<< vista-blog.de verlost Windows Live OneCare | Springboard - Das Windows Vista Sprungbrett >>

Vista ist sicher.

von Georg Binder 24. January 2008 23:30

Wenig überraschend: Vista ist sicher. Auch und speziell im Vergleich mit anderen Betriebsystemen. Sagt jedenfalls Jeff Jones, der liefert ja regelmäßig Reports mit konkreten Zahlen, so auch jetzt wieder. Auf dem PTS Blog ist ebenso schon ein Artikel dazu erschienen.

Über Jeff Jones:

Jeff has been a security guy for 20 years. Some of the more interesting jobs he's done: security consultant doing risk assessments for the Air Force; security consultant for the NSA Orange Book program; kernel and TCP/IP developer for Trusted Xenix; Darpa researcher; VPN developer for Gauntlet firewall; security consultant in EMEA; Director of Product Management for McAfee corporate AV; VP of Product Management for PGP, Cybercop Scanner and Gauntlet firewall; and a director in the Microsoft security group.

So, was gibt es neues? Eigentlich nicht viel, die "hardened services" und vieles mehr, nicht zuletzt die Reduzierung der Angriffsfläche durch UAC bringt erwartungsgemäß mehr Sicherheit. Allerdings: UAC hin oder her, solange der Benutzer in der Erwartung irgendeines Ereignisses beim Anklicken von "Lustiger-Striptease.exe" ist, das wahrscheinlich not-save-for-work wäre,...

Untersucht hat Jeff das erste Jahr des jeweiligen Produkts. Dieser Report soll einen Rückschluss auf das Einfließen von Sicherheit bei der Entwicklung ermöglichen. Eine Übersicht über das Kalenderjahr (also z.B. Sicherheitslücken 2007) hat Jeff angekündigt für einen seiner nächsten Berichte.

vista_security2

Auch aus finanziellen Überlegungen interessant: Wie viel Arbeit verursachen die einzelnen Betriebssysteme? Wie oft muss ich patchen?

Bei Ubuntu wäre in 39 Wochen des Jahres insgesamt 80 Patches einzuspielen gewesen.
Bei Vista in 9 Woche ganze 17 Patches. (ich nehme hier absichtlich Ubuntu raus und nicht Red Hat, das noch schlechtere Zahlen hat, weil ich den Eindruck habe, dass das momentan mehr "in" ist).

vista_security

Kritik

Seitdem Jeff Jones seine zahlen veröffentlicht, gibt es Kritik daran. Klar, wenn man mal solche Zahlen vor sich sieht und die ganz und gar nicht in das eigene Weltbild passen, dann müssen sie ja falsch sein. Oder so.

Microsoft zählt Lücken anders, oder verheimlicht sie, patcht mit einem Patch gleich mehr,...
Es gibt genug unabhängige Security Listen, da kann Microsoft nicht sonderlich viel verheimlichen. Und "heimliche" Patches, z.B. solche, die einen Bug fixen, der sich später als sicherheitsrelevant herausstellt, das kommt auch bei anderen vor. Aber richtige Strategie: aufzeigen wo Jeff Unrecht hat. Und zwar nicht mit "stimmt alles nicht!" sondern ebenso mit Zahlen.!

In Linux-Programme sind ja tausende Programme dabei.
Jup, und deswegen schaut sich Jeff auch nur ein reduziertes Set an, und zwar eine Linux Desktop Maschine. Bei RHEL4WS: keine optionalen Komponenten, keine Server, die Sammlungen text-internet, graphics, office sowie Develepement Tools rausgenommen (...)

Lücken zählen ist nicht die einzige Methode Sicherheit zu messen!
Eh, sagt Jeff ja auch nicht und es werden je nach Report auch andere Schwerpunkte gelegt, z.B. Days-on-Risk, Serverbereich,...

Der ist von Microsoft, was soll der schon sagen!
Man kann jederzeit falsche Information widerlegen, hier oder auf seinem Blog. Dazu gehört allerdings, dass man seinen Report erst mal liest. Diesen Eindruck habe ich nicht von allen, die den Bericht verreissen,...

