В рамках рубрики Клуб экспертов мы продолжаем публикацию книги А.В.Лукацкого Мифы и заблуждения информационной безопасности
Алексей Лукацкий — менеджер по развитию
бизнеса Cisco Systems
Боясь нарваться на очередную ожесточенную дискуссию, все-таки хочу вернуться к теме, вокруг которой уже не один год ломают копья. Что защищеннее — Linux или Windows?
Этот спор тем яростнее, чем большую долю рынка занимает Windows и чем больше Microsoft об этом кричит на каждом углу. Апологеты Linux с пеной у рта доказывают, что дырявее системы не существует, что Windows и защита — понятия несовместимые, что Windows «падает» по несколько раз в день и т.д.
Начнем с того, что просто Linux не существует, а существуют множественные ее варианты — Slackware, Mandriva, ALT, ASP, Debian, Gentoo, Knoppix, SuSE, Ubuntu, Red Hat и т.п. Также как и не существует просто Windows, а различные ОС, входящие в это семейство — Windows 98, Windows 2000 Server и Professional, Windows XP Professional и Embedded, Windows 2003 Standard и Datacenter, Windows 2008, Windows CE и Mobile и т.п.
Можно конечно делать анализ по совокупности, но этого никто никогда не делал, насколько мне известно. Но допустим, мы опустим эту «мелочь» и перейдем к сути спора.
Что такое защищенность? Как ее определяют? По количеству дыр? Обычно да. Но тогда Windows защищеннее Linux.
По крайней мере компания Secunia, занимающийся исследованиями в области безопасности и регулярно обновляющая статистику по «дырам» делает именно такой вывод. Например, у Windows XP Professional зафиксирована всего 221 уязвимость, в то время как у Fedora Linux их уже 412.
Тогда быть может стоит проводить анализ по типу уязвимостей — локальная/удаленная. Логично предположить, что удаленная уязвимость опаснее, т.к. ею можно воспользоваться через Интернет.
И тогда Windows по имеющейся статистике Национальной базы уязвимостей США окажется уязвимей. Хотя и Linux тут не на высоте — OpenBSD обладает еще меньшим числом удаленно эксплуатируемых уязвимостей.
Методы взлома твоего аккаунта — и советы предосторожности. Посмотри и стань защищеннее 
Но абсолютно неуязвимых систем не бывает, поэтому гораздо важнее оценивать не число и качество уязвимостей, а скорость их устранения. Ведь если я устранил 100 уязвимостей одной ОС еще до того, как они стали достоянием гласности, а у второй ОС всего одна дыра и та не устраняется годами, то какой продукт защищеннее?
Здесь Microsoft лидирует, выпуская патчи гораздо быстрее, чем Linux-сообщество. Не менее важна скорость установки патча на уязвимый компьютер. Одно дело выпустить патч и совсем другое — установить его.
Windows помогает в этом плане чуть лучше, предлагая различные сервисы автоматической остановки патчей.
Но ведь мало кому нужна ОС сама по себе. Ее начиняют приложениями. Это, кстати, то, о чем забывают апологеты национальной операционной системы, предлагая отказаться от Microsoft в пользу создания отечественной индустрии ПО.
Правда авторы этой идеи забывают, что пользователи работают не с ОС, а с приложениями — Excel, Internet Explorer, Диасофт, Риком-Траст и т.п. Ну да ладно, вернемся к нашему мифу.
Где уязвимостей больше — в приложениях для Windows или для Linux? Тут оценивать еще сложнее, т.к. мало кто считал уязвимости, входящие в гигабайтный дистрибутив Linux и набор распространенного софта для Windows.
А если программы, «дающие» Windows первое место среди уязвимых ОС (тот же браузер Internet Explorer), вообще не используются? Как тут считать, кто защищеннее?
Я, например, вместо браузера Internet Explorer использую Firefox.
Многие уязвимости операционных систем являются не следствием неудачной разработки или ошибок программистов, а обычной халатностью при настройке системы. Следовательно, устранить их можно просто правильно настроив ОС, удалив все ненужные сервисы, отключив лишние учетные записи, настроив права доступа к файлам и каталогам и т.д.
И мы опять сталкиваемся с неопределенностью — как сравнивать две системы, о настройке которых нам ничего не известно. Я встречал Linux, который падал под атаками чуть ли не раз в неделю, и Windows, который проработал в «боевом» режиме 1,5 года без перезагрузки.
Но даже если мы смогли разобраться со всем вышеописанным и посчитать защищенность, то это будет защищенность некоей системы «в себе». А ведь сейчас, даже в условиях компьютерной безграмотности и безалаберности, сложно встретить компьютер без установленного антивируса или персонального межсетевого экрана.
В сетевых средах компьютеры находятся под дополнительной защитой систем предотвращения атак и других систем информационной безопасности. И все они блокируют использование уязвимостей еще на подступах.
Не может быть одна абстрактная система защищеннее какой-то другой абстрактной системы. Всегда надо смотреть на конкретное решение, работающее в конкретной ситуации, настроенное конкретными людьми, в конкретный момент времени.
И только тогда оценивать защищенность КОНКРЕТНОЙ системы.
ЗЫ. Этот текст написан на компьютере под управлением Mac OS 
