Kritik am letzten CERT-Sicherheitsbericht
Kaum liegt der Jahresrückblick 2005 "Vulnerability Notes" nach Plattformen auf dem Tisch, da hagelt es auch schon Kritik aus der freien Softwarewelt.
In recht deutlichen Zahlen hatte das CERT aus den verschiedensten Quellen Berichte über Sicherheitslöcher gesammelt und versucht, sie zu einer einzelnen aussagekräftigen Studie zusammenzufügen. Im Ergebnis stellte das CERT überraschenderweise fest, dass Windows mit 812 gegenüber 2328 Sicherheitslöchern in Unix/Linux Systemen sicherer sei. Mit insgesamt 5198 berichteten Anfälligkeiten, so der Bericht, ist die Zahl von Sicherheitslöcher gegenüber den Vorjahren drastisch gestiegen.
Harsche Worte findet Mark Cox, Software-Ingenieur bei Red Hat, für die Schlussfolgerungen des CERT-Sicherheitsberichts: "Die Studie ist verwirrend und irreführend. Schauen Sie sich die Liste an, die Lücken sind falsch kategorisiert." Als anschauliche Beispiele für diese Einschätzung nennt Cox den Browser Firefox, Apache oder PHP, die sowohl unter Windows als auch unter UNIX/Linux laufen. Alle diesbezüglichen Sicherheitslücken wurden in der Studie einzig Unix/Linux-Systemen zugerechnet, stellt Cox verwundert fest. Er bezweifelt, dass die Studie auf Grund solcher methodischen Fehler ein wirklich akkuraten Vergleich zwischen Windows und Unix/Linux in Sachen Sicherheit herstellen kann.
Auch andernorts ist man mit der Studie unzufrieden, so glaubt man im Sicherheitsunternehmen Secunia, dass das Zusammenfügen der unterschiedlichsten Quellen in einer Statistik wirklich kein angemessenes Bild der Situation widerspiegelt. Thomas Kristensen, CTO bei Secunia, gibt einen weiteren Punkt zu bedenken. Nach seiner Beobachtung gehen Untersuchungen zu Sicherheitslücken auf den verschiedenen Plattformen in unterschiedliche Richtungen. Während man bei Unix/Linux-Systemen vorrangig auf der Suche nach lokalen Exploits ist, konzentriert sich die Suche unter Windows mehr auf Remote-Lücken. Dies scheint sich erst mit dem Aufkommen von NT, 2000 und XP allmählich zu ändern. Ein direkter Vergleich von Fehlermeldungen wie in der CERT-Studie ist daher schwer zu bewerkstelligen, betont Kristensen. In einem Offenen Brief unterstützt auch Steven Christey, der Betreiber von Common Vulnerabilities and Exposures, die Bedenken gegen einen direkten Vergleich in der Art des letzten CERT-Sicherheitsbericht.
Die Sache liegt für Mark Cox klar auf der Hand: "Sie sollten sich die Zahl der kritischen Sicherheitslücken genau ansehen. Es ist einfach besser, eine Sicherheitslücke danach zu beurteilen, welche Auswirkungen sie je nach Plattform für den Kunden hat. Es gibt weitaus weniger kritische Lücken in Red Hat Linux, und diese werden schneller behoben." Ein direkter Vergleich zwischen der Fehlerbehebung in RHEL 3 und Windows spricht nach seiner Ansicht eine deutliche Sprache. Während das Sicherheitsupdate zum Schließen eines Exploits innerhalb von 24 Stunden für Kunden von RHEL im Durchschnitt verfügbar ist, benötigte Microsoft sieben Tage zur Beseitigung einer kürzlich aufgetretenen sicherheitskritischen WMF-Lücke.