Mehr Information:

Tags: security , sicherheit

Allgemein

MEET Fragen - hier die AntwortenDer Live Webcast am Dienstag war so schnell um, wir sind leider nicht dazu gekommen, alle Fragen (di...FSF: 25 Mängel in Vista, warum GNU/Linux besser istNachdem ich schon gesagt habe, dass ich hin und wieder ein Auge auf badvista.fsf.org/ werfe, ist mir...Was an Vista nervtWie im Standard Chat versprochen (allerdings mit etwas Verspätung,…) poste ich hier „Was mich an Win...

Comments

1/24/2008 11:30:00 PM #

Danke für die Antwort.

Habe bei Apple nur vom Kernel gesprochen.

Zitat: Eine "von jedermann öffentliche und bearbeitbare" Bugliste direkt von Microsoft ist mir nicht bekannt, würde auch nicht Sinn machen.

Natürlich macht das Sinn. Macht die ganze Sache doch viel transparenter. Dem Vorwurf Fehler zu verheimlichen kann man so nicht ausgesetzt werden.

Mit "da muss man sich eben entscheiden" meinte ich, die Wahl zwischen einem System mit wenig Sicherheitsupdates pro Monat oder einem mit vielen Sicherheitsupdates pro Monat. Ich denke das bei Open Source Software systembedingt i.A. immer mehr Bugs gefunden werden als bei Closed Source. Das macht Closed Source Software aber nicht sicherer. Der wichtigste Punkt ist dabei ein wichtiger Grundsatz in der Sicherheitstechnik: Vertraue niemanden.

Übrigens wollte ich noch loswerden das Vista nicht sicher ist. Genauso so wenig wie jede andere Software.

Viele Grüße
Bo

Bo | Reply

1/24/2008 11:30:00 PM #

Ich bin nun wirklich kein Vista Hasser (habs seit erster Stunde installiert und arbeite auch damit), aber so lange elementare Funktionen wie das Verschieben grosser Verzeichnisse nicht anständig funktionieren ist die Sicherheit für mich auch nur zweitrangig.

rovi | Reply

1/24/2008 11:30:00 PM #

Naja, nicht nur Privatanwender... aber genau, wärs ein Serverblog, oder gar ein IIS 7.0 Blog, dann hätte ich wohl Erklärungsbedarf.

Georg Binder | Reply

1/24/2008 11:30:00 PM #

Was ich an dieser Studie und der Bemerkung "Vista ist Sicher" zu bemängeln habe:

Es wird der direkte Vergleich zwischen den entdeckten Sicherheitslücken gezogen... da schneidet Vista klar um längen besser ab.

Aber wenn ich mir so den Farbunterschied anschaue, sind unter Ubunte dennoch mehr der entdeckten Lücken geschlossen worden, was bei Vista nicht der Fall ist.

CChris | Reply

1/24/2008 11:30:00 PM #

Neee, war so gemeint:
Das Jahr hat 52 Wochen. Bei Ubuntu wäre man 39 Wochen (von 54) beschäftigt, bei Vista nur 9. Den Rest hat man Urlaub

[EDIT]Nach dutzenden Kommentaren hatte Hr. Rosi endlich mal recht Das Jahr hat tatsächlich 52 Wochen. [/EDIT]

Georg Binder | Reply

1/24/2008 11:30:00 PM #

Ich finde es auch nicht schlimm, zumal es ein Vista-Blog ist (also für Privatanwender) und kein Windows Server-Blog. Da fände ich es dann doch etwas erheiternd ;)

Michael S. | Reply

1/24/2008 11:30:00 PM #

@theonly

Bitte nicht posten mit (nicht einmal) halbwissen.
Und per Du sind wir auch nicht.
Danke!

mfg

linux polarisiert | Reply

1/24/2008 11:30:00 PM #

" ... einzig Geheime an einem Verschlüsselungsverfahren darf der Schlüssel sein ..."

Und genau darum das Misstrauen gegenüber Bitlocker, da einfach zu weng darüber bekannt ist (bis jetzt)...

