reklama

Eksperci CESG wskazali najbardziej (Ubuntu) i najmniej (Windows Phone) bezpieczne systemy

Strona główna Aktualności

O autorze

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

Bezpieczeństwo systemów operacyjnych jest coraz częściej traktowane jako atutowa karta w grze o rynkową popularność. Oczywiście każdy z producentów oprogramowania kwestię tę rozumie po swojemu, każdy też w swoich komunikatach kładzie nacisk na te aspekty bezpieczeństwa, w których jego produkty wypadają jak najlepiej. A co, jeśli za zbadanie bezpieczeństwa systemów operacyjnych weźmie się organizacja całkowicie od branży IT niezależna, organizacja, którą raczej trudno przekupić? Communications-Electronics Security Group (CESG), wydział brytyjskiego odpowiednika NSA, Government Communications Headquarters (GCHQ), opublikował wyniki badań poświęconych bezpieczeństwu 11 popularnych desktopowych i mobilnych systemów operacyjnych. Tylko jeden system okazał się w nich w pełni bezpieczny, przynajmniej z perspektywy potrzeb biznesowego IT.

Jako że bezpieczeństwo IT to pojęcie złożone, brytyjscy eksperci podzielili tę kwestię na 12 kategorii: obsługę VPN, szyfrowanie pamięci masowej, uwierzytelnianie, bezpieczny start, izolacja aplikacji, białe listy aplikacji, wykrywanie i blokowanie złośliwego kodu, wymuszanie polityk bezpieczeństwa, ochrona interfejsów, polityki aktualizacji, gromadzenie danych dla analiz biznesowych i reagowanie na incydenty. Przetestowano najpopularniejsze systemy, które można spotkać wśród brytyjskich użytkowników. Z mobilnych OS-ów były to Android 4.2 oraz jego odmiana na urządzeniach Samsunga, iOS 6 Apple'a, Blackberry OS 10.1 w odmianach EMM Corporate i EMM Regulated, Windows 8 RT oraz Windows Phone 8. Zbadanymi systemami desktopowymi były OS X 10.8, Google Chrome OS 26, Ubuntu 12.04, Windows 7 i Windows 8.

Od razu trzeba powiedzieć, że żaden z systemów nie zadowolił analityków CESG w stu procentach, tak by uznali go w każdej kategorii za w pełni bezpieczny, dla każdego znalazły się kategorie, w których przedstawili swoje zastrzeżenia. Co gorsza, niektóre z testowanych systemów w danych kategoriach oceniono jako wysokie ryzyko.

Najmniej bezpiecznym okazał się Windows Phone 8: spośród 12 kategorii, w trzech zgłoszono zastrzeżenia (biała lista aplikacji, ochrona zewnętrznych interfejsów i polityka aktualizacji urządzeń), zaś dwie uznano za wysokiego ryzyka (obsługa VPN i szyfrowanie pamięci masowej). Brytyjczycy podkreślają, że Windows Phone 8 nie posiada VPN, a zabezpieczanie transferu danych odbywa się na poziomie aplikacji, za pomocą protokołu SSL. Zauważono też, że szyfrowanie na Windows Phone 8 nie przeszło niezależnych testów, nie można wykorzystywać haseł do odblokowania klucza szyfrującego, a same klucze przechowywane są w pamięci urządzenia. Problematyczne okazały się też niemożność zablokowania instalowania aplikacji z Windows Store, kontrolowania interfejsów sieciowych przez polityki bezpieczeństwa, wymuszenia aktualizacji aplikacji oraz brak mechanizmów do zdalnego gromadzenia logów z urządzenia.

Najbezpieczniejszym systemem okazał się za to Ubuntu 12.04. Zgłoszono względem produktu Canonicala trzy zastrzeżenia, w żadnej kategorii nie został on uznany za znaczące zagrożenie. Uwagi ekspertów CESG dotyczyły takich kwestii jak VPN, szyfrowanie dysku i mechanizm bezpiecznego startu. W wypadku VPN (StrongSwan) i wykorzystywanej do szyfrowania dysków technologii LUKS/dm-crypt chodziło o to, że choć samo wykorzystane oprogramowanie spełnia wszystkie techniczne wymogi, by pozytywnie przejść ocenę, to nie zostało poddane niezależnemu audytowi, mogącemu zagwarantować, że nie manipulowano nim podczas procesu deweloperskiego. Co do bezpiecznego startu, to chodzi o kłopoty Ubuntu 12.04 przy startowaniu tego systemu na komputerach z microsoftową technologią SecureBoot.

Darryl Weaver z Canonicala podkreśla, że już niebawem część tych uwag straci ważność – prace nad prowadzonym przez niezależnego partnera audytem zastosowanych technologii VPN zostaną ukończone przed wydaniem wersji 14.04 LTS systemu, zaś Secure Boot, choć z perspektywy Canonicala nie jest uważany wcale za dobre rozwiązanie (i powołują się tu na opinię niemieckich służb federalnych), jest już w pełni obsługiwany przez bootloader Grub2. Co do kwestii przeprowadzenia audytu technologii LUKS/dm-crypt, to poszukiwany jest sponsor, który by taki audyt opłacił.

A co z pozostałymi systemami? Dobrze poradził sobie iOS 6 (cztery zastrzeżenia, brak kategorii wysokiego ryzyka) oraz Windows 7 i 8 (cztery zastrzeżenia, brak kategorii wysokiego ryzyka). Gorzej wypadły Android, Blackberry OS i Google Chrome OS, otrzymując oprócz licznych zastrzeżeń także po jednym ostrzeżeniu o wysokim ryzyku.

© dobreprogramy
reklama

Komentarze

reklama