Mitternachtshacking

„Ganz Deutschland will am Mittwoch die 43 Millionen Euro gewinnen. […] Auch die Franzosen, Niederländer, Dänen, Schweizer und Österreicher stürmen die Annahmestellen in den Grenzregionen. Nur die Polen zeigen sich völlig unbeeindruckt vom Lotto-Jackpot.“ schreibt die Welt

Vielleicht liegt das ja daran, dass die Polen rechnen können. Der Pole Marian Rejewski hat als erster weit vor den Engländern die Enigma geknackt, die umgekehrte polnische Notation geht … genau, auf den Polen Jan Lukasiewicz zurück.

Bei Wikipedia gibt es einen brauchbaren Lotto-Artikel, der sogar die Gewinnwahrscheinlichkeiten enthält. Die Wahrscheinlichkeit, gar nichts zu bekommen liegt bei 98,1% und damit niedriger als bei praktisch allen anderen Glücksspielen. Die Stiftung Warentest hat 1999 das letzte mal die Lotterie-Angebote untersucht und irgendeine Klassenlotterie hat recht gut dabei abgeschnitten. Die Süddeutsche hat einen ganz netten Artikel dazu.

Jedenfalls ist die Wahrscheinlichkeit, dass mein Rechner mit Hilfe einer unbekannten 0-Day-Lücke übernommen wird deutlich größer als im Lotto zu gewinnen.

Jeff Jones ist wieder da. Jeff ist der Komiker, der schon mal aufgefallen ist, als er behauptet hat, Microsoft würde Sicherheitslücken schneller schließen als die Linux-Distributoren. Der Originaltext zum Nachlesen und Lachen findet sich auf csoonline.com.

Diesmal hat er eine Grafik gemalt, nach der Firefox viel unsicherer ist als der Internet Explorer. Schauen wir uns die Werte mal an:

Und wenn man sich die nackten Zahlen so anschaut, könnte man tatsächlich meinen, dass der Internet Explorer viel weniger Probleme hat als Firefox. Der komplette Text als PDF findet sich auf der Microsoft Technet Seite.

Natürlich vergleicht Jeff mal wieder Äpfel mit Birnen. Während Microsoft die Lücken nur einmal im Monat schließt und deshalb für 15 Lücken nur einen (übrigens vollkommen intransparenten) Hotfix benötigt, gibt die Mozilla Foundation für jede Lücke direkt ein Update heraus, so dass die Zahl der Lücken natürlich viel größer aussieht. Dazu kommt, dass Microsoft für intern entdeckte Fehler kein Advisory herausgibt, Mozilla jedoch schon. Auch das bläht die Anzahl der Lücken auf. Mike Shaver, der Cheftechnologe der Mozilla Foundation erklärt in seinem Blog alle Schwächen der Zählweise. Danach wäre der Internet Explorer 4 sogar das sicherste Produkt, weil Microsoft in den letzten Jahren keinen einzigen Fix mehr veröffentlichen musste.

Ich frage mich ja langsam ernsthaft, was will Jeff Jones mit diesen leicht zu durchschauenden Kindergartenmethoden erreichen? Ok, er veröffentlicht das auf blogs.csoonline.com, einer Webseite die sich an „Security Executives“ wendet. Also vermutlich Leute, die von praktischer Sicherheit nichts mehr verstehen sondern bei einem harmlosen uralten Denial-of-Service Angriff, den ihr ISO 27001 Auditor vorführt, bereits in Panik verfallen. Aber ist Microsoft wirklich so verzweifelt, dass ihnen nichts besseres mehr einfällt?

Zugegeben, mit einem Punkt hat auch Jeff recht. Microsoft wird besser, was die IT-Sicherheit betrifft. Leider nicht transparenter, aber zumindest etwas sicherer.  Das zeigen unter anderem die vermehrt auftretenden Exploits für Quicktime, Flash und Co. Die Angreifer weichen inzwischen auf schwächere Ziele aus.

PS: Ja, ich habe eine ähnliche Tabelle mit genauso unsinnigen Zahlen vor einiger Zeit für Virenscanner gemacht. Nein, ich habe nicht behauptet, Aladdin eSafe wäre deshalb der beste Virenscanner. Vielleicht ist er es, ich weiß es nicht. Ich verwende Avira und F-Secure.