Tietoturvareikäinen Ubuntu

[igor_2]

Tässä varmaankin useita kiinnostava uutinen.

"Vista paras ensimmäiset 90 päivää"
Microsoft runttaa kilpailijoiden tietoturvan

Microsoft on tehnyt raportin Vistan ja muiden käyttöjärjestelmien taivalluksen alusta, ja sen mukaan Vista lyö esimerkiksi Linuxin selvästi . Vistasta ei ole juuri löydetty turva-aukkoja, kun taas Linuxeista löytyi samana aikana kymmeniä tai satoja aukkoja.

Raportin on tehnyt Microsoftin tietoturvayksikön johtoon kuuluva Jeff Jones. Hän muistuttaa, että tietoturva-aukkojen löytämisen nopeus ja määrä on kasvanut selvästi viime vuosina, joten teoriassa uudesta käyttöjärjestelmästä pitäisi löytyä paljon enemmän aukkoja kuin vanhasta.

Vista: 5 aukkoa, 4 korjaamatta

Mutta Windows Vistasta on ensimmäisen 90 päivän aikana löytynyt vain 5 turva-aukkoa, joista yksi oli vakava. Näistä on korjattu yksi ja neljä oli korjaamatta 90 päivän rajan sulkeuduttua.

Windows XP:stä löydettiin samana 90 päivän aikana 14 haavoittuvuutta, joista 8 oli vakavia. Korjaamatta jäi jakson loppupuolella 4 aukkoa.

Ubuntu ja Red Hat helisemässä

Jones vertasi näitä lukuja Red Hat Linuxin ja Suse Linuxin työasemaversioiden vastaaviin lukuihin. Linux-aukoista laskettiin vain sellaiset, jotka liittyivät sellaisiin Linuxin osiin, jotka löytyvät myös Windowsin perusasennuksesa. Red Hat Enterprise Linux 4 Workstation -versiosta löytyi jo ennen julkaisua 86 turva-aukkoa, joista julkaisun yhteydessä korjattiin 34.

Kokonaisuutena Red Hatistä löytyi ensimmäisenä kolmena kuukautena 137 turva-aukkoa, joista 40 oli vakavia. Aikajakson lopussa aukkoja oli korjaamatta 64.

Vastaavat luvut Ubuntu Linuxille olivat Jonesin mukaan 71 turva-aukkoa, joista 27 oli vakavia. Aikajakson lopussa korjaamatta oli 29 aukkoa.

Novell ja Mac myös reikäisiä

Tuorein esimerkki on Novell Suse Linux Enterprise Desktop 10, joka julkaistiin viime kesänä. Susesta löytyi 80 turva-aukkoa, joista 30 vakavia. Korjaamatta jäi 90 päivän aikana 31.

Applen Mac OS X v10.4 ei ollut juuri parempi. Jonesin mukaan siitä löytyi alussa 20 reikää, joista 8 oli vakavia. Korjaamatta oli kolmen kuukauden jälkeen 17[

http://www.tietokone.fi/uutta/uutinen.asp?news_id=30048&tyyppi=1

En osaa ottaa kantaa suuntaan enkä toiseen.

Vaihdoin taannoin Ubuntuun ja yksi siirtymisen syy oli juurikin kuvitelma sen tämän hetkisestä turvallisuudesta. En sitten tiedä miten todellisuudessa, mutta ainakin toistaiseksi kaikki on pelannut mallikaasti. Toivotaan että jatkossakin.

[Asmo Koskinen]

Vaihdoin taannoin Ubuntuun ja yksi siirtymisen syy oli juurikin kuvitelma sen tämän hetkisestä turvallisuudesta. En sitten tiedä miten todellisuudessa, mutta ainakin toistaiseksi kaikki on pelannut mallikaasti. Toivotaan että jatkossakin.

Kuinka moneen virukseen olet törmännyt Ubuntussa? Tämän päivän Hesarissa Apple hehkuttaa koko sivun mainoksessaan:

"En halua vaarallisia viruksia!" -> Siirry Mac OS X:n käyttäjäksi.

