Yhteislausuma GNU/Linux-tietoturvasta

4. huhtikuuta 2004

Yhteenveto

GNU/Linux-toimittajat Debian, Mandrake, Red Hat ja SUSE ovat yhdessä antaneet julkilausuman Forrester-raportista, joka on otsikoitu "Onko Linux turvallisempi kuin Windows?" (engl. "Is Linux more Secure than Windows?"). Huolimatta raportin väitteestä ottaa huomioon kvalitatiivinen arviointi toimittajien reaktioista vakaviin alttiuksiin, se käsittelee kaikkia alttiuksia yhdenveroisina välittämättä niiden aiheuttamista riskeistä käyttäjille. Tämän seurauksena Forrester vetämillä johtopäätöksillä on erittäin rajallinen tosielämän arvo asiakkaille, jotka arvioivat käytännössä kuinka nopeasti vakavat alttiudet korjataan.

Koko lausuma

GNU/Linux-jakeluiden Debian, Mandrakesoft, Red Hat ja SUSE tietoturvasta vastaavat ryhmät ovat auttaneet Forresteria keräämään ja korjaamaan dataa alttiuksissa tuotteissaan. Kerättyä dataa käytettiin Forresterilla raporttiin, joka on otsikoitu "Onko Linux turvallisempi kuin Windows?". Vaikka alttiuksien koskien GNU/Linuxia tiedot, joihin raportti pohjaa, pidetään riittävän tarkkana ja hyödyllisenä, Debian, Mandrakesoft, Red Hat ja SUSE, myöhemmin "me", olemme huolissamme raportin johtopäätösten oikeellisuudesta.

Mielestämme on käyttäjien ja vapaiden ohjelmistojen yhteistön intressi vastata Forrester-raporttiin yhteisen julkilausuman muodossa:

Lähestyimme Forresteria helmikuussa 2004 auttaaksemme jalostamaan heidän raakadataansa. Forrester keräsi dataa alttiuksista, jotka liittyivät GNU/Linuxiin yhden vuoden ajalta (kesäkuu 2002 - toukokuu 2003) ja tarkasteli kuinka monta päivää kesti tarjota korjaukset käyttäjillemme. Merkittävä panos on tehty varmistamaan, että pohjalla oleva tietojoukko alttiuksista on oikea, mutta myös selvittämään tarkasti erityinen tekninen ja organisationaalinen huolenpito vastineprosessissa ammattimaisessa vapaiden ohjelmistojen tietoturva-alalla. Tätä asiantuntevuutta arvostetaan suuresti käyttäjäkunnassamme, koska se tuo huomattavasti lisäarvoa tuotteisiimme. Meidän näkemyksemme mukaan suuri osa tästä arvosta on ohitettu alttiustietojen analyysissä käytetyillä menetelmillä, päätyen lopulta virhellisiin johtopäätöksiin.

Meidän tietoturvan vastuuryhmämme ja maineestaan kuuluisat tietoturvaan erikoistuneet organisaatiot (kuten CERT/DHS, BSI, NIST, NISCC) vaihtavat tietoa alttiuksista ja tekevät yhteistyötä mittauksissa ja menetelmissä näihin reagoitaessa. Jokainen alttius käsitellään yksittäin tutkien ja arvioiden; alttiuden vakavuus määritetään sitten jokaisessa ryhmässä pohjautuen riskeihin ja vaikutukseen, kuin myös enimmäkseen teknisiin heikkouden ominaisuuksiin ja vaikutuksen alaisena olevaan ohjelmistoon. Tätä vakavuutta käytetään sitten määrittämään tärkeysjärjestys, jossa alttiuksia korjataan verrattuna muihin jonossa oleviin alttiuksiin. Käyttäjämme tietävät, että kriittisiin vikoihin vastataan tunneissa. Tämä tärkeysjärjestykseen asettamienn tarkoittaa, että vähemmän vakavat asiat yleensä viipyvät, jotta tärkeämmän korjaukset saadaan selvitettyä ensin.

Vaikka Forrester-raportti väittää niin, se ei tee eroa kun se mittaa tietoturvavian julkisen tiedon julkistuksesta kuluvaa aikaa toimittajan korjaukseen. Jokaiselle toimittajalle raportti antaa vain yksinkertaisen keskiarvon, joka antaa epätäydellisen kuvan käyttäjäkokemuksen todellisuudesta. Keskiarvo virheellisesti käsittelee kaikki alttiudet yhdenveroisina huomioimatta riskiä, jonka ne aiheuttavat. Kaikilla alttiuksilla ei ole yhdenveroinen vaikutus kaikkiin käyttäjiin. Yritetty on asettaa vakavuus alttiuksiin käyttäen kolmannen osapuolen tietoja, kuitenkin luokitus "todella-vakava" alttiuksille ei ole riittävä: Pelkkä alttiuden julkaisu tietyltä tietoturvaorganisaatiolta ei tee alttiudesta vakavaa - samoin mahdollisuus käyttää hyödyntää heikkoutta verkon yli (etänä) on usein merkityksetön alttiuden vakavuudelle.

Mielestämme raportti ei käsittele vapaiden ohjelmistojen toimittajia ja yhtä suljetun lähdekoodin toimittajaa samalla tavalla. Vapaat ohjelmistot tunnetaan vaihtelevuudesta ja vapaudesta valita määrittelemiensä standardien kesken. Useita toteutuksia näistä standardeista tarjotaan tyypillisesti sekä työpöytä- että palvelinkäyttöön, joka mahdollistaa käyttäjien vapauden valita ohjelmisto omien kriteeriensä pohjalta toimittajan kriteerien sijaan. Lähdekoodin avoimuus, läpinäkyvyys ja jäljitettävyys tuo lisäarvoa suuremman ohjelmistopakettien valikoiman saatavuuden lisäksi. Lopuksi, väite, että eräs ohjelmistotoimittaja on korjannut 100 % vioistaan tällä ajanjaksolla pitäisi kannustaa lähempään selvitykseen raportin esittämistä johtopäätöksistä.

allekirjoittaneet,
Noah Meyerhans, Debian
Vincent Danen, Mandrakesoft
Mark J Cox, Red Hat
Roman Drahtmüller, SUSE

Lisätietoja:

Javier Fernández-Sanguino Peña koosti katsauksen vuonna 2001 ja havaisti, että Debianin tietoturvaryhmältä vei keskimäärin 35 päivää korjata Bugtraq-listalle lähetetyt alttiudet. Kuitenkin yli 50 % alttiuksista korjattiin 10 päivän aikana ja yli 15 % näistä korjattiin samana päivänä kuin tiedote julkaistiin! Tässä analyysissä tosin kaikkia alttiuksia kohdeltiin samanarvoisina.

Hän koosti uuden katsauksen heinäkuun 1. 2002 ja toukokuun 31. 2003 välillä löydetyistä alttiuksista ja havaitsi, että julkituomisen ja korjauksen sisältävän tiedotteen julkaisun väliajan mediaani oli 13,5 päivää (keskimäärin 31,10 päivää). Tässäkään analyysissä tiedotteita ei jaoteltu eri tärkeysasteisiin.