Linux sichererer als OS X?

[kyxh2o]

Top 50 products having highest number of cve security vulnerabilities in 2015

Die CVE-Listen sind KEINE Rangliste bzgl. Verwundbarkeit von Applikationen und Betriebssystemen, das sollte jedem klar sein, der diese zitiert. Dazu gab es kürzlich erst wieder einen Bericht auf ct'

"Die CVE-Liste eignet sich nicht als Indikator zur Beurteilung der Sicherheit von Software. Denn nicht jede reale Sicherheitslücke erhält eine CVE-Nummer. Außerdem spielt für die Rangliste keine Rolle, wie viele Lücken tatsächlich von Angreifern ausgenutzt werden, wie groß die Gefahr für die Nutzer dabei ist und wie schnell die Lücken geschlossen wurden."
Quelle: CVE-Statistik: Viele Sicherheitslücken in Mac OS X, iOS und Flash gemeldet

 

[xentric]

Microsoft blieb und bleibt nichts anderes übrig. Die machen das nicht freiwillig, sondern weil sie müssen. Und sie machen das auch nicht weil sie es einsehen, sondern weil sie sich sonst den Zorn der (Groß-) Kunden zuziehen. Da liegt leider auch der Hase im Pfeffer. Wenn Microsoft wollte, dann könnten sie relativ problemlos ein "sicheres" Betriebssystem entwickeln. Konzepte dazu gibt es in der Informatik zur Genüge. Und sie sollten genügend kluge Köpfe haben um sich zur Not ein paar neue Konzepte auszudenken. Sie tun es aber nicht. Zum einen, weil es einen Haufen Geld kostet (alles neu schreiben, nichts übernehmen) und sie sich damit für die nächsten Jahre die Bilanz verhageln. Zum anderen weil dann die Kunden plötzlich mit einem zu alten Windows-Versionen absolut inkompatiblen Betriebssystem umgehen müssen. Und es Anfangs nicht genügend Fremdsoftware gäbe.

Davon mal ganz abgesehen zeigen die stetig aufgefunden Sicherheitslücken eines nur zu gut: ja, es wird gesucht, aber während der Entwicklung wird nicht wirklich an Sicherheit gedacht (okay, das Problem haben praktisch alle Hersteller, die Deadline ist wichtiger). Außerdem kaufen sich alle Hersteller Entwicklungsleistungen extern dazu. Wie diese Software dann programmiert wird...? Das erschwert auch die Suche nach Sicherheitslücken. Wenn man an Closed-Source - Software denkt, dann kann dort ausschließlich der Hersteller mit einer gewissen Sicherheit und entsprechenden Prozessen nach Sicherheitslücken suchen. Alle anderen, auch die Security-Cracks!, sind auf das Prinzip Zufall, Disassembler und detektivisches Kleinklein angewiesen. Das sind keine guten Voraussetzungen um sich wohl zu fühlen.

Aber selbst wenn der Quellcode einsehbar ist, kann eine Prüfung auch nur einer einzigen Applikation sehr komplex sein und Monate dauern (siehe TrueCrypt). Nur haben bei OSS die Spezialisten viel mehr Angriffsfläche. Von daher wundert es mich überhaupt nicht, dass in OSS (Linux, Darwin, etc.) tendenziell "mehr" Sicherheitslücken gefunden werden.
Außerdem muß man bei diesen Vergleichen immer sehr vorsichtig sein und die Komplexität einer typischen Installation berücksichtigen. Ein Betriebssystem out-of-the-box, frisch installiert, zeigt weniger / andere Sicherheitslücken als ein Server-OS mit installierter Datenbank, Applikations- und Webserver.

Servus

kg

Stimme ich im Weiten zu, nur ein Punkt:
Du widersprichst dich etwas. Klar, ist da ein kommerzieller Druck, und MS musste nach XP reagieren und Werte wie Sicherheit und passende Prozesse definieren, weil es ohne sicher nicht gut weiter gegangen wäre, aber sie tun es. Klar, gibt es da Sachen zu beachten. Es wäre ziemlich unmöglich und etwas torricht von MS von Null anzufangen wie du es meinst und viele APIs und Drittsoftware über Board zu schmeißen. Und Konzepte in der Informatik, ... sind so eine Sache. Vor 10 Jahren hieß es mal, Java ist sicher..

