Bezpieczny jak... Windows

Pracownicy firmy Security Innovations, Herbert Thomson i Fabien Casteran, przeprowadzili wraz z profesorem informatyki z Florida Intitute of Technology, Richardem Fordem, badania, z których wynika, że serwery WWW pracujące pod kontrolą Windows są bezpieczniejsze niż linuksowe. Sponsorem badań był Microsoft.

Badanie jest częścią zorganizowanej przez Microsoft szerszej akcji "Get the facts" promującej wykorzystanie systemów operacyjnych z rodziny Windows. Według raportu w 2004 roku w serwerze WWW pracującym pod kontrolą Windows 2003 Server znaleziono mniej wymagających szybkiego załatania błędów niż w serwerze opartym o platformę Red Hat Enterprise Linux ES 3.

Herbert Thompson, jeden z współautorów dokumentu, twierdzi, że powszechna akceptacja jakiegoś twierdzenia (np. "Windows jest mniej bezpieczny niż Linux") nie musi oznaczać, że to twierdzenie jest rzeczywiście prawdziwe.

Podczas opracowywania raportu grupa trzech badaczy wzięła pod uwagę następujące kategorie: ilość błędów opublikowanych w obu systemach oraz długość okresu oczekiwania między publicznym ogłoszeniem błędu a dostępnością łatki (tzw. "dni ryzyka").

Treść raportu

W domyślnej konfiguracji system z IIS6, MsSQL Server 2000 i ASP.Net miał 52 błędy w porównaniu do 174 w Linuksie z Apache, MySQL i PHP. Microsoft wygrał także w porównaniach minimalnych konfiguracji obu platform: 52 dziury w serwerze pracującym pod kontrolą Windows kontra 132 u Red Hata.

Przy podsumowaniu "dni ryzyka" Linux także wypadł dość blado: Red Hat Enterprise Linux ES 3 miał ich w ciągu całego roku 12 000, podczas gdy Windows - zaledwie 1 600.

Richard Ford i Fabien Casteran, pozostali dwaj autorzy dokumentu, liczą na to, że opublikowanie wraz z raportem metod badawczych zahamuje bezpodstawną krytykę. Thompson dodaje, że choć wzięte pod uwagę kryteria oceny nie są do końca reprezentatywne w przypadku określania poziomu bezpieczeństwa, to jednak łatwość zaprezentowania ich za pomocą liczb stanowi ważny wyznacznik dla administratorów. Przyznaje ponadto, że w rzeczywistych sytuacjach największą rolę może odgrywać nie poziom bezpieczeństwa oferowany przez sam system operacyjny, lecz zakres wiedzy administratora.

Reakcja Red Hata

Mark Cox, lider grupy zajmującej się bezpieczeństwem w firmie Red Hat oznajmił, że raport nie jest obiektywny, gdyż nie odróżniono w nim problemów mniej i bardziej ważnych. Z wymienionej liczby tylko 8 błędów w Red Hat Enterprise Linux ES 3 mogło być uznanych za "krytyczne", tj. umożliwiające zdalne przejęcie kontroli nad serwerem.


Zobacz również