Menü

Studie bescheinigt Windows bessere Sicherheit als Linux

Von
vorlesen Drucken Kommentare lesen 866 Beiträge

Richard Ford vom Florida Institute of Technology und Herbert Thompson von der Firma Security Innovation haben eine Studie veröffentlicht, die die Sicherheit von Microsoft Server 2003 und Red Hat Enterprise Linux ES3 in typischen Web-Server-Konfigurationen vergleicht. Als deutlicher Gewinner geht daraus das Microsoft-System hervor. Allerdings haben die Autoren ihre bereits vorab veröffentlichten Ergebnisse in den Augen vieler Kritiker diskreditiert, indem sie erst in der abschließenden Publikation dokumentierten, dass die Studie von Microsoft finanziert wurde. Der Vertrag gestehe ihnen jedoch die volle inhaltliche Kontrolle über die gesamte Forschungsarbeit zu, verteidigen Ford und Thompson ihr Werk.

Interessant ist die Methodik der Untersuchung. Die Forscher führten darin eine charakteristische Größe zur Bewertung der Sicherheitsrisiken ein, denen der Betreiber eines Systems ausgesetzt ist: ihre "Days of Risk" messen die Zeit zwischen der Veröffentlichung eines Sicherheitsproblems und der Bereitstellung einer Lösung durch den Hersteller. Sie geben also den Zeitraum wieder, in dem ein Anwender tatsächlich angreifbar ist.

Als Ausgangsbasis diente einerseits ein Windows 2003 Server mit IIS, SQL Server und ASP.NET und andererseits ein LAMP-System (Linux, Apache, MySQL, PHP) auf Basis von Red Hat Enterprise Linux 3.0. Für diese beiden Systeme haben die Forscher jeweils alle vom Hersteller im Jahr 2004 veröffentlichten Sicherheitshinweise ausgewertet. Da Linux es ermöglicht, sehr einfach ein abgespecktes System aufzusetzen, nahmen Ford und Thompson eine solche Minimalkonfiguration ebenfalls in den Vergleich auf. Weil sich bei dem Microsoft-System das Abspecken deutlich schwieriger gestaltet, verzichteten sie dort auf eine minimalistische Web-Server-Lösung.

Bei den Ergebnissen bewirkte das jedoch lediglich kosmetische Unterschiede. Statt der 174 Schwachstellen des Komplettsystems stehen in der Minimalkonfiguration 132 Linux-Lücken gegen nur 52 Schwachstellen des Windows-2003-Server-Systems. Die Reaktionsgeschwindigkeit der Hersteller macht dieses Ungleichgewicht nicht wett -- im Gegenteil: Der Studie zu Folge seien die Microsoft-Kunden pro Schwachstelle im Schnitt 31,3 Tage exponiert, während die Linuxer einem Sicherheitsproblem 69,3 beziehungsweise 71,4 Tage ungeschützt ausgesetzt gewesen seien.

Negativ auf die Days-of-Risk-Statistik des Red-Hat-Systems wirken sich das offene Entwicklungssystem der Open-Source-Gemeinde und deren dezentrale Strukturen aus. So datiert die Studie in einem Beispiel die Veröffentlichung einer Schwachstelle auf den 4. Juni, als der erste Eintrag in der öffentlichen MySQL-Fehlerdatenbank erfolgte. Zwar fixten die Entwickler das Problem im Quellcode bereits am 17. Juni, die Linux-Distributoren lieferten aktualisierte Pakete jedoch erst Monate später aus.

Der Bezug auf die erste Erwähnung in einer Entwicklerdatenbank bevorzugt Closed-Source-Konzepte, deren interne Fehlerdatenbanken nicht öffentlich zugänglich sind. Allgemeine Schwachstellendatenbanken wie SecurityFocus und Secunia haben das Problem erst am 20. August veröffentlicht. Andererseits könnte ein Angreifer tatsächlich bereits im Juni auf die Schwachstelle aufmerksam geworden sein.

Ernste Zweifel an der Zuverlässigkeit der Studie weckt jedoch ein genauerer Blick auf dieses MySQL-Beispiel:

For example, CAN-2004-0957 discusses a bug in MySQL's mysql_real_connect() function. This was entered into the MySQL bug database on 4th June 2004, and fixed in the source tree 17th June 2004. However, Red Hat only packaged this fix in RHSA-2004:611, issued on the 27th of November.

Hier referenzieren Ford und Thompson den Fehler der Funktion mysql_real_connect() mit CAN-2004-0957. Dieser Eintrag in der Liste der Common Vulnerabilities and Exposures bezieht sich jedoch auf einen völlig anderen MySQL-Fehler; der richtige Eintrag wäre CAN-2004-0836 gewesen. Des weiteren konstatieren die beiden Autoren, Red Hat hätte den Fehler erst durch die Veröffentlichung des Advisories RHSA-2004:611 am 27. November gefixt. Tatsächlich datiert das Red-Hat-Advisory jedoch auf den 27. Oktober. Inwieweit sich solche Schlampigkeiten auch in die Auswertung eingeschlichen und möglicherweise die Zahlen verfälscht haben, lässt sich der Studie nicht entnehmen.

Thompson erklärte auf Nachfragen von heise Security, die Fehler hätten sich erst beim Schreiben des Papers eingeschlichen; die zugrundeliegenden Daten und damit die Ergebnisse seien jedoch korrekt. Die angesprochenen "Ungenauigkeiten" in der Studie will Thompson jedoch korrigieren. Des weiteren sei es nicht das Ziel der Studie gewesen, zu entscheiden, welche Server-Plattform sicherer sei. "Wir wollten eine transparente und reproduzierbare Methodik für solche Vergleiche einführen, die sich an realen Einsatzszenarien und den Bedürfnissen der Endanwender orientiert. Wir glauben, dass uns das gelungen ist", so Thompson in seiner Stellungnahme.

Siehe dazu auch: (ju)

Anzeige
Anzeige