube fast, MS will sich zunutze machen, dass nicht jedem der gewaltige Unterschied im Umfang zwischen Windows und einer Linux-Distro (> 1 DVD) bewusst ist.

Wenn man nämlich stur die Sicherheitslücken und Reaktionszeiten misst, kann es sehr leicht sein, dass da eine Linux-Distro schlechter wegkommt als _nur_ Windows.

Aber das kann man ja nicht vergleichen

MfG Peschmä

amiga
13-11-2003, 12:55
"In den ersten 150 Tagen nach Veröffentlichung von Windows 2000 gab es 17 kritische Sicherheitslücken", erklärte Ballmer. "Bei Windows 2003 waren es vier. Bei Red Hat Linux 6 gab es fünf bis zehn Mal mehr."

Lächerlich, eine uralte Distribution (Redhat Linux 6) mit einer aktuellen Version von Microsoft's Windows Server 2003 zu vergleichen ... traut sich Microsoft nicht, ihr Betriebssystem mit einer aktuelleren Distribution zu vergleichen ?

Naja ... ok, wäre nicht im Sinn einer Anti-Linux-PR-Kampagne, wenn sie ihr Betriebssystem z.B. mit einem aktuellen Gentoo Linux verglichen hätten ;)


PS :

Original geschrieben von -Sensemann-
Wer im Glashaus sitzt...

...sollte sein Klo im Keller haben :D

JoelH
15-11-2003, 00:12
dass erinnert mich an die 'Mutationswerbung' von M$. Irgendwie schiessen sie sich schon ins eigene Knie. Ich denke es ist die falsche Stratiegie nach fehlern bei anderen zu suchen, sie sollten eher ihrere eigenen Stärken hervorheben ! Wie auch immer, ich denke Linux hat bestimmt genausoviele Löcher wie M$ aber dass weiss keienr weil der Markt einfach noch zu klein ist. Trotzdem ist die Patchzeit von Linux viel kleiner als bei M$. ICh sag nur => Wartwen sie auf das nächste Servicepack *grins*

bischi
15-11-2003, 08:45
Wartwen sie auf das nächste Servicepack *grins*

Dies stimmt also nur bedingt - zu jedem erkannten Sicherheitsloch gibt es meist ziemlich schnell einen einzelnen Patch. Die neueren Windows-Versionen laden diese sogar von alleine runter.

MfG Bischi

tuxipuxi
15-11-2003, 10:29
Original geschrieben von bischi
Dies stimmt also nur bedingt - zu jedem erkannten Sicherheitsloch gibt es meist ziemlich schnell einen einzelnen Patch. Die neueren Windows-Versionen laden diese sogar von alleine runter.

MfG Bischi

ist das jetzt ein pro oder ein contra argument? microsoft plant ja in zukunft patches automatisch installieren zu lassen ohne das der benutzer gefragt wird.... wenn sie sich nicht durch irgendein EULA oder was auch immer retten ist das nach meiner aufassung:





§ 303a Datenveränderung

(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.


aber das muesste man einen juristen fragen.

gruss,
Michael.

peschmae
15-11-2003, 12:21
Original geschrieben von bischi
Dies stimmt also nur bedingt - zu jedem erkannten Sicherheitsloch gibt es meist ziemlich schnell einen einzelnen Patch. Die neueren Windows-Versionen laden diese sogar von alleine runter.


find ich grässlich. Nicht nur dass man damit MS die möglichkeit gibt so ziemlich alles zu tun - was ist, wenn ein Update-Server gefaked ist?

Zugegebenermassen gibts das Problem auch bei nicht-automatischen Updates und auch unter Linux, aber dort weiss man wenigstens wann man updatet und auch, dass es da möglicherweise Probleme geben könnte.

MfG Peschmä

peschmae
16-11-2003, 11:58
Original geschrieben von bischi
Dies stimmt also nur bedingt - zu jedem erkannten Sicherheitsloch gibt es meist ziemlich schnell einen einzelnen Patch. Die neueren Windows-Versionen laden diese sogar von alleine runter.


Hab mal die Funktion ausprobiert. Man muss

1) den IE benutzen
2) ActiveX-Dinger erlauben

tönt unglaublich toll. :(

MfG Peschmä

anda_skoa
16-11-2003, 12:30
Original geschrieben von peschmae
was ist, wenn ein Update-Server gefaked ist?


