ARCHIV 1999-2006

ARCHIV :: # 1430

Gesammelte Leser

Wir kriegen viel Post - DANKE!

Autor: bh - Datum: 06.11.2002

Was gibts da draussen - abgesehen von schlechtem Wetter? Erstens informiert uns Leser Oliver davon, daß IBM nach den ThinkPads noch mehr auf das Denken setzen will... vielleicht auch, weil "Think Different" schon ganz gut ausgeprägt ist? Onkel Heinz weiß mehr.

Leser Stefan wiederum ist sich nicht sicher, ob Apple bei Jaguar nicht getrickst hat. Denn hier kann man sich ansehen, wie Leopardenfell und Jaguarfell aussieht - was ist es denn nun wirklich?

Die Debatte um Statistik wiederum hat Leser Julian nicht losgelassen: der Schluß eines Beitrages bei Infoweek suggerierte, daß der Macintosh trotz geringer Anzahl von Sicherheitslücken unsicher sei, weil er ja auch nur einen geringen Marktanteil habe. von Julian Siehl

Für alle, die mit Mathe weniger am Hut haben, so wie der Schweizer Kollege, der den Original-Artikel verfaßt hat, hier die Aufklärung, was der Artikelabschluß wirklich aussagt. Hier noch einmal der betreffende Abschnitt:

"Trotz der auf den ersten Blick offensichtlichen Schwächen der Microsoft-Software müssen die Ergebnisse relativiert werden: Bezieht man die Marktanteile der einzelnen Hersteller mit in die Kalkulation ein, stehen Windows und Mac in etwa auf gleicher Ebene, was die Zahl der attackierbaren Rechner betrifft."

Was hat der Kollege (Kollegin? Ich weiß es gar nicht!) gemacht? Mathematisch hat er den Quotienten aus Marktanteil und Anzahl der Sicherheitslücken gebildet (also geteilt). Allein, daß er (ich bleib mal bei der männlichen Form) den Marktanteil in Relation zu den Lücken setzt, ist sehr ungeschickt. Der Marktanteil ist schon ein Relationsmaß (nämlich Prozent). Die Interpretation dieses Quotienten ist sehr schwierig. Was sagt dieser Wert aus? Der Marktanteil pro Lücke. Bei MS wären das ca. 0,19% Marktanteil pro Sicherheitslücke (95% geteilt durch 500). Wenn wir Apple der Einfachheit halber den Rest des Marktes geben, dann kommt die Obstfirma auf 0,2% pro Lücke (5% durch 25).

Hm, nicht sehr greifbar. Immerhin: Je größer der Wert, desto positiver. Der Kollege merkt auch, daß die Verwendung des Relationsmaßes "Marktanteil" ungeschickt ist, und wechselt im letzten Satz zu einem Absolutmaß: die Zahl der attackierbaren Rechner (ob er den Wechsel überhaupt bemerkt hat?). Tun wir es ihm gleich, denn ein solcher Wert ist besser greifbar. Gleiches Spiel: Quotient aus Rechneranzahl zu Lückenanzahl: Nehmen wir an, die installierte Basis von MS sei 20 Mill., dann liegt der Wert bei 40.000 Rechner pro Lücke. Apple, bei angenommenen 1 Mill. Rechner, damit die Marktanteilrechnung von oben wieder ungefähr stimmt, kommt auch auf 40.000 Rechner (1 Mill. durch 25 Lücken).

Hat der Kollege also recht, daß sich die Anzahl der Sichrheitslücken durch die Anzahl der attackierbaren Rechner wieder relativiert? Was der Kollege in Wirklichkeit annimmt, ist, daß ich mich las Cracker zum Angriff auf einen Rechner für EINE einzige Sicherheitslücke entscheide, die anderen verwende ich nicht (also ein ENTWEDER-ODER). Wurde die Sicherheitslücke geschlossen, dann habe ich Pech gehabt, die anderen Lücken darf ich nicht ausprobieren. Chance vertan! Ich gebe ein ein wenig Zeit, um das einsinken zu lassen ..... jetzt wird verständlich, warum ich mich beim Lesen des Origanlartikels kaputt gelacht habe (und viele weitere LeserInnen wohl auch).

So, kritisieren ist schön und gut, aber ich bin der Meinung, wir sollten dem Kollegen auch konstruktiv zur Hand gehen und ein Maß entwickeln, daß nicht ganz an der Realität vorbeigeht. Wenn ich 20 Mill. Rechner habe und 500 Sicherheitslücken, dann habe ich - theoretisch - 500 Möglichkeiten 20 Mill. Rechner zu knacken. Jeden Rechner kann ich auf 500 Arten angreifen (also ein UND-ODER). Das macht 10 Milliarden Möglichkeiten (500 mal 20 Mill.). Und in diesem Fall ist ein höherer Wert schlechter, denn ich habe mehr Möglichkeiten mehr Rechner zu cracken. Bei Apple stehen demgegenüber nur 25 Millio. (1 Mill. mal 25). Ich habe statt dem Quotienten das Produkt gebildet.

So, und zum Abschluß sollten wir noch die Auflösung liefern, welches Maß am realistischsten ist: Die Anzahl der Sicherheitslücken. Schluß, Punkt, Aus! Und je mehr es davon gibt, desto schlechter. Dem einzelnen Admin ist es nämlich egal, ob es da draußen noch 19.999.999 andere Rechner gibt, die gecrackt werden könnten. Und wenn man der Admin des Pentagon o.ä. ist, glaubt man eh nicht an die Gleichverteilung der Wahrscheinlichkeit eines Angriffes. Da rechnet man sich nur die Wahrscheinlichkeit eines Erfolges eines Angriffs auf das eigene System aus (naja, hoffentlich) - eben anhand der Anzahl der vorhandenen Sicherheitslücken. Je mehr Sicherheitslücken, desto größer die Wahrscheinlichkeit eines erfolgreichen Einbruchs. Abgesehen davon, daß verschiedene Ziele eine unterschiedlich hohe Attraktivität für Cracker besitzen, werden viele Angriffe heutzutage automatisiert gefahren, so daß mit Vergrößern der installierten Basis auch nicht die Wahrscheinlichkeit einer Attacke sinkt. Eher im Gegenteil.

Und vergessen wir zum Abschluß nicht (wie die Kommentare zu Bert's Artikel zu Recht bemerken): In die Studie sind nur die Sicherheitslücken eingegangen, die der Öffentlichkeit bekannt gemacht wurden, und über die Schwere der einzelnen Schachstellen wurde auch keine Bewertung getroffen.

Kommentare

Erstaunlich...

Von: Dr. Waters | Datum: 06.11.2002 | #1
...wie man so viele Sicherheitslücken doch noch kleinrechnen kann, oder? Wenn alle die Rechner haben, kann ja nicht so schlimm sein, oder wie?
Wie kann man genau das Gegenteil ausrechnen, von dem, was eigentlich Wirklichkeit ist. Wie verblendet muss man sein? Ich versteh es einfach nicht...

Die meisten sind verblendet, sondern

Von: Flamewar | Datum: 06.11.2002 | #2
einfach gut bezahlt von M$ :-)

OT: Powerbooks

Von: Haiko | Datum: 06.11.2002 | #3
Wo bleiben sie denn nun - das(!) ist es was wir wissen wollen.