Ach ja, Danke für Ihr Verständnis, ist in der Windows Welt nicht oft zu finden ... .)

mfg

linux polarisiert | Reply

1/24/2008 11:30:00 PM #

Also ich finde das eine Firma wie Microsoft oder Apple versuchen wird so wenig wie möglich Bugs zu veröffentlichen. Apple hat es da übrigens schwieriger da der Kernel auch OpenSource ist.

Ein OpenSource Kernel ist offen und alle möglichen Parteien können Fehler darin aufdecken. Auch Fehler die vielleicht bei der bloßen Bedienung nicht auffallen. Sicherheitsexperten können sich damit profilieren, dass sie einen Bug entdeckt haben. Einfacher funktioniert dies natürlich bei OpenSource Systemen.

Der entscheidene Punkt ist aber. Wieviel Prozent der entdeckten Bugs wurden gefixt? Und da schneidet MS Windows im allgemeinen sehr schlecht ab. 50% werden nicht berichtigt. Das denen das nicht peinlich ist.

Richtig ist natürlich das es mehr Arbeit macht alle Updates immer einzuspielen. Da muss man sich eben entscheiden.

Gibts bei Microsoft übrigens auch öffentlich zugängliche und von jedermann bearbeitbare Bug Liste wie bei Ubuntu? Hier ist die von Ubuntu: https://launchpad.net/ubuntu/+bugs

Die Frage ist ernst gemeint.

Viele Grüße
Bo

PS: Schöner Blog übrigens.

Bo | Reply

1/24/2008 11:30:00 PM #

MacOSX ist NICHT Open Source. Zwar stellt Apple das gerne so dar, und viele Komponenten sind oder bauen auf open Source auf, aber letztlich ist MacOSX Closed Source. Aber im Fall des Kernels stimmt's.

Zu gefixten/nicht gefixten Bugs: Hier muss man mal die Unterscheidung treffen, zwischen "sicherheitsrelevant" und "nicht sicherheitsrelevant" - und wenns um Sicherheit geht: In den letzten Jahren ist genau das Gegenteil der Fall, im Bereich Sicherheitslücken/Days on Risk ist Microsoft mittlerweile Vorbild. Peinlich muss in diesem Bereich Microsoft nichts mehr sein. Wenn das also der entscheidende Punkt ist,...

Bezüglich "Richtig ist natürlich das es mehr Arbeit macht alle Updates immer einzuspielen. Da muss man sich eben entscheiden."
Man muss sich entscheiden ob man ein kritisches Security Update einspielt? Na hoffentlich läßt man sich (egal unter welchem OS) nicht zu viel Zeit damit... und dann wirds eben schlagend, wie oft man das tun muss. Und hier glänzt Vista.

Eine "von jedermann öffentliche und bearbeitbare" Bugliste direkt von Microsoft ist mir nicht bekannt, würde auch nicht Sinn machen. Selbstverständlich ist die Verwendung von Bug Trackern während der Entwicklung und der Testphasen, tw. auch öffentlich bzw. mit Partnern (z.B. über Connect, Betanewsgroups, etc..).

Bekannte Fehler werden in den entsprechenden Knowledge Base Einträgen behandelt.

Georg Binder | Reply

1/24/2008 11:30:00 PM #

Mal ne ernsthafte Frage... auch wenn es Xp betrifft

Wie verschlüsselt man sein komplettes XP-System (Partition) ?
... ähnlich wie bei Vista mit Bitlocker
... oder mit Linux "dm-crypt" bzw "luks"

Interessant wäre jedoch nur eine NICHT Microsoft Lösung - Sorry, aber ich würde auch bei Vista nicht auf "Bitlocker" vertrauen!

mfg

linux polarisiert | Reply

1/24/2008 11:30:00 PM #

Ja, und? Debian Linux mit Apache und gehostet wird letztlich bei Hetzner, gibts ab 2 € im Monat Ich weiß jetzt gar nicht in welcher Sprache die Blogsoftware selbst ist.

Wir haben die Platform damals nach der Blog-Plattform und nicht nach dem technischen Background ausgesucht und aufgrund guter Zusammenarbeit bei vorherigen Projekten hat Twoday/Knallgrau als Agentur und technische Plattform das Rennen gemacht (ich glaube wir haben damals auch gar nicht angefragt, auf was das Ding eigentlich läuft, müßte ich Rolf fragen)

Auch zur Wahl standen damals: Wordpress, Windows Live Spaces,...