Mac OS X tai Linux on hyvä ja turvallinen valinta - kyseinen tutkimus on osa M$:n tunnettua FUD-mainontaa

http://en.wikipedia.org/wiki/Fear%2C_uncertainty_and_doubt

Ystävällisin terveisin Asmo Koskinen.

[Echramath]

Mjoo, jos kysyy ja vastaa itse, saa aika hyviä tuloksia. Ei tämä ole edes mikään MS-spesifinen juttu, jos firma julkaisee raportin, jossa se on todennut itsensä parhaaksi, kannattaa suhtautua varauksella.

[lunatiC]

Tuttua propagandaa.. Jos haluat itse käytännössä kokeilla kummassa on parempi tietoturva - XP:ssä vaiko Ubuntussa niin asennappa molemmat puhtaana asennuksena ja koklaa kumpaan alkaa ekana virtaamaan viruksia..

[Sahtor]

Linuxista löydetään kokoajan uusia buffer over/underfloweja. Suurin ero Win / Linux korjauksissa on nopeus jolla yleisessä tiedossa olevat aukot tukitaan. Päivitetty Ubuntu on ainakin nimellisesti täysin turvallinen kun taas Windows on suuren osan aikaa avoin uusimpia haxerointeja vastaan.

Toinen kysymys on Ubuntu vs Redhat ja SELinux vs Hardened Gentoo vs OpenBSD... Tässä sarjassa Ubuntu taitaa olla helpoin kaapata. Käyttötarkoitus onkin toinen eli Ubuntu on desktop-distro jolla voi ajaa uusimpia PHP, MySQL ja Apache paketteja mutta sitä ei ole lukittu huonosti tehtyjä scriptejä vastaan.

[Risto H. Kurppa]

Tuli myös mieleen että mikä mahtaa olla Vistan käyttäjämäärä tässä vaiheessa verrattuna muihin - eli kuinka paljon niitä reikiä olisi kerennyt tulla esiin, minkä verran niitä tutkitaan vai onko paino vielä XP:ssä?

Ja toisaalta, ei se määrä vaan laatu. Vaikka Vistassa olisi ollut 5 reikää ja Ubuntussa 80, lienee aika sama, jos Vistaa kohtaa hyökkiminen kiinnostaa häjyjä enemmän, niiden viiden kautta saa aikaan varmaankin samanlaista jälkeä kuin 80:n, jos niikseen tulee.

Itse kyllä luotan Ubuntuun isommin kuin Vistaan, niin virusten kuin verkkohyökkäysten suhteen (OK, en Vistaa juuri ole käyttänyt, mutta anyway). Ja toivon ettei mikään repoista tuleva deb-paketti sisällä mitään kivaa 'siivoa kovalevy' - ylläriä, edes pääsiäisenä..


r

[Asmo Koskinen]

En osaa ottaa kantaa suuntaan enkä toiseen.

Laittakaa ihmeessä tämä lehti Firefoxin kirjanmerkkeihin ja kun aikaa löytyy, niin lukekaa kunnolla ja mieleen painaen. Ette ole aivan aseettomia M$:n FUD-vyörytysten edessä.

http://www.linux-magazine.com/issue/62

Erityisesti tämä artikkeli: http://www.linux-magazine.com/issue/62/Viruses_in_Linux.pdf

Turvallisen seks.. eikun tietokoneen käytön aakkoset artikkelin lopusta:

Safe Hex in Linux The rules for protecting Linux against viruses in are similar to the rules for other systems:
1. Never use the root account for regular work.
2. Avoid running binary files of unknown origin. Check them with rootkit and virus scanners first.
3. Carefully check every file before running it from the root account.
4. Keep your operating system up todate. Regularly install official security updates.
5. Secure your environment by using hard-to-guess passwords and other protections.
6. Track changes in the system using file system integrity tools.

Ystävällisin terveisin Asmo Koskinen.

[T.M]

Hmmm:

-Kuinka moni tietää että jonkun ubuntu-masiina olisi haksutettu normaali kotikäytössä. (Ei ole pyöritetty mitään puolivillaista web-palvelua yms.)
Itse en tunne yhtään tapausta että esim. selaimen exploitilla olisi saatu ubuntu kontilleen. (Tämä ei tarkoita tietenkään ettei näin olisi voinut tapahtua)

-Viruksilla/spywarella hidastuneita windows-koneita taasen tuntuisi marssivan vastaan useammin.

