Seneste nyt / Nyheder fra 2004 / Nyheder -- Fælles udtalelse om sikkerhed i GNU/Linux

Fælles udtalelse om sikkerhed i GNU/Linux

4. april 2004

Kort sammendrag

GNU/Linux-leverandørerne Debian, Mandrake, Red Hat og SUSE er gået sammen om en fælles udtalelse om Forrester-rapporten med titlen "Is Linux more Secure than Windows?" ("Er Linux mere sikker end Windows?"). På trods af at rapporten hævder at indeholde en kvalitativ vurdering af leverandørreaktioner på alvorlige sårbarheder, behandler den alle sårbarheder som ligeværdige, uafhængigt af risikoen for brugerne. Dermed har de konklusioner som Forrester drager, ekstremt begrænset værdi i den virkelige verden, for kunder der vurderer hvor hurtigt alvorlige sårbarheder i praksis bliver rettet.

Hele udtalelsen

Sikkerhedsløsningsholdene hos GNU/Linux-distributørerene Debian, Mandrakesoft, Red Hat og SUSE har hjulpet Forrester med at indsamle og korrigere oplysninger om sårbarheder i deres produkter. De indsamlede oplysninger blev anvendt af Forrester i en rapport der fik overskriften "Is Linux more secure than Windows?" ("Er Linux mere sikker end Windows?"). Selvom sårbarhedsoplysninger i forbindelse med GNU/Linux, som er grundlaget for rapporten betragtes som værende tilstrækkelig korrekt og anvendeligt, er Debian, Mandrakesoft, Red Hat og SUSE, herefter benævnt "vi", bekymrede for korrektheden af rapportens konklusioner.

Vi mener at det er i vores brugeres og fri software-fællesskabets interesse, at vi udsender en fælles udtalelse om Forresters rapport:

I februar 2004 blev vi kontaktet af Forrester, der bad om hjælp til at forbedre deres rå data. Forrester indsamlede oplysninger om sårbarheder som påvirkede GNU/Linux i en periode på et år (juni 2002 til maj 2003) og så på hvor mange dage det tog os at stille rettelser til rådighed for vores brugere. Der er blevet lagt et stort arbejde i ikke blot at sikre, at de underliggende oplysninger om sårbarhederne var korrekte, men også at forklare den særlige tekniske og organisatoriske omhu man har indenfor professionel fri softwares sikkerhedsområde. Denne ekspertise er vores brugere særdeles tilfredse med, da det føjer en stor værdi til vores produkter, men vi kan se at det meste af denne værdi er blevet ignoreret i metoderne til analysernig af sårbarhedsoplysningerne, men fejlagtige konklussioner til følge.

Vores sikkerhedsløsningshold og sikkerhedsspecialiserede organisationer med et agtværdigt omdømme (eksempelvis CERT/DHS, BSI, NIST, NISCC) udveksler oplysninger om sårbarheder og samarbejder om metoder og procedurer til at reagere på dem. Alle sårbarheder bliver indviduelt undersøgt og evalueret; sårbarhedens alvor afgøres dernæst af hvert individuelt hold, baseret på risiko og virkning, foruden andre, primært tekniske, særlige egenskaber ved svagheden og den påvirkede software. Alvoren anvendes efterfølgende til at afgøre hvilken prioritet udarbejdelsen af en rettelse til sårbarheden skal have, i forhold til andre sårbarheder i vores aktuelle køer. Vores brugere ved, at ved kritiske fejl kan vi reagere i løbet af få timer. Denne prioritering betyder at problemer som er mindre alvorlige ofte bliver forsinket for at mere vigtige problemer kan blive løst først.

Selvom Forresters rapport hævder at gøre det, tages dette ikke i betragtning ved målingen af forbrugt tid fra en sikkerhedsfejl kommer til offentlighedens kendskab, til en rettelse af tilgængelige fra leverandøren. Rapporten giver blot et simpelt gennemsnit for hver af leverandørerne, "All/Distribution days of risk" ("Alle/distributionens risikodage"), hvilket ikke giver et entydigt billede af den virkelighed vores brugere oplevere. Gennemsnittet behandler fejlagtigt alle sårbarheder som værende ens, uafhængigt af den risiko de indebærer. Ikke alle sårbarheder har den samme virkning på alle brugere. Man har forsøgt at tildele en alvorhedsgrad til sårbarhederne ved hjælp af oplysninger fra en tredjepart, men klassificeringen af sårbarheder med "høj alvorhedsgrad" er ikke tilstrækkelig: Dét, at en bestemt sikkerhedsorganisation offentliggør en sårbarhed, medfører ikke nødvendigvis at sårbarheden er alvorlig - tilsvarende er evnen til at udnytte en svaghed over et (fjent) netværk ofte irrelevant i forhold til sårbarhedens alvorhedsgrad.

Vi mener at rapporten ikke behandler distributører af fri software og den eneste distributør af lukket kode på den samme måde. Fri software er kendt for sin mangfoldighed og dets frihed til at vælge mellem de standarder, den definerer. Mange implementeringer af disse standarder tilbydes typisk til brug på både servere og desktop-maskiner. Kildekodens åbenhed, gennemskuelighed og sporbarhed er ekstra værdi, foruden det større udvalg af tilgængelige softwarepakker. Slutteligt bør påstanden om, at en softwareleverandør har rettet 100 procent af deres fejl i rapporteringsperioden, være et incitament til en nærmere undersøgelse af de konklussioner rapporten præsenterer.

underskrevet,
Noah Meyerhans, Debian
Vincent Danen, Mandrakesoft
Mark J Cox, Red Hat
Roman Drahtmüller, SUSE

Yderligere oplysninger

Javier Fernández-Sanguino Peña udarbejdede en undersøgelse i 2001, og opdagede at det i gennemsnit tog Debians sikkerhedsteam 35 dage at rette sårbarheder offentliggjort på Bugtraq-listen. Dog blev over 50 procent af sårbarhederne rettet indenfor ti dage, og over 15 procent af dem blev rettet samme dag som bulletinen blev udsendt! I denne analyse blev alle sårbarheder dog behandlet på samme måde.

Han har foretaget undersøgelsen igen, baseret på sårbarheder opdaget mellem 1. juni 2002 og 31. maj 2003, og er kommet frem til at medianværdien på forsinkelsen mellem offentliggørelse og udsendelse af en bulletin indeholdende en rettelse var 13,5 dage (gennemsnittet er 31,10 dage). Igen, i denne analyse blev bulletinerne ikke klassificeret med forskellige prioriteringer.