Linux、Windows到底誰更安全? 漏洞算一算

火星人 @ 2014-03-12 , reply:0


  

CNET科技資訊網3月23日國際報道 由微軟所贊助的一項研究指出,以Linux 所運作的網站會比Windows 面對更多的風險。

這份於周二所發布的研究表示,去年以Windows Server 2003 為基礎的網路伺服器上所修補的漏洞,比標準開放源代碼設定的Red Hat Enterprise Linux ES 3還要少。

這份研究還指出,微軟網路伺服器的「風險日」(days of risk)比開放源代碼的競爭對手要少很多──風險日是一種衡量已知、而未修補漏洞的方法。

「這份研究的目的是要大家三思而行,要大家對於哪個平台比較安全的問題,不要人云亦云。」Herbert Thompson是安全應用公司Security Innovations 的研究暨訓練總監,同時也是這份報告的三個作者之一,他如此表示。一般大家總認為,Linux 比Windows 安全。

這份報告上個月在RSA Conference信息安全大會上發布時引起了爭議。而之前對於Windows 及Linux 何者較為安全的一些比較研究,也造成很熱烈的討論。

「我們認為這很不正確。」紅帽(Red Hat )的安全反應小組主管Mark Cox周二在公司網站的網誌(Blog)上談到近來這些研究報告時表示。他指出,這份報告並未把「危險」(critical)及較不危險的漏洞區分開來,如果分開來算的話將對紅帽較為有利。

除了在網誌上回答之外,紅帽不願對這份報告提出任何評論。

漏洞算一算

這份研究里,研究員計算了2004年裡每個網路伺服器修補完成的已公布漏洞。此外,將風險日累計起來──在漏洞公開之後及軟體開發者修補好漏洞期間的風險日總數。

使用Red Hat Enterprise Linux ES 3 的伺服器風險日超過了12000 ,而微軟則大約1600天,研究指出。

而漏動方面,搭配Apache Web server 、MySQL 資料庫,以及P 惠普 scripting language 的紅帽網路伺服器的出廠設定要處理174 個漏洞,該研究指出。以微軟Server 2003 、Internet Information Server 6 、SQL Server 2000 ,及ASP.Net 的出廠設定則有52個漏洞。

研究員還研究了兩者的最小化設定,也就是把一些與網頁伺服無關的應用拿掉之後再做比較。在此情況下,微軟仍然以52個漏洞輕鬆打敗了紅帽Linux 軟體的132.

紅帽的Cox 則在網誌的文章反駁這份研究。

「不管是以微軟或者是紅帽的嚴格標準來分,Red Hat Enterprise Linux 3隻有8 個漏洞屬危險等級。」他寫道,「而這些漏洞里,有四分之三在一天內就修補好,一般則都是要八天。」

一般而言,「危險」等級的安全漏洞可能讓黑客從遠端控制電腦系統。這份研究把漏洞等級分為「高」(high)、「中」(medium),以及「低」(low )危險三個等級。而「高」危險的等級包括了紅帽及微軟的「critical」(「危險」或「重大」),以及可以讓地區端使用者取得系統功能存取許可權的漏洞。根據這份報告指出,不管是在原廠的設定或是最小化的設定里,微軟的「高危險」漏洞都少很多。

但研究員坦承,微軟資助了這份研究。微軟在周二所發布的新聞稿也指出,這份報告是微軟「了解事實」(Get the Facts)活動的一部份,這個活動目的是要強調Windows 軟體的好處。

「當Security Innovations向微軟提案軟體安全的研究方法時,我們評估之後認為這類分析對我們的客戶相當有用,所以就贊助了他們的研究。」微軟在新聞稿中表示。「我們鼓勵客戶以他們自己的電腦環境來檢驗與評估裡面的信息。」

除了Thompson之外,這份研究報告的其他兩位作者分別為佛羅里達科技研究所(Florida Institute of TechnologyL)的電腦科學教授Richard Ford,以及Security Innovations的安全測試工程師。他們希望在研究報告里公布研究方法,以反擊各方的批評。

「研究方法的設計讓其他人也可以自行去驗證──它必需是量化而可重覆的。」Thompson表示。「我們不是給人一塊蛋糕而已,我們還提供了蛋糕的做法。」

雖然風險日和漏洞的計算都不能當作衡量安全的真正方式,但Thompson表示,他們希望把重點放在對於系統管理員有意義的指標上。他指稱,等待漏洞的時間總數是一個相當合理的計算方法。

然而,Thompson承認,安全大部份還是要靠管理員的專業。

「我想,對於有能力的管理員來說,兩個操作系統都相當安全。」Thompson表示。「如果我有個Linux 專家,那我就會希望這個人幫我管 Linux 網路伺服器;如果我比較是個Windows 專家,那我當然就用Windows 了。」





[火星人 via ] Linux、Windows到底誰更安全? 漏洞算一算已經有586次圍觀

http://www.coctec.com/docs/discuss/show-post-74929.html