Pitäisikö minun tästä tehdä sitten jotain päätelmiä turvallisuuden suhteen.

[moonstone]

No voi jeesus.

Otetaampa nyt ensin järki käteen ja aletaan sitten vasta "hätäilemään"

Ubuntu linux ja Novell linux sisältää "hiukan" enemmän softaa kuin windows vista tai windows xp yhteensä.

Laskiko Microsoft mukaan myös Officen aukot? Mediaplayerin aukot? Outlookon aukot? IE:n aukot? Mitä kaikkea laskettiin?

Ubuntun ohjelmistovarasto sisältää n. 28gigaa tavaraa, joten kyllä sitä päivitettävää riittää . Avoin yhteisö myös ilmoittaa hanakammin ohjelmistovirheistä ja bugeista + muusta haitoista koska eivät pelkää negatiivistä peeärrää, vaan haluavat pitää softat hyvinä.

Linux-aukoista laskettiin vain sellaiset, jotka liittyivät sellaisiin Linuxin osiin, jotka löytyvät myös Windowsin perusasennuksesa. Red Hat Enterprise Linux 4 Workstation -versiosta löytyi jo ennen julkaisua 86 turva-aukkoa, joista julkaisun yhteydessä korjattiin 34.

Edit. http://www.csoonline.com/pdf/Vista_Vuln_Report.pdf

Sanokaa jos löydätte tarkemman dokumentin tuossa ei puhuta mistään "perusasennussoftista"

[Karri]

Voi jestas.
Softia on todellakin Linux-distroissa enemmän ja ohjelmistovirheitä ilmoitetaan hanakammin ja pikkiriikkisetkin reiät tunnutaan tukkivan hyvin Linux-puolella.
Aika älytön vertailutapa. Mutta täysin järjenvastainen oli Symantecin veto viime viikolla, että Windows on turvallisin koska siihen tuli 6 kk aikana vähemmän tietoturvapäivityksiä kuin muihin käyttöjärjestelmiin. Taisi heillä jäädä ala-asteen matikat käymättä.

[Ilkkal]

Miksi he eivät ottaneet FreeBSD:tä mukaan lukuun, olisiko ollut liian kova pala ?

[tmp]

Itse olen sitä mieltä, että Windows XP on tietoturvallinen käyttöjärjestelmä ja uskon että Vista on vielä turvallisempi (UAC, IE7 suojattutila, tietoturvaominaisuudet, jne.). Toki Vistassa on paljon uutta (kuten täysin uusi verkkokerros) mikä varmasti sisältää ongelmia.

''
"Things appear in the media, like 'open-source software is more secure, more reliable and there are less bugs.' Those are very dangerous statements," Cox said.
''
Linux guru warns on security of open-source code

Vistan yleisyyttä on kyllä vaikea arvioida, mutta tässä nyt ainakin yksi arvio:
Operating System Market Share for Calendar Q1, 2007

Linux käyttäjien pitäisi myös lopettaa FUD:n levittäminen Microsoftin tuotteista ja keskittyä tekemään Linuxista entistäkin paremman. Kyllä se sitten yleistyy kun se on tarpeeksi hyvä...

[Risto H. Kurppa]

Vistan yleisyyttä on kyllä vaikea arvioida, mutta tässä nyt ainakin yksi arvio:
Operating System Market Share for Calendar Q1, 2007

Linux käyttäjien pitäisi myös lopettaa FUD:n levittäminen Microsoftin tuotteista ja keskittyä tekemään Linuxista entistäkin paremman. Kyllä se sitten yleistyy kun se on tarpeeksi hyvä...

