{"id":136,"date":"2007-06-16T02:32:28","date_gmt":"2007-06-16T00:32:28","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/136-wer-schliest-die-lucken-am-schnellsten"},"modified":"2018-05-31T23:27:40","modified_gmt":"2018-05-31T22:27:40","slug":"wer-schliest-die-lucken-am-schnellsten","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/136-wer-schliest-die-lucken-am-schnellsten","title":{"rendered":"Wer schlie\u00dft die L\u00fccken am schnellsten?"},"content":{"rendered":"

Auf dem Security Blog von ZDnet<\/a> gibt es einen Artikel Windows v Linux – Days of risk in 2006<\/a>, der mal wieder zumindest zur H\u00e4lfte an der Realit\u00e4t vorbei geht. Das ist wie mit den von Microsoft bezahlten Studien und vermutlich fragt sich der Autor Ryan Naraine, warum der Artikel jetzt gerade mit -7 bewertet wird. Oder er fragt es sich nicht und denkt da sind die \u00fcblichen Microsoft Basher am Werk.<\/p>\n

Worum geht es? Microsoft hat unter dem Titel „Average OS Days-of-Risk<\/a>“ eine Grafik ver\u00f6ffentlicht, die auflistet wie lange die Benutzer eines Betriebssystems im Jahr 2006 angreifbar waren, bevor ein Patch ver\u00f6ffentlicht wurde. Die Tabelle dazu sieht so aus:<\/p>\n\n\n\n\n\n\n\n
Hersteller<\/th>\nZeitspanne<\/th>\n<\/tr>\n
Microsoft<\/td>\n28,9 Tage<\/td>\n<\/tr>\n
Novell Enterprise Linux<\/td>\n73,89 Tage<\/td>\n<\/tr>\n
Red Hat Enterprise Linux<\/td>\n106,83 Tage<\/td>\n<\/tr>\n
Apple Mac OS X<\/td>\n46,12 Tage<\/td>\n<\/tr>\n
Sun Solaris<\/td>\n167,72 Tage<\/td>\n<\/tr>\n<\/table>\n

Die Zahlen sind soweit sicher richtig. Nur, sie beruhen leider auf der falschen Datenbasis.<\/p>\n

Die informierten Leser dieses Blogs werden sich vermutlich jetzt fragen: „Wie kommt Microsoft auf im Schnitt 28,9 Tage, wenn eEye<\/a> f\u00fcr jede L\u00fccke eine Patch Development Time zwischen 120 und 250 Tagen anzeigt?“ Ganz einfach, diese Tage werden bei Microsoft in der Statistik nicht mitgez\u00e4hlt!<\/p>\n

Der Trick funktioniert so: Angezeigt werden die Average Days of Risk, d.h. die durchschnittliche Zahl an Tagen, die der Benutzer gef\u00e4hrdet war. Und das war der Benutzer nach Definition von Jeff Jones von Microsoft nicht, wenn eine Security Research Firma eine L\u00fccke an Microsoft meldet (der Zeitpunkt an dem eEye zu z\u00e4hlen anf\u00e4ngt) sondern erst, wenn im Internet verbreitet Exploits f\u00fcr die L\u00fccke auftauchen (und das passiert oft erst, nachdem der Patch ver\u00f6ffentlicht wurde). Open Source Programme haben nat\u00fcrlich den Nachteil, dass ihr Code \u00f6ffentlich ist, d.h. eine behobene L\u00fccke z.B. in Firefox kann sofort anhand des Source Codes analysiert und ein Exploit programmiert werden, noch bevor Novell oder Red Hat das Update zu den Anwendern schieben k\u00f6nnen.<\/p>\n

Diese Bewertung geht leider an zwei Punkten an der Realit\u00e4t vorbei. Zum einen ist die L\u00fccke und in der Regel auch ein Exploit bekannt, sobald der Fehler an den Hersteller gemeldet ist. Niemand kann garantieren, dass kein anderer Hacker die L\u00fccke entdeckt oder der Forscher die L\u00fccke versehentlich ver\u00f6ffentlicht. Im Grunde muss man z\u00e4hlen, sobald die L\u00fccke dem Hersteller bekannt ist. Zum zweiten ist es nat\u00fcrlich so, dass viele Exploits im Internet erst allgemein bekannt werden, nachdem <\/em>der Patch heraus ist.<\/p>\n

Solange ein Hacker auf einem 0-day Exploit f\u00fcr Windows sitzt, wird er diesen nat\u00fcrlich nicht allgemein im Internet ver\u00f6ffentlichen (au\u00dfer es ist ein Hacker der bekannt werden will oder besonders bl\u00f6d ist). Wenn von diesem Hacker z.B. ein Rechner aus dem Honeynet Project<\/a> attackiert wird, erf\u00e4hrt Microsoft von der L\u00fccke und entwickelt einen Patch. Weil aber die L\u00fccke nicht allgemein<\/em> bekannt ist, z\u00e4hlt diese Zeitspanne bei Microsoft nicht in die Statistik. Und schon sieht man wie der beste Hersteller aus.<\/p>\n

Eine Statistik, die statt dessen aufzeigen w\u00fcrde, wie lange braucht der Hersteller zur Ver\u00f6ffentlichung eines Patches nachdem ihm die L\u00fccke gemeldet <\/em>wurde … da w\u00e4re Microsoft ganz klar an letzter <\/em>Stelle wie die Zahlen von eEye beweisen.<\/p>\n

Fazit: Traue keiner Statistik die Du nicht selbst gef\u00e4lscht hast. Ich finde es nur schade, dass die Journalisten bei ZDNet die bunten Tabellen von Microsoft so kommentar- und kritiklos ver\u00f6ffentlichen. Investigativer Journalismus sieht f\u00fcr mich anders aus.<\/p>\n","protected":false},"excerpt":{"rendered":"

Auf dem Security Blog von ZDnet gibt es einen Artikel Windows v Linux – Days of risk in 2006, der mal wieder zumindest zur H\u00e4lfte an der Realit\u00e4t vorbei geht. Das ist wie mit den von Microsoft bezahlten Studien und vermutlich fragt sich der Autor Ryan Naraine, warum der Artikel jetzt gerade mit -7 bewertet […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[5],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/136"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=136"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/136\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=136"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=136"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=136"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}