由
微软所赞助的一项研究指出,以
Linux所运作的
网站会比
Windows面对更多的风险。
8 e8 R7 t" C& R5 C
[color=#FFFFFF']
1 X. q2 `; e: P& w9 l9 l* q* ^6 y( e# s1 |: z* N: ^
这份于周二所发布的研究表示,去年以Windows
Server2003为基础的
网络服务器上所修补的漏洞,比
标准开放
源代码设定的RedHatEnterpriseLinuxES3还要少。
4 m7 P* o- T2 N. v7 V* T4 M' O这份研究还指出,微软网络服务器的“风险日”(daysofrisk)比
开放源代码的竞争对手要少很多──风险日是一种衡量已知、而未修补漏洞的方法。
+ z: X: w# m0 ~" J% w, A! B
“这份研究的目的是要大家三思而行,要大家对于哪个平台比较
安全的问题,不要人云亦云。”HerbertThompson是安全应用公司SecurityInnovations的研究暨训练总监,同时也是这份报告的三个作者之一,他如此表示。一般大家总认为,Linux比Windows安全。
# o. Y) F. O3 g# p( Z l" f, E& A这份报告上个月在RSAConference
信息安全大会上发布时引起了争议。而之前对于Windows及Linux何者较为安全的一些比较研究,也造成很热烈的讨论。
8 ?% _' w. Z6 [- m' U2 m' m/ f
“我们认为这很不正确。”红帽(RedHat)的安全反应小组主管MarkCox周二在公司网站的网志(Blog)上谈到近来这些研究报告时表示。他指出,这份报告并未把“危险”(critical)及较不危险的漏洞区分开来,如果分开来算的话将对红帽较为有利。
' c' C5 r. u* ?/ l+ q除了在网志上回答之外,红帽不愿对这份报告提出任何评论。
$ U$ J X/ \5 @' Q4 [. ?8 x! d
漏洞算一算
8 A2 X/ G! b- A
这份研究里,研究员计算了2004年里每个网络服务器修补完成的已公布漏洞。此外,将风险日累计起来──在漏洞公开之后及
软件开发者修补好漏洞期间的风险日总数。
0 \: Z8 P7 x ~- B3 I! O: F/ B" \
使用RedHatEnterpriseLinuxES3的服务器风险日超过了12000,而微软则大约1600天,研究指出。
& f/ ~5 g6 ~ ^$ L
[color=#FFFFFF']
1 k$ [% l1 n& G
2 u; J7 [. n& u W( Z: X而漏动方面,搭配ApacheWebserver、My
SQL数据库,以及P
惠普scriptinglanguage的红帽网络服务器的出厂设定要处理174个漏洞,该研究指出。以微软Server2003、InternetInformationServer6、SQLServer2000,及ASP.Net的出厂设定则有52个漏洞。
" P- p. R9 U/ I2 \: X, T: Z
研究员还研究了两者的最小化设定,也就是把一些与网页伺服无关的应用拿掉之后再做比较。在此情况下,微软仍然以52个漏洞轻松打败了红帽Linux软件的132.
' Q: [0 Z+ O# u9 E6 |
红帽的Cox则在网志的文章反驳这份研究。
U ~ L. N+ V[color=#FFFFFF']
& r7 Y5 ?. I8 T- i& q5 {
& c6 a5 d$ c2 V, {
“不管是以微软或者是红帽的严格标准来分,RedHatEnterpriseLinux3只有8个漏洞属危险等级。”他写道,“而这些漏洞里,有四分之三在一天内就修补好,一般则都是要八天。”
. D7 `8 ~* x3 y6 D9 m% | W' l[color=#FFFFFF']
# w2 z s/ M# q% j. D; n
( U% m/ g# `/ R一般而言,“危险”等级的安全漏洞可能让
黑客从远端控制
电脑系统。这份研究把漏洞等级分为“高”(high)、“中”(medium),以及“低”(low)危险三个等级。而“高”危险的等级包括了红帽及微软的“critical”(“危险”或“重大”),以及可以让地区端使用者取得系统
功能存取权限的漏洞。根据这份报告指出,不管是在原厂的设定或是最小化的设定里,微软的“高危险”漏洞都少很多。
! T# d' A4 A; l0 x, X7 c7 B
但研究员坦承,微软资助了这份研究。微软在周二所发布的
新闻稿也指出,这份报告是微软“了解事实”(GettheFacts)活动的一部份,这个活动目的是要强调Windows软件的好处。
. W( ]8 {6 D$ `% Y1 o& x
“当SecurityInnovations向微软提案软件安全的研究方法时,我们评估之后认为这
类分析对我们的客户相当有用,所以就赞助了他们的研究。”微软在新闻稿中表示。“我们鼓励客户以他们自己的电脑
环境来检验与评估里面的信息。”
/ ]# a$ I4 C4 E" Y9 N
除了Thompson之外,这份研究报告的其他两位作者分别为佛罗里达
科技研究所(FloridaInstituteofTechnologyL)的电脑
科学教授RichardFord,以及SecurityInnovations的安全
测试工程师。他们希望在研究报告里公布研究方法,以反击各方的批评。
3 t6 W( G) h7 O. q
[color=#FFFFFF']
0 Z7 s$ z9 d" `) }1 K# m8 T) e( [, W- y
“研究方法的设计让其他人也可以自行去验证──它必需是量化而可重覆的。”Thompson表示。“我们不是给人一块蛋糕而已,我们还提供了蛋糕的做法。”
# t0 y' {' r' N6 P0 s* y' ]- i) U虽然风险日和漏洞的计算都不能当作衡量安全的真正方式,但Thompson表示,他们希望把重点放在对于系统
管理员有意义的指标上。他指称,等待漏洞的
时间总数是一个相当合理的计算方法。
9 h2 X4 d9 a" n- K/ b" F" {
然而,Thompson承认,安全大部份还是要靠管理员的专业。
9 d- f' C4 O3 R6 V! o
[color=#FFFFFF']
3 P$ C/ U0 v: M4 y' D* g0 @8 Q8 _6 R/ h) X4 n& f
“我想,对于有能力的管理员来说,两个
操作系统都相当安全。”Thompson表示。“如果我有个Linux专家,那我就会希望这个人帮我管Linux网络服务器;如果我比较是个Windows专家,那我当然就用Windows了。
