КомпанияРуководителюРешенияУслуги
Авторизованный
партнер №1
ALT Linux
Windows безопаснее?
Вадим Машков, EMT, LinuxWold.Kiev
Преинтереснейший документ получил я вчера вечером по почте — очередной пресс-релиз от украинского представительства Microsoft, в котором утверждается, что "Результаты исследования показывают уровень безопасности Windows выше, чем Linux". Рассмотрению сего документа и посвящена эта статья.
О чем речь?
Честно говоря, самое необычное в этом документе было то, что сравнивается только стоимость обновлений ПО, но вывод делается относительно безопасности платформы вообще. Естественно, что подобные документы нуждаются в критическом анализе.В связи с тем, что корпорация Microsoft лишь ссылается на некое исследование не приведя его полностью, я решил начать работу с поиска подробностей.
А судьи кто?
Исследование, как сообщается в пресс-релизе, проводила индийская консультационная фирма Wipro Technologies Ltd, которая рассмотрела положение дел в 90 компаниях США и Западной Европы с количеством сотрудников от 2 500 до 113 000 человек, использующих в равной степени как системы Microsoft Windows, так и свободные системы.Компания Microsoft и ее украинское представительство в частности преподносит корпорацию Wipro как независимую компанию в своих пресс-релизах, но даже поверхностный поиск указывает на удивительно близкую связь между этими компаниями.
Так в ноябре прошлого года, главный директор Microsoft Стив Боллмер (Steve Ballmer) показал активное сотрудничество в "высокотехнологичном" индийском городе Бангалоре (Bangalore) с компаниями производителями ПО и услуг в области ИТ Wipro Technologies Ltd и Infosys. Wipro — одна из двух индийских компаний, которые участвуют в создании частей долго разрабатываемой следующей версии Microsoft Windows под кодовым названием Longhorn.
Естественно, Вы можете обвинить меня в том, что я говорю неправду, что я зависим от своего работодателя... Нет, это правда: cвои отношения не скрывает ни Microsoft ни Wipro.
Возникает закономерный вопрос можно ли называть подобные отношения независимыми и не попадает ли это новое исследование в длинную череду заказных ударов по программному обеспечению с открытым исходным кодом?
Где же правда?
Вернемся к нашему пресс-релизу. На чьей стороне правда?В пресс-релизе сделаны следующие заявления:
"Клиенты сказали нам, что управление обновлениями и исправлениями является существенной частью общей стоимости уравнения собственности," сказал Мартин Тэйлор (Matin Taylor), генеральный директор в Microsoft.
"Анализ, проведенный Wipro показывает, что Microsoft помогает закрывать уязвимости быстрее, чем дистрибьютеры Linux, позволяя организациям обновлять среду Windows намного быстрее, чем в альтернативных системах с открытым исходным кодом. Организации, которые используют надежные методы управления и технологии автоматизации Windows, могут значительно уменьшить стоимость внесения исправлений и понизить риски".
Как же в действительности обстоят дела в области компьютерной безопасности? Рассмотрим, не только количество уязвимостей в ПО, но и скорость реакции производителя ПО на обнаруженную проблему, качество исправления и удобство установки патчей.
Учет проблем
Первый момент, на котором я хочу остановиться, это количество критических проблем и вообще процент появления и решения именно важных проблем безопасности.Nicholas Petreley в конце прошлого года опубликовал отчет о сравнении безопасности операционных систем Microsoft Windows Server 2003 и Red Hat Enterprise Linux AS 3, который ссылается на Netcraft, Microsoft Security Bulletin, Red Hat Security Advisories, CERT.
Для сравнения были рассмотрены, например, 40 последних патчей/уязвимостей для ОС MS Windows Server 2003 и RHEL AS 3, в которых особое внимание уделяли потенциально возможному ущербу, простоте эксплуатации, уровню получаемого доступа и числу критических ошибок.
Результаты отчета следующие: у Microsoft обнаружено 38 процентов критических (Critical) уязвимостей против 10% у Red Hat. Причем авторы утверждают, что, если оценивать критичность по их собственным меркам, то это число для Microsoft возрастет до 50%. При анализе базы данных CERT выяснилось, что для Windows серьезную опасность из самых свежих 40 уведомлений представляют 39, а для Red Hat 3 (для Linux вообще 6). Кроме того, надо учитывать, что списки с уязвимостями в Linux и Red Hat содержат программное обеспечение, работающее и на Linux, и на Windows, а в уведомлениях для Windows не упоминалось ни одной программы, работающей в Linux.
