Sikkerhetsduell: Linux vs Windows

Sikkerhetsduell: Linux vs Windows

Knut Yrvin i Skolelinux og Ole Tom Seierstad i Microsoft møtes til duell. Hvem har flest hull?

- Forskjellige kilder teller sikkerhetshull i Linux og Windows. Uten å gå inn på hvilke antall som er riktige; dere har vel begge utfordringer i forhold til sikkerhet?

Knut Yrvin, Skolelinux: - Nyoppdagede sikkerhetshull må tettes fort. I juni 2004 fant Stian Skjelstad en feil hvor vanlige brukere kunne kræsje Linux. Feilen kunne utnyttes til innbrudd. Etter massiv testing ble offisiell feilfiks lagt ut etter 2 dager og 16 timer. 3 timer tok det til at fiksen var rullet ut hos de store Linux-distribusjonene. Dette racet pågår hele tiden.

Ole Tom Seierstad, Microsoft: - Programvare er det mest kompliserte menneskapte produktet i verden. Utviklingsmodellen har ingen preferanser når det gjelder sikkerhetshull. Både åpen kildekode og kommersiell programvare vil ha utfordringer i forhold til sikkerhet. Dette er ikke en følge av lisensieringsmodellen, men er et industriproblem som alle programvareleverandører må ta på alvor. Og det gjør vi.

- Skaper åpen kildekode bedre forutsetninger for å sikre mot sårbarheter enn proprietære kommersielle løsninger?

KY, Skolelinux: - Uavhengige fagfolk etterprøver "byggekonstruksjonene" i fri programvare. Dette kalles fagfellevurdering (fra eng. "peer review"). Etterprøving er det vanlige i andre tekniske fag. Lov av 1929 gir Elektrisitetstilsynet i oppgave å passe på at elektriske installasjoner er sikre og trygge. Er det feil får man eksternt pålegg om å rette feilen. Produsenteid programvare har lisenser som hindrer uavhengig feilretting.

OTS, Microsoft: - En kommersiell aktør kommer bedre ut når det gjelder testing ) vi har ansatt folk for å teste, for å finne sikkerhetshull, for å lage sikkerhetsfikser og for å teste disse igjen for å sikkerstille at de oppgraderinger som kommer ikke skaper nye problemer for kunden. Vi har prosesser for å ivareta sikkerhetsaspektet ved utvikling av nye produkter som inkluderer arkitektur, utvikling, testmiljø og ettermarked support. Windows-plattformen er nå sertifisert i henhold til Common Criteria EAL 4+.

- Når en sårbarhet blir kjent ser det ut til å starte et rotterace mellom de som ønsker å utnytte den til å skade eller trenge inn i datasystemer. Tilsvarende blir det for Microsoft og Linux-leverandørene en kamp mot klokka for å løse problemet. Hvem er best?

KY, Skolelinux: - Når Stian Skjelstad fant et sikkerhetshull laget han også en feilfiks. Den stoppet de som utnyttet sikkerhetshullet, og de ble logget. Flere systemansvarlige brukte loggen til å fjerne brukere som utnyttet sikkerhetshullet i systemet. Dette viser hvordan fagfolk samarbeider om å levere stadige og hurtige sikkerhetsoppdateringer. Mange mener dette er best.

OTS, Microsoft: - Forrester har laget en uavhengig undersøkelse hvor responstiden på sikkerhetsoppdateringer er sjekket i forhold til flere Linux-distribusjoner opp mot Microsoft. Her kommer vi best ut med et gjennomsnitt på 25 dager fra en sårbarhet er oppdaget til det finnes en sikkerhetsfiks som er testet og klar til å tas i bruk.

- Datasikkerhet medfører kostnader. Er ditt alternativ rimeligere?

KY, Skolelinux: - Med fri programvare tettes sikkerhetshull direkte i programsystemene. Alle sikkerhetsfikser kommer fra ett sted om man bruker f.eks. Skolelinux eller FreeBSD. Dette er enkelt og rimelig. Brukere av produsenteid programvare kjøper viruskontroll og lignende systemer for å utbedre sikkerheten. Man får flere leverandører, økt kompleksitet, og mer administrasjon. Dette blir fort mer kostbart. Den største kostnaden er ikke å følge opp sikkerheten på egne datamaskiner uavhengig av operativsystem.

OTS, Microsoft: - Et godt driftet Microsoft-miljø med nødvendige verktøy, som Microsoft Operation Manager og System Manage Server, lar deg automatisere mange prosesser og dermed lavere kostnader for denne delen av løsningen. Systemene må fortsatt testes ut i kundens system og det er i denne sammenheng mye av kostnadene ligger ) uavhengig av plattform.

- Når bedriften ikke har tilstrekkelig egenkompetanse må denne skaffes utenfra. Hvilken ekstern kompetanse er billigst?

KY, Skolelinux: - Linux-konsulenter har som regel lavere timepriser enn konsulenter til andre systemer sier IT-sjefer til meg. IT-administratorer som drifter fri programvare drifter i snitt 66 maskiner, mens de som drifter produsenteid programvare drifter 53 maskiner viser uavhengige undersøkelser.

OTS, Microsoft: - Vi har over 2.000 partnerbedrifter i Norge som vil bistå kunden med de fleste Microsoft-produkter inkludert sikkerhet. Du får stor valgfrihet og kan hente den kompetansen som best passer problem og lommebok. Det er også utviklet mye opplæring som er fritt tilgjenglig for kunder å partnere i drift og vedlikehold av Windows baserte systemer.

LES MER:

http://developer.skolelinux.no/artikler/sikkerhet-cio.html 

http://www.microsoft.com/technet/security/default.mspx