Mefisto...diabeł czy anioł?

Jeff Jones, autor kontrowersyjnego raportu na temat bezpieczeñstwa Internet Explorera i Firefoksa, postanowi³ porównaæ systemy operacyjne. Tym razem nie bra³ pod uwagê jedynie liczby luk, ale równie¿, m.in. ¶redni czas jaki up³yn±³ od momentu ich publicznego ujawnienia do opublikowania ³aty.

Jones bada³ systemy Microsoftu, Red Hata, Apple'a oraz Ubuntu. Podczas tworzenia raportu pracownik Microsoftu wzi±³ pod uwagê dane z pierwszego pó³rocza bie¿±cego roku. Podstawowe wnioski, które z niego wyp³ywaj± s± nastêpuj±ce:

W tym czasie producenci systemów operacyjnych (Microsoft, Apple, Red Hat i Canonical) za³atali 585 b³êdów. Spo¶ród nich a¿ 26,8 proc. wystêpowa³o w wiêcej ni¿ jednym systemie, ale tylko 8 za³atano tego samego dnia. - najszybciej b³êdy ³ata³ Microsoft. ¦rednio ka¿da z luk doczeka³a siê poprawki po 24,22 dniach od momentu publicznego ujawnienia dziury. Kolejny z producentów potrzebowa³ a¿ 72 dni. - najmniej b³êdów znaleziono w Windows Vista (21), a drugi w kolejno¶ci by³ Windows XP (26).

Jones bra³ pod uwagê Windows Vistê, Windows XP SP 2, Mac OS X Leopard, Red Hat Enterprise Linux 5 oraz Ubuntu 6.06 LTS. Spo¶ród wszystkich znalezionych b³êdów a¿ 31proc. wystêpowa³o tylko i wy³±cznie w systemie Red Hata, 30 proc. dotyczy³o produktu Apple, 10 proc. systemów Microsoftu i 9 proc. Ubuntu.

Ponadto 157 luk wyst±pi³o w wiêcej ni¿ jednym systemie. Osiemna¶cie z nich dotyczy³o jednocze¶nie produktów Apple, Red Hata i Ubuntu. Spo¶ród nich Ubuntu jako pierwsze za³ata³o 8 luk, a Apple jako ostatnie - 11 niedoci±gniêæ. ¦rednio pomiêdzy publikacj± poprawki przez pierwszego z twórców OS-a, a ostatniego mija³o w tym przypadku 73 dni.

Dziewiêtna¶cie dziur dotyczy³o produktów Apple i Red Hata. Red Hat jako pierwszy za³ata³ 58 proc. luk, pomiêdzy pierwszym, a ostatnim ³ataniem mija³o ¶rednio 30 dni.

W pierwszej po³owie bie¿±cego roku 10 b³êdów wyst±pi³o wspólnie w systemach Apple i w Ubuntu. Firma Canonical, twórca Ubuntu, jako pierwsza dostarczy³a poprawki do 60 proc. luk. Pomiêdzy pierwszym pojawieniem siê poprawki, a ostatnim mija³o ¶rednio 39,6 dnia.

Mieli¶my te¿ do czynienia z 72 b³êdami wystêpuj±cymi w produktach Red Hata i Canonical. Red Hat jako pierwszy za³ata³ 66,6 proc. z nich, a ró¿nica pomiêdzy pierwsz± a ostatni± ³at± dla danego b³êdu wynosi³a 28,5 dnia. W badanym okresie Red Hat mia³ do czynienia z 292 b³êdami, Ubuntu ze 153, Apple z 222, a Microsoft z 58.

Sytuacja nieco siê zmienia, gdy z dystrybucji Linuksa odrzucimy poprawki, które opublikowano dla komponentów opcjonalnych oraz Open Office'a i niektórych komponentów graficznych. Wyrzuci³ narzêdzia takie jak OpenOffice, Evolution czy Thunderbird oraz Gimp, ImageMagic i podobne. Po takim "odchudzeniu" dystrybucji Linuksa okaza³o siê, ¿e najwiêcej b³êdów wyst±pi³o w systemie Apple. Kolejnym pod wzglêdem liczby b³êdów by³ Red Hat, a nastêpnie Ubuntu. Najlepiej wci±¿ prezentowa³y siê systemy Microsoftu.