Hauska muuten miten nuo arviot eroavat. Ylläoleva linkki kertoo seuraavaa:
Windows XP    84.69%
Windows 2000    4.85%
Mac OS    4.32%
MacIntel    1.98%
Windows 98    1.57%
Windows ME    0.79%
Windows NT    0.69%
Windows Vista    0.54%
Linux    0.38%
Windows CE    0.04%
Windows 95    0.03%
Nintendo Wii    0.03%
PSP    0.02%
Hiptop    0.02%
Web TV    0.02%

kun taas Gartner arvioi 2007 - luvuiksi seuraavaa:

2007

Windows XP Professional 47,0%
Windows XP Home 28,6%
Windows 2000 Professional 9,1%

Windows Vista Business 4,2%
Windows Vista Home 4,9%

Mac OS 2,4%
Linux 1,9%

http://www.tietokone.fi/uutta/uutinen.asp?news_id=28952


Eli mittauksen ja arvion erot
linuxin 1.5 %yksikköä
Vistalla 8.6%yksikköä
MacOS:ien erot n. 3.9%yks

En tiedä mikä menee pieleen, arvio vai mittaukset vai molemmat..

Luulen silti että Linuxia olisi käytössä enemmän kuin 0.38% ja että vaikka gartner arvioi että kasvua vuoteen 2010 ei Linuxin markkinaosuudelle tulisi, luulen (ja toivon) itse muuta..


r

[Asmo Koskinen]

Kyllä se sitten yleistyy kun se on tarpeeksi hyvä...

Jaa että vuodesta 1995 esiasennetuilla Windowseilla ei ole mitään merkitystä... ilmeisesti Windows95 oli tarpeeksi hyvä, kun se yleistyi...

Windowsia käytettään siksi, kun mistään muusta ei tiedetä; mikä taas johtuu siitä, että uutena ostetussa koneessa on...

Jep, jep - tämä on täysin hyödytöntä suun pieksintää - M$ omistaa maailman, paha siihen on mennä väliin...

Ystävällisin terveisin Asmo Koskinen.

[lunatiC]

Itse olen sitä mieltä, että Windows XP on tietoturvallinen käyttöjärjestelmä

Kolmannen osapuolen softilla siitä ehkä saattaa sellaisen saada.. Vaan kun homma menee niin että käyttiksen pitäisi olla riittävän tietoturvallinen ilman mitään ylimääräisiä härpäkkeitä. Vielä älyttömämpää on se että nuo kolmannen osapuolen softat ovat melko usein maksullisia. Eli maksat siis siitä että sun koneeseen on mahdollista pesiytyä viruksia??

Vistaa pääsin kokeileen pari viikkoa sitten about puol tuntia.. Sen jälkeen jo XP:kin alkoi tuntumaan oikeasti hyvältä käyttikseltä. Uskomatonta mutta totta.

Edit:

Linux käyttäjien pitäisi myös lopettaa FUD:n levittäminen Microsoftin tuotteista

Eiköhän jokainen tälläkin palstalla ole joskus jotain mikkiksen käyttistä koneellaan pyörittänyt joten jokainen varmasti tietää millainen se winkku on. Joten tuo FUD mikkiksen suuntaan taitaa olla melko turhaa.

[Risto H. Kurppa]

Sellainen tuli vielä mieleen että jossain oli juttua joku aika siitä, kuinka monta päivää viime vuonna Firefoxissa ja IE:ssä oli joku vakava reikä auki. Muistaakseni Firefoxissa ol enemmän 'varmoja päiviä'.

r

[tmp]

Jaa että vuodesta 1995 esiasennetuilla Windowseilla ei ole mitään merkitystä... ilmeisesti Windows95 oli tarpeeksi hyvä, kun se yleistyi...

W95 oli kyllä hyvä aikanaan. Sen aikaiset Linuxit olivat vielä kohtuullisen PITA ainakin "taviksille" liian hankalia käyttää. Mielestäni Linux on vielä todella nuori käyttöjärjestelmä mitä tulee sen käyttöön työpöydillä. Sen kehitys on ollut todella vauhdikasta.
Omasta mielestäni Linuxin tuleminen työpöydille tosissaan alkoi vasta kernel 2.6 ja Project Utopia aikoihin, eli ei niin kovin montaa vuotta sitten...

Windowsia käytettään siksi, kun mistään muusta ei tiedetä; mikä taas johtuu siitä, että uutena ostetussa koneessa on...

