Tests belegen: Windows ist doch das sicherste Betriebssystem

Ein Test der Zeitschrift 'Chip' und der Sicherheitsfirma Qualys hat ergeben, dass das Betriebsystem Windows doch sicherer ist als angenommen. Dies trifft aber nur dann zu, wenn das System immer auf dem neuesten Stand ist.

Getestet hat man Windows XP Professional, SuSE Linux 9.1 Professional und MacOS X 10.3.3. Bei einem Test waren die Systeme ungepatcht. Dabei erwies sich das Windows-System als sehr anfällig.

Als man die gepatchten Versionen prüfte, waren bei Windows keine Löcher mehr vorhanden. Beim Linuxsystem fand man noch fünf Löcher und beim Mac waren noch zwei Lücken vorhanden.


Qelle: Klick

 

Na klar doch


Und der PC wird noch erfunden



bk2


#######################################################

PS: Einer der $inlos nicht versteht und nicht benutzen wird

########################################################

 

Starke Argumentation. Dagegen kann man nichts einwenden.

 

Also wenn ich das richtig verstanden habe, hat man am Ende nichts anderes gemacht als offene Ports abgeklopft, wobei ein gepatchtes XP zwangsweise gut abschneiden muss, da die Firewall keinen Dienst mehr nach außen lässt. Das ist quasi als ob man den Stecker aus der Telefondose zieht. Vorsichtshalber hat z.b. bei Suse Dienste wie SSH laufen lassen und alleine das Vorhanden sein des entsprechenden Ports wurde als sicherheitskritisch eingestuft. Wenn man XP mit dem IIS betreibt, mit dem IE auch wirklich surft und mit OE seine Mails abholt und somit die XP eigene Firewall ausgehebelt wird sieht die Sache schon wieder anders aus. Ich denke solche statischen Tests sind realitätsfremd...

Gruss, Matthias

PS: Das ist jetzt keine Argumentation für oder gegen ein OS, sondern vielmehr gegen Tests die nichts taugen.

 

Ist jedes OS nicht immer so/schlecht bzw. sicher/unsicher wie der Benutzer?

M.E. sitzt das größte Sicherheitsrisiko dieseits des Monitors, nämlich dann, wenn jedes xbeliebige Download ausgeführt wird, ohne FW oder AV gesurft und nicht das geringste Verständnis für Vorsicht an den Tag gelegt wird.

Gruß

Thomas

 

Zunächst mal hat patchen nichts mit Ports schliessen zu tun. Ersteres trifft die Sicherheit / Stabilität des Codes.

Also prüfe ich offene Ports nach den Kriterien: Sind sie 'off-the-box' offen, lassen sie sich überhaupt (mit Hausmitteln) schliessen. Das gleiche trifft (unnötige) Dienste oder aktive / existente Benutzer / Gruppen mit 'gefährlichen' Berechtigungen und Authentifiz.Möglichkeiten.


Bohrt der Admin (und das ist der PC-User) Löcher in seine Sicherheit, darf er sich später nicht beklagen. War dieses Loch per default offen und der User hat es versäumt, es zu schliessen, sieht es geringfügig anders aus.

Ich kann ein OS nicht gegen die Eventualitäten eines DAUs testen. Aktuell gibt es zB. keine Gegenwehr gegen IRC-HTTP-Tunnel (mit propriätären Protokollen). Verfährt ein User so, darf er sich nicht über die Sicherheit des Router-OS beklagen, weil es das nicht mitbekommt.


Noch eines: OE greift auf die Zoneneinstellung 'eingeschränkte Sites' zurück. Wissen viele nicht. Und vergessen diese Zone zu konfigurieren. Und abschliessend bekommt OE sein Fett weg...

 

Der trollt doch nur.
Da kann man nix gegen mache, außer ignorieren :-)

 

@kalweit

Diese Logik kann ich auch nicht verstehen. Patchen hat in der Tat mit Ports-Schließen überhaupt nichts zu tun. Es werden Schwächen im Code von Anwendungen beseitigt; das muss aber keineswegs bedeuten, dass deshalb die Anwendung nun keinen Port mehr öffnet. Umgekehrt gilt natürlich auch : Wenn ich mit einer Firewall alles dicht mache, dann wäre ein Patchen zum Zwecke der Vermeidung eines erfolgreichen Angriffs von außen , z.B. mit einem Buffer Overflow ,auch nicht mehr notwendig.

 

Servus Franzkat,

er hat ja auch geschrieben:
"Also wenn ich das richtig verstanden habe"

Was sagt Dir das?
Richtig, er hat den Artikel entweder nicht richtig gelesen, oder nicht richtig verstanden...

Und somit kannst Du den Rest des Posting getrost unter:
"Nicht verstanden"
oder
"Ablage P"
verbuchen.
;-)

 

@franzkat

Wenn Du mit einer (Pers.)Firewall ALLES dichtmachst, gibt es keine Kommunikation mehr, insbesondere keine nach aussen. Gut. Dann interessieren auch exploitable bugs mehr. Seltener Spezialfall.

