Open source-experts vinden het rapport waarin het Amerikaanse Computer Emergency Readiness Team (US-CERT) meldt dat Linux/Unix meer lekken kent dan Windows misleidend en verwarrend. Het rapport gaf een lijst van alle beveiligingslekken die afgelopen jaar zijn gemeld.
Het Cyber Security Bulletin 2005 werd vorige week gepubliceerd. Van de 5198 gemelde lekken waren 812 in Windows (en daarop draaiende software) en 2328 in Unix/Linux systemen (en daarop draaiende applicaties). De overige lekken zijn niet aan een bepaald besturingssysteem toe te schrijven, aldus CERT.
Mark Cox, consulting software engineer, van Red Hat vindt dat de lekken verkeerd zijn ingedeeld. "Zo zou Firefox een Unix/Linux lek zijn, maar Firefox draait ook op het Windows-platform. Hetzelfde geldt voor PHP en Apache", aldus Cox.
Ook NewsForge, online-krant over Linux en open source, uit kritiek op het CERT-rapport. "Zelfs het meest oppervlakkige onderzoek laat zien dat de twee cijfers niet representatief zijn voor de twee grote platformen", schrijven Joe Bockmeier en Joe Barr in een commentaar van de site.
Dit artikel kun je volgens mij ieder jaar weer herhalen….
Als je alleen kijkt naar het OS doet Linux het beduidend beter dan Windows. Windows laat zich nu eenmaal niet zonder een heleboel applicaties van Microsoft installeren maar dat is nog geen reden om de vele varianten die er van dat soor programma’s zijn voor Linux daar ook maar de bugs van mee te tellen onder de noemer Linux/Unix. Laat ze dan in vredesnaam ook eens kijken naar ALLE shareware e.d. die windows kent… daar zitten ook heel wat lekken in.
Zelf ben ik (onder windows) omgeschakeld naar FireFox en Thunderbird en heb sindsdien HEEL wat minder last van spyware en dergelijke. (en ja, dat maakt dus mn windows veiliger maar is wel open source en draait OOK op linux/Unix)
Oftewel; zet OS tegen OS af… browser tegen browser… dan heb je pas een helder vergelijk.
Zo staan er ook verschillende bugs meermalen gemeld met de toevoeging updated, er is dan informatie bijgekomen, maar het gaat nog steeds over dezelfde bug, regelmatig tot drie, vier of vijf keer toe, bijvoorbeeld:
RedHat Linux SysReport Proxy Information Disclosure
RedHat Linux SysReport Proxy Information Disclosure (Updated)
RedHat Linux SysReport Proxy Information Disclosure (Updated)
Wat ook krom is, is dat alle Unix/Linux vendors op een hoop worden gegooid, en alle bugs van verschillende vendors samengeteld worden alsof Unix/Linux een enkel product zou zijn. Zo wordt
RedHat Linux SysReport Proxy Information Disclosure in dezelfde statistiek opgeteld als
SCO OpenServer Auditsh HOME Environment Variable Buffer Overflow
of
Apple Mac OS X AirPort Card Automatic Network Association
Op deze wijze krijg je een nietszeggende statistiek.
Alsof je zou zeggen, Opel is de beste auto, want het had 1000 fouten, terwijl de overige auto’s 10.000 fouten hadden.
Deze kritiek is zo voor de handliggend dat je je afvraagt hoe het komt dat een gerenommeerd overheids-instituut als US-CERT dit toch publiceert
Op de lagere school leerde we al dat je geen appels met peren kunt vergelijken. het CERT – raport is blijkbaar op een zeer gammele basis opgesteld. Gewoon alle meldingen aanvinken, ongeacht oorsprong en betekenis en dat ook nog eens dubbel in sommige gevallen. Geen hoogstaand onderzoek dus maar eerder een mistbank opwerpen voor de gemiddelde lezer als het gaat om veiligheid. Iedereen met een beetje gezond verstand weet nu onderhand wel waar de gatenkaas gemaakt wordt, nee niet in Zwitserland.
Ook zegt het rapport niets over hoe kwetsbaar het ontdekte lek is, en of er patches voor zijn gemaakt en hoeveel tijd het kostte totdat een patch beschikbaar kwam. Juist die informatie is belangrijk om te kunnen bepalen of een product betrouwbaar is.