Microsoft, Apple, Red Hat i Canonical na starcie
Jeff Jones, autor kontrowersyjnego raportu na temat bezpieczeństwa Internet Explorera i Firefoksa, postanowił porównać systemy operacyjne. Tym razem nie brał pod uwagę jedynie liczby luk, ale również, m.in. średni czas jaki upłynął od momentu ich publicznego ujawnienia do opublikowania łaty.
Jones badał systemy Microsoftu, Red Hata, Apple'a oraz Ubuntu.
Podczas tworzenia raportu pracownik Microsoftu wziął pod uwagę dane z pierwszego półrocza bieżącego roku. Podstawowe wnioski, które z niego wypływają są następujące:
- w tym czasie producenci systemów operacyjnych (Microsoft, Apple, Red Hat i Canonical) załatali 585 błędów. Spośród nich aż 26,8% występowało w więcej niż jednym systemie, ale tylko 8 załatano tego samego dnia.
- najszybciej błędy łatał Microsoft. Średnio każda z luk doczekała się poprawki po 24,22 dniach od momentu publicznego ujawnienia dziury. Kolejny z producentów potrzebował aż 72 dni.
- najmniej błędów znaleziono w Windows Vista (21), a drugi w kolejności był Windows XP (26).
Jones brał pod uwagę Windows Vistę, Windows XP SP 2, Mac OS X Leopard, Red Hat Enterprise Linux 5 oraz Ubuntu 6.06 LTS.
Spośród wszystkich znalezionych błędów aż 31% występowało tylko i wyłącznie w systemie Red Hata, 30% dotyczyło produktu Apple'a, 10% systemów Microsoftu i 9% Ubuntu.
Ponadto 157 luk wystąpiło w więcej niż jednym systemie. Osiemnaście z nich dotyczyło jednocześnie produktów Apple'a, Red Hata i Ubuntu. Spośród nich Ubuntu jako pierwsze załatało 8 luk, a Apple jako ostatnie - 11 niedociągnięć. Średnio pomiędzy publikacją poprawki przez pierwszego z twórców OS-a, a ostatniego mijało w tym przypadku 73 dni.
Dziewiętnaście dziur dotyczyło produktów Apple'a i Red Hata. Red Hat jako pierwszy załatał 58% luk, pomiędzy pierwszym, a ostatnim łataniem mijało średnio 30 dni.
W pierwszej połowie bieżącego roku 10 błędów wystąpiło wspólnie w systemach Apple'a i w Ubuntu. Firma Canonical, twórca Ubuntu, jako pierwsza dostarczyła poprawki do 60% luk. Pomiędzy pierwszym pojawieniem się poprawki, a ostatnim mijało średnio 39,6 dnia.
Mieliśmy też do czynienia z 72 błędami występującymi w produktach Red Hata i Canonical. Red Hat jako pierwszy załatał 66,6% z nich, a różnica pomiędzy pierwszą a ostatnią łatą dla danego błędu wynosiła 28,5 dnia.
W badanym okresie Red Hat miał do czynienia z 292 błędami, Ubuntu ze 153, Apple z 222, a Microsoft z 58.
Sytuacja nieco się zmienia, gdy z dystrybucji Linuksa odrzucimy poprawki, które opublikowano dla komponentów opcjonalnych oraz Open Office'a i niektórych komponentów graficznych. Wyrzucił narzędzia takie jak OpenOffice, Evolution czy Thunderbird oraz Gimp, ImageMagic i podobne. Po takim "odchudzeniu" dystrybucji Linuksa okazało się, że najwięcej błędów wystąpiło w systemie Apple'a. Kolejnym pod względem liczby błędów był Red Hat, a następnie Ubuntu. Najlepiej wciąż prezentowały się systemy Microsoftu.
Jones obliczył też średnią ważoną, dzięki czemu obliczył na ile poważne były poszczególne luki. Do swoich wyliczeń posłużył się wartościami Vulnerability Workload Index opracowanymi przez Narodowy Instytut Standardów i Technologii. Zgodnie z nim jedna "groźna" usterka ma taką wagę jak 5 "średnio groźnych" i jak 20 "mało groźnych".
Z obliczeń wynika, że najpoważniejsze błędy dotykały systemu Red Hata. Waga wykrytych w nim dziur została obliczona na 121,5. Na kolejnym miejscu uplasowało się Apple (96,5), następnie Ubuntu (75,8), a najmniej poważne były w sumie błędy w systemach Microsoftu (53,2).
Bardzo ważnym wskaźnikiem bezpieczeństwa jest czas, jaki upływa od momentu ujawnienia informacji o dziurze do chwili pojawienia się łaty. Z obliczeń Jonesa wynika, że najdłużej, bo średnio aż 105 dni trzeba było czekać na łaty Red Hata. Nie najlepiej spisywał się też Apple, który publikował poprawki po niemal 98 dniach (97,95), kolejne miejsce przypadło Ubuntu (72 dni), a najszybciej poprawki udostępniał Microsoft (24,22).
