Últimas notícias / Notícias de 2004 / Notícias -- Declaração Conjunta Sobre a Segurança do GNU/Linux

Declaração Conjunta Sobre a Segurança do GNU/Linux

4 de Abril de 2004

Sumário Executivo

Os distribuidores GNU/Linux Debian, Mandrake, Red Hat e SUSE uniram-se para dar uma declaração comum sobre o relatório da Forrester intitulado "O Linux é mais Seguro que o Windows?". Embora o relatório afirme incorporar uma pesquisa qualitativa das reações dos distribuidores em relação a vulnerabilidades sérias, ele trata todas as vulnerabilidades como iguais, independentemente dos riscos aos usuários. Como resultado, as conclusões feitas pela Forrester tem valor real extremamente limitado para o levantamento dos clientes de quão rapidamente as vulnerabilidades sérias são corrigidas na prática.

Declaração Completa

As equipes de respostas de segurança dos distribuidores GNU/Linux Debian, Mandrakesoft, Red Hat e SUSE auxiliaram a Forrester a coletar dados sobre as vulnerabilidades em seus produtos. Os dados coletados foram usados na Forrester em um relatório intitulado "O Linux é mais Seguro que o Windows?". Embora os dados das vulnerabilidades relativas ao GNU/Linux que são a base para o relatório sejam considerados suficientemente precisos e úteis, Debian, Mandrakesoft, Red Hat e SUSE, daqui em diante referenciados como "Nós", estão preocupados com relação à precisão das conclusões feitas no relatório.

Nós acreditamos que é no interesse de nossos usuários e da comunidade do Software Livre que nós respondemos ao relatório da Forrester na forma de uma declaração comum:

Nós fomos contatados pela Forrester em Fevereiro de 2004 para ajudá-los a refinar seus dados puros. A Forrester coletou dados sobre as vulnerabilidades que afetaram o GNU/Linux durante o período de um ano (Junho de 2002 - Maio de 2003) e observou quantos dias nós levamos para fornecer as correções aos nossos usuários. Esforços significativos foram colocados não somente em certificar que o conjunto de dados sobre as vulnerabilidades estava correto, mas também em articular o cuidado especial técnico e operacional tomado no processo de resposta no campo da segurança profissional em Software Livre. Esta experiência é muito apreciada pelos nossos usuários, uma vez que adiciona grande valor aos nossos produtos, mas nós observamos que a maior parte deste valor foi ignorado nos métodos usados para a análise dos dados das vulnerabilidades, levando a conclusões erradas.

Nossas Equipes de Resposta de Segurança e organizações especializadas em segurança de reputação respeitável (como CERT/DHS, BSI, NIST, NISTCC) trocam informações sobre vulnerabilidades e cooperam nas medidas e procedimentos para reagir a elas. Cada vulnerabilidade é investigada e examinada individualmente; a severidade da vulnerabilidade é então determinada por cada uma das equipes individuais baseadas no risco e impacto além de outras propriedades, principalmente técnicas, da vulnerabilidade e do software afetado. Esta severidade é então usada para determinar a prioridade na qual será trabalhada uma correção para a vulnerabilidade em relação à outras vulnerabilidades em espera no momento. Nossos usuários sabem que para falhas críticas nós podemos responder dentro de horas. Esta priorização indica que as correções dos problemas de severidades menores serão freqüentemente adiadas para que aqueles mais importantes sejam resolvidos primeiro.

O relatório da Forrester não faz esta distinção quando calcula o tempo passado entre o conhecimento público de uma falha de segurança e a disponibilidade de uma correção do distribuidor, embora afirme fazê-lo. Para cada distribuidor o relatório fornece uma média simples, a "Todos/Dias de risco da distribuição", que mostra uma imagem não conclusiva da realidade que os usuários experimentam. A média trata erroneamente todas as vulnerabilidades como iguais, independentemente do risco que elas apresentem. Nem todas as vulnerabilidades causam o mesmo efeito em todos os usuários. Uma tentativa de designar uma severidade para as vulnerabilidades foi feita usando dados terceirizados, porém a classificação das vulnerabilidades de "alta-severidade" não é suficiente: O simples anúncio de uma vulnerabilidade por uma organização de segurança em particular não a torna necessariamente severa. De modo parecido, a habilidade de explorar uma fraqueza através da rede (remota) é freqüentemente irrelevante para a severidade da vulnerabilidade.

Nós acreditamos que o relatório não trata os distribuidores de Software Livre e o único distribuidor de código fechado do mesmo modo. O Software Livre é conhecido pela sua variedade e sua liberdade de escolha entre os padrões que ele define. Várias implementações destes padrões são tipicamente oferecidas para uso em ambos desktop e servidores, o que dá aos usuários a liberdade de selecionar o software baseados em seus critérios ao invés daqueles do distribuidor. A abertura e a transparência do código fonte é um valor adicionado à grande variedade de pacotes de software disponíveis. Finalmente, a afirmação que um dos distribuidores de software corrigiu 100% de suas falhas de segurança durante o período do relatório deveria ser um incentivo para uma investigação mais aprofundada das conclusões apresentadas pelo relatório.

assinado,
Noah Meyerhans, Debian
Vincent Danen, Mandrakesoft
Mark J Cox, Red Hat
Roman Drahtmüller, SUSE

Informação Adicional:

Javier Fernández-Sanguino Peña compôs uma pesquisa em 2001 e descobriu que a equipe de segurança do Debian levou uma média de 35 dias para corrigir as vulnerabilidades enviadas à lista. Entretanto, mais de 50% das vulnerabilidades foram corrigidas no máximo em 10 dias, e mais de 15% delas foram corrigidas no mesmo dia que o alerta foi lançado! Para esta análise, todas as vulnerabilidades foram tratadas da mesma maneira.

Ele refez a pesquisa baseado nas vulnerabilidades descobertas entre 1 de Junho de 2002 e 31 de maio de 2003 e descobriu que o valor mediano da demora entre a descoberta e o lançamento de um alerta com uma correção foi de 10 dias (média de 13,5 dias). Nesta análise os alertas também não foram classificados com prioridades diferentes.