Eksperci CESG wskazali najbardziej (Ubuntu) i najmniej (Windows Phone) bezpieczne systemy

Bezpieczeństwo systemów operacyjnych jest coraz częściejtraktowane jako atutowa karta w grze o rynkową popularność.Oczywiście każdy z producentów oprogramowania kwestię tę rozumie poswojemu, każdy też w swoich komunikatach kładzie nacisk na te aspektybezpieczeństwa, w których jego produkty wypadają jak najlepiej. A co,jeśli za zbadanie bezpieczeństwa systemów operacyjnych weźmie sięorganizacja całkowicie od branży IT niezależna, organizacja, którąraczej trudno przekupić? Communications-Electronics Security Group(CESG), wydział brytyjskiego odpowiednika NSA, GovernmentCommunications Headquarters (GCHQ), opublikował wynikibadań poświęconych bezpieczeństwu 11 popularnych desktopowych imobilnych systemów operacyjnych. Tylko jeden system okazał się w nichw pełni bezpieczny, przynajmniej z perspektywy potrzeb biznesowegoIT.Jako że bezpieczeństwo IT to pojęcie złożone, brytyjscy ekspercipodzielili tę kwestię na 12 kategorii: obsługę VPN, szyfrowaniepamięci masowej, uwierzytelnianie, bezpieczny start, izolacjaaplikacji, białe listy aplikacji, wykrywanie i blokowanie złośliwegokodu, wymuszanie polityk bezpieczeństwa, ochrona interfejsów,polityki aktualizacji, gromadzenie danych dla analiz biznesowych ireagowanie na incydenty. Przetestowano najpopularniejsze systemy,które można spotkać wśród brytyjskich użytkowników. Z mobilnych OS-ówbyły to Android 4.2 oraz jego odmiana na urządzeniach Samsunga, iOS 6Apple'a, Blackberry OS 10.1 w odmianach EMM Corporate i EMMRegulated, Windows 8 RT oraz Windows Phone 8. Zbadanymi systemamidesktopowymi były OS X 10.8, Google Chrome OS 26, Ubuntu 12.04,Windows 7 i Windows 8.[img=securityIT]Od razu trzeba powiedzieć, że żaden z systemów nie zadowoliłanalityków CESG w stu procentach, tak by uznali go w każdej kategoriiza w pełni bezpieczny, dla każdego znalazły się kategorie, w którychprzedstawili swoje zastrzeżenia. Co gorsza, niektóre z testowanychsystemów w danych kategoriach oceniono jako wysokie ryzyko.Najmniej bezpiecznym okazał sięWindowsPhone 8: spośród 12 kategorii, w trzech zgłoszono zastrzeżenia(biała lista aplikacji, ochrona zewnętrznych interfejsów i politykaaktualizacji urządzeń), zaś dwie uznano za wysokiego ryzyka (obsługaVPN i szyfrowanie pamięci masowej). Brytyjczycy podkreślają, żeWindows Phone 8 nie posiada VPN, a zabezpieczanie transferu danychodbywa się na poziomie aplikacji, za pomocą protokołu SSL. Zauważonoteż, że szyfrowanie na Windows Phone 8 nie przeszło niezależnychtestów, nie można wykorzystywać haseł do odblokowania kluczaszyfrującego, a same klucze przechowywane są w pamięci urządzenia.Problematyczne okazały się też niemożność zablokowania instalowaniaaplikacji z Windows Store, kontrolowania interfejsów sieciowych przezpolityki bezpieczeństwa, wymuszenia aktualizacji aplikacji oraz brakmechanizmów do zdalnego gromadzenia logów z urządzenia.Najbezpieczniejszym systememokazał się za to Ubuntu12.04. Zgłoszono względem produktu Canonicala trzy zastrzeżenia,w żadnej kategorii nie został on uznany za znaczące zagrożenie. Uwagiekspertów CESG dotyczyły takich kwestii jak VPN, szyfrowanie dysku imechanizm bezpiecznego startu. W wypadku VPN (StrongSwan) iwykorzystywanej do szyfrowania dysków technologii LUKS/dm-cryptchodziło o to, że choć samo wykorzystane oprogramowanie spełniawszystkie techniczne wymogi, by pozytywnie przejść ocenę, to niezostało poddane niezależnemu audytowi, mogącemu zagwarantować, że niemanipulowano nim podczas procesu deweloperskiego. Co do bezpiecznegostartu, to chodzi o kłopoty Ubuntu 12.04 przy startowaniu tegosystemu na komputerach z microsoftową technologią SecureBoot.Darryl Weaver z Canonicalapodkreśla, że już niebawem część tych uwag straci ważność –prace nad prowadzonym przez niezależnego partnera audytemzastosowanych technologii VPN zostaną ukończone przed wydaniem wersji14.04 LTS systemu, zaś Secure Boot, choć z perspektywy Canonicala niejest uważany wcale za dobre rozwiązanie (i powołują się tu na opinięniemieckich służb federalnych), jest już w pełni obsługiwany przezbootloader Grub2. Co do kwestii przeprowadzenia audytu technologiiLUKS/dm-crypt, to poszukiwany jest sponsor, który by taki audytopłacił.A co z pozostałymi systemami?Dobrze poradził sobie iOS 6 (cztery zastrzeżenia, brak kategoriiwysokiego ryzyka) oraz Windows 7 i 8 (cztery zastrzeżenia, brakkategorii wysokiego ryzyka). Gorzej wypadły Android, Blackberry OS iGoogle Chrome OS, otrzymując oprócz licznych zastrzeżeń także pojednym ostrzeżeniu o wysokim ryzyku.