Jest to średnia dla wszystkich luk, co, jak zauważa Jones, może zaburzać obraz w przypadku, gdy twórca OS-u skupia się przede wszystkim na łataniu poważnych luk. Wówczas bowiem pozostawia te mniej groźne na boku i one negatywnie wpływają na średnią. Wobec tego Jones policzył też średnią, biorąc pod uwagę ryzyko stwarzane przez poszczególne dziury.
W takim przypadku okazało się, że najgorzej wypadł Apple, który na załatanie luki potrzebował średnio 82,03 dnia. Red Hatowi opublikowanie poprawek zajmowało 62,8 doby, a na poprawki dla Ubuntu trzeba było czekać 50,75 dnia. Microsoft publikował swoje łaty po 25,22 doby.
Z raportu Jonesa dowiadujemy się też, że aż 89,7% luk zostało załatanych przez Microsoft w ciągu 1 dnia od momentu ich ujawnienia. W przypadku najpoważniejszych dziur odsetek ten wzrósł do 90,3%. Najdłużej niezałatana dziura w systemach Microsoftu czekała na poprawkę przez 495 dni. Była to luka w Microsoft Speech API. NIST oceniał ją na "poważną", natomiast Microsoft na "średnio poważną" dla desktopów i "mało poważną" dla serwerów.
W przypadku systemu Apple'a jedynie 17% luk doczekało się poprawki w ciągu 1 dnia od upublicznienia informacji o nich. Odsetek ten nie zmienił się w odniesieniu do luk poważnych, a najdłuższy czas oczekiwania na poprawkę wyniósł 1001 dni dla mało groźnej luki w Mac OS X Tiger.
Red Hat w ciągu pierwszych 24 godzin od ujawnienia opublikował poprawki dla 38% luk ogólnie i dla 60% groźnych. Na jedną z poprawek, dotyczącą mało groźnej luki w jądrach 2.4 i 2.6 trzeba było czekać aż 1292 dni.
W przypadku Ubuntu doczekaliśmy się 23,5% poprawek w ciągu pierwszego dnia, a dla luk groźnych odsetek ten wyniósł 20,7%. Mało groźna dziura w jądrze doczekała się poprawek po 623 dniach.
Na zakończenie swojego raportu Jones podkreśla, że nie ma on za zadanie mierzenia bezpieczeństwa systemów operacyjnych, gdyż tego nie da się w prosty sposób zmierzyć. Ten report to analiza błędów, która dostarcza pewnych danych związanych z lukami i może posłużyć jako część większej analizy dotyczącej bezpieczeństwa - pisze Jones.
Ze szczegółami raportu możemy zapoznać się na blogu Jeffa Jonesa (PDF).
Komentarze (13)
w46, 29 października 2008, 12:45
Szkoda że wszelkiego typu "rankingi luk" nie uwzględniają poziomu zagrożenia jakie dana luka stwarza. Błąd w edytorze tekstu mogący spowodować przepełnienie bufora i uzyskanie praw użytkownika jest czym innym niż np podobny błąd dotyczący usługi rejestru zdalnego (taki przykład).
Nie przekonują mnie żadne tego typu raporty sponsorowane przez Micro$oft
amperion, 29 października 2008, 12:53
jak ktoś się zna na wszystkim to się nie zna na niczym :-) taki wniosek
Mariusz Błoński, 29 października 2008, 12:58
Jak to nie uwzględniają, skoro masz wyraźnie napisane, że uwzględniają?
w46, 29 października 2008, 13:23
Mam wyraźnie napisane "luki w jądrze", "poważną", "średnio poważną" i tym podobne określenia które tak naprawę niewiele mówią o rzeczywistym poziomie zagrożenia, dodatkowo każda z organizacji stosuje własne stopniowanie poziomu co dodatkowo zaciemnia wszelkie porównania.
Oprócz tego porównywanie dystrybucji do czystego systemu operacyjnego jakim jest rodzina Windows to jak by porównywać osiągi silnika spalinowego z osiągami samochodu.
Moim zdaniem jedyny sposób na porównanie bezpieczeństwa systemów to wystawienie ich na kontrolowane ataki przeprowadzane przez niezależnych specjalistów opłacanych równo przez wszystkie firmy których produkty biorą udział w teście(taki audyt). Podobne testy były przeprowadzane i najodporniejsza okazała się jedna z dystrybucji linuxa (albo BSD, dokładnie nie pamiętam), windows wcale nie okazał się najsłabszy (podam linka jeśli znajdę).
Mariusz Błoński, 29 października 2008, 13:51
Zgadza się, że różni producenci stosują rózne skale do opisu zagrożenia. Zapewne dlatego Jones skorzystał ze skali NIST. By w ogóle mieć pole do porównań.