Jones obliczy³ te¿ ¶redni± wa¿on±, dziêki czemu obliczy³ na ile powa¿ne by³y poszczególne luki. Do swoich wyliczeñ pos³u¿y³ siê warto¶ciami Vulnerability Workload Index opracowanymi przez Narodowy Instytut Standardów i Technologii. Zgodnie z nim jedna "gro¼na" usterka ma tak± wagê jak 5 "¶rednio gro¼nych" i jak 20 "ma³o gro¼nych".

Z obliczeñ wynika, ¿e najpowa¿niejsze b³êdy dotyka³y systemu Red Hata. Waga wykrytych w nim dziur zosta³a obliczona na 121,5. Na kolejnym miejscu uplasowa³o siê Apple (96,5), nastêpnie Ubuntu (75,8), a najmniej powa¿ne by³y w sumie b³êdy w systemach Microsoftu (53,2).

Bardzo wa¿nym wska¼nikiem bezpieczeñstwa jest czas, jaki up³ywa od momentu ujawnienia informacji o dziurze do chwili pojawienia siê ³aty. Z obliczeñ Jonesa wynika, ¿e najd³u¿ej, bo ¶rednio a¿ 105 dni trzeba by³o czekaæ na ³aty Red Hata. Nie najlepiej spisywa³ siê te¿ Apple, który publikowa³ poprawki po niemal 98 dniach (97,95), kolejne miejsce przypad³o Ubuntu (72 dni), a najszybciej poprawki udostêpnia³ Microsoft (24,22).
Jest to ¶rednia dla wszystkich luk, co, jak zauwa¿a Jones, mo¿e zaburzaæ obraz w przypadku, gdy twórca OS-u skupia siê przede wszystkim na ³ataniu powa¿nych luk. Wówczas bowiem pozostawia te mniej gro¼ne na boku i one negatywnie wp³ywaj± na ¶redni±. Wobec tego Jones policzy³ te¿ ¶redni±, bior±c pod uwagê ryzyko stwarzane przez poszczególne dziury.

W takim przypadku okaza³o siê, ¿e najgorzej wypad³ Apple, który na za³atanie luki potrzebowa³ ¶rednio 82,03 dnia. Red Hatowi opublikowanie poprawek zajmowa³o 62,8 doby, a na poprawki dla Ubuntu trzeba by³o czekaæ 50,75 dnia. Microsoft publikowa³ swoje ³aty po 25,22 doby.

Z raportu Jonesa dowiadujemy siê te¿, ¿e a¿ 89,7 proc. luk zosta³o za³atanych przez Microsoft w ci±gu 1 dnia od momentu ich ujawnienia. W przypadku najpowa¿niejszych dziur odsetek ten wzrós³ do 90,3 proc. Najd³u¿ej nieza³atana dziura w systemach Microsoftu czeka³a na poprawkê przez 495 dni. By³a to luka w Microsoft Speech API. NIST ocenia³ j± na "powa¿n±", natomiast Microsoft na "¶rednio powa¿n±" dla desktopów i "ma³o powa¿n±" dla serwerów.

W przypadku systemu Apple jedynie 17 proc. luk doczeka³o siê poprawki w ci±gu 1 dnia od upublicznienia informacji o nich. Odsetek ten nie zmieni³ siê w odniesieniu do luk powa¿nych, a najd³u¿szy czas oczekiwania na poprawkê wyniós³ 1001 dni dla ma³o gro¼nej luki w Mac OS X Tiger.

Red Hat w ci±gu pierwszych 24 godzin od ujawnienia opublikowa³ poprawki dla 38 proc. luk ogólnie i dla 60 proc. gro¼nych. Na jedn± z poprawek, dotycz±c± ma³o gro¼nej luki w j±drach 2.4 i 2.6 trzeba by³o czekaæ a¿ 1292 dni. W przypadku Ubuntu doczekali¶my siê 23,5 proc. poprawek w ci±gu pierwszego dnia, a dla luk gro¼nych odsetek ten wyniós³ 20,7 proc. Ma³o gro¼na dziura w j±drze doczeka³a siê poprawek po 623 dniach.

Na zakoñczenie swojego raportu Jones podkre¶la, ¿e nie ma on za zadanie mierzenia bezpieczeñstwa systemów operacyjnych, gdy¿ tego nie da siê w prosty sposób zmierzyæ. Ten report to analiza b³êdów, która dostarcza pewnych danych zwi±zanych z lukami i mo¿e pos³u¿yæ jako czê¶æ wiêkszej analizy dotycz±cej bezpieczeñstwa - pisze Jones.

Mariusz B³oñski
KopalniaWiedzy.pl
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • katkaras.opx.pl