Nyheter / Nyheter från 2004 / Nyheter -- Gemensamt uttalande om säkerhet i GNU/Linux

Gemensamt uttalande om säkerhet i GNU/Linux

4 april 2004

Kort sammandrag

GNU/Linux-leverantörerna Debian, Mandrake, Red Hat och SUSE har gått samman med ett gemensamt uttalande om Forresterrapporten ”Is Linux more secure than Windows?” (”Är Linux säkrare än Windows?”). Trots att rapporten hävdar att den innehåller en kvalitativ bedömning av leverantörernas reaktioner på allvarliga sårbarheter behandlar den alla sårbarheter som likvärdiga, oberoende av risken för användarna. Därmed har de slutsatser som Forrester drar ett mycket begränsat värde i den verkliga världen för kunder som värderar hur snabbt allvarliga sårbarheter i praxis blir rättade.

Hela uttalandet

Säkerhetsgrupperna för GNU/Linux-distributionerna Debian, Mandrakesoft, Red Hat och SUSE har hjälpt Forrester med att samla in och korrigera information om sårbarheter i sina produkter. De insamlade uppgifterna användes av Forrester i en rapport som fick rubriken ”Is Linux more secure than Windows?” (”Är Linux säkrare än Windows?”). Även om informationen om sårbarheterna i GNU/Linux rapporten är baserad på anses vara tillräckligt korrekt och användbar, är Debian, Mandrakesoft, Red Hat och SUSE (härefter ”vi”) bekymrade över korrektheten hos de slutsatser som dras i rapporten.

Vi anser att det är i våra användares och fri programvarumiljöns intresse att vi besvarar Forresterrapporten med ett gemensamt uttalande:

I februari 2004 blev vi kontaktade av Forrester, vilka bad oss att hjälpa till att förbättra deras rådata. Forrester samlade information om sårbarheter som påverkat GNU/Linux under en period på ett år (juni 2002 till maj 2003) och såg på hur många dagar det tog oss att göra rättelser tillgängliga för våra användare. Mycket arbete har lagts ned på att se till att inte bara de underliggande data om sårbarheterna var korrekta, utan även att förklara hur den speciella tekniska och organisatoriska omsorg som tas inom professionellt säkerhetsarbete inom fri programvara. Denna expertis är något våra användare uppskattar väldigt mycket, men vi kan se att det mesta av detta värde har ignorerats i de metoder som använts för att analysera informationen, vilket fått felaktiga slutsatser till följd.

Våra säkerhetsgrupper och organisationer specialiserade på säkerhet med aktningsfullt omdöme (såsom CERT/DHS, BSI, NIST, NISCC) utbyter information om sårbarheter och samarbetar om metoder att reagera på dem. Varje sårbarhet undersöks och evalueras individuellt; allvarlighetsgraden hos sårbarheten bestäms därefter av var och en av grupperna baserad på risk och verkan, såväl som andra, huvudsakligen tekniska, egenskaper hos sårbarheten och den programvara den gäller. Denna allvarlighetgrad används därefter för att bestämma vilken prioritet arbetet på en rättelse skall ha, vägt mot andra sårbarheter i våra aktuella köer. Våra användare vet att vi svarar inom loppet av några timmar på kritiska fel. Denna prioritering innebär att säkerhetsproblem med lägre prioritet ofta kommer att fördröjas så att de viktigaste problemen kan lösas först.

Trots att Forresterrapporten säger sig skilja på dessa faktorer när den mäter den tid som förlöper från det att allmänheten får kännedom om säkerhetsproblemet och när leverantören har en rättelse tillgänglig, gör den inte det. Rapporten ger endast ett enkelt medelvärde, ”Alla/Distributionens riskdagar”, för varje leverantör, något som inte ger en entydig bild av vad användaren upplever. Medelvärdet behandlar felaktigt alla sårbarheter lika, oberoende av risken de innebär. Alla sårbarheter har inte samma inverkan på alla användare. Ett försök har gjorts att tilldela en allvarlighetsgrad på sårbarheterna med data från en tredjepart, men att klassificera sårbarheter med ”hög allvarlighetsgrad” är inte tillräcklig: Att en specifik säkerhetsorganisation publicerar en sårbarhet gör inte nödvändigtvis sårbarheten allvarlig – dessutom, att en svaghet kan utnyttjas över nätverket (utifrån) är ofta irrelevant vad gäller sårbarhetens allvarlighetsgrad.

Vi anser inte att rapporten behandlar de olika leverantörerna av fri programvara på samma sätt som den enda leverantören av stängd programvara. Fri programvara är känt för sin mångfald och valfrihet bland de standarder den definierar. Flera implementationer av dessa standarder tillhandahålls oftast både för användning i skrivbords- och serversystem, vilket ger användarna friheten att välja programvara baserat på sina egna kriterier istället för leverantörens. Källkodens öppenhet, transparens och spårbarhet är ett extra värde, förutom det större utbudet av tillgängliga programvarupaket. Slutligen bör dessutom påståendet att en av programvaruleverantörerna rättade 100% av sina fel under rapporteringsperioden vara ett incitament till att närmare undersöka de slutsatser rapporten presenteras.

undertecknat
Noah Meyerhans, Debian
Vincent Danen, Mandrakesoft
Mark J Cox, Red Hat
Roman Drahtmüller, SUSE

Ytterligare Information:

Javier Fernández-Sanguino Peña sammanställde 2001 en undersökning där han upptäckte att det i medeltal tar Debians säkerhetsgrupp 35 dagar att rätta sårbarheter som offentliggjorts på Bugtraqlistan. Över 50% av sårbarheterna rättades dock på maximalt tio dagar, och 15% rättades samma dag bulletinen publicerades! Alla sårbarheter behandlades dock lika i denna analys.

Han upprepade undersökningen baserat på sårbarheter som upptäckts mellan 1 juni 2002 och 31 maj 2003 och kom fram till att medianvärdet på fördröjningen mellan offentliggörandet och att en bulletin med en rättelse var 13,5 dagar (medelvärdet är 31,10 dagar). Inte heller i denna analys klassificerades bulletinerna med olika prioriteter.