A co do tych ataków: to zapewne masz na myśli ostatnie zawody, w których po prostu trzeba było się włamać do kompów z Mac OS X-em, Windą i bodajże Ubuntu. I najszybciej poddał się Mac OS X.
Ale to też niewiele mówi o bezpieczeństwie.
Tak czy inaczej raport Jonesa jest ciekawy, a najlepiej przeczytać go całego.
4tisanimus, 29 października 2008, 14:05
hehe... ja nie jestem informatycznym geniuszem,
ale uzywam ubuntu, xp i visty.
I najbezpieczniej sie czuje siedzac na ubuntu - dlaczego?
Wiekszosc wirusow, zlosliwych skryptow, trojanow jest pisana pod windowsa
on jest pod glownym odstrzalem - dlatego Redmond musi reagowac szybko, bo jak cos sie stanie to polowa uzytkownikow na swiecie bedzie miala GRUBY PROBLEM. Ilez to razy mialem wirusa albo zastanawialem sie czy program ktory odpalam jest godny zaufania...
Podsumowujac, nawet jesli ubuntu wydaje poprawki 4 razy dluzej niz Microsoft, to i tak mnie to nie obchodzi bo szansa, ze ktos wykorzysta te bledy gdy siedze na ubuntu jest kilka razy mniejsza.
To sprawia ze ubuntu jest wg mnie bezpieczniejsze. I dlatego go uzywam.
A takie raporty jak ten mnie smiesza, bo podchodza do sprawy bezpieczenstwa ze zlej strony.
Pytaniem najistotniejszym jest ( dla mnie jako posiadacza systemu) - nie jak szybko ktos reaguje na poprawki, tylko na jakiej platformie mam mniejsze szanse na bycie zaatakowanym i pokonanym.
Amen.
w46, 29 października 2008, 14:42
Fakt, zawody na czas nie mogą być miarą bezpieczeństwa.
4tisanimus, jest tak jak piszesz, ilość wirusów zależy w głównej mierze od popularności danego systemu.
Jednak popularność się zmienia. Stosując takie kryterium wyboru najbezpieczniejszy byłby system który się samemu stworzy tylko dla siebie - coś w tym jest, jednak gdy się nagle okaże że taki system jest dziurawy jak sitko trzeba będzie szybko się z niego przesiadać na inny... mniej popularny?!
Dochodzę do wniosku że, poziomu bezpieczeństwa nie da się zmierzyć.
grudi, 29 października 2008, 20:35
No i ktoś tutaj uważa, że Microsoftowi nie zależy na kliencie? Jeśli dodać do tego fakt, że obniżają ceny swoich kluczowych pakietów jak chociażby Office Small Business (z 1200 zł do 645 zł) to widać wyraźnie, że firma stara się zmienić swój wizerunek.
Paliusz, 29 października 2008, 22:17
"Ubuntu 6.06 LTS"?
Ktoś tu jest śmieszny... Ta wersja była wydana ponad 2 lata temu...
Teraz wychodzi 8.10
mikroos, 29 października 2008, 22:23
A na pewno przeczytałeś artykuł ze zrozumieniem?
Takie było założenie eksperymentu, żeby zbadać RETROSPEKTYWNIE tempo łatania błędów. Jak chciałbyś przeprowadzić takie badanie na świeżutkiej distro?
tazdzioch, 30 października 2008, 07:35
raport jest kontrowersyjny.
przypomina mi to reklamy preparatow przeciwko wypadaniu wlosow, w ktorych pisze "70% mezczyzn odczulo znaczna poprawe", przy czym obok jest mala gwiazdka ktora przenosi na dol strony gdzie napisano "badanie przeprowadzano na grupie 20 mezczyzn". Tak samo nie wiadomo jaka byla metodyka badania...
Bo dla Ubuntu, Ubun 6.06 to jak dla Windowsa Win98 prawie że. Po drodze wydano Ubu 6.10, 7.04, 7.10 i kolejne Ubuntu 8.04 LTS.
mikroos, 30 października 2008, 08:30
Ale 8.04 LTS jest zbyt krótko na rynku, a 6.06 jest najnowszym z poprzednich LTS-ów. Poza tym to bardzo dobrze, że jest dość stary, bo daje kilkuletnią perspektywę i pozwala ocenić wysiłki developerów w dłuższym czasie. Przecież nikt tutaj nie ocenia walorów wizualnych systemu, a jedynie tempo łatania dziur.
thibris, 30 października 2008, 08:50
Ojej, co zrobić, że Ubuntu tak często wydają ? Siódemka wyszła rok temu. A kiedy wyszedł XP ? Nie przyrównuj Ubuntu do Windowsa 98, bo dzieli je jakieś 6 lat różnicy.