Skip to content

Verbreitung und Sicherheit ...

Ich höre sehr häufig in Diskussionen, dass von einer Anwendung oder einem Betriebssystem mehr Sicherheitslücken bekannt sind, weil sie oder es ja weiter verbreitet ist. Das ist ein Irrglaube. Die weitere Verbreitung sorgt dafür, dass ein System häufiger angegriffen wird, weil potentieller Angreifer so einen Hebel für eine Vielzahl von Installationen bekommen. Ein System ist aber nicht weniger sicher, nur weil es weiter verbreitet ist. Umgekehrt ist es auch nicht so, dass ein System nur aufgrund von geringerer Verbreitung sicherer ist.

Zuletzt habe ich diese Aussage auf dem Barcamp Liechtenstein in Utes Session über Blogsysteme gehört. Wordpress ist unsicherer als andere Blogsysteme, weil es weiter verbreitet ist ... Ausser acht gelassen wird, dass die Weiterentwicklung von Wordpress sich zum grossen Teil an neuen Funktionen orientiert wohingegen andere Blogsysteme sich eher in Richtung Stabilität weiterentwickeln.

Wer mag, kann sich mal die Statistiken bei Secunia anschauen.
- Serendipity 1.x (0% unpatched)
- Wordpress 2.x (19% unpatched)
- Ubuntu 8.04 (0% unpatched)
- Ubuntu 9.04 (0% unpatched)
- Windows Vista (5% unpatched)
- Windows 7 (25% unpatched)
- Debian 5.0 (0% unpatched)
- Mac OS X (5% unpatched)

Ihr müsst selber herausfinden, ob die Lücken für Euch ein Grund zur Sorge sind.

Trackbacks

miradlo bloggt   am : Wie sicher ist bekannte Software wie WordPress, Firefox oder so…

Vorschau anzeigen
WordPress Statistik 19% unpatched Serendipity Statistik 0% unpatched Firefox 3.0 Statistik0% unpatched Firefox 3.5 Statistik 0% unpatched Dirk hat in meiner Session beim Barcamp Liechtenstein als es um Blogsoftware ging secunia.com erwähnt und ...

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Gerald am :

*Ich glaube, es ist auch ein weiterer Irrglaube, anzunehmen, dass ein System nur deshalb nicht angegriffen wird, weil es wenig verbreitet ist. Nehmen wir mal an, ich wäre ein Virusschreiber, dann würde ich folgende Überlegungen anstellen:

Linux und Ubuntu läuft immerhin auf Millionen Rechnern (Windows auf Millarden, na gut). Linux-User nehmen aber generell an, immun gegen Viren zu sein. Linux-User ergreifen also keinerlei Schutzmaßnahmen und sind grundsätzlich unvorsichtig. Also könnte ich mit einem Virus innerhalb von wenigen Tagen Millionen Rechner kapern!

Dass diese Überlegung legitim ist, zeigen Smartphone-Viren, die es schon gibt. IPhones oder andere sind sicher nicht weiter verbreitet als Linux-PCs.

Wenn man bedenkt, dass die größten (schlafenden) Botnetze auf ca. 20 Millionen geschätzt werden, die größten bisher aktiven auf 3 - 3,5 Millionen PCs, wäre ein solcher Linux-Virus also ein gewaltiger Erfolg!

Es passiert deshalb nicht, weil es schlicht praktisch unmöglich ist, einen Linux-Virus zu schreiben. Und zwar auf Grund des Sicherheitskonzepts, des raschen Stopfens von Lücken, dass es kaum wirklich kritische Lücken gibt, und des modularen Systemkonzepts, das dafür sorgt, dass praktisch keine zwei völlig gleichen Systeme auf diesem Planeten existieren, weil sich das System an die Hardware und an seine Verwendung anpasst. Windows hingegen verwendet ein und denselben Kernel in 2003, 2008, Vista und 7 und hat sämtliche Treiber, Bibliotheken und Zusatzprogramme immer an Bord (es sei denn, man manipuliert die Installations-DVD), ob sie benötigt werden oder nicht. Aber langsam denkt Microsoft sogar selbst über einen modularen Kernel nach...

burli am :

*Man darf gerade im Web auch nicht die automatischen Angriffe unterschätzen, die einfach mal blind versuchen, Formulare auszufüllen oder URL's nach bekannten Schemata zu manipulieren.

Sogar eine selbst programmierte Webseite kann zufällig gehackt werden, weil durch einen automatischen Hackbot eine Sicherheitslücke erwischt wurde.

Mike1 am :

*> Es passiert deshalb nicht, weil es schlicht praktisch unmöglich ist, einen Linux-Virus zu schreiben. Und zwar auf Grund des Sicherheitskonzepts, des raschen Stopfens von Lücken, dass es kaum wirklich kritische Lücken gibt, und des modularen Systemkonzepts, das dafür sorgt, dass praktisch keine zwei völlig gleichen Systeme auf diesem Planeten existieren, weil sich das System an die Hardware und an seine Verwendung anpasst

Da übertreibst du aber etwas. Vom Technischen her ist ein Trojaner noch nie ein Problem gewesen. Solange der User etwas ausführen darf, kann man versuchen ihn dazu bringen einen Schädling auszuführen und sich dadurch selbst zu schaden. Sicherheitslücken sind doch vermutlich eher selten das Problem.

Holgersonn am :

*Punkt.

Schadhafter Code ist unter Linux genauso schnell geschrieben wie unter Windows. Und selbst Code der nur unter Benutzerrechten läuft kann schon einigen Schaden anrichten.

Dirk Deimeke am :

*Ich gebe Dir Recht.

Allerdings bekommen neu heruntergeladene Dateien nicht automatisch das "x-Attribut", was nicht heisst, dass eine GUI, die bestimmte Anwendungen mit Dateitypen verknüpft hat, nicht trotzdem bestimmte Sachen ausführt.

Kommentar schreiben

Gravatar, Favatar, Pavatar, Identica, Twitter, MyBlogLog Autoren-Bilder werden unterstützt.
BBCode-Formatierung erlaubt
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
Formular-Optionen