Würde heute die Wahl anders fallen: ja wahrscheinlich. Hätten wir gewußt, dass dieses Projekt statt 3 Monate (wie ursprünglich geplant) nun immerhin schon 15 Monate läuft, hätten wir uns um die Wahl noch mehr Gedanken gemacht. Vor allem die Live Writer Anbindung klappt nicht 100% (wegen ein bisschen Custom Code in der Blogsoftware,...).

Georg Binder | Reply

1/24/2008 11:30:00 PM #

He, ihr lustigen: Das eure Seite auf einem Linux-Server mit Apache läuft ist euch schon klar oder?

Falls ihr es nicht glaubt: uptime.netcraft.com/up/graph?site=vistablog.at

blueget | Reply

1/24/2008 11:30:00 PM #

Hm scheint sich vertippt zu haben, aus den Zahlen im oberen Bild geht aber hervor das er 39 Wochen schreiben wollte, es damit 17 - 80 steht ;)

Argo | Reply

1/24/2008 11:30:00 PM #

"Ein bitterer Beigeschmack bleibt trotzdem, da Vista+Bitlocker nun mal "Cloesed Source" sind und trotzdem viele Regierungen (auch Östereich) Zugriff auf den Quellcode haben und somit einen entscheidenden Vorteil auch gegenüber "Uns" haben.

Die Aussage eines verlässlichen Insiders (Österreich Bundesheer-Abwehramt) bezüglich Vista und Bitlocker - er würde nicht seine Sicherheit darauf bauen, möchte ich mal im Raum stehen lassen, mal davon abgesehen von der Nähe der US-Regierung usw. zu M$."

und ich bin ein freund von bill gates und kenne den vista quellcode sowieso.

sorry, aber weltverschwörungstheorien solltest du woanders posten. es ist so unwahrscheinlich, dass österreich oder ein anderer staat den quellcode von vista oder xp hat, wie es unwahrscheinlich ist, dass bald frieden im irak herrschen wird.

wenn, dann würde ich auf open source misstrauisch sein, denn da kennt JEDER den quellcode und es ist theoretisch JEDEM möglich eine opensource verschlüsselung zu knacken, weil der quellcode offen liegt.

theonly | Reply

1/24/2008 11:30:00 PM #

"Bei Ubuntu wäre in 39 Wochen des Jahres insgesamt 80 Patches einzuspielen gewesen.
Bei Vista in 9 Woche ganze 17 Patches."

Das sind dann bei Vista in 39 Wochen knapp 74 Patches, also ungefähr gleich? Oder fehlt ihr eine 3 damit der Vergleich passt, also beziehen sich die 17 Updates für Vista ebenfalls auf 39 Wochen?

Thomas | Reply

1/24/2008 11:30:00 PM #

Also ich wußte, dass mancher Computerfuzzi in seiner eigenen Welt lebt, aber dass dort das Jahr 54 Wochen hat ist etwas neues für mich

Bei uns hat das Jahr nur 52 Wochen. Mal sehen, hoffentlich kommen wir da nicht aus dem Takt

Herr Rosi | Reply

1/24/2008 11:30:00 PM #

Das Programm das "linux polarisiert" angesprochen hat nennt sich Shared Source und in Österreich nimmt zumindest das Innenministerium das in Anspruch.

http://www.heise.de/newsticker/meldung/44144

Und das Argument gegen Open Source/Verschlüsselung ist IMHO ... naja, sagen wirs so. Eine Verschlüsselung/Algorithmus darf und MUSS offengelegt sein und dokumentiert. Das einzig Geheime an einem Verschlüsselungsverfahren darf der Schlüssel sein. Wenn nicht,... na egal, ein bisserl was ist bei der Krypto Vorlesung auf der Uni noch hängengeblieben.

Georg Binder | Reply

1/24/2008 11:30:00 PM #

Danke für den Link "Details zur Verschlüsselung" .

