Última actualització: 24/10/2004; 21:29:21
Quands.info
        

Informe: comparant la seguretat de Windows i Linux

La publicació anglesa "The Register" publica un informe on s'analitza el model de seguretat utilitzat per Windows i Linux, per tal de determinar les diferències entre els dos sistemes. Es tracta d'un intent de sistematitzar els punts forts i febles de cada entorn i, amb aquesta informació, intentar extreure unes conclusions.

Una discussió recurrent en els últims mesos tracta sobre que és més segur, si el software propietari o el software de codi obert. Els defensors del primer defensen que la disponibilitat del codi font obre la possibilitat que els atacants descobreixin noves vulnerabilitats. Per la seva banda, els defensors del software de codi obert afirmen que justament la disponibilitat del codi és la millor recepta per a evitar els problemes de seguretat.

Es tracta d'una discussió on habitualment s'acostumen a utilitzar, per ambdós costats, arguments que fugen de les dades empíriques i demostrables. Generalment s'utilitzen argumentacions de caràcter sentimental i apreciacions subjectives, que poc ajuden a mantenir un debat assossegat i que realment permeti extreure conclusions.

L'informe, "Security Report: Windows vs Linux" comença analitzant tres mites freqüentment utilitzats en qualsevol discussió on es compara la seguretat de Windows i Linux.

El primer mite és que Windows es objecte de més atacs i és víctima de l'acció de més virus i cucs a causa de la seva posició dominant en el mercat. Atès que Windows és la plataforma dominant, els autors d'atacs i virus tenen preferència per aquesta plataforma. L'informe rebat aquest mite a partir de dues dades empírics: Linux és una plataforma molt popular a nivell de servidor Web i les dades recollides per Netcraft demostren que màquines executant software de codi obert no són reiniciats amb freqüència.

El segon mite es refereix que la disponibilitat del codi font obre la possibilitat a descobrir més fàcilment les vulnerabilitats. Aquest argument es rebat a partir de l'enorme quantitat de cucs i virus que treuen profit de vulnerabilitats de Windows, el que ve a demostrar que la disponibilitat del codi font no és un factor clau per a detectar l'existència de problemes de seguretat

El tercer mite rebatut són les estadístiques que demostren l'existència de menys problemes de seguretat crítics en la plataforma Windows pel que fa a Linux. En l'informe es faciliten dades que demostren com moltes d'aquestes estadístiques són confeccionades a mesura i es basen en dades parcials, que difícilment es poden extrapolar a les conclusions que de vegades s'extreuen dels mateixos.

La segona part de l'estudi compara el disseny de Linux i Windows, analitzant les implicacions que tenen les mateixes quant a la seguretat. Així es compara el disseny monolític de Windows contra el disseny modular de Linux (no es refereix al nucli del sistema operatiu, sinó al conjunt del sistema operatiu), l'origen del codi, les limitacions del model de funcions de procediment remot i la diferència d'orientació dels ambdós productes.

En la tercera part s'analitzen les mètriques utilitzades per al mesurament del nivell de seguretat i la dificultat que suposa la interpretació de les dades reflectides per les mateixes.

Quan es mesura el nivell de seguretat no només han de considerar-se factors purament numèrics, com són el nombre de vulnerabilitats sinó que altres elements tenen una importància igual o superior: l'exposició potencial a la vulnerabilitat, la facilitat amb la qual les vulnerabilitats poden ser utilitzades en atacs, el mal provocat com a conseqüència d'un atac. La unió d'aquests factors permet identificar un nivell de risc.

Amb totes aquestes consideracions, l'informe realitza una comparativa dels últims quaranta pegats i actualitzacions de Windows Server 2003 i Red Hat Enterprirse Linux AS v3.0. Es realitza una tabulació on s'apliquen les mètriques definides, de forma que per a cada vulnerabilitat es pot identificar el nivell de risc global.

També es faciliten dades obtingudes a partir de la valoració global d'impacte que aplica el CERT a cadascuna de les vulnerabilitats que es publiquen.

Conclusions

Aplicant les mètriques definides per "The Register", l'impacte de les vulnerabilitats i actualitzacions és molt més important en Windows Server 2003. Aproximadament la meitat de les actualitzacions de Microsoft són considerades com crítiques (i moltes de les quals no tenen aquesta consideració és a causa de la configuració particular de l'Internet Explorer i l'Outlook Express, que són difícilment utilitzables en la seva configuració per defecte).

En canvi, aplicant la valoració que afegeix el CERT en les seves estadístiques es pot considerar l'existència d'un "empat tàcit" en el nivell de seguretat de Windows Server 2003 i Red Hat Linux Enterprise Linux AS v3.0, amb una valoració lleugerament favorable a Windows.

Mes informació

Windows vs Linux: The Real Facts
http://www.theregister.co.uk/2004/10/22/linux_v_windows_security/
http://www.theregister.co.uk/security/security_report_windows_vs_linux/
http://www.theregister.co.uk/2004/10/22/security_report_windows_vs_linux.pdf

La seguretat del model de codi obert
http://www.quands.cat/unaperdia/arxiu/20020701.html

Xavier Caballé
xcaballe@quands.com

© Copyright 2003-2004 Xavier Caballe. Click here to send an email to the editor of this weblog.