Linux mai riscant decat Windows?
Anul trecut serverele Web cu Windows Server 2003 au avut mai putine scapari de reparat decat cele bazate pe Red Hat Enterprise Linux EX 3 intr-o configuratie standard open-source, au specificat cercetatorii care au realizat studiul.
In plus, studiul a indicat faptul ca serverele Web Windows au avut mai putine „zile de risc” – un indicator al numarului de zile de cand este cunoscuta o vulnerabilitate, pana in momentul in care este reparata – decat rivalul sau.
Raportul a creat deja controverse, deorece unele detalii au fost prezentate luna trecuta in cadrul conferinte RSA. Si studiile anterioare de comparare a gradului de securitate intre Windows si Linux au cauzat discutii aprinse.
„Consideram ca studiul nu are acuratete”, spune Mark Cox, liderul echipei Red Hat security response, intr-un blog postat pe Web site-ul companiei. El spune ca studiul nu face distinctie intre vulnerabilitatile „critice” si cele mai putin serioase, o comparatie care ar favoriza Red Hat.
Numararea gaurilor
Pentru realizarea studiului, cercetatorii au numarat patch-urile publicate pentru scapari prezente pentru fiecare Web server in 2004. In plus, ei au creat indicele „zile de risc”, care rezprezinta numarul cumulat al zilelor care au trecut din momentul in care sunt publicate informatiile despre o vulnerabilitate si pana in momentul lansarii rezolvarii vulnerabilitatii.
Un server Red Hat Enterprise Linux ES 3 a avut mai mult de 12 zile de risc, in timp ce o configuratie Microsoft a avut aproximativ 1.6 zile.
In ceea ce priveste scaparile, un server Web Red Hat cu un software server open-source Apache, baza de date MySQL si limbaj PHP, a avut de a face cu 174 de scapari in configuratia default. Un server Web bazat pe Microsft Server 2003, Internet Information Server 6, Microsoft SQL Server 2000 si ASP.Net a avut 52 de vulnerabilitati in configuratia default.
Cercetatorii au studiat si serverele Red Hat si Windows in configuratii minimale, luand in considerare aplicatiile care nu sunt necesare pentru pagini Web. Chiar si in acest caz, Microsoft a batut Red Hat, cu doar 52 de scapari, comparativ cu 132 pentru Linux.
Cox a raspuns in prezentarea sa blog ca au existat doar opt scapari in Red Hat Enterprise Linux 3 care ar putea fi clasificate ca si „critice” in ambele clasificari de securitate ale Red Hat si Microsoft. Dintre acestea, trei sferturi au fost rezolvate intr-o singura zi, iar media este de opt zile.
Scaparile critice sunt acelea care permit unui atacator sa preia controlul asupra unui sistem. Studiul a impartit vulnerabilitatile in grade de severitate „inalt”, „mediu” si „scazut”. Scaparile cotate cu un inalt grad de severitate au inclus clasificarile critice ale Red Hat si Microsoft si scaparile care permit unui utilizator local sa obtina acces la functiile sistemului. Microsoft a avut mai putine scapari de mare severitate atat in configuratia default cat si in cea minimala, potrivit studiului.
Microsoft a finantat studiul. Compania a declarat ca raportul este parte a campaniei „Get de Facts”, al carui scop este de a sublinia beneficile software-lor Windows.
Autorii raportului sunt Richard Ford, un profesor de infomatica de la Institutul Tehnologic din Florida si Fabien Casteran, un inginer security test al Security Innovations. Metodologia de realizare a fost creata pentru a permite si altora sa o valideze – fiind una cantitativa si repetabila. Desi indicatorii „zile de risc” si numararea vulnerabilitatilor nu sunt indicatori de securitate reali, realizatorii studiului au declarat ca au dorit sa se concentreze pe o masura care conteaza pentru administratorii de sistem. Timpul cat trebuie sa astepte pentru un patch este un indicator rezonabil.
Sursa: ZDNet, preluat de SmartNews.