Habe bisher erfolglos im Internet recherchiert bezüglich wichtiger Infos zu BitLocker - wie "AES-CBC-Cipher Block Chaining (Watermark-Attacks)" und anderen Details welche Licht ins BitLocker Dunkel bringen.

Was immer noch unklar ist ob beim Hashen des Passworts auf einen Salt verzichtet wird (gleiche Passwörter führen zu identischen Keys) od. ob beim Verschlüsseln der Keys mit nur einer einfachen Hashing-Iteration gearbeitet wird (vorausberechnete Wörterbuchangriffe...)

Ein bitterer Beigeschmack bleibt trotzdem, da Vista+Bitlocker nun mal "Cloesed Source" sind und trotzdem viele Regierungen (auch Östereich) Zugriff auf den Quellcode haben und somit einen entscheidenden Vorteil auch gegenüber "Uns" haben.

Die Aussage eines verlässlichen Insiders (Österreich Bundesheer-Abwehramt) bezüglich Vista und Bitlocker - er würde nicht seine Sicherheit darauf bauen, möchte ich mal im Raum stehen lassen, mal davon abgesehen von der Nähe der US-Regierung usw. zu M$.

Und so mancher, der in der (Privat) Wirtschaft tätig ist, wird meine Bedenken sicher nicht als paranoid abtun ...

Es ist nicht gerade witzig, wenn eines Tages die (Zivil) Wirtschaftspolizei vor der Tür steht mit Durchsuchungsbefehl, weil dich ein Mitbewerber anschwärzt und dein Büroinventar allen voraus PC-Hardware für Stunden beschlagnahmt wird (Nicht direkt mir pasiert).

Danke für den Link bez. Ultimaco, ist aber nicht mein Ding.

PS: Wer under Linux und Windows gemeinsam verschlüsselte Partitionen verwenden will : dm-crypt+luks (Linux) und Free OTFE (Windows) harmonieren sehr gut miteinander ...

mfg

liunx polarisiert | Reply

1/24/2008 11:30:00 PM #

Ich habe immer recht

Herr Rosi | Reply

1/24/2008 11:30:00 PM #

Der neue Outlook Kalender 2007 machts möglich.

Georg Binder | Reply

1/24/2008 11:30:00 PM #

Das mangelnde Vertrauen in Bitlocker hätte ich zwar gerne begründet, immerhin handelt es sich hierbei nicht um eine undokumentierte Security by Obscurity Lösung (www.microsoft.com/.../details.aspx">Details zur Verschlüsselung hier) aber wenn man eben auch XP versorgen will und das vielleicht im Zusammenhang mit SmartCards (die gleichzeitig Login- und/Oder Zutrittskontrolle usw... sein können) dann empfiehlt es sich mal bei Ultimaco vorbeizuschauen:
http://www.utimaco.de" rel="nofollow">http://www.utimaco.de">http://www.utimaco.de" rel="nofollow">http://www.utimaco.de

Georg Binder | Reply

1/24/2008 11:30:00 PM #

Jeff Jones hatte doch mit seiner "IE ist sicherer als FF" Aktion doch nur Kritik geärntet, da er nur die für ihn passenden Aussagen genommen hatte....
(Wie war das gestern nochmal? ;] )

Jeffs Bild: (Zahlen der Lücken seit Ende 2004 [IE gabs da schon zig Jahre, FF war noch ein kleines Projekt...])
lancejohnson.la.ohost.de/pics/IEsecurty1.jpg" border="0" />

Die Antwort vm FF Team: (Die Zeit, wie lange die Lücken offen und für jeden Nutzbar waren)
lancejohnson.la.ohost.de/pics/IEsecurity2.png" border="0" />

Dementsprechend vertraue ich dieser Studie wie der über den IE... garnicht

Benni K | Reply

Add comment

Name*
E-mail*
Website
Country Country flag

b i u quote

Notify me when new comments are added

Vista ist sicher.

Menü

Poll

Letzte Beiträge

Kommentare

Month List

Vista ist sicher.

Menü

Poll

Letzte Beiträge

Tags

Kommentare

Kategorien

BlogRoll

Month List