Zbiorowe oświadczenie dot. bezpieczeństwa w systemach GNU/Linux
4. kwietnia 2004r
Podsumowanie
Dystrybutorzy systemów GNU/Linux: Debian, Mandrake, Red Hat i Suse stworzyli
wspólne oświadczenie dotyczące raportu Forrestera zatytułowanego
Is Linux more Secure than Windows?
(w tłumaczeniu:
Czy Linux jest bardziej bezpieczny niż Windows?
).
W raporcie starano się przedstawić i ocenić reakcje dystrybutorów na luki w
bezpieczeństwie. Jednak autorzy traktują wszystkie luki jakby były sobie
równe, nie uwzględniając jaki mają wpływ dla użytkownika. W wyniku tego
uproszczenia, wnioski płynące z raportu Forrestera znacznie odbiegają
od rzeczywistości, zaniżając praktyczny czas naprawy poważnych luk
bezpieczeństwa.
Pełne oświadczenie
Zespoły odpowiedzialne za bezpieczeństwo w dystrybucjach systemów GNU/Linux
Debian, Mandrakesoft, Red Hat i Suse pomogły Forresterowi w zbieraniu i
uzupełnianiu danych dotyczących słabych punktów w swoich produktach. Zebrane
informacje posłużyły do opracowania raportu zatytułowanego Is Linux more
Secure than Windows?
(w tłumaczeniu: Czy Linux jest bardziej bezpieczny
niż Windows?
). Pomimo iż przedstawione w raporcie dane są w miarę poprawne,
wnioski z nich wypływające wymagają sprostowania. Dlatego też Debian,
Madnrakesoft, Red Hat i SUSE (w dalszej części tego dokumentu określane jako
my
) opublikowały wspólne stanowisko w tej sprawie.
Uważamy, że w interesie naszych użytkowników i całej społeczności Wolnego Oprogramowania jest zaprezentowanie zbiorowego oświadczenia dotyczącego raportu Forrestera:
Zostaliśmy poproszeni przez Forrestera w lutym 2004 roku o pomoc w uzupełnieniu danych. Forrester zebrał informacje dotyczące luk w bezpieczeństwie systemów GNU/Linux z okresu od czerwca 2002 do maja 2003 i sprawdził ile czasu zajęło nam dostarczenie odpowiednich poprawek dla użytkowników. Położono duży nacisk nie tylko na to, aby zebrane dane były prawidłowe, ale zbadano również wszystkie techniczne zagadnienia związane z reakcją producentów na potencjalne zagrożenie. Stosowane przez nas metody zajmowania się problemami bezpieczeństwa doceniane przez naszych użytkowników zostały również pozytywnie przedstawione w ekspertyzie Forrestera. Niestety ich wartość została zignorowana podczas ostatecznej analizy w efekcie doprowadzając do błędnych wniosków.
Poszczególne zespoły do spraw bezpieczeństwa, oraz organizacje o dużej reputacji zajmujące się bezpieczeństwem (takie jak: CERT/DHS, BSI, NIST, NISCC) wymieniają między sobą informacje o możliwych lukach w bezpieczeństwie. Poszczególne zespoły współpracują ze sobą stosując różne procedury zależne wielkości analizowanego problemu. Każda luka w bezpieczeństwie jest oddzielnie przeglądana i oceniana. Jej wpływ na bezpieczeństwo sytemu (ważność) jest oceniana przez poszczególne zespoły na podstawie potencjalnego ryzyka oraz wpływu, jak również innych technicznych aspektów. Ważność poszczególnych problemów ma wpływ na priorytet z jakim pracować będą zespoły bezpieczeństwa nad jego poprawieniem. Nasi użytkownicy wiedzą, że w przypadku krytycznych punktów systemu jesteśmy w stanie odpowiedzieć w czasie kilku godzin. Nadawanie priorytetów oznacza, że mniej ważne problemy są pozostawiane do rozwiązania na później, a ważniejsze są badane w pierwszej kolejności.
Pomimo iż Forrester twierdzi inaczej, wcale nie dokonywał rozróżnienia
podczas pomiaru czasu pomiędzy publiczną informacją o błędzie, a dostępnością
poprawki dystrybutora. Dla każdego z dystrybutorów wyliczono zwykłą średnią
nazywaną w raporcie All/Distributions days of risk
(Wszystkie/Całkowity
czas ryzyka w dystrybucji
). Takie uproszczenie daje odbiegający od
rzeczywistości obraz.
Wyliczając średnią traktuje się wszystkie luki w bezpieczeństwie jakby były
sobie równe. Oczywiście nie każda podatność na naruszenie bezpieczeństwa ma
taki sam wpływ na każdego użytkownika.
Próbowano dokonać pewnej klasyfikacji wykorzystując dane z
oddzielnych/zewnętrznych organizacji. Jednak dokonany tam podział
high-severality
(duża-ważność) nie jest wystarczający. Samo zgłoszenie
błędu przez zewnętrzną organizację, czy możliwość wykorzystania luki przez
sieć (zdalnie) wcale nie musi oznaczać, że istniejąca podatność na naruszenie
bezp. jest bardzo poważna.
Naszym zdaniem dostarczyciele Wolnego Oprogramowania i producent
oprogramowania zamkniętego nie byli w raporcie potraktowani w równorzędny
sposób.
Wolne Oprogramowanie jest znane ze swojego zróżnicowania i możliwości wyboru w
określonych standardach. Wiele implementacji tych standardów jest dostarczana
zarówno dla użytkowników komputerów biurkowych (tzw. desktopów
), jak i dla
rozwiązań serwerowych. Daje to możliwość wyboru oprogramowania w zależności
od przyjętych przez użytkownika kryteriów, a nie kryteriów narzuconych przez
producenta. Otwartość, przejrzystość rozwiązań i łatwość namierzania problemów
w kodzie źródłowym jest kolejną zaletą istniejącej dużej grupy pakietów
oprogramowania.
Stwierdzenie, że jeden z producentów oprogramowania naprawił w określonym
czasie 100% błędów powinno być zachętą do szczegółowej analizy takiego
stwierdzenia i wyciągnięcia odpowiednich, logicznych wniosków.
podpisali,
Noah Meyerhans, Debian
Vincent Danen, Mandrakesoft
Mark J Cox, Red Hat
Roman Drahtmüller, SUSE
Dodatkowe informacje:
Javier Fernández-Sanguino Peña przygotował zestawienie na rok 2001, z którego wynika, że zespołowi ds. bezpieczeństwa w Debianie naprawienie błędu zajęło średnio 35 dni. Jednak, ponad 50% z nich została naprawiona w przeciągu dziesięciu dni, a ponad 15% zostało naprawione w dniu wydania porady dotyczącej bezpieczeństwa! W tej prostej analizie wszystkie błędy były traktowane na równi.
Javier przygotował swoje zestawienie na podstawie danych o błędach odkrytych w okresie od 1 czerwca 2002, do 31 maja 2003. Obliczenia wykazały, że mediana opóźnienia pomiędzy odkryciem błędu, a wydaniem porady z odpowiednią poprawką wynosiła 13,5 dnia (średnia 31,10 dnia). Również w tej analizie wszystkie porady były traktowane na równi.