В статье Experts question Windows win in flaw tally, опубликованной в прошлую пятницу, десятки секьюрити-экспертов встали на защиту Linux и Unix. Представитель Secunia поставил под сомнение ее выводы, утверждая, что уязвимости Linux/Unix менее опасны, так как меньший процент уязвимостей Linux и Unix можно использовать дистанционно. Кокс из Red Hat сказал, что «Операционные системы Linux безопаснее для предприятий по сравнению с платформами Windows, так как в них меньше критических уязвимостей, а исправления выпускаются быстрее». Эти утверждения очень легко проверить, пользуясь собственной базой данных рекомендаций Secunia. Так давайте разберемся...
 

Если бегло пролистать базу данных секьюрити-рекомендаций Secunia для Windows 2003 Server Standard Edition, то из круговой диаграммы «Where» увидим, что эксплойты для Windows можно использовать дистанционно в 61% случаев. А из диаграммы «Criticality» — что в 39% случаев эксплойты для Windows признавались высоко или крайне критичными. Теперь посмотрим на Red Hat Enterprise Linux ES 4, которая конкурирует с Windows 2003 Server Standard Edition. Здесь из диаграммы «Where» видно, что эксплойты для Red Hat Linux можно использовать дистанционно в 83% случаев. А из диаграммы «Criticality» — что эксплойты для Red Hat Linux признавались высоко или крайне критичными в 26% случаев.

Эти данные ни от кого иного, как от Secunia, прямо противоречат аргументу Secunia о том, что уязвимости Windows чаще можно эксплуатировать дистанционно. Утверждение же Red Hat, что уязвимости Linux обычно менее критичны, вроде бы имеют под собой некоторую почву, если сравнивать только цифры 39% и 26%, но становятся просто смешны, если при этом учесть общее число уязвимостей Red Hat Linux и Windows. Только за 10 месяцев было выпущено 138 секьюрити-предупреждений по Red Hat Enterprise Linux ES 4, из которых высоко или крайне критичными были признаны 35. Для Windows 2003 Server Standard Edition за последние три года вышло всего 76 предупреждений, из которых 30 были признаны высоко или крайне критичными. Это означает, что в Windows Server за три года обнаружено меньше критичных уязвимостей, чем в Red Hat Linux ES 4 за 10 месяцев! Так что тот факт, что у Red Hat меньший процент критичных уязвимостей, ровным счетом ничего не значит.

Всегда найдется тот, кто скажет, что о Linux нельзя судить по Red Hat, так как он может предложить свою собственную Linux. Однако обстоятельства таковы, что Red Hat является лидером рынка корпоративных дистрибутивов Linux, и вероятность того, что корпоративное ИТ-подразделение создаст собственную версию Linux, столь же велика, как шансы на то, что курильщик сам станет скручивать сигареты. Я всегда говорил, что когда речь идет о безопасности, операционная система не имеет значения, так как на самом деле все зависит от способности администратора запереть имеющуюся у него платформу. Но это случай продемонстрировать защитникам Linux, что у них самих не все гладко. Об авторе:
Джордж Оу — специалист по сетям и серверной архитектуре.