Und zu dem anderem. Ich stimme voll zu. Sicherheitsvergleiche bei solch etwas Komplexen wie einem OS sind schon hart fragwürdig, ja, selbst bei Browsern und Mediaplayern. Deshalb ist für mich auch die Philosophie die dahinter steckt wichtiger geworden in den letzten Jahren. Es gibt Software von Leuten, den vertraue ich. Als Beispiel, Ich würde z.B. auf meinem Server immer qmail jedem Exim/Postfix vorziehen, weil es von djb kommt.
Meiner Meinung nach, MS hat es verstanden (mit 10+ Jahren Entwicklung in diese Richtung). Ich hab selbst Linux (auch aus Beruflichen grüden (ein Teminal mit ssh ist schon etwas feines)), aber bei Apple ist mir da noch zu viel Marketing, und zuwenig "machen" und vor allem zu viel Featureritis als Hauptaugenmerk. Wenn ich mir einige der Lücken von Apple in den letzten Jahren anschaue, kommt einem echt das gruseln. Und wenn dann die ganzen Leute ankommen, und von Sicherheit reden, weil OS X ja ein Unix ist und es Benutzertrennung gibt, kann man sich nur noch die Haare rausreißen..

Die CVE-Listen sind KEINE Rangliste bzgl. Verwundbarkeit von Applikationen und Betriebssystemen, das sollte jedem klar sein, der diese zitiert. Dazu gab es kürzlich erst wieder einen Bericht auf ct'

"Die CVE-Liste eignet sich nicht als Indikator zur Beurteilung der Sicherheit von Software. Denn nicht jede reale Sicherheitslücke erhält eine CVE-Nummer. Außerdem spielt für die Rangliste keine Rolle, wie viele Lücken tatsächlich von Angreifern ausgenutzt werden, wie groß die Gefahr für die Nutzer dabei ist und wie schnell die Lücken geschlossen wurden."
Quelle: CVE-Statistik: Viele Sicherheitslücken in Mac OS X, iOS und Flash gemeldet

Ist mir schon klar. Ich hab das nicht umsonst auf den Beitrag von Pill zitiert. Ich hab nie eine Aussage über deren Relevanz getroffen. Ich weiß, wie ich Sicherheitslücken einzuschätzen habe. Mir geht nur dieses ständige MS gebashe auf den Zeiger mit fragwürdigen Statistiken, Halbwissen von vor 10 Jahren, ..
Aktuell, ich würde jedes Windows 10 jeglichen OS X vorziehen, wenns um Sicherheit geht.

 

[kamagong]

Stimme ich im Weiten zu, nur ein Punkt:
Du widersprichst dich etwas. Klar, ist da ein kommerzieller Druck, und MS musste nach XP reagieren und Werte wie Sicherheit und passende Prozesse definieren, weil es ohne sicher nicht gut weiter gegangen wäre, aber sie tun es. Klar, gibt es da Sachen zu beachten. Es wäre ziemlich unmöglich und etwas torricht von MS von Null anzufangen wie du es meinst und viele APIs und Drittsoftware über Board zu schmeißen. Und Konzepte in der Informatik, ... sind so eine Sache. Vor 10 Jahren hieß es mal, Java ist sicher..

Richtig... "Java ist sicher"... hinter mir hab ich noch so einen Wälzer stehen der das auf den ersten Seiten hervorhebt. Ja, im nachhinein ist das wirklich amüsant.

Aber wo ein Wille ist, ist auch ein Weg. Ob Microsoft oder ein anderer, irgendwer wird sich eines schönen Tages im stillen Kämmerchen die Hände schmutzig machen und anfangen. Der heute übliche Flickenteppich an Patches ist ein Irrweg. Die heute existierenden Sicherheitskonzepte sind nichts anderes als Nebelkerzen für den Kunden und für den Hacker. Ich glaube nicht, dass so ein neues Betriebssystem von heute auf morgen Windows in Gänze ersetzen könnte, aber es könnte in bestimmten Bereichen Windows Zug um Zug ablösen. Da denke ich vor allem an Server.

Gruß

kg