Οι αυθεντικές φράσεις, λέξεις και όροι αποτυπώνονται σε αγκύλες ([]). Σύνοψη Πολύς ντόρος έχει γίνει σχετικά με το αν το Linux είναι πράγματι πιο ασφαλές από τα Windows. Συγκρίναμε τα Windows και το Linux εξετάζοντας τα παρακάτω μεγέθη [metrics] στα τελευταία 40 καταγεγραμμένα διορθωτικά [patches]/αδυναμίες [vulnerabilities] των Microsoft Windows Server 2003 και Red Hat Enterprise Linux AS v.3: 1. Τη σοβαρότητα [severity] των αδυναμιών ασφαλείας (security vulnerabilities), παραγόμενο από τα παρακάτω μεγέθη: a. Προοπτική βλάβης [damage potential] (πόση βλάβη είναι δυνατή;) b. Ευκολία εκμετάλλευσης [exploitation potential] (πόσο εύκολο είναι να γίνει εκμετάλλευση;) c. Δυνατότητα έκθεσης [exposure potential] (τι είδους πρόσβαση είναι απαραίτητη για την εκμετάλλευση της αδυναμίας;) 2. Τον αριθμό των κρίσιμα σοβαρών αδυναμιών [critically severe vulnerabilities]. Τα αποτελέσματα ήταν αναμενόμενα. Ακόμα και με τα υποκειμενικά και εσφαλμένα στάνταρ της Microsoft, 38% των πιο πρόσφατων διορθωτικών απευθύνονται σε ελαττώματα [flaws] που η Microsoft βαθμολογεί ως Κρίσιμα [Critical]. Μόνο 10% των διορθωτικών και συναγερμών [alerts] της Red Hat απευθύνονται σε ελαττώματα Κρίσιμης σοβαρότητας. Τα αποτελέσματα αυτά εύκολα δείχνονται ότι είναι γενναιόδωρα προς τη Microsoft και αυστηρά για τη Red Hat, αφού είναι βασισμένα στις βαθμολογήσεις της ίδιας της Microsoft αντί της εφαρμογής των δικών μας πιο αυστηρών μεγεθών ασφαλείας. Αν εφαρμόζαμε τα δικά μας μεγέθη, θα αυξανόταν ο αριθμός των Κρίσιμων ελαττωμάτων στα Windows Server 2003 στο 50%. Θέσαμε ερώτημα [queried] στη βάση δεδομένων του United States Computer Emergency Readiness Team (CERT), και τα δεδομένα του CERT επιβεβαιώνουν τα συμπεράσματά μας με πιο δραματική διαφορά. Όταν ζητήσαμε από τη βάση δεδομένων τα αποτελέσματα με ταξινόμηση κατά σοβαρότητα ξεκινώντας με τα πιο κρίσιμα, 39 από τις τελευταίες 40 καταχωρήσεις για τα Windows είναι ξεπερνούσαν το όριο σοβαρών συναγερμών του CERT. Μόνο τρεις από τις τελευταίες 40 καταχωρίσεις ξεπερνούσαν το όριο όταν ρωτήσαμε τη βάση για το Red Hat. Όταν ρωτήσαμε τη βάση του CERT για το Linux, μόνο 6 από τις πρώτες 40 καταχωρίσεις ήταν πάνω από το όριο. Λάβετε υπόψη επίσης ότι η Red Hat και η Linux λίστες περιλαμβάνουν ελαττώματα λογισμικού που λειτουργεί στα Windows, που σημαίνει ότι αυτά τα ελαττώματα ισχύουν και στα Linux και στα Windows. Γιατί λοιπόν υπήρξαν τόσες πολλές φαινομενικά αξιόπιστες αξιώσεις για το αντίθετο, ότι το Linux είναι στη πραγματικότητα λιγότερο ασφαλές από τα Windows; Υπάρχουν οφθαλμοφανείς τρύπες στη λογική πίσω από το συμπέρασμα ότι τα Linux είναι λιγότερο ασφαλή. Χρειάζεται λίγη μόνο έρευνα για την απομυθοποίηση των μύθων και των λογικών σφαλμάτων πίσω από τα συχνώς επαναλαμβανόμενα αξιώματα: 1. Τα Windows υποφέρουν τόσες πολλές επιθέσεις γιατί υπάρχουν πολύ περισσότερες εγκαταστάσεις Windows απ' ότι Linux 2. Το Ανοιχτό Λογισμικό είναι εκ φύσεως λιγότερο ασφαλές επειδή οι κακοήθεις χάκερ μπορούν να βρουν τα ελαττώματα πιο εύκολα 3. Υπάρχουν περισσότεροι συναγερμοί για τα Linux απ' ότι για τα Windows, οπότε τα Linux είναι λιγότερο ασφαλή από τα Windows 4. Παίρνει περισσότερο χρόνο από την ανακάλυψη ενός ελαττώματος μέχρι την έκδοση του διορθωτικού του στα Linux απ' ότι στα Windows Το σφάλμα πίσω από τα αξιώματα 3 και 4 είναι ότι αγνοούν τα πιο σημαντικά μεγέθη μέτρησης της σχετικής ασφάλειας μεταξύ ενός λειτουργικού συστήματος και ενός άλλου. Όπως θα διαπιστώσετε στο τμήμα Μεγέθη Ρεαλιστικής Ασφάλειας και Σοβαρότητας, η μέτρηση της ασφάλειας σε ένα μέγεθος [single metric] (όπως πόσο χρόνο παίρνει μεταξύ της ανακάλυψης του ελαττώματος και της έκδοσης του διορθωτικού) παράγει αποτελέσματα χωρίς νόημα. Τέλος, περιλαμβάνουμε και μια συνοπτική επισκόπηση των ιδεών πίσω από [conceptual differences] και μεταξύ των Windows και Linux, για τη καλύτερη κατανόηση γιατί τα Windows τείνουν να είναι πιο ευάλωτα σε επιθέσεις σε επίπεδο server και desktop, και γιατί τα Linux είναι εκ φύσεως πιο ασφαλή.