Bezpečnost Windows Vista po půl roce existence
Jeff Jones, Security Strategy Director z Trustworthy Computing skupiny v Microsoftu publikoval na první pohled velice zajímavou zprávu o stavu bezpečnosti systému Windows Vista po 180 dnech své existence. Hovoří se v ní o nalezených a opravených bezpečnostních dírách, a to v porovnání nejen s Windows XP, ale i některými linuxovými distribucemi (vždy za stejný časový úsek od počátku existence daného operačního systému, v tomto případě tedy 6 měsíců) a také Mac OS X 10.4.
Nejprve tu máme souhrnný přehled všech děr, spodní pruh označuje díry zazáplatované, horní (zpravidla menší) je dopočet do všech a představuje tedy do šestiměsíčního období existence neopravené bezpečnostní chyby. Pokud byste namítali, že v linuxových distribucích je více komponent a tudíž zranitelností bude taktéž poměrně víc, přikládá Jeff Jones ještě srovnávací grafy, kde jde v případě linuxů o tzv. „reduced“ sady. To v případě Red Hatu znamená vypuštění všech serverových komponent, vývojářských nástrojů a aplikací ze skupin text-internet, graphics (kam patří třeba oblíbený Gimp) a office, jehož součástí je OpenOffice. V případě Ubuntu se „plná“ a „redukovaná“ sada liší tím, že „plná“ je serverová a „redukovaná“ je desktopová (jak Jeff tvrdí, u Ubuntu toho k instalaci a „neinstalaci“ moc na výběr není). U SUSE byla redukce provedena použitím jakési „směsice obou metod“, kdy byla vybrána desktopová distribuce očesaná o OpenOffice, Gimp a některé vývojářské nástroje. U Mac OS X není o redukované sadě řeč, použita je stejná, stejně tak nebyly redukovány operační systémy Windows.
Na první pohled jsou na tom Windows XP lépe v porovnání s Windows Vista co se týče procenta děr, které ještě nejsou zazáplatovány. Jenže se nyní podíváme na další dva grafy, v nichž se hovoří jen o dírách vážných (grafy výše zahrnovaly všechny bezpečnostní díry). Zde dojde k výraznému vylepšení Windows Vista oproti XP.
A opět srovnání s „redukovanými“ linuxovými instalacemi:
Kromě toho, že vybrané linuxové distribuce jsou na tom v porovnání se systémy Windows spíše hůře, se snaží tento report vyzdvihnout podstatně vyšší bezpečnost Windows Vista v porovnání s Windows XP. Díry ve Windows Vista jsou převážně „nevážné“ a tudíž jich zřejmě tolik nestojí za pozornost „záplatovacímu týmu“.
Na grafy je však každopádně potřeba dívat se s jistým nadhledem a opakovat si větu „nevěřím statistice, kterou si sám nezfalšuji“. Jedna věc je totiž reálný počet děr a druhá počet odhalených děr za dané období. Nebudeme rozebírat, zda se díry lépe hledají v open source softwaru, nebo v uzavřeném proprietárním kódu. A ani nebudeme řešit reálné zastoupení daných systémů na trhu a s ním související zájem útočníků vrhnout se na jejich díry. Grafy berte tak, že je předkládá bezpečnostní analytik z Microsoftu, který se mohl nanejvýš hodně snažit o nezaujatost. Nakolik se mu to povedlo, necháme na vás.
Možná vás bude zajímat, odkud při hledání děr a jejich oprav čerpal. U Windows je to jasné, zdrojem jsou mimo jiné Security Bulletiny, z nichž vám po pravidelném druhém úterý v měsíci předkládáme záplaty ke stažení. U všech systémů se však držel informací, které jsou k nalezení v National Vulnerability Database. Jeff se pak ještě zmiňuje, že údaje nepocházejí jen odtud, ale jsou poskládány z mnoha dalších blíže nejmenovaných webů.
