Μία πρόσφατη ανάλυση δεδομένων 20 ετών σχετικά με την ευπάθεια προϊόντων πληροφορικής «απεκάλυψε» ότι, σε αντίθεση με την ευρεία πεποίθηση, τα Windows είναι πιο ασφαλή από ότι π.χ. το Debian Linux. Είναι όμως έτσι όπως το ερμηνεύουν;

Σύμφωνα με μια ανάλυση που δημοσίευσε το TheBestVPN βασισμένοι στα δεδομένα που παρέχει η NVD (Εθνική Βάση Δεδομένων Ευπαθειών) του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας, το Debian Linux ήταν το λειτουργικό σύστημα με το μεγαλύτερο αριθμό τρωτών – ευάλωτων σημείων τα τελευταία 20 χρόνια.

Τι μας λέει η ανάλυση ευπάθειας

Μεταξύ του 1999 και του 2019, οι ερευνητές ανακάλυψαν συνολικά 3.067 ευπάθειες στο Debian Linux, ενώ ο Windows Server 2008, είναι πολύ πίσω με μόλις 1.421 ευπάθειες.

Λίγο πιο πίσω από το Debian είναι το Android με 2.563 αναφορές ευπαθειών, με τον πυρήνα του Linux να κατέχει την τρίτη θέση με 2.377. Το macOS της Apple ήταν ελαφρώς πίσω με 2.212, με το Ubuntu να κατέχει την πέμπτη θέση με 2.007.

Τι κατάλαβαν οι περισσότερες ιστοσελίδες και τι ισχύει

Οι περισσότερες ιστοσελίδας, «γλυκάθηκαν» από τα αποτελέσματα της ανάλυσης ευπαθειών και άρχισαν να γράφουν τίτλους όπως:

  • Το Debian είναι πιο ευάλωτο από το Windows 10
  • Το Debian είναι το πιο ευάλωτο λειτουργικό σύστημα τα τελευταία 20 χρόνια
  • Τα Windows 10 δεν είναι το πιο ευάλωτο λειτουργικό σύστημα – είναι το Linux

Δυστυχώς αρκετοί απλά αναμετέδωσαν το ένα από το άλλο την είδηση χωρίς φιλτράρισμα ή διασταύρωση ενώ ελάχιστοι μπήκαν στην διαδικασία να επιβεβαιώσουν ή να διαψεύσουν την αρχική ανάλυση.

Επίσης, ενώ η ανάλυση παρέχει αρκετές πληροφορίες και γραφική απεικόνιση των εξαχθέντων συμπερασμάτων, οι περισσότερες ιστοσελίδες αρκέστηκαν να επιλέξουν μια ή δυο εικόνες που «βολεύει» με τον τίτλο τους.

Για παράδειγμα στην παρακάτω εικόνα :

βλέπουμε ότι τα τελευταία 20 χρόνια, στο σύνολο των ευπαθειών ανά πάροχο προϊόντος, η Microsoft (σύνολο προϊόντων Windows και default εγκατεστημένων εφαρμογών) είναι στην πρώτες θέσεις ενώ το Debian είναι στην 8η θέση.

Advertisements

Επίσης, προσπαθώντας να εξηγήσουν οι αναλυτές την παραπάνω εικόνα, μου έκανε εντύπωση η παρακάτω φράση στην ανάλυσή τους:

However, Linux experienced the most reported vulnerabilities per product at 139.4, which is likely because the software company is relatively young and has fewer products.

Μετάφραση:

Ωστόσο, το Linux γνώρισε τις πιο αναφερθείσες ευπάθειες ανά προϊόν στα 139,4 [σ.σ. 10η θέση], πράγμα που είναι πιθανό επειδή η εταιρεία λογισμικού είναι σχετικά μικρή και έχει λιγότερα προϊόντα.

Προσπαθώ να καταλάβω αν γνωρίζουν τι είναι το Linux και αν γνωρίζουν ότι δεν είναι εταιρεία που παράγει προϊόν ή ελάχιστα προϊόντα όπως αναφέρεται στην ανάλυση.

Στην συνέχεια έρχεται και η επίμαχη αναπαράσταση που βάζει το Debian Linux πρώτο τα τελευταία 20 χρόνια για τον αριθμό ευπαθειών.

Το πρόβλημα με την παραπάνω εικόνα το βλέπετε;

Το πρόβλημα είναι ότι αθροίζει όλο τον αριθμό ευπαθειών που έχει αναφερθεί για το Debian από το 1999 έως το 2019 ενώ για το Windows τα αναφέρει ανά έκδοση. Αν λοιπόν αντιμετωπίσουμε το Windows όπως αντιμετωπίζει το Debian η παραπάνω ανάλυση, τότε θα πρέπει να αθροίσουμε όλες τις αναφορές τρωτών σημείων ανεξαρτήτου έκδοσης. Άρα το σωστό θα ήταν να γράψουν :

  • Debian : 3067
  • Windows: 4865

Επίσης, σχετικά με το παραπάνω, ο αριθμός σχετικά με το Windows, πιθανόν να είναι πιο μεγάλος, μιας και ανάλυσή τους δεν περιλαμβάνει αναφορές τρωτών σημείων για όλες τις εκδόσεις Windows που κυκλοφόρησαν από το 1999.

Επίλογος στο θέμα ευπαθειών Debian VS Windows

Από τα παραπάνω γίνεται αντιληπτό ότι, όπως και σε παλιότερη τοποθέτησή μας για ένα παρόμοιο θέμα (ήτοι Ποια είναι η δημοφιλέστερη διανομή Linux), οι αριθμοί ναι μεν δεν λένε ποτέ ψέματα, αλλά στην ερμηνεία τους φαίνεται να έγινε λάθος(«;»).

Το Debian δεν είναι πιο ευπαθές από το Windows. Αλλά ούτε και το Windows είναι τόσο ευπαθές όσο νομίζουν κάποιοι.

Θέλει ιδιαίτερη προσοχή όταν διαβάζουμε αναλύσεις τέτοιου είδους και φυσικά επανεκτίμηση της μεθοδολογίας.

Παραπομπές: