close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

Dreamlab Technologies AG Was ist sicherer, Open Source oder

EinbettenHerunterladen
Heute. Morgen. Sicher.
Dreamlab Technologies AG
Was ist sicherer, Open Source oder
Closed Source Software?
1
2
Das Werk liegt in quelloffener Form vor
© by Dreamlab Technologies AG 2010
3
Open
© by Dreamlab Technologies AG 2010
4
© by Dreamlab Technologies AG 2010
5
Das Werk wird binär geliefert, die Quellen sind
nur der Herstellerin bekannt
© by Dreamlab Technologies AG 2010
6
Closed
© by Dreamlab Technologies AG 2010
7
Was ist nun sicherer?
© by Dreamlab Technologies AG 2010
8
© by Dreamlab Technologies AG 2010
9
INPUT <> OUTPUT
Softwaresicherheit definiert sich
zu grossen Teilen an den
Schnittstellen
© by Dreamlab Technologies AG 2010
10
INPUT
Mensch <> Maschine
Maschine <> Maschine
OUTPUT
Maschine <> Mensch
Maschine <> Maschine
© by Dreamlab Technologies AG 2010
11
THINGS IN BETWEEN:
Softwaresicherheit definiert sich
durch die Entwicklungsqualität
© by Dreamlab Technologies AG 2010
12
Syscall Graph Apache on GNU/Linux
©Graphs
by Dreamlab
by Sana
Technologies
Security
AG 2010
13
Syscall Graph IIS on Windows
©Graphs
by Dreamlab
by Sana
Technologies
Security
AG 2010
14
1 : 0 für Open Source ?
© by Dreamlab Technologies AG 2010
15
Kann das generalisiert werden?
© by Dreamlab Technologies AG 2010
16
Eher nicht.
© by Dreamlab Technologies AG 2010
17
Verarbeitung
Programmfluss
Geschäftsprozess
Sicherheitslebenszyklus
© by Dreamlab Technologies AG 2010
18
Verarbeitung
= Qualität
Programmfluss
= Kontrolle
Geschäftsprozess
= Kontrolle
Sicherheitslebenszyklus
= Verbesserung
Überwachung
Reaktion
(Patches)
© by Dreamlab Technologies AG 2010
19
Qualität, Kontrolle, stetige
Verbesserung, Reaktion (Patches)
sind Leistungsversprechen
© by Dreamlab Technologies AG 2010
20
Sowohl Open Source als auch
Closed Source Projekte können
dieses Leistungsversprechen
erbringen und umsetzen.
© by Dreamlab Technologies AG 2010
Netcraft survey top webservers
Apache 59% , Microsoft 25%
© by Dreamlab Technologies AG 2010
CVE's
Microsoft
iis
Apache
http
Microsoft
iis
500
Apache
http
500
450
450
400
400
350
350
300
300
250
250
200
200
150
150
100
100
50
50
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
0
0
2008
2009
2010
© by Dreamlab Technologies AG 2010
CVE's, distinct
Apache http vs Microsoft server
Apache http vs Microsoft server
cve reports over time
cve reports over the last 3 years
apache http
apache http
microsoft iis
100
microsoft iis
100
90
90
80
80
70
70
60
60
50
50
40
40
30
30
20
20
10
10
0
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
0
2008
2009
2010
© by Dreamlab Technologies AG 2010
07 2010
Servers on Swiss Internet
Servers on Swiss Internet
filtered for port 80 and http service
absolute count of ports
others
Microsoft IIS
Apache httpd
50000
45000
40000
5%
35000
18%
30000
25000
20000
15000
10000
5000
Apache httpd
77%
Microsoft IIS
others
0
© by Dreamlab Technologies AG 2010
Platform
OS vulnerability reporting
OS vulnerability reporting
microsoft vs linux since 1999
microsoft vs linux last 3 years
30000
30000
25000
25000
20000
20000
linux
microsoft
15000
15000
10000
10000
5000
5000
0
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
0
microsoft
linux
2008
2009
2010
© by Dreamlab Technologies AG 2010
Platform
Linux OS vs Microsoft OS
Linux OS vs Microsoft OS
absolute count of distinct vulnerabilities
absolute count of vulnerabilities last 3 years
140
140
120
120
100
100
80
linux_os
microsoft_os
linux_os
microsoft_os
80
60
60
40
40
20
20
0
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
0
2008
2009
2010
© by Dreamlab Technologies AG 2010
Platform
OS vulnerability reporting by vendor
OS vulnerability by vendor
cve reports as proportion of total
cve absolute count
70000
60000
15%
50000
4%
5%
53%
12%
others
microsoft
apple
sun
cisco
linux
40000
30000
20000
13%
10000
linux
cisco
sun
apple
microsoft
others
0
© by Dreamlab Technologies AG 2010
Platform
OS vulnerabilities by vendor
OS vulnerabilities by vendor
distinct cve reports by vendor as percentage of total
absolute count of distinct cve reports
others
linux
redhat
apple
sun
microsoft
3500
3000
12%
2500
12%
2000
49%
1500
1000
10%
500
microsoft
apple
linux
sun
others
7%
redhat
0
9%
© by Dreamlab Technologies AG 2010
Platform
top 5 os vendors by vulnerabilities
absolute count of distinct cve reports over time
180
160
140
120
apple
redhat
linux
microsoft
sun
100
80
60
40
20
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
0
© by Dreamlab Technologies AG 2010
Platform
very critical reports top 5 vendors
percentage of total
35
percentage of total cve with cvss > 9
30
25
20
15
10
5
microsoft
cisco
apple
sun
linux
0
© by Dreamlab Technologies AG 2010
Was ist sicherer, Open Source oder Closed
Source Software?
Die Frage kann technisch nicht beantwortet werden.
Bei beiden Software Modellen können sehr sichere
Produkte entstehen.
Sicherheit ist unabhängig vom Publikationsmodell.
© by Dreamlab Technologies AG 2010
Was ist sicherer, Open Source oder Closed
Source Software?
Scheinbar bieten aber Open Source Projekte einen
sehr guten Rahmen für
Qualität, Kontrolle, Stetige Verbesserung,
Überwachung und Reaktion
© by Dreamlab Technologies AG 2010
Danke für Ihre Aufmerksamkeit
Fragen und Antworten
33
Document
Kategorie
Technik
Seitenansichten
1
Dateigröße
1 669 KB
Tags
1/--Seiten
melden