Aus diesem Grund sind Adamantix Pakete GPG signiert.

Ciao,
_

peschmae
16-11-2003, 14:59
was auch immer Adaxyz sein mag, von derartigen Plänen hab ich auch schon für Debian gehört.

Allerdings überprüf ich das nicht. Bisher.

MfG Peschmä

anda_skoa
16-11-2003, 16:59
Adamantix www.adamantix.org
Ehemals TrustedDebian :)

Ist auf Debian Basis und verwendet ganz normal degsigs um die Signatur eines Paketes von dpkg checken zu lassen.

Debian kann das also auch, nur sind die Pakete (noch) nicht signiert.

Ciao,
_

peschmae
17-11-2003, 12:11
Tönt gut - zumindest für Server. Aber solche hab ich nicht rumstehen ;)

MfG Peschmä

localhost
18-11-2003, 13:22
wie siht es eindlcih mit BSD OS´s aus sind die sicher ????



Und das was M$ für seine Beribssystem will sollten die so sicher sein

peschmae
18-11-2003, 13:35
Nun ja, OpenBSD ist vom Ruf her natürliche extrem sicher :D
Die haben auch eine ganze Menge Features in diese Richtung eingebaut.

Auch bei FreeBSD hab ich den Eindruck, dass ein bisschen mehr auf Sicherheit geachtet wird, als bei den Linux-Consumer-Distributionen (die immer das neuste KDE und den neussten GCC verwenden müssen).

Ob die sicherer sind als ein Debian (oder Slackware) kann ich nicht sagen. Aber sie sind natürlich tendenziell weniger im Schussfeld als das weiter verbreitete Linux (bei Linux-sezifischer Software).
Aber die meiste Software ist eh dieselbe (Sendmail, Apache, etc)

MfG Peschmä

Smoe
24-11-2003, 12:34
Original geschrieben von xare
Im Endeffekt rückt MS mit diesen Studien Linux immer mehr ins Blickfeld der Anwender und verschwendet damit Geld für Werbung für Linux. Was wollen wir mehr?

MfG Xare

Da wäre ich mir nicht so sicher.
Fakt ist, dass diese Aktion keinen von uns von Linux wegbringt. Das weiss auch M$. Das Ziel dieser Kampagne ist, soviele wie möglich von Linux fernzuhalten. Und da Sicherheit für den DAO zur Zeit durch it-boulevard-Medien an oberster Stelle steht und Linux im allgemeinen als sehr sicher eingestuft wird, versucht man dies zu untergraben und den normalen Benutzer von der Idee, Linux zu testen, abzubringen.
Wenn wir alle ehrlich sind, wissen wir, dass beide Betriebssysteme (relativ) sicher gemacht werden können. Der Aufwand wird sich wahrscheinlich (unter vorbehalt) nicht erheblich unterscheiden. Immerhin gibt es für beide Plattformen jede Menge Tools von Drittanbietern und Opensource gibt es auch nicht nur für Linux.
Stellt sich die Frage, ob sich die Zielgruppe dieser PR-Aktion davon beeindrucken lässt, bzw. was die Community dagegen tun kann. Vielleicht wäre eine Integration der "Unbedarften" in Linux ganz angebracht. Nehmt sie bei der Hand. Versucht Linux in eurem Freundeskreis populär zu machen und steht mit Rat und Tat zur Seite.

Aber das macht Ihr ja eh schon :)

Ciao

Smoe

Jorval
24-11-2003, 14:23
STIMMT

ich hab mittlerweile 5 leute in meinem naeheren bekanntenkreis die ich mit linux supporte. 3 davon vollumsteiger also kein windows mehr. alle 3 sind sehr zufrieden.

die mehr arbeit abends auf deren pcs von zu hause macht mir auch nix aus...
meine frau geht schon um 21-22 uhr ins bett da kann ich eh noch nicht schlafen...

bischi
24-11-2003, 14:38
die mehr arbeit abends auf deren pcs von zu hause macht mir auch nix aus...

Eben: Linux = mehr Arbeit ;)

Abgesehen davon kann man auf Linux so schlecht gamen...

Nein, jetzt mal ehrlich: Ist Linux heute nur sicherer, weil sich keiner die Mühe macht, extra für Linux einen Virus zu entwerfen, oder ist es einfach schlichtweg sicherer?

