Je Linux čtyřikrát méně bezpečný?

United States Computer Emergency Readiness Team je velká americká organizace, která se zabývá počítačovou bezpečností. Každoročně vydává komplexní zprávu o objevených bezpečnostních chybách, jejíž výsledky přebírá řada odborných médií. Chyby v ní jsou rozděleny podle operačních systémů, kterých se týkají.

Z poslední zprávy, která pojednává o chybách objevených v roce 2005, vyplývá, že bylo objeveno o 40 procent více děr než v roce 2004. Celkem bylo objeveno 5198 bezpečnostních chyb. To je jistě alarmující číslo, ve kterém se zrcadlí zvýšená aktivita útočníků. Toto číslo ovšem není jedinou informací, kterou zpráva přinesla.

Nevím, jestli se jedná o záměr nebo o hrubou chybu tvůrců zmíněné zprávy, jisté ale je, že z ní laický čtenář a bohužel i laický novinář vyčte, že v roce 2005 bylo v aplikacích pro MS Windows objeveno 812 bezpečnostních chyb, kdežto v Linuxu je jich 2328. Zbylých 2058 jsou problémy, které se týkají více než jednoho systému. Sledován byl jak systém samotný, tak i aplikace pro něj určené.

Běžný čtenář, který vidí situaci značně zjednodušeně a zkresleně okamžitě zareaguje: „Aha! Takže Linux je méně bezpečný!”. Přesně tak zareagoval například známý server BetaNews.com, který ve svém článku 5,198 Linux, Windows OS Flaws in 2005 píše: „US-CERT nalezl čtyřikrát více chyb v systémech Unix a Linux”. Zprávu převzal například český server Živě.cz pro svou bleskovku Windows čtyřikrát bezpečnější než Linux?

Kromě naprosto zkreslené interpretace informací ze zprávy vás možná stejně jako mě zarazí slovo „čtyřikrát”, které se vyskytuje v obou článcích, ale v originální zprávě jej nenajdete. Už na první pohled je zřejmé, že 812 se do 2328 nevejde ani třikrát. Chyba ve výpočtu?

Další problém se skrývá v samotných číslech 812 a 2328. Ačkoliv první z nich zahrnuje jen operační systém MS Windows, druhé se týká nejen všech distribucí Linuxu, (řádově stovky), ale Unixu a dokonce i Mac OS X (!).

Problém je v tom, že mnoho uvedených chyb se týká jen jedné linuxové distribuce nebo konkrétní kombinace verzí jednotlivých aplikací. Tady je ovšem jedním hmatem vše strčeno do společné škatulky.

O to více zarážející je poslední škatulka. Jak už bylo napsáno, obsahuje chyby, které se týkají více než jednoho systému. Nikoliv chyby, které se vždy týkají obou kategorií, jak by se mohl někdo mylně domnívat. Například iTunes existuje jen pro MS Windows a Mac OS X.

Uvnitř této kategorie jsou tedy chyby, které se týkají jen části systémů v kategorii „Unix, Linux a Mac OS X” a mohou tak výrazně vylepšit výsledek Linuxu. V případě iTunes je to tedy 1:0 pro Linux, ale opětovné vysypání nezařaditelných chyb do jedné škatule už definitivně rozbíjí poslední kousky serióznosti zprávy.

Být naprosto objektivní není vždy jednoduché, ale od vládní organizace tohoto kalibru bychom to asi mohli očekávat. Přitom nejde o nic jiného, než o poctivé rozdělení jednotlivých systémů, a to vždy podle stejného klíče.

Položme si zásadní otázku: Kdybyste chtěli vytvořit zprávu, která by co nejvíce nahrávala MS Windows, jak byste to udělali? Logickým postupem je oddělit MS Windows od „ostatních” a navíc mu ubrat některé chyby tím, že je odhodíte do nezávislé kategorie, protože se týkají nejen MS Windows.

Vše navíc ještě zhoršuje zcela chybný závěr, který vyvodil server BetaNews. Bezpečnost konkrétního systému nemůžeme určit jen podle toho, kolik chyb bylo objeveno v jeho aplikacích. Jednak těžko uživatelé použivají veškerý software uvedený ve zprávě, ale nezanedbatelná je také například reakční doba dodavatele na objevenou chybu. Je známým faktem, že oprava kritické chyby bývá v distribučních repozitářích k dispozici obvykle během několika málo hodin. Microsoftu trvá vydání záplaty někdy i měsíce.

Do jaké míry se jednalo o záměr, je těžké říci. Mohlo se jednat o manipulaci už při přípravě originálních podkladů nebo prostě došlo k chybě. V každém případě takto interpretovaná chybná zpráva může nadělat mnoho škody, pokud se jejími výsledky budou řídit koncoví uživatelé.