Μία πρόσφατη ανάλυση δεδομένων 20 ετών σχετικά με την ευπάθεια προϊόντων πληροφορικής «απεκάλυψε» ότι, σε αντίθεση με την ευρεία πεποίθηση, τα Windows είναι πιο ασφαλή από ότι π.χ. το Debian Linux. Είναι όμως έτσι όπως το ερμηνεύουν;
Σύμφωνα με μια ανάλυση που δημοσίευσε το TheBestVPN βασισμένοι στα δεδομένα που παρέχει η NVD (Εθνική Βάση Δεδομένων Ευπαθειών) του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας, το Debian Linux ήταν το λειτουργικό σύστημα με το μεγαλύτερο αριθμό τρωτών – ευάλωτων σημείων τα τελευταία 20 χρόνια.
Τι μας λέει η ανάλυση ευπάθειας
Μεταξύ του 1999 και του 2019, οι ερευνητές ανακάλυψαν συνολικά 3.067 ευπάθειες στο Debian Linux, ενώ ο Windows Server 2008, είναι πολύ πίσω με μόλις 1.421 ευπάθειες.
Λίγο πιο πίσω από το Debian είναι το Android με 2.563 αναφορές ευπαθειών, με τον πυρήνα του Linux να κατέχει την τρίτη θέση με 2.377. Το macOS της Apple ήταν ελαφρώς πίσω με 2.212, με το Ubuntu να κατέχει την πέμπτη θέση με 2.007.
Τι κατάλαβαν οι περισσότερες ιστοσελίδες και τι ισχύει
Οι περισσότερες ιστοσελίδας, «γλυκάθηκαν» από τα αποτελέσματα της ανάλυσης ευπαθειών και άρχισαν να γράφουν τίτλους όπως:
- Το Debian είναι πιο ευάλωτο από το Windows 10
- Το Debian είναι το πιο ευάλωτο λειτουργικό σύστημα τα τελευταία 20 χρόνια
- Τα Windows 10 δεν είναι το πιο ευάλωτο λειτουργικό σύστημα – είναι το Linux
Δυστυχώς αρκετοί απλά αναμετέδωσαν το ένα από το άλλο την είδηση χωρίς φιλτράρισμα ή διασταύρωση ενώ ελάχιστοι μπήκαν στην διαδικασία να επιβεβαιώσουν ή να διαψεύσουν την αρχική ανάλυση.
Επίσης, ενώ η ανάλυση παρέχει αρκετές πληροφορίες και γραφική απεικόνιση των εξαχθέντων συμπερασμάτων, οι περισσότερες ιστοσελίδες αρκέστηκαν να επιλέξουν μια ή δυο εικόνες που «βολεύει» με τον τίτλο τους.
Για παράδειγμα στην παρακάτω εικόνα :
βλέπουμε ότι τα τελευταία 20 χρόνια, στο σύνολο των ευπαθειών ανά πάροχο προϊόντος, η Microsoft (σύνολο προϊόντων Windows και default εγκατεστημένων εφαρμογών) είναι στην πρώτες θέσεις ενώ το Debian είναι στην 8η θέση.
Επίσης, προσπαθώντας να εξηγήσουν οι αναλυτές την παραπάνω εικόνα, μου έκανε εντύπωση η παρακάτω φράση στην ανάλυσή τους:
However, Linux experienced the most reported vulnerabilities per product at 139.4, which is likely because the software company is relatively young and has fewer products.
Μετάφραση:
Ωστόσο, το Linux γνώρισε τις πιο αναφερθείσες ευπάθειες ανά προϊόν στα 139,4 [σ.σ. 10η θέση], πράγμα που είναι πιθανό επειδή η εταιρεία λογισμικού είναι σχετικά μικρή και έχει λιγότερα προϊόντα.
Προσπαθώ να καταλάβω αν γνωρίζουν τι είναι το Linux και αν γνωρίζουν ότι δεν είναι εταιρεία που παράγει προϊόν ή ελάχιστα προϊόντα όπως αναφέρεται στην ανάλυση.