MfG Bischi

tuxipuxi
24-11-2003, 17:11
Original geschrieben von bischi
Eben: Linux = mehr Arbeit ;)

Abgesehen davon kann man auf Linux so schlecht gamen...

Nein, jetzt mal ehrlich: Ist Linux heute nur sicherer, weil sich keiner die Mühe macht, extra für Linux einen Virus zu entwerfen, oder ist es einfach schlichtweg sicherer?

MfG Bischi



Eben: Linux = mehr Arbeit ;)


wenn er bei 6 windows freunden helfen sollte, muesste er jedesmal rumfahren und windows neu installieren, weil das die normale problemloesung ist. bei linux freunden kann er es ueber ssh machen.



Abgesehen davon kann man auf Linux so schlecht gamen...


du kannst unter linux super gamen, der nvidia treiber ist auch toll. das problem liegt bei den spieleherstellern, die meinen nicht plattformunabhaengig programmieren zu koennen.

ausserdem ist das ein betriebssystem auf einem pc, keine spielekonsole.



Nein, jetzt mal ehrlich: Ist Linux heute nur sicherer, weil sich keiner die Mühe macht, extra für Linux einen Virus zu entwerfen, oder ist es einfach schlichtweg sicherer?


die moeglichkeit einen virus so schnell zu verbreiten wird schonmal dadurch geschwaecht, dass nicht alle linux systeme homogen sind wie windows systeme. kein viren programmierer unter linux kann sich drauf verlassen, dass 99% der anwender den gleichen mailclient und/oder browser verwenden. sicherlich koennte ein ausgefuehrtes skript auf vielen systemen den gesamten home ordner vernichten, aber da muesste es schon verheerende luecken in den applikationen und im gehirn des anwenders geben. eine totalzerstoerung des systems wie unter windows ist definitiv in der regel nicht moeglich. um das system komplett zu zerstoeren muesste der virus root rechte haben, an die er auch nur durch luecken im system kommt und von solchigen gibt es nur sehr wenige( und die meisten sind extrem schnell gepatcht ).

gruss,
tuxipuxi.

peschmae
24-11-2003, 19:19
Original geschrieben von tuxipuxi
eine totalzerstoerung des systems wie unter windows ist definitiv in der regel nicht moeglich.

Wunderbarer Satz. :)
Ist aber zweifellos extrem möglich. Sonst gäbe es ja wohl keine IDS wie Netsaint...


um das system komplett zu zerstoeren muesste der virus root rechte haben, an die er auch nur durch luecken im system kommt und von solchigen gibt es nur sehr wenige( und die meisten sind extrem schnell gepatcht ).


sehr wenige ist wohl das falsche Wort. Und extrem schnell gepatcht wohl auch. Wer upgradet sein System schon jeden Tag... (Ich schon ;), aber sonst...)

Nun ja. Ich denke recht viele hassen Windows. Oder Microsoft. Oder was auch immer. Auf jeden Fall ist es einfacher, einen Wurm oder so für Windows zu schreiben, als für Linux, da die Systeme sehr inhomogen sind, wie tuxipuxi schon gesagt hat.
Allerdings gibt es gewisse Programme, die auf fast jedem oder zumindest vielen Rechnern laufen (MTAs wie Sendmail, Exim oder QMail). Allerdings wurden viele von diesen sehr gut ausgetestet (vor allem QMail ;))

Möglichkeiten gibt es zweifellos, aber ich denke weniger.

MfG Peschmä

red_head105
25-11-2003, 15:12
@peschmae FULL ACK


STIMMT :)

Werbe wann immer möglich für Linux ;)
Aber es ist nicht immer einfach :(
Besonders bei DAUs die nicht einmal mit Windows umgehen können, wie sollen die dan mit Linux dann zurecht kommen? :confused:

Allerdings wollen ca. 10-12 Personen die ich kenne dann erst Linux hertun wenn mehr Spiele drauf laufen :D
Weshalb ich auch zur Zeit dran bin zu beweisen das es doch einige Spiele gibt die unter Linux zum laufen zu bringen sind.