Скорость
Быть может, у корпорации Microsoft действительно проходит меньше времени с момента обнаружения уязвимости до момента выхода обновления по сравнению с системами на Linux?Можно утверждать, что недоступность закрытого кода может причинять неудобства самим разработчикам, значительно усложняя определение слабых мест. Кроме того, многие проблемы с безопасностью могут быть просто проигнорированы, так как о них не известно широкому кругу людей.
И это не голословные утверждения, наоборот, это выведенное практическим путем знание. Так, к примеру, летом 2003 года пакистанский программист Мухаммад Фейсал Рауф Данка (Muhammad Faisal Rauf Danka) обнаружил "дыру" в системе безопасности Microsoft Passport, которая хранит информацию о людях (включая такие данные, как даты рождений и номера кредитных карточек) в центральной базе и может использоваться в самых разных целях, например, при проведении онлайновых сделок. Через эту "дыру", используя особый веб-адрес и ключевое слово, злоумышленник может получить доступ к базе Passport. Пакистанский программист направил в Microsoft одно за другим 10 (десять!!!) электронных писем с предупреждением о "дыре". Корпорация отреагировала только тогда, когда он опубликовал информацию в сети.
И это далеко не единичный случай умолчания о существовании уязвимостей в программном обеспечении от Microsoft. Не менее яркий пример можно прочитать в статье на Cnews "Российские технари уличили Microsoft в беспомощности".
С другой стороны, модель открытого кода провоцирует всеобщее рассмотрение и обнаружение уязвимых мест и всевозможных проблем.
Удобство
Важна не только скорость появления исправлений, но и удобство установки обновлений, особенно в корпоративной среде. В соответствии с различиями в архитектуре Windows и Linux, свои особенности имеет и управление исправлениями для этих ОС. Большое количество исправлений и время, необходимое для их тестирования и развертывания могут увеличить эксплуатационные расходы. Другими факторами, определяющими успешность обновления системы, является обратная совместимость и возможность применения без остановки приложения.Значимость обновлений Windows усиливается тесной интеграцией среды выполнения приложений Windows и самой ОС. В противоположность этому, среда выполнения приложений Linux это пространство пользовательских процессов, а не операционной системы. Тесная интеграция с системой в Windows увеличивает количество потенциальных уязвимостей, и это подтверждается практикой. Достаточно типичными являются заголовки статей "Хакеры вовсю используют незаделанные дыры в Internet Explorer" или "Опасные дыры в Microsoft Office и Visual Basic for Applications". Огромные проблемы с безопасностью позволяют говорить о том, что монополия компании Microsoft в сфере производства программного обеспечения для компьютеров снижает степень защищенности компьютерных систем и способствует распространению вирусных эпидемий. "Монополия Microsoft угрожает обыкновенным пользователям с различных сторон, однако теперь она создала угрозу и государственной безопасности", - утверждает Эд Блэк (Ed Black), президент CCIA.
Большинство систем управления изменениями в Linux поддерживают системы в безопасном и работоспособном состоянии, позволяя автоматизировать загрузку и установку пакетов обновлений, что сводит к минимуму усилия со стороны администратора системы.
Например, Ximian Red Carpet, позволяющее определить конфликты и зависимости исправлений, поставляется с двумя интерфейсами: web и командная строка. Системная утилита Red Hat, называющаяся up2date, работает вместе с Red Hat Network для предоставления пользователям возможности скачать и установить новые пакеты. SUSE использует процесс AutoBuild для контроля качества исправлений и заплаток. Хотя каждый дистрибутив Linux поставляется с инструментами управления исправлениями, поставщики систем и независимые производители ПО так же предлагают свои инструменты. BMC, HP OpenView, IBM Tivoli и Aduva предоставляют инструменты для управления и установки исправлений.
Но, в противоположность Windows, управление исправлениями в Linux зачастую происходит более легко из-за разделения рабочего пространства приложений и ядра, что уменьшает количество потенциальных уязвимостей безопасности. Поскольку код Linux открыт, в отличие от Windows, существует полный доступ к истории всего исходного кода. Более того, большинство изменений и обновлений, производимых в Linux не требует остановки работы системы, в отличии от Windows.
Качество
Давайте рассмотрим вопрос качества исправлений, которые выпускает производитель ПО. Практика показывает, что качество исправлений от Microsoft зачастую оставляет желать лучшего, и доказательством этого может служить целый ряд фактов.Примером может быть обновление MS03-013, которое должно было ликвидировать серьезную брешь в системе безопасности Windows XP. После этого в некоторых конфигурациях производительность операционной системы упала почти на 90 %. Разработчики вынуждены были срочно писать новую заплату, которую пользователям пришлось ждать целый месяц (апрель 2002 года).