Windowssia käytetään siksi koska muusta ei tiedetä ja siksi koska se on (tarpeeksi) hyvä käyttöjärjestelmä. Sille on loistavia ohjelmistoja niin kaupalliselta kuin open source puolelta.

Jep, jep - tämä on täysin hyödytöntä suun pieksintää - M$ omistaa maailman, paha siihen on mennä väliin...

MS Windowssineen on kiistämättä ykkönen tällä hetkellä.

Linux käyttäjien FUD:n levittäminen on vähintään yhtä rasittavaa kuin Microsoftin. *BSD käyttäjät ovat huomattavasti maltillisempia ja keskittyvät tekemään käyttöjärjestelmästään parempaa ja jättävät metelin pitämisen vähemmälle. Olen täysin vakuuttunut, että avoimen lähdekoodin ohjelmat/käyttöjärjestelmät tulevat vielä yleistymään. Vie tottakai aikaa ja toivon sen tapahtuvan niin, että ihmiset valitsevat avoimet ohjelmistot koska ne ovat niin hyviä eikä MS FUD:n takia.

[tmp]

Sellainen tuli vielä mieleen että jossain oli juttua joku aika siitä, kuinka monta päivää viime vuonna Firefoxissa ja IE:ssä oli joku vakava reikä auki. Muistaakseni Firefoxissa ol enemmän 'varmoja päiviä'.

Joo tuollainen juttu tosiaan viime vuoden puolella pyöri. Silloin ei mielestäni vielä IE7:aa ollut tullut, joten tavallaan juttu on jo joiltain osin vanhentunut. Tosin IE7 taitaa tarjota vain Vista käyttäjille tietyt tietoturvaominaisuudet.

Firefoxiin on tulossa myös tuo "protected mode" ominaisuus

[Risto H. Kurppa]

Sellainen tuli vielä mieleen että jossain oli juttua joku aika siitä, kuinka monta päivää viime vuonna Firefoxissa ja IE:ssä oli joku vakava reikä auki. Muistaakseni Firefoxissa ol enemmän 'varmoja päiviä'.

Joo tuollainen juttu tosiaan viime vuoden puolella pyöri. Silloin ei mielestäni vielä IE7:aa ollut tullut, joten tavallaan juttu on jo joiltain osin vanhentunut. Tosin IE7 taitaa tarjota vain Vista käyttäjille tietyt tietoturvaominaisuudet.

Ei vielä viime vuoden puolella ollut, kun 2006:tta arviotiin. Tässäpä lähde:
IE unsafe for 284 days in 2006 (ja jos oikein viestiä tulkitsin FF:lla vastaava luku on 9 päivää) http://blog.washingtonpost.com/securityfix/2007/01/internet_explorer_unsafe_for_2.html


(tiedonhaku on muuten aika hauskaa - pyrkiä muistamaan/kirjoittamaan parhaat mahdolliset hakusanat jotta se, mitä hakee tulee heti ensimmäisellä sivulla näkyviin

(ja ei, ei selainsotaa mutta näin aihetta liippaavana vain, esimerkkinä että on vaikea sanoa juuta tai jaata että kumpi nyt sitten on turvallisempaa, avoin vai suljettu..)

Ja vielä kuuminta hottia alalta: http://www.digitoday.fi/page.php?page_id=9&news_id=20077566&rss=6
Ohjelmistojen tietoturvatestaustyökaluja kehittävä Codenomicon Oy on aloittanut projektin kriittisten ohjelmistovirheiden korjaamiseksi avoimen lähdekoodin (open source) ohjelmistoissa.


r

[tmp]

(tiedonhaku on muuten aika hauskaa - pyrkiä muistamaan/kirjoittamaan parhaat mahdolliset hakusanat jotta se, mitä hakee tulee heti ensimmäisellä sivulla näkyviin

Heh sanos muuta .
Codenomicon OY:tä aikaisemmin samaa hommaa teki yksi toinen firma, minkä nimeä nyt en tähän hätään googletuksella löytänyt.
Firma ilmoitti monesta open source projektista olleista tietoturva-aukoista.

Noh, ehkä se vielä löytyy kunhan hakusanat osuvat lähelle...