Aber lasse nur Port 80 zu. Schon kannst Du Dir über einen HTTP-Tunnel (für IRC) als User selber die Karten legen. Da macht keine XP-Firewall was gegen, noch nach dem aktuellen Stand irgendeine andere. Dies zum Thema Allheilmittel XP-Firewall.


An die Bewohner obiger Stockwerke:
Ob ich mit dem Ergebnis zufrieden bin, sollte auf einem anderen Papier stehen. Immerhin wurde der Testparcours genannt und danach verfahren. Fairer wäre der Vergleich mit einem MS-Server-System gewesen.

 

Eine Firewall kann NIE ein Allheilmittel sein und eine FW, die auf dem gleichen Rechner läuft, mit dem man ins Internet geht, ist sowieso Augenwischerei.
Aber es geht in dem Artikel nicht um Firewalls, sondern die Gesamtsicherheit der OSen.

Und was ist mit MS-Serversystemen?
Sollen die unsicherer sein, als Linux-Systeme? Wieso?
Wenn Du auf einem gepatchtem MS-Server Apache laufen läßt, im Kontext eines normalen Benutzers ohne erweiterte Rechte, wo soll der sich in punkto Sicherheit vom Apache auf Linux unterscheiden?

Wenn Du mDaemon als pop2/smtp/imap-Server auf einem MS-System laufen läßt, dann zeig' mir bitte die Sicherheitslücken, die nicht auch bei sendmail oder postfix sein könnten.

So what?
Bei allen Systemen gilt nach wie vor:
Die größte Sicherheitslücke ist ein unzureichend ausgebildeter User respektive Administrator.

 

> Und was ist mit MS-Serversystemen?

Die tragen ein paar Dienste mehr als die Workstation-Variante 'Professional'. Allein aus der Ecke ist ein Vergleich mit einem Multi-User- + Server-System etwas ungleich. Ausserdem sind die Defaults zwischen MS-Server und MS-Workvariante häufig verschieden (schlechtes Bsp.: Offline-Aktivierung). So fehlt einem MS-Server das ICS. Aber ein RRAS bleibt ungetestet...


Aufgesetzte Services (Mail / Web) und zudem für verschiedene OS beinhalten verschiedenen Code und sind für einen reinen OS-Vergleich ausser Konkurrenz. Hier muss Du mich irgendwo missverstanden haben.


> Die größte Sicherheitslücke...
Ich hatte + werde nie was anderes behaupten.

 

Ich finde die Tests von GFI Languard Security Scanner (ich arbeite da mit der Version 5.0) sehr schön. Da gibt es für alle (Server)dienste eine Datenbank mit allen zur Zeit bekannten Exploits , die bei jedem Start online aktualisiert wird. Dann werden diese Dienste auf diese Lücken hin gescannt und man bekommt einen brauchbaren Sicherheitsbericht.

 

Full Ack.

Der LAN- und der Security-Scanner von GFI sind top!
Schnell, zuverlässig und bringen gleich die Möglichkeit mit, eventuell übersehene Patches zu verteilen. Und auch noch an mehrere Rechner im Netz.

 

Du hast Recht, ich habe den Originalartikel nicht. Für mich wäre es logisch bei einem Test von außen zu versuchen, Manipulationen auf einem Zielrechner vorzunehmen (u.U. auch Tests zum umgehen lokaler Benutzerrechte). Nach den Kommentaren die zum Artikel zu finden waren drängt sich aber genau das von mir beschriebene Bild auf, man hat nicht bewertet ob sich über einen offenen Port per default ein Schaden auf dem Zielsystem anrichten lässt, sondern hat die Tatsache an sich bewertet, was der Hauptgrund zur Abwertung einiger Systeme war. Nicht zu vergessen ist das der Test eh von den neuen Sicherheitslücken überholt ist. Die aktuelle Lücke im IE veranlasste Microsoft sogar zu einer Pressemitteilung.

Zum eigentlichen Test konnte ich irgendwie nicht wirklich was herausbekommen, wer da mehr weis soll mich bitte klug machen.

Gruss, Matthias

 

Wenn Du den Originalartikel nicht kennst, wie kannst Du Dich in einem Forum darüber äußern?
Aufgrund der gelesenen Postings?
Bei dem Schrott, der in manchen Threads immer abgelassen wird?

Ich hoffe nicht, daß Du einer von denen bist, die sich kein eigenen Urteiul bilden können...

http://www.heute.t-online.de/ZDFheute/artikel/7/0,1367,HOME-0-2142407,00.html

 

Jo, das ist die Pressemitteilung aus dem ersten Posting. Mich würde eher interessieren wie bei dem Test vorgegangen bzw. welche Methoden angewand wurden. Ich werd mal die Tage nach einer Chip Ausschau halten... - hab aber irgendwie das dumme Gefühl das genau das nicht drin stehen wird. Das Thema mit dem eigenen Urteil sollte hier eigentlich nicht mehr zur Debatte stehen - ist halt nur meine Erfahrung mit mir durchgegangen

Gruss, Matthias