Afgelopen jaar zijn er in totaal 5198 lekken in software gemeld. Dit blijkt uit het jaaroverzicht van US-CERT, Amerikaans overheidsorgaan op het gebied van beveiliging. Het grootste aantal gaten zat in Linux- en Unix-software.
In Unix- en Linux-systemen zaten in totaal 2329 kwetsbaarheden. In Windows en de daarop draaiende applicaties 812. Daarnaast waren er nog 2058 lekken die niet specifiek waren voor een bepaald besturingssysteem. Alle aan US-CERT gemelde bugs zijn te bekijken in het online-overzicht.
De CERT-lijst vermeldt sommige bugs meer dan eens, omdat er in de loop van het jaar steeds nieuwe gegevens over de gaten beschikbaar kwamen. Het daadwerkelijke aantal 'unieke' fouten ligt dan ook lager dan de genoemde getallen. Verder vermeldt het CERT-overzicht niet welke van de fouten gerepareerd zijn of hoe ernstig de gaten zijn.
Als je dit zo leest zou je denken dat Unix/Linux-systemen minder veilig zijn dan Windows.
Een kritische lezer ziet echter dat applicaties ook zijn meegenomen. De ernst van de ‘lekken’ staat niet vermeld, de oplossingstermijn evenmin. Bij Unix/Linux worden beta-kernels ook meegeteld. Dezelfde ‘fout’ staat bij Unix/Linux meerdere malen vermeld de verschillende vendors (maar het betreft dezelfde applicatie). Updates van meldingen worden als losse meldingen geteld.
Even tellen leert ons:
– gemiddeld aantal problemen bij Unix-vendors: 200 per vendor
– gemiddeld aantal problemen bij Windows-vendors: 800
En dat niet alleen, Unix/Linux apps zijn over het algemeen open source.
Fouten kunnen zo al ontdekt worden voordat iemand er tijdens het gebruik tegen aan loopt.
Bij closed source kunnen alleen die fouten worden gemeld welke ook daadwerkelijk voor problemen zorgen bij gebruikers. De fabrikant zelf zal de fouten welke hij in zijn eigen software tegenkomt niet melden.
Als de beta kernels worden meegeteld waarom wordt de beta van windows vista dan niet meegeteld? Daar bleken namelijk nog 10.000 bugs in te zitten. Kortom ik geloof er niets van dat beta kernels worden meegeteld. Beta is niet stable en zou dom zijn om mee te tellen
Ik kwam onderstaand bericht tegen op Tweakers.net. De lijst is volgens diverse bedrijven niet eerlijk. Lees zelf
Red Hat heeft kritiek geuit op een overzicht van de US-CERT waarin wordt gemeld welke fouten in besturingssystemen de organisatie het afgelopen jaar heeft gemeld. Het overzicht, genaamd ‘Cyber Security Bulletin 2005 Summary – 2005 Year-End Index’ verdeelt de bugs in software in drie categorieën, namelijk fouten die betrekking hebben op Linux en Unix, fouten die betrekking hebben op Windows en fouten die meerdere besturingssystemen treffen. In totaal heeft het US-CERT 5198 meldingen gemaakt van fouten, waarvan er 812 betrekking hadden op Windows, 2328 op Linux/Unix-systemen en 2058 fouten zogenaamde ‘multiple operating systems vulnerabilities’ zijn.
US-CERT logoVolgens Red Hat klopt het overzicht echter niet, omdat de fouten niet goed zijn ingedeeld. Zo staat Firefox in het overzicht onder Unix/Linux, terwijl deze browser ook perfect onder Windows functioneert. Hetzelfde geldt voor de softwarepakketten Apache en PHP, zo stelt Red Hat. Naast Red Hat hebben ook de securitybedrijven Secunia en Common Vulnerabilities and Exposures, een organisatie die een vulnerability-database bijhoudt, zich achter de kritiek van Red Hat geschaard. Volgens de organisaties geven dergelijke lijsten een onjuist beeld van de veiligheid van de betreffende besturingssystemen. Naast het aantal fouten is namelijk ook het type van de fout, de ernst van de fout en de snelheid waarmee de fout wordt opgelost van belang. Deze gegevens zijn niet terug te zien in de cijfers die in het US-CERT-rapport worden genoemd.