|
|
מאמר חדש Security Report: Windows vs Linux בוחן מספר מיתוסי אבטחה על פי העובדות, ולא על פי קמפייני שיווק משומנים (ומטעים) שמטבעם מדגישים זוית אחת וחד צדדית העושה חסד עם ממני מסעות הפרסום.
המאמר בוחן הבדלים בארכיטקטורות של לינוקס מול חלונות ומטריקות שונות המעניקות נקודת מבט רב-מימדית לניתוח רמת האבטחה של המערכות השונות, ולכן הוא יכול לשמש גם כמקור להיכרות מעמיקה יותר עם הטכנולוגיות והעובדות שמאחורי המספרים היבשים, וגם להדיפת טיעונים חלקיים שנותקו מהקשרם בפרסומות.
המאמר מתמקד בשלושה מיתוסים:
מיתוס: מי שיותר נפוץ, פגיע יותר.
האמת: נתח השוק של אפאצ'י גדול ביותר מפי שניים מזה של IIS. למרות זאת, כמות ההתקפות שהצליחו על שרתי אפאצ'י קטנה יותר, ולרוב הנזק מועט יותר. במקרים מסויימים, הנזק גדול יותר כאשר השרת מופעל על חלונות.
מיתוס: קוד פתוח יותר מסוכן, כי ניתן ללמוד את אופן הפעולה שלו.
האמת: בפועל, הקוד הפתוח לא תורגם עד כה להתקפות מצליחות יותר. העובדות מוכיחות בדיוק את ההפך: וירוסים, סוסים טרויאניים ושאר מזיקים קיימים בלי סוף דווקא בחלונות, שעל הנייר המפרט שלה סגור וחסוי. מומחי אבטחה רבים גם שוללים את הטיעון שחשאיות תורמת לאבטחה. בפועל, הפתרון של בעיות אבטחה שנשמרו בחשאיות הוזנח לעתים קרובות, והקשה גם על מנהלי מערכות להיערך לסיכונים. דווקא מודל הקוד הפתוח מקשה לטאטא בעיות מתחת לשולחן.
מיתוס: אפשר ללמוד על רמת האבטחה מסטטיסטיקה חד מימדית.
האמת: העובדות המצוטטות ממחקרים חדשות לבקרים מראות בדרך כלל רק מימד אחד של הנתונים. בחינת כל ההיבטים ולא רק את שורת המחץ הפרסומית מראה מסקנות שונות לגמרי.
למשל, אחד הטיעונים שמיקרוסופט מפרסמת בהתבסס על מחקר של פורסטר הוא שתיקוני אבטחה בחלונות מבוצעים בממוצע מהר יותר. הדבר משול למי שלקה בהתקף לב וצריך לבחור בבית חולים - האם הוא יבחר בזה שבממוצע מטפל בחולים תוך פרק הזמן הנמוך יותר או בזה שמטפל באירועים מסכני חיים מהר יותר? בחינת הנתונים הגולמיים מראה לדוגמה שלמיקרוסופט לקח שבעה חודשים לתקן את אחת הבעיות הקריטיות ביותר (פרק זמן לא סביר שנבלע בנפלאות המיצוע), ולאחרונה מיקרוסופט אף הודיעה שאין בכוונתה לתקן בעיות בגרסאות ישנות של מערכת ההפעלה, שלמראית עין עדיין זכאיות לתמיכה.
אותו מחקר גם משמש לטיעון שלחלונות יש פחות כשלי אבטחה מאשר ללינוקס. ההצגה החד מימדית שוכחת לספר שאתרעות אבטחה בהפצות לינוקס כוללות את כל מרכיבי המערכת והיישומים, לא רק את בסיס המערכת, ולכן יש בהצגת נתונים אלו כדין השוואת מלפפונים לסלט ירקות. שורת המחץ מתעלמת גם ממימדים נוספים, כמו למשל מה היתה רמת הסיכון של האתרעות? כמה מביניהן מהוות סכנה ממשית?
הפרקים העיקריים במאמר מכסים:
- הארכיטקטורה של לינוקס, הארכיטקטורה של חלונות וההבדלים ביניהן
- מטריקות לבחינת רמת אבטחה: פוטנציאל החשיפה, פוטנציאל הניצול לרעה, פוטנציאל ההרס, סיכון האבטחה הכולל
- היבטים נוספים: יישומים מול מערכת ההפעלה (או: האם בעיית אבטחה באפאצ'י שתוקנה ברד האט היא בעיה של לינוקס או של חלונות שגם יכולה להפעיל אפאצ'י?), ניהול המערכת
- ניתוח 40 כשלי האבטחה האחרונים בשרת חלונות 2003 וברד האט AS3.
קישורים:
The Register, Security Report: Windows vs Linux,
ווטסאפ, מחקר בלתי תלוי מראה שלחלונות "עלות בעלות כוללת" נמוכה יותר - אבל לא מההיבט שעליו אתם חושבים;),
ווטסאפ, האם תוכנת קוד פתוח היא מאובטחת יותר?,
ווטסאפ, גרטנר: עלות בעיות האבטחה של חלונות בלתי נסבלת, ממליצה לא לחבר שרתי חלונות 2003 לאינטרנט,
ווטסאפ, 200 ימים,
ווטסאפ, סוד הבאג הנעלם,
ווטסאפ, סימנטק מזהירה: לונגהורן תכלול רכיב שיערער את אבטחת המערכת,
ווטסאפ, אבטחה בלינוקס ו BSD - אל תגידו "לי זה לא יקרה" | |
|
| על הקשר בין מיתוסי אבטחה לבין העובדות | כניסה / יצירת מנוי חדש | 5 תגובות |
|
| | ההערות הינן מטעם כותביהן. אין צוות האתר לוקח אחריות על תוכנן |
|
|
23/10/2004 - 12:00 · 