Gruß red_head

peschmae
25-11-2003, 17:24
Original geschrieben von red_head105
Allerdings wollen ca. 10-12 Personen die ich kenne dann erst Linux hertun wenn mehr Spiele drauf laufen :D


Das ist bischis Lieblingsargument. Aber eigentlich ist mir egal, was er benutzt, solange er mich damit in Ruhe lässt :p

MfG Peschmä

peschmae
26-11-2003, 09:35
Original geschrieben von tuxipuxi
... an die er auch nur durch luecken im system kommt und von solchigen gibt es nur sehr wenige( und die meisten sind extrem schnell gepatcht ).


Schau mal das:

Sicherheits-Aktualisierungen
----------------------------

Diese Revision enthält die folgenden Sicherheits-Aktualisierungen, für
die das Security-Team bereits die folgenden Sicherheitsgutachten
herausgeben hat:

Debian Security Advisory ID Paket(e)

DSA 140 libpng, libpng3
DSA 196 bind
DSA 203 smb2www
DSA 208 perl
DSA 215 cyrus-imapd
DSA 216 fetchmail-ssl
DSA 220 squirrelmail
DSA 221 mhonarc
DSA 222 xpdf
DSA 224 canna
DSA 225 tomcat4
DSA 227 openldap2
DSA 229 imp
DSA 230 bugzilla
DSA 231 dhcp3
DSA 233 cvs
DSA 237 kdenetwork
DSA 239 kdesdk
DSA 245 dhcp3
DSA 246 tomcat
DSA 248 hypermail
DSA 249 w3mmee
DSA 250 w3mmee-ssl
DSA 251 w3m, w3m-ssl
DSA 252 slocate
DSA 253 openssl
DSA 254 traceroute-nanog
DSA 255 tcpdump
DSA 256 mhc
DSA 258 ethereal
DSA 260 file
DSA 261 tcpdump
DSA 262 samba
DSA 263 netpbm-free
DSA 266 krb5
DSA 268 mutt
DSA 270 kernel-patch-2.4.17-mips, kernel-patch-2.4.19-mips
DSA 271 ecartis
DSA 272 dietlibc
DSA 274 mutt
DSA 276 kernel-image-2.4.17-s390, kernel-patch-2.4.17-s390
DSA 277 apcupsd
DSA 278 sendmail
DSA 280 samba
DSA 281 moxftp
DSA 282 glibc
DSA 283 xfsdump
DSA 284 kdegraphics
DSA 285 lprng
DSA 286 gs-common
DSA 287 epic
DSA 288 openssl
DSA 290 sendmail-wide
DSA 292 mime-support
DSA 293 kdelibs
DSA 295 pptpd
DSA 296 kdebase
DSA 297 snort
DSA 298 epic4
DSA 299 leksbot
DSA 300 balsa
DSA 302 fuzz
DSA 304 lv
DSA 306 ircii-pana
DSA 308 gzip
DSA 309 eterm
DSA 312 kernel-patch-2.4.18-powerpc
DSA 313 ethereal
DSA 314 atftp
DSA 315 gnocatan
DSA 316 jnethack
DSA 316 slashem
DSA 317 cupsys
DSA 318 lyskom-server
DSA 320 mikmod
DSA 321 radiusd-cistron
DSA 322 typespeed
DSA 323 noweb
DSA 324 ethereal
DSA 325 eldav
DSA 326 orville-write
DSA 327 xbl
DSA 328 webfs
DSA 330 tcptraceroute
DSA 331 imagemagick
DSA 332 kernel-source-2.4.17
DSA 333 acm
DSA 334 xgalaga
DSA 336 kernel-image-2.2.20-i386
DSA 339 semi, wemi
DSA 340 x-face-el
DSA 341 liece
DSA 342 mozart
DSA 343 ddskk, skk
DSA 344 unzip
DSA 345 xbl
DSA 347 teapop
DSA 348 traceroute-nanog
DSA 349 nfs-utils
DSA 350 falconseye
DSA 351 php4
DSA 352 fdclone
DSA 353 sup
DSA 355 gallery
DSA 356 xtokkaetama
DSA 357 wu-ftpd
DSA 358 kernel-source-2.4.18
DSA 360 xfstt
DSA 361 kdelibs, kdelibs-crypto
DSA 362 mindi
DSA 363 postfix
DSA 364 man-db
DSA 365 phpgroupware
DSA 366 eroaster
DSA 369 zblast
DSA 370 pam-pgsql
DSA 371 perl
DSA 372 netris
DSA 373 autorespond
DSA 374 libpam-smb
DSA 375 node
DSA 376 exim, exim-tls
DSA 377 wu-ftpd
DSA 378 mah-jong
DSA 379 sane-backends
DSA 380 xfree86
DSA 382 openssh
DSA 383 openssh-krb
DSA 384 sendmail, sendmail-wide
DSA 386 libmailtools-perl
DSA 387 gopher
DSA 388 kdebase
DSA 389 ipmasq
DSA 390 marbles
DSA 392 webfs
DSA 394 openssl095
DSA 395 tomcat4
DSA 396 thttpd
DSA 397 postgresql
DSA 399 epic4
DSA 400 omega-rpg
DSA 401 hylafax
DSA 402 minimalist