Στην συνέχεια έρχεται και η επίμαχη αναπαράσταση που βάζει το Debian Linux πρώτο τα τελευταία 20 χρόνια για τον αριθμό ευπαθειών.
Το πρόβλημα με την παραπάνω εικόνα το βλέπετε;
Το πρόβλημα είναι ότι αθροίζει όλο τον αριθμό ευπαθειών που έχει αναφερθεί για το Debian από το 1999 έως το 2019 ενώ για το Windows τα αναφέρει ανά έκδοση. Αν λοιπόν αντιμετωπίσουμε το Windows όπως αντιμετωπίζει το Debian η παραπάνω ανάλυση, τότε θα πρέπει να αθροίσουμε όλες τις αναφορές τρωτών σημείων ανεξαρτήτου έκδοσης. Άρα το σωστό θα ήταν να γράψουν :
- Debian : 3067
- Windows: 4865
Επίσης, σχετικά με το παραπάνω, ο αριθμός σχετικά με το Windows, πιθανόν να είναι πιο μεγάλος, μιας και ανάλυσή τους δεν περιλαμβάνει αναφορές τρωτών σημείων για όλες τις εκδόσεις Windows που κυκλοφόρησαν από το 1999.
Επίλογος στο θέμα ευπαθειών Debian VS Windows
Από τα παραπάνω γίνεται αντιληπτό ότι, όπως και σε παλιότερη τοποθέτησή μας για ένα παρόμοιο θέμα (ήτοι Ποια είναι η δημοφιλέστερη διανομή Linux), οι αριθμοί ναι μεν δεν λένε ποτέ ψέματα, αλλά στην ερμηνεία τους φαίνεται να έγινε λάθος(«;»).
Το Debian δεν είναι πιο ευπαθές από το Windows. Αλλά ούτε και το Windows είναι τόσο ευπαθές όσο νομίζουν κάποιοι.
Θέλει ιδιαίτερη προσοχή όταν διαβάζουμε αναλύσεις τέτοιου είδους και φυσικά επανεκτίμηση της μεθοδολογίας.
Παραπομπές:
- Vulnerability Alerts (Ανάλυση)
Linux-User
Technopolitan.gr
Termatiko
Cerebrux 
Με το δεδομένο πως στην μια περίπτωση τα δεδομένα είναι προσβάσιμα σε όλους στην μια περίπτωση και υπάρχει ενθάρρυνση και κουλτούρα αναφοράς, ενώ στην άλλη περίπτωση είναι μη προσβάσιμα και πέφτουν υπογραφές NDA …
Ακόμα και αν στην πρώτη περίπτωση είχες δεκαπλάσιο αριθμό, πάλι θα έπρεπε να είχες δισταγμό στην εξαγωγή συμπερασμάτων….
Έχοντας επίσης σαν δεδομένο πως στην μια περίπτωση την αναζήτηση ευπαθειών την κάνεις έχοντας διαθέσιμο πηγαίο κώδικα στην πρώτη περίπτωση, ενώ στην δεύτερη εν τον έχεις είναι αναμενόμενο να υπάρχουν 9 κρυμμένα προβλήματα για κάθε ένα που βρίσκεις στην δεύτερη περίπτωση.
Τέλος όλες οι ευπάθειες δεν είναι ίδιες μεταξύ τους. Άλλο κάτι που θέλει τοπική πρόσβαση διαχειριστή, άλλο όταν πρέπει να βρέχει και να φοράς παπιγιον ακούγοντας Slayer και άλλο αν αρκεί να έχει ο υπολογιστής σου πρόσβαση στο διαδίκτυο
Και σε κάθε περίπτωση άλλο το να έχεις την διόρθωση σε λίγες μέρες και άλλο να μάθεις την ύπαρξη μιας ευπάθειας, κάποια χρόνια μετά όταν έχει λήξει το NDA και την ξέρει ήδη η καθαρίστρια σε κτήριο με τρία γράμματα.