Вы думаете, что это случайность? Если это и случайности то уж слишком их много... Прочтите про третий сервис-пак к Microsoft Office 2000/XP, который открывал дорогу для спама или печально известный патч, описанный в бюллетене безопасности MS03-032, который сам нуждался в патче.
Одним из самых ярких примеров несостоятельности утверждений Microsoft о достоинствах ее обновлений на мой взгляд, является история знаменитого червя Slammer, чемпиона по скорости распространения. Как известно, его триумфальное шествие началось спустя полгода после того, как корпорация Microsoft выпустила обновление MS02-039, которое должно было воспрепятствовать проникновению этого вируса в компьютеры. Вы серьезно полагаете, что виновны были те, кто не уделял должное внимание обновлениям операционной системы Windows и вовремя не установил патчи?
Несколько позже Microsoft предложила клиентам пакет модернизации SQL Server Q317748, который не имел отношения к системе безопасности. В нем были исправлены ошибки, связанные с утечкой памяти, которые приводили к снижению производительности. Однако команда, занимавшаяся разработкой этого обновления, использовала старый вариант системной библиотеки ssnetlib.dll, в которой остались бреши (исправленные в предыдущем обновлении MS02-039) и который затирал исправленный ssnetlib.dll во время своей установки. Пакет Q317748 оставлял сервер беззащитным перед червями наподобие Slammer, как будто обновления системы безопасности до этого и не проводилось. Авторы Slammer с удовольствием воспользовались имеющимися изъянами. Червь заражал как серверы, в которых уязвимые места появились вследствие конфликта обновлений, так и компьютеры, на которые обновленные версии программного обеспечения не устанавливались вовсе по причине чересчур запутанной схемы наложения заплат, столь присущей Microsoft. Кстати, после эпидемии Slammer даже инженерам Microsoft пришлось немало попотеть над обновлением собственных систем.
Эти примеры показывают, что корпорация Microsoft большую часть своих ресурсов тратит не на исследования и разработку ПО, а на маркетинговые мероприятия типа рассматриваемого пресс-релиза. Естественно, это подобно известному специалисту в области безопасности Брюсу Шнайеру, вызывает критику Microsoft за то, что та не учится на прошлых ошибках.
Вывод:
Итак, какой вывод можно сделать после рассмотрения очередного пресс-релиза Microsoft? Кратко можно охарактеризовать как абсурд.Когда заходит речь о преимуществах Windows и Linux, в качестве одного из основных доводов Микрософт использует то, что Linux защищена значительно хуже. Windows постоянно обновляется, все время появляются маленькие заплатки и большие пакеты обновлений, решающие все возможные проблемы с безопасностью. Различные отчеты тоже подтверждают заявления Микрософт, указывая, что ее операционная система самая защищенная, проблем в ней меньше, и решаются они быстрее. Все это направлено на то, чтобы подвести большинство пользователей к мысли, что Windows лучше, что это полностью безопасная система, которая еще и обладает развитой службой технической поддержки, а Linux ничего этого не имеет. Использование только самых выгодных способов измерений уровня безопасности это один из основных инструментов Микрософт. Подобная политика направлена на укрепление позиций компании. С эффективностью и правильностью этих методов нельзя не согласиться. Любая компания, продвигая свой продукт, показывает, что он самый лучший, выбирая при этом те средства и способы оценки, которые наиболее явно покажут его превосходство над продуктами остальных производителей.
Если оглянуться вокруг, то можно увидеть огромное количество вирусов для самой защищенной платформы и замалчивание важных вопросов безопасности. Практика показывает, что ПО от Microsoft все еще имеет большие проблемы с безопасностью.
Свободные операционные системы с открытым исходным кодом, в том числе Linux, своей модульной модульной архитектурой и UNIX-подобной системой безопасности изначально была разработана для защиты данных.
Сочетание преимуществ открытого исходного кода, которые заключаются в:
- раннем обнаружении дефектов в ПО и возможности быстрого их исправления;
- низкой начальной стоимости оборудования;
- отсутствия обязательной платы за право использования продуктов и
- независимость в вопросе выборе аппаратной платформы
Ссылки по теме:
Microsoft software partner finds Microsoft software cheaper than Linux
Безопасность Linux и Windows - очередное сравнение
Сравнение безопасности Linux и Windows
Security Report: Windows vs Linux
Проблемы с безопасностью в Windows и Linux: мифы и факты
Миграция с NT на Linux
+380 (44) 451-84-36
Украина, г. Киев, ул. Воровского, 12а