Verschiedene Bugfixes
---------------------

Diese Revision fügt wichtige Korrekturen zu den folgenden Paketen
hinzu. Die meisten betreffen nicht die Sicherheit des Systems, können
jedoch die Integrität der Daten betreffen.

console-data korrigiert Unterstützung für Sun-Tastaturen
debianutils verhindert unendliche CPU-Benutzung
gnupg Sicherheits-Update vom Autor und Kompatibilitätskorrektur
intlfonts behebt Lizenzprobleme
jigdo unterstützt jetzt aktuelle cdimage-Archive
liblocale-gettext-perl korrigiert schweren Fehler
libphp-adodb verhindert potentiellen Datenverlust
libprinterconf, pconf-detect funktionierte vorher nicht
nano korrigiert nerviges Misfeature für boot-floppies
procmail verhindert potentiellen Datenverlust
procps korrigiert Absturz-Misfeature
python-pgsql verhindert potentiellen Datenverlust
shorewall korrigiert unbeabsichtigte Netzwerkausfälle
snmpkit Paket enthielt keine Binär-Komponenten
spamassassin entfernt abgeschaltetes relays.osirusoft.com
util-linux Patch für Kernel 2.4.19 für MIPS
xnc verhindert Zusammenbruch des Menü-Systems
zlib Sicherheits-Korrektur (CAN-2003-0107)

wären die upgedateten Pakete im aktuellen Woody (3.0r2)

Find ich nicht extrem wenig. Aber zugegebenermassen ist der Aufwand für ein eintragen der security-server in sources.list und ein regelmässiges apt-get upgrade ein kleiner aufwand (kann man ja auch per cron machen...)

MfG Peschmä

elrond
26-11-2003, 09:43
ich bin gerade in einem anderen Forum (ja ich gehe fremd) über folgenden Bild gestolpert. Passt irgendwie ganz gut zum Thema, denn genau das hat M$ vor...

http://www.illner-blankensee.de/pix/penguin.gif

irgendwie schaff ich's nicht das bild direkt anzuzeigen...:(

als ich es genau so im PHP-Bereich ausprobiert habe gings :confused:

tuxipuxi
26-11-2003, 12:45
hi,

@peschmae:

was sind das fuer sicherheitsaktualisierungen und aus welchem zeitraum stammen sie? das sieht da so kritisch aus mit den sicherheitsluecken, nur sind das bei vielen sachen solche lapalien.... ich wuesste z.b. gerne wieviele leute denn ein sicherheitsproblem bekommen haben, weil in kde ein fehler im pdf part war.

<ironie> in file war wahrscheinlich das problem, dass man mit einer datei, die bei bit 1203321 eine bitfolge von 10010011 hat, einen buffer overflow provozieren kann </ironie> :)

gruss,
Michael.

peschmae
26-11-2003, 13:00
das sind die wegen Sicherheitsproblemen aktualisierten Pakete von Debian stable (Woody) seit dem Release am 19. Juli 2002, also knapp 1 1/2 Jahre.

Hab ich auch schon im Original-Posting geschrieben. Sicher ist nicht jede Sicherheitslücke für jeden relevant, aber es sind trotzdem recht viele.

Natürlich will ich nicht behaupten, das Linux jetzt unsicherer sei als Windows oder so, aber wirklich sicher ist es noch lange nicht. Schon nur dass cdrecord und so bei den meisten setuid root laufen eröffnet Möglichkeiten...

MfG Peschmä