Heute. Morgen. Sicher. Dreamlab Technologies AG Was ist sicherer, Open Source oder Closed Source Software? 1
2 Das Werk liegt in quelloffener Form vor
3 Open
4
5 Das Werk wird binär geliefert, die Quellen sind nur der Herstellerin bekannt
6 Closed
7 Was ist nun sicherer?
8
9 INPUT <> OUTPUT Softwaresicherheit definiert sich zu grossen Teilen an den Schnittstellen
10 INPUT Mensch <> Maschine Maschine <> Maschine OUTPUT Maschine <> Mensch Maschine <> Maschine
11 THINGS IN BETWEEN: Softwaresicherheit definiert sich durch die Entwicklungsqualität
12 Syscall Graph Apache on GNU/Linux Graphs by Dreamlab by Sana Technologies Security AG 2010
13 Syscall Graph IIS on Windows Graphs by Dreamlab by Sana Technologies Security AG 2010
14 1 : 0 für Open Source?
15 Kann das generalisiert werden?
16 Eher nicht.
17 Verarbeitung Programmfluss Geschäftsprozess Sicherheitslebenszyklus
18 Verarbeitung = Qualität Programmfluss = Kontrolle Geschäftsprozess = Kontrolle Sicherheitslebenszyklus = Verbesserung Überwachung Reaktion (Patches)
19 Qualität, Kontrolle, stetige Verbesserung, Reaktion (Patches) sind Leistungsversprechen
20 Sowohl Open Source als auch Closed Source Projekte können dieses Leistungsversprechen erbringen und umsetzen.
Netcraft survey top webservers Apache 59%, Microsoft 25%
CVE's Microsoft iis Apache http Microsoft iis 500 Apache http 500 450 450 400 400 350 350 300 300 250 250 200 200 150 150 100 100 50 50 2010 2009 2008 2007 2006 2005 2004 2003 2002 2001 2000 1999 0 0 2008 2009 2010
CVE's, distinct Apache http vs Microsoft server Apache http vs Microsoft server cve reports over time cve reports over the last 3 years apache http apache http microsoft iis 100 microsoft iis 100 90 90 80 80 70 70 60 60 50 50 40 40 30 30 20 20 10 10 0 2010 2009 2008 2007 2006 2005 2004 2003 2002 2001 2000 1999 0 2008 2009 2010
07 2010 Servers on Swiss Internet Servers on Swiss Internet filtered for port 80 and http service absolute count of ports others Microsoft IIS Apache httpd 50000 45000 40000 5% 35000 18% 30000 25000 20000 15000 10000 5000 Apache httpd 77% Microsoft IIS others 0
Platform OS vulnerability reporting OS vulnerability reporting microsoft vs linux since 1999 microsoft vs linux last 3 years 30000 30000 25000 25000 20000 20000 linux microsoft 15000 15000 10000 10000 5000 5000 0 2010 2009 2008 2007 2006 2005 2004 2003 2002 2001 2000 1999 0 microsoft linux 2008 2009 2010
Platform Linux OS vs Microsoft OS Linux OS vs Microsoft OS absolute count of distinct vulnerabilities absolute count of vulnerabilities last 3 years 140 140 120 120 100 100 80 linux_os microsoft_os linux_os microsoft_os 80 60 60 40 40 20 20 0 2010 2009 2008 2007 2006 2005 2004 2003 2002 2001 2000 1999 0 2008 2009 2010
Platform OS vulnerability reporting by vendor OS vulnerability by vendor cve reports as proportion of total cve absolute count 70000 60000 15% 50000 4% 5% 53% 12% others microsoft apple sun cisco linux 40000 30000 20000 13% 10000 linux cisco sun apple microsoft others 0
Platform OS vulnerabilities by vendor OS vulnerabilities by vendor distinct cve reports by vendor as percentage of total absolute count of distinct cve reports others linux redhat apple sun microsoft 3500 3000 12% 2500 12% 2000 49% 1500 1000 10% 500 microsoft apple linux sun others 7% redhat 0 9%
Platform top 5 os vendors by vulnerabilities absolute count of distinct cve reports over time 180 160 140 120 apple redhat linux microsoft sun 100 80 60 40 20 2010 2009 2008 2007 2006 2005 2004 2003 2002 2001 2000 1999 0
Platform very critical reports top 5 vendors percentage of total 35 percentage of total cve with cvss > 9 30 25 20 15 10 5 microsoft cisco apple sun linux 0
Was ist sicherer, Open Source oder Closed Source Software? Die Frage kann technisch nicht beantwortet werden. Bei beiden Software Modellen können sehr sichere Produkte entstehen. Sicherheit ist unabhängig vom Publikationsmodell.
Was ist sicherer, Open Source oder Closed Source Software? Scheinbar bieten aber Open Source Projekte einen sehr guten Rahmen für Qualität, Kontrolle, Stetige Verbesserung, Überwachung und Reaktion
Danke für Ihre Aufmerksamkeit Fragen und Antworten 33