Linux: Проблемы с безопасностью в Windows и Linux: мифы и факты.
Автор: John Lettice
Когда заходит речь о преимуществах Windows и Linux, в качестве одного из основных доводов Микрософт использует то, что Linux защищена значительно хуже. Windows постоянно обновляется, все время появляются маленькие заплатки и большие пакеты обновлений, решающие все возможные проблемы с безопасностью. Различные отчеты тоже подтверждают заявления Микрософт, указывая, что ее операционная система самая защищенная, проблем в ней меньше, и решаются они быстрее. Все это направлено на то, чтобы подвести большинство пользователей к мысли, что Windows лучше, что это полностью безопасная система, которая еще и обладает развитой службой технической поддержки, а Linux ничего этого не имеет.
Где же правда, на стороне Микрософт с ее Windows или у сторонников Linux. На каждый аргумент всегда можно найти контраргументы. В деле развенчания множества мифов, распространяемых Микрософт, большая заслуга принадлежит Николасу Петрели, редактору InfoWorld Test Center и колонок в InfoWorld и ComputerWorld. Петрели обосновал все свои доводы убедительными доказательствами, пытаясь развеять распространяемые мифы о Windows.
Полный отчет на английском языке находится на сайте TheRegister на этой странице. Желающие могут с ним ознакомиться. Мы же приведем основные положения, которые, по нашему мнению, являются самыми важными.
Мифы и факты
Миф: Windows – самая подверженная атакам операционная система, потому что это очень большая цель, и если бы Linux или OS X были бы так распространены, проблем с безопасностью у них было бы не меньше, а значительно больше.
Факты: Рассмотрим для примера web-серверы, здесь по такой логике самая большая цель Apache, так как это самый распространенный web-сервер. Тем не менее, атак, направленных на Apache, очень мало и они значительно менее болезненны. С другой стороны, даже атаки, направленные на Apache, значительно сильнее проявляются именно на компьютерах с системой Windows. Естественно, большое количество пользователей делает Windows большой мишенью, но слабой защищенности системы не меньше способствует ее архитектура, делая атаки возможными. Windows широко использует функции, которые зачастую и не нужны, например RPC, при этом они увеличивают количество уязвимых мест. Архитектура Linux не такая незащищенная, такими же методами как в Windows здесь действовать не получится и, даже при успешной атаке, таких же повреждений как на компьютере с Windows в Linux нанести не удастся.
Миф: Программы с открытым кодом самые уязвимые, так как их код доступен всем, а код Windows бдительно охраняется Микрософ.
Факты: Правильно сказать: «программы с открытым кодом должны быть более уязвимыми». Такие опасности, как множество вирусов и интернет-червей, распространяющихся в Windows, системам с открытым кодом не угрожают. А защищенность кода и его недоступность может причинять неудобства самим разработчикам, значительно усложняя определение слабых мест. Кроме того, многие проблемы с безопасностью могут быть просто проигнорированы, так как о них не известно широкому кругу людей. С другой стороны, модель открытого кода провоцирует всеобщее рассмотрение и обнаружение уязвимых мест и всевозможных проблем.
Миф: Статистика «доказывает», что Windows имеет значительно меньше проблем с безопасностью, чем Linux, что проблемы в Windows всегда исправляются, и происходит это очень быстро.
Факты: В этой категории можно привести очень много фактов, но, в большинстве своем, они основаны на способе измерения безопасности. Заявления, что все проблемы в Windows решаются, не правдивы. Если мы посмотрим Microsoft Security Bulletin, то сможем найти информацию о проблемах, которые никогда не будут решены. Само их существование показывает, что заявленные Микрософт 100% решаемости не будут достигнуты никогда. Основной способ, которым пользуются при определении эффективности решения проблем с безопасностью – выделение какого-то периода времени и подсчет процентного отношения исправлений к общему количеству обнаруженных за этот промежуток времени проблем. В такой системе Микрософт выдвигает Windows на первое место с не достижимым реально результатом 100%, а второе место занимает Red Hat с одной нерешенной проблемой.
Но никто не оценивал количество критических проблем и вообще процент появления и решения именно важных проблем безопасности. Например, если рассмотреть 40 последних заплаток для Windows Server 2003 и Red Hat Advanced Server AS v3, мы увидим, что для Микрософт количество критических проблем составило 38%, а для Red Hat – всего 10%.
Наши выводы подтвердились базой данных US Computer Emergency Readiness Team (CERT). На запрос по уровню важности проблем в Windows мы получили список из 40 строк, 39 из которых соответствовали критическим проблемам. А в случае с Red Hat только три из первых сорока записей имели критический уровень.
Использование только самого выгодного способа измерения уровня безопасности – это один из основных инструментов Микрософт. Подобная политика направлена на укрепление позиций компании. С эффективностью и правильностью этих методов нельзя не согласиться. Любая компания, продвигая свой продукт, показывает, что он самый лучший, выбирая при этом те средства и способы оценки, которые наиболее явно покажут его превосходство над продуктами остальных производителей. И эта ситуация хорошо иллюстрируется отчетом, ссылку на который мы давали выше.
Вот и правда, Микрософт использовала самую выгодную систему оценивания и мотивирует своиз заявления полученными при этом результатами.