cnet科技資訊網3月23日國際報導 由微軟所贊助的一項研究指出,以linux 所運作的網站會比windows 面對更多的風險。
這份於周二所發布的研究表示,去年以windows server 2003 為基礎的網路伺服器上所修補的漏洞,比標準開放原始碼設定的red hat enterprise linux es 3還要少。
這份研究還指出,微軟網路伺服器的“風險日”(days of risk)比開放原始碼的競爭對手要少很多──風險日是一種衡量已知、而未修補漏洞的方法。
“這份研究的目的是要大家三思而行,要大家對於哪個平台比較安全的問題,不要人云亦云。”herbert thompson是安全套用公司security innovations 的研究暨訓練總監,同時也是這份報告的三個作者之一,他如此表示。一般大家總認為,linux 比windows 安全。
這份報告上個月在rsa conference信息安全大會上發布時引起了爭議。而之前對於windows 及linux 何者較為安全的一些比較研究,也造成很熱烈的討論。
“我們認為這很不正確。”紅帽(red hat )的安全反應小組主管mark cox周二在公司網站的網誌(blog)上談到近來這些研究報告時表示。他指出,這份報告並未把“危險”(critical)及較不危險的漏洞區分開來,如果分開來算的話將對紅帽較為有利。
除了在網誌上回答之外,紅帽不願對這份報告提出任何評論。
漏洞算一算
這份研究里,研究員計算了2004年裡每個網路伺服器修補完成的已公布漏洞。此外,將風險日累計起來──在漏洞公開之後及軟體開發者修補好漏洞期間的風險日總數。
使用red hat enterprise linux es 3 的伺服器風險日超過了12000 ,而微軟則大約1600天,研究指出。
而漏動方面,搭配apache web server 、mysql 資料庫,以及p 惠普 scripting language 的紅帽網路伺服器的出廠設定要處理174 個漏洞,該研究指出。以微軟server 2003 、internet information server 6 、sql server 2000 ,及asp.net 的出廠設定則有52個漏洞。
研究員還研究了兩者的最小化設定,也就是把一些與網頁伺服無關的套用拿掉之後再做比較。在此情況下,微軟仍然以52個漏洞輕鬆打敗了紅帽linux 軟體的132.
紅帽的cox 則在網誌的文章反駁這份研究。
“不管是以微軟或者是紅帽的嚴格標準來分,red hat enterprise linux 3隻有8 個漏洞屬危險等級。”他寫道,“而這些漏洞裡,有四分之三在一天內就修補好,一般則都是要八天。”
一般而言,“危險”等級的安全漏洞可能讓黑客從遠端控制電腦系統。這份研究把漏洞等級分為“高”(high)、“中”(medium),以及“低”(low )危險三個等級。而“高”危險的等級包括了紅帽及微軟的“critical”(“危險”或“重大”),以及可以讓地區端使用者取得系統功能存取許可權的漏洞。根據這份報告指出,不管是在原廠的設定或是最小化的設定里,微軟的“高危險”漏洞都少很多。
但研究員坦承,微軟資助了這份研究。微軟在周二所發布的新聞稿也指出,這份報告是微軟“了解事實”(get the facts)活動的一部份,這個活動目的是要強調windows 軟體的好處。
“當security innovations向微軟提案軟體安全的研究方法時,我們評估之後認為這類分析對我們的客戶相當有用,所以就贊助了他們的研究。”微軟在新聞稿中表示。“我們鼓勵客戶以他們自己的電腦環境來檢驗與評估裡面的信息。”
除了thompson之外,這份研究報告的其他兩位作者分別為佛羅里達科技研究所(florida institute of technologyl)的電腦科學教授richard ford,以及security innovations的安全測試工程師。他們希望在研究報告裡公布研究方法,以反擊各方的批評。
“研究方法的設計讓其他人也可以自行去驗證──它必需是量化而可重覆的。”thompson表示。“我們不是給人一塊蛋糕而已,我們還提供了蛋糕的做法。”
雖然風險日和漏洞的計算都不能當作衡量安全的真正方式,但thompson表示,他們希望把重點放在對於系統管理員有意義的指標上。他指稱,等待漏洞的時間總數是一個相當合理的計算方法。
然而,thompson承認,安全大部份還是要靠管理員的專業。
“我想,對於有能力的管理員來說,兩個作業系統都相當安全。”thompson表示。“如果我有個linux 專家,那我就會希望這個人幫我管 linux 網路伺服器;如果我比較是個windows 專家,那我當然就用windows 了。”