Kto łata szybciej: Apple czy Microsoft?

Koncern Apple zwykle podkreśla w swoich materiałach promocyjnych, że jego oprogramowanie jest znacznie bezpieczniejsze od produktów Microsoftu. Wygląda jednak na to, że twierdzenie to może nie do końca odzwierciedlać rzeczywistość - tak przynajmniej twierdzą specjaliści ze szwajcarskiego Federalnego Instytutu Technologii, którzy zaprezentowali swoje przemyślenia na ostatniej konferencji BlackHat.

Szwajcarzy przeanalizowali, jak obie firmy radziły sobie w ciągu ostatnich sześciu lat z łataniem luk - chodziło o sprawdzenie, jak producenci wywiązywali się z obowiązku przygotowania poprawki usuwającej lukę przed podaniem do publicznej wiadomości szczegółowych informacji na temat owej luki. Raport przygotowany przez pracowników Federalnego Instytutu Technologii uwzględnił 658 luk w produktach Microsoftu i 738 w oprogramowaniu Appla'a (pod uwagę brano jedynie błędy o statusie "ważny" lub "krytyczny" według nomenklatury amerykańskiej National Vulnerability Database).

Z analiz dowiadujemy się, że choć przed 2005 r. Apple świetnie radził sobie z łataniem produktów, to trzy lata temu sytuacja zaczęła się stopniowo pogarszać. "Do 2005 r. Apple cały czas pozostawał poniżej 20 [niezałatanych błędów - red.]. Ale od trzech lat firma przez cały czas przekracza tę granicę - i to często znacznie. Jeśli więc porównamy w tym zakresie Apple i Microsoft, to w takim zestawieniu gorzej wypadnie Apple" - mówi Stefan Frei, jeden z autorów badania.

"Wydaje nam się, że Apple kilka lat temu przyzwyczaił się do tego, że w jego oprogramowaniu wykrywanych jest mniej luk i gdy sytuacja ta zaczęła się zmieniać, firma nie potrafiła na to odpowiednio zareagować" - tłumaczy Frei. Zdaniem Szwajcara, przewaga Microsoftu może wynikać też z tego, że koncern wcześniej zorientował się, jak ważne jest utrzymywanie dobrych stosunków ze społecznością specjalistów ds. bezpieczeństwa. To oni zwykle pierwsi wykrywają wszelkie błędy - jeśli więc jakaś firma odpowiednio dba o ich współpracę, może liczyć na to, że odkrywca błędu zgłosi go producentowi zanim opublikuje informacje na temat luki. Dzięki temu możliwe jest odpowiednio szybkie przygotowanie poprawki. "Apple jak na razie nie zdecydował się na wdrożenie podobnego programu współpracy - i widać, że był to błąd" - mówi Stefan Frei.

Co ciekawe, z raportu dowiadujemy się także, że w przypadku obu badanych firm odnotowano poważne opóźnienia w łataniu luk w okresach poprzedzających premiery ważnych produktów - zdaniem specjalistów ze Szwajcarii, świadczy to o tymczasowym przesunięciu znacznych zasobów ludzkich z działów bezpieczeństwa do zespołów pracujących nad owymi produktami.

Warto zaznaczyć, że raport Federalnego Instytutu Technologii przedstawia Microsoft w bardzo pozytywnym świetle - do tego stopnia, że niektórzy uczestnicy konferencji BlackHat wielokrotnie pytali jego autorów, czy przypadkiem nie powstał on na zlecenie koncernu z Redmond. Frei zdecydowanie dementował te sugestie - z jego deklaracji wynika, że jest to całkowicie niezależne badanie naukowe.


Zobacz również