Forrester: ‘Linux is niet veiliger dan Windows’

Forrester onderzocht van 1 juni 2002 tot 31 mei 2003, hoeveel beveiligingslekken ontdekt werden in de software van Debian, MandrakeSoft, Microsoft, Red Hat en het SuSe-platform. Ook bekeek het onderzoeksbureau hoe ernstig de fouten waren en hoe snel ze opgelost werden en de klanten ook daadwerkelijk patches kregen. "Alle platforms bevatten fouten en zwakheden in de code. Het gaat er vooral om hoe snel een patch wordt ontwikkeld, hoe ernstig de lekken zijn en of de fouten wel in hun geheel hersteld kunnen worden. Het heeft geen zin snel een patch te maken voor slechts een deel van het probleem", aldus Forrester. Microsoft het snelst Gemiddeld bleek Microsoft de lekken het snelst te repareren - binnen 25 dagen na melding. Bovendien loste Microsoft álle 128 in dat jaar gemelde problemen in de code op. Red Hat en Debian hadden gemiddeld 57 dagen nodig om een softwarezwakte op te lossen. Daar staat echter tegenover dat ze veel meer fouten moesten verhelpen: respectievelijk 229 en 285. Bovendien losten zij niet alle gemelde problemen op; Red Hat miste er één en Debian vond een oplossing voor slechts 96 procent. In de vergelijking met Microsoft komen zij er echter weer gunstig uit doordat de problemen in de software van Microsoft vaker ernstiger van aard zijn. Voor Microsoft geldt dat 67 procent van de lekken ‘zeer ernstig’ is. De fouten in de software van Red Hat en Debian zijn in 56 en 57 procent van de gevallen ‘zeer ernstig’. Forrester wijst er ook op dat het probleem van lekken en hackers die daar op in schieten, verergerd wordt doordat gebruikers erg laks zijn bij het installeren van patches. Dat komt voornamelijk doordat weinig organisaties consistente platformconfiguraties hebben. Ook ontbreken bij veel bedrijven goede procedures voor het testen en het implementeren van de patches. Zo had Microsoft voor de negen ernstigste incidenten met kwaadaardige code gemiddeld 305 dagen daarvoor al patches uitgebracht, die echter door de meeste bedrijven niet zijn aangebracht. Minder problemen Hoewel het aantal virus- en wormaanvallen de laatste tijd explosief is toegenomen, is Forrester ervan overtuigd dat de veiligheidsproblemen van softwareplatforms wel degelijk kunnen afnemen. Voorwaarde is dat de ontdekkers van fouten en de softwaremakers goed samenwerken: dat betekent dat de ontdekkers hun bevindingen niet publiek mogen maken voordat de softwareleverancier het probleem heeft opgelost. Dat biedt kwaadwillenden minder tijd om hun kwalijke praktijken uit te voeren. Essentieel is ook een vast schema voor patch-updates. Dat heeft Microsoft sinds eind vorig jaar: elke maand brengt het bedrijf een patchbundel uit, met alleen in uitzonderingsgevallen, als er iets heel ernstigs aan de hand is, een extra patch. De SuSe-groepen doen iets vergelijkbaars met bundels van patches. Daardoor kunnen gebruikers vaste schema’s opstellen voor het installeren van patches, wat het voor hen makkelijker maakt deze oplossingen sneller toe te passen. Ook raadt Forrester aan ontwikkelaars te trainen om bepaalde fouten die voor veel lekken verantwoordelijk zijn, te voorkomen. Dan gaat het vooral om fouten die het mogelijk maken gegevens te vervangen door code om die code langs onverwachte weg tot uitvoering te brengen, zoals ‘buffer overflows’.