Niebezpieczne statystyki

Statystyki odnośnie do włamań i odporności systemów to najgorszy doradca przy wyborze platformy systemowej. Tu potrzebne są zdrowy rozsądek oraz mentalna zdolność do wyjścia poza stereotypy, bajki i mity.

Statystyki odnośnie do włamań i odporności systemów to najgorszy doradca przy wyborze platformy systemowej. Tu potrzebne są zdrowy rozsądek oraz mentalna zdolność do wyjścia poza stereotypy, bajki i mity.

Stanowcze stanowisko że "tylko Linux" lub "tylko Windows" nie należy do rzadkości. Słyszy się również "tylko BSD" albo "tylko Mac OS". To myślenie, wywodzące się z jednostkowych doświadczeń i subiektywnych obserwacji - zwłaszcza w dziedzinie bezpieczeństwa - jest absurdalne dla każdego, kto kiedykolwiek zetknął się z informatyką w dużej firmie. Czasem przychodzi taki czas, że trzeba stanąć na wysokości zadania i wybrać.

Czym się jednak kierować? Przechwałkami producentów, doświadczeniami innych, tzw. mądrością ludową, a może obiektywnymi statystykami? Po bliższej analizie okazuje się, że absolutne bezpieczeństwo nie istnieje, że w rękach doświadczonego administratora nawet system potocznie uważany za "słaby" może być bezpieczny oraz że wokół bezpieczeństwa niektórych systemów narosły mity niemające wiele wspólnego z rzeczywistością.

Najgorszym doradcą w dziedzinie wyboru systemu są "badania statystyczne", których zwodniczość jest oczywista już na pierwszy rzut oka. Pozornie obiektywne, kryją w sobie wiele niedopowiedzeń, wygodnych to dla jednej, to dla innej strony. Niestety, chcąc nie chcąc, wobec wyników publikowanych tu i ówdzie "badań" nie da się przejść obojętnie. Ich bezmyślnie cytowane wyniki wytwarzają - zgodnie z intencją ich twórców - własną rzeczywistość. Spróbujmy je zatem nieco zracjonalizować.

Niepełne dane

Firma mi2g przekonywała ostatnio, że aż 66% włamań jest dokonywanych na Linuxa, a tylko 25% na Windows. Wszystko byłoby w porządku, gdyby nie drobny fakt: testy USA Today i Avantgarde pokazujące, że w tym samym okresie system Windows atakowano 130 tys. razy, zaś Linuxa - jedynie 800 razy. Oto kontra: w grudniowym podsumowaniu zagrożeń za 2004 r. rosyjski serwis SecurityLabs zauważa, że od 25 listopada do 5 grudnia 2004 r. dla Red Hat Linux wydano aż 8 poprawek, zaś dla Windows - tylko jedną.

Po przebadaniu 236 tys. włamań firma mi2g stwierdza, że 66% z nich dokonano na system Linux, 25% na Windows, a tylko 9% na pozostałe systemy - Mac OS X, BSD i inne.

Liczą się jednak nie fakty, lecz wysnuwane z nich wnioski. Na podstawie powyższych wyników mi2g bez mrugnięcia stwierdza, że "najbezpieczniejsze systemy to: Mac OS X i BSD, zaś najbardziej dziurawe to: Linux i Windows (w tej kolejności)". Wszystko niby się zgadza, ale... gdyby w trakcie badania wystąpiła epidemia robaka w rodzaju CodeRed. Takich epidemii było w 2004 r. kilka. Gdyby je uwzględnić, wyniki byłyby diametralnie inne - jest prawie pewne, że w kolumnie "Windows" pojawiłoby się dodatkowo jakieś 500 tys. włamań z okazji każdej epidemii.

Na uwagę zasługuje fakt, że w swoich "badaniach" mi2g wzięła pod uwagę, jak sama przyznaje, tylko włamania "ręczne". Poza tym, rachunek strat finansowych uwzględnia wirusy, zaś rachunek odnoszący się do systemów operacyjnych - nie. Abstrahując od metodologicznej bezsensowności takich badań, to czy włamania są wykonywane ręcznie czy automatycznie dla ich potencjalnych ofiar nie ma większego znaczenia. Na podstawie tych "obliczeń" mi2g wysnuło jeszcze wniosek, który można podsumować tak: mądrzy ludzie migrują do BSD i Mac OS X. Chętnym życzę powodzenia w poszukiwaniu administratorów dla tych systemów.

Fałszywe wnioski

Dziennik USA Today oraz firma Avantgarde przeprowadziły inny "interesujący" test mający pokazać, który system standardowej konfiguracji przetrwa najdłużej po podłączeniu do sieci publicznej. Zakupiono kilka komputerów z zainstalowanym systemem operacyjnym, podłączono je do sieci z publicznymi adresami IP i monitorowano. Taki test ma sens jako symulacja rzeczywistych warunków, dokładnie tak postępuje bowiem wielu użytkowników (kupić, podłączyć, zapomnieć).

Wyniki były takie: Windows XP SP1 - 139 tys. ataków, 10 udanych włamań, pierwsze po 4 min, Mac OS X - 138 tys. ataków, Windows XP SP2 - 1400 ataków, Windows XP SP1 z zaporą Zone Alarm - 850 ataków, Linux - 800 ataków. Nie włamano się do żadnego z systemów poza pierwszym (Windows XP SP1). Na podstawie opisanego tu eksperymentu jego organizatorzy doszli do różnych, niekiedy oryginalnych wniosków, np. że SP2 jest dobry z punktu widzenia bezpieczeństwa albo że zapora pomaga.

Byłaby to niewątpliwie ciekawa statystyka na temat tego, jak potrafią przetrwać w sieci domyślne instalacje różnych systemów operacyjnych, gdyby nie fakt, że z praktycznego punktu widzenia jest ona kompletnie bezużyteczna. Wystarczyłoby bowiem poczekać miesiąc, aby wyniki miały szansę być całkiem inne - pojawiły się bowiem m.in. dziura w zaporze wbudowanej w system Windows (ICF), luka w linuxowej implementacji protokołu IGMP, a także błędy w Mac OS X. Wysnuwanie na podstawie badań z jednego tygodnia wniosków odnośnie do bezpieczeństwa systemów w skali większej niż ten tydzień jest więc nieuzasadnione.

Nie znają dnia ani godziny

Czasy, gdy Microsoft reklamował IIS jako "jedyny bezpieczny serwer", przeszły do historii - zweryfikowało je życie, dziesiątki błędów i robak CodeRed. Podobnie reklamy z hasłem "Unbreakable Oracle" brzmią dziś raczej żałośnie, gdy w tym serwerze baz danych i oprogramowaniu towarzyszącym znaleziono w krótkim czasie kilkadziesiąt (jeśli nie ponad sto!) luk w zabezpieczeniach. Jeśli chodzi o deklaracje producentów, buńczuczne przechwałki są obecnie nie na miejscu - żaden z nich nie jest bez grzechu. Nie chcąc ryzykować ośmieszenia, producenci oprogramowania przyjmują pozę "dokładających starań", by bezpieczeństwo produktów było jak najwyższe. Pośrednio przyznają się do tego, że ich kontrola nad jakością jest, delikatnie mówiąc, niepełna.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200