Γιατί όλα τα κρουασάν δεν είναι ίδια, αλλά κάποια πληρώνουν περισσότερα σε διαφήμιση ..
Σωστή παρατήρηση/προσθήκη !
+1,5 :)
Το άρθρο της NVD είναι για γέλια. Δε χρήζει σοβαρής ανάλυσης. Είναι απλά διαφημιστική καταχήρηση, επί πληρωμή, της ΜικροΜαλακής (ΤΜ).
Ασχέτως αυτού, το Debian δεν είναι αυτό που ‘ταν παλιά.
Ειδικά μετά το σχίσμα του systemd και την αποχώρηση σχεδόν των μισών devs, έχει ψιλοξεμείνει από κόσμο. Φέτος σε μια προσπάθεια επιστροφής των αποχωρησάντων, δρομολογήθηκε η υιοθέτηση εναλλακτικών λύσεων, παράλληλα με το systemd, αλλά προσωπικά θεωρώ πολύ δύσκολη τη πραγματοποίησή τους όσο και την επιστροφή των αποχωρησάντων.
Όταν ακούς από Debian maintainer, να σου λέει όλο χαρά κι υπερηφάνια, πως έχει αναλάβει τη συντήρηση >500 projects, αναρωτιέσαι αν σε δουλεύει ψιλό γαζί.
Είναι προφανώς ανθρωπίνως αδύνατον να επιτευχθεί κάτι τέτοιο, όσο καλές προθέσεις κι αν έχει αυτός που το επιχειρεί.
Δυστυχώς στις μέρες μας, το Ανοιχτό Λογισμικό, έχει συνδέσει τη μοίρα του, άρρηκτα με τις εταιρίες, το εμπόριο, το χρηματιστήριο κλπ. κλπ.
Εξ ου και οι παραπειστικές διαφημίσεις, η δυσλειτουργία παραδοσιακών projects και συναφή νοσηρά φαινόμενα.
Χμ αυτό που λες είναι όντως σοβαρό θέμα. Δυστυχώς οι οποιεσδήποτε αλλαγές σε ένα κοινωνικό έργο είναι πάντα πιθανόν να δημιουργήσουν προβλήματα και διασπάσεις. Μακάρι να βελτιωθεί η κατάσταση
Προσωπική μου άποψη, είναι πως το μοντέλο του «Παζαριού», δε δουλεύει πια.
Διά του λόγου το αληθές, αυτές τις μέρες μπανάρανε τον Eric Raymond, απ’ τη maillist του OSI (λόγω…αθυροστομίας)!!!
Αν το Παζάρι, δε δουλεύει πια, ούτε για το δημιουργό του, τότε…
Επίσης προσωπική μου άποψη, είναι πως υπάρχει καταφανέστατο έλλειμμα Δημοκρατίας. Τόσο στην αντιπροσώπευση όλων μας, όσο και στη λήψη αποφάσεων.
Είναι αδύνατο στις μέρες μας, ελάχιστοι «πεφωτισμένοι» ηγέτες, έχοντας το ρόλο του καλόκαρδου δικτάτορα (benevolent dictator), ν’ αποφασίζουν εν αγνοία μας, τι είναι καλύτερο για όλους εμάς.
Αν δε λυθεί το συγκεκριμένο θέμα, προβλήματα τέτοιου τύπου, θα τα βρίσκουμε συνέχεια μπροστά μας.
Αντιθέτως νομίζω το «παζάρι» δουλεύει μια χαρά. Απόδειξη ότι το πιο κρίσιμο/πολύπλοκο και διαδεδομένο έργο ελεύθερου λογισμικού, ο πυρήνας Linux αναπτύσσεται και διασφαλίζεται άψογα με τα μέχρι τώρα σημερινά δεδομένα.
Όμως για να δουλέψει ακόμα καλύτερα το «παζάρι» θέλει και χρηματοδότηση αλλά και χέρια από εργαζομένους σε εταιρείες.