Hlavní navigace

Je Linux čtyřikrát méně bezpečný?

Petr Krčmář 5. 1. 2006

Každý rok vydává organizace US-CERT rozsáhlou zprávu, ve které zveřejní seznam všech objevených bezpečnostních děr za poslední rok. Podle poslední zprávy má Linux čtyřikrát více chyb. Je tomu skutečně tak?

United States Computer Emergency Readiness Team je velká americká organizace, která se zabývá počítačovou bezpečností. Každoročně vydává komplexní zprávu o objevených bezpečnostních chybách, jejíž výsledky přebírá řada odborných médií. Chyby v ní jsou rozděleny podle operačních systémů, kterých se týkají.

Z poslední zprávy, která pojednává o chybách objevených v roce 2005, vyplývá, že bylo objeveno o 40 procent více děr než v roce 2004. Celkem bylo objeveno 5198 bezpečnostních chyb. To je jistě alarmující číslo, ve kterém se zrcadlí zvýšená aktivita útočníků. Toto číslo ovšem není jedinou informací, kterou zpráva přinesla.

Nevím, jestli se jedná o záměr nebo o hrubou chybu tvůrců zmíněné zprávy, jisté ale je, že z ní laický čtenář a bohužel i laický novinář vyčte, že v roce 2005 bylo v aplikacích pro MS Windows objeveno 812 bezpečnostních chyb, kdežto v Linuxu je jich 2328. Zbylých 2058 jsou problémy, které se týkají více než jednoho systému. Sledován byl jak systém samotný, tak i aplikace pro něj určené.

Běžný čtenář, který vidí situaci značně zjednodušeně a zkresleně okamžitě zareaguje: „Aha! Takže Linux je méně bezpečný!”. Přesně tak zareagoval například známý server BetaNews.com, který ve svém článku 5,198 Linux, Windows OS Flaws in 2005 píše: „US-CERT nalezl čtyřikrát více chyb v systémech Unix a Linux”. Zprávu převzal například český server Živě.cz pro svou bleskovku Windows čtyřikrát bezpečnější než Linux?

Kromě naprosto zkreslené interpretace informací ze zprávy vás možná stejně jako mě zarazí slovo „čtyřikrát”, které se vyskytuje v obou článcích, ale v originální zprávě jej nenajdete. Už na první pohled je zřejmé, že 812 se do 2328 nevejde ani třikrát. Chyba ve výpočtu?

Další problém se skrývá v samotných číslech 812 a 2328. Ačkoliv první z nich zahrnuje jen operační systém MS Windows, druhé se týká nejen všech distribucí Linuxu, (řádově stovky), ale Unixu a dokonce i Mac OS X (!).

Problém je v tom, že mnoho uvedených chyb se týká jen jedné linuxové distribuce nebo konkrétní kombinace verzí jednotlivých aplikací. Tady je ovšem jedním hmatem vše strčeno do společné škatulky.

O to více zarážející je poslední škatulka. Jak už bylo napsáno, obsahuje chyby, které se týkají více než jednoho systému. Nikoliv chyby, které se vždy týkají obou kategorií, jak by se mohl někdo mylně domnívat. Například iTunes existuje jen pro MS Windows a Mac OS X.

Uvnitř této kategorie jsou tedy chyby, které se týkají jen části systémů v kategorii „Unix, Linux a Mac OS X” a mohou tak výrazně vylepšit výsledek Linuxu. V případě iTunes je to tedy 1:0 pro Linux, ale opětovné vysypání nezařaditelných chyb do jedné škatule už definitivně rozbíjí poslední kousky serióznosti zprávy.

Být naprosto objektivní není vždy jednoduché, ale od vládní organizace tohoto kalibru bychom to asi mohli očekávat. Přitom nejde o nic jiného, než o poctivé rozdělení jednotlivých systémů, a to vždy podle stejného klíče.

Položme si zásadní otázku: Kdybyste chtěli vytvořit zprávu, která by co nejvíce nahrávala MS Windows, jak byste to udělali? Logickým postupem je oddělit MS Windows od „ostatních” a navíc mu ubrat některé chyby tím, že je odhodíte do nezávislé kategorie, protože se týkají nejen MS Windows.

Vše navíc ještě zhoršuje zcela chybný závěr, který vyvodil server BetaNews. Bezpečnost konkrétního systému nemůžeme určit jen podle toho, kolik chyb bylo objeveno v jeho aplikacích. Jednak těžko uživatelé použivají veškerý software uvedený ve zprávě, ale nezanedbatelná je také například reakční doba dodavatele na objevenou chybu. Je známým faktem, že oprava kritické chyby bývá v distribučních repozitářích k dispozici obvykle během několika málo hodin. Microsoftu trvá vydání záplaty někdy i měsíce.

Do jaké míry se jednalo o záměr, je těžké říci. Mohlo se jednat o manipulaci už při přípravě originálních podkladů nebo prostě došlo k chybě. V každém případě takto interpretovaná chybná zpráva může nadělat mnoho škody, pokud se jejími výsledky budou řídit koncoví uživatelé.

Anketa

Který systém je podle vašeho názoru cekově bezpečnější?

Našli jste v článku chybu?

5. 1. 2006 9:58

článek Why Linux Is More Secure Than Ever - odkaz na dnešních Crypto-News. Věřím, že ten člověk ví o čem mluví.

5. 2. 2007 23:04

Kapr (neregistrovaný)
Microsoft update v nynějším podání opravdu nabízí jen relevantní updaty, ale nebylo tomu tak vždycky. Ve Windows 95 jste si mohl stáhnout cokoli a musel jste si sám hlídat verze (1. vydání/OSR2 a jazykové verze), jinak jste mohl skončit špatně. K současnému pojetí automatizovaného výběru záplat se Microsoft dopracoval až ve Windows 98. Původní služba Windows Update byla v průběhu jednoho virového útoku mimo provoz, protože čelila útoku DoS. Jedinou možnou rychlou odezvou bylo přejmenování server…
Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: EET v e-shopech? Zdražení a horší komfort

EET v e-shopech? Zdražení a horší komfort

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

DigiZone.cz: Sat novinky: slovenská TV8 HD i ruský NTV Mir

Sat novinky: slovenská TV8 HD i ruský NTV Mir

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu