Windows versus Linux
Gigantul software Microsoft a inceput in ultima vreme o ampla campanie care isi propune sa schimbe perceptia publicului in privinta problemelor de securitate cu care se confrunta produsele sale si in special cele care se adreseaza segmentului de afaceri. Aceste eforturi incearca sa dovedeasca faptul ca produsele Microsoft nu sunt doar sigure, ci mai ales mai sigure decat cele ale competitorilor sai care propun variante de tip open source asa cum sunt si distributiile de sisteme de operare Linux.
Un studiu independent (Security Innovations) afirma ca serverele web bazate pe Windows Server 2003 au avut anul trecut mai putine probleme de securitate decat cele care s-au bazat pe Red Hat Linux ES 3 in configuratia standard. Mai mult, serverele web bazate pe tehnologia Microsoft au avut avantajul ca au suferit mai putine “zile de risc” in care au fost descoperite probleme de securitate fara sa fie remediate, decat variantele rivale, distributiile open source de tip Linux.
Acest studiu a nascut deja controverse si primele reactii au aparut de la reprezentantul Red Hat, Mark Cox, care comenteaza negativ acuratetea cercetarii efectuate de specialistii de la Security Innovations. Principalul argument al oficialului Red Hat este faptul ca autorii studiului nu au facut o delimitare clara intre vulnerabilitatile critice si cele lipsite de importanta. O astfel de separare ar fi fost in avantajul Red Hat. Altfel spus, studiul invocat de Microsoft aduna la gramada o serie de probleme de securitate descoperite in decursul unui an in cele doua sisteme de operare si alcatuieste un clasament in care castigatorul este declarat cel care are mai putine puncte. Putem insa aprecia ca sistemul de masurare este bine ales? Este ca si cand am compara o defectiune de la motorul unei masini cu o defectiune a sistemului de inchidere. Ambele sunt defectiuni, insa nu afecteaza in mod egal functionarea corecta a masinii.
Pentru acest studiu, cercetatorii au contabilizat remediile puse la dispozitie pentru fiecare server web. Pentru comparatie, au numit “zile de risc” perioada dintre momentul in care a fost descoperita o problema de securitate si momentul in care aceasta problema a fost rezolvata.
Un server care a rulat in 2004 Red Hat Enterprise Linux ES 3 a avut peste 12.000 de “zile de risc”, in timp ce un server bazat pe tehnologia Microsoft “a beneficiat” de aproximativ 1.600 de “zile de risc” afirma Herbert Thompson, unul din autorii studiului. Mergand mai departe cu analiza comparativa, studiul citat releva faptul ca primul tip de server web are inca de la instalare 174 de brese de securitate, fata de serverul Microsoft care are “doar” 52 de probleme de securitate.
Expertul in securitate de la Red Hat, Mark Cox, isi continua argumentatia critica asupra acestui raport si afirma ca dintre cele 174 de brese de securitate, doar opt pot fi considerate “critice” si in cea mai mare parte au fost rezolvate in primele 24 de ore de la sesizare.
Problemele critice de securitate sunt acelea care pot permite unui hacker sa obtina controlul asupra unui sistem informatic. Principala obiectie a celor de la Red Hat asupra acestui studiu este aceea ca nu s-a facut o departajare a problemelor de securitate in mai multe categorii, in functie de gradul de risc pe care il au.
Merita mentionat si faptul ca acest studiu a fost finantat de Microsoft si face parte din campania numita “Get the facts” menita sa scoata in evidenta beneficiile solutiilor software propuse de Microsoft. In declaratiile oficiale, reprezentantii Microsoft afirma ca incurajeaza clientii si partenerii sa analizeze si sa evalueze aplicatiile si solutiile Microsoft in stransa legatura cu mediul in care acestia le utilizeaza. In acest context, ei au apreciat ca fiind foarte utila pentru clienti cercetarea Security Innovations despre securitate si au decis sa o finanteze.
Cercetatorii de la Security Innovations au pus la dispozitie si metodele utilizate, astfel incat oricine poate sa verifice informatiile rezultate si mai mult decat atat poate sa repete acesta analiza. “Nu am vrut sa oferim doar prajitura; punem la dispozitie si reteta de preparare”, spune Herbert Thompson.
Va veti intreba, cu siguranta, de ce am prezentat acest caz care in unele locuri este poate mult prea tehnic si specializat. In cazul in care nu ati renuntat si ati ajuns sa cititi aceste randuri, va recomand sa fiti foarte atenti atunci cand luati o decizie legata de securitatea informatica a companiei. O decizie inteleapta va tine insa mereu cont de nevoile companiei si, in primul rand, de resursele umane pe care le puteti aloca pentru proiectele IT. Securitatea companiei va depinde in cea mai mare masura de expertiza pe care o poate oferi specialistul IT pe care il aveti. Chiar si unul dintre autorii studiului finantat de Microsoft declara: “Daca as avea un angajat care este un guru Linux, cu siguranta ca l-as pune sa instaleze Linux pe server. Dar pentru ca eu sunt mai mult un guru Windows, folosesc Windows.”