Is Linux security a myth?
Publicado; 16/02/2005 Arquivado em: Software Livre 5 ComentáriosIs Linux security a myth? É sempre bom ver um facho de luz sobre um assunto tão simples e claro, mas que nas mãos de uma militância burra e desprovida de bom senso e aderência à realidade torna-se obscura, para não dizer ridícula.
Sob administração incompetente, Linux é tão inseguro quanto Windows (ou até mais). Isso é claro 🙂 Mas acho que a incidência de falhas de segurança, no Linux, é mais um problem de misuse do que bad design do sistema.
Definitivamente. Como eu disse: este é um assunto claro e simples, mas que infelizmente muita gente vê por outra óptica, a do fanatismo.
Bad design? Nem podemos saber, já que o Windows é fechado, mas a reportagem me chamou a atenção por outra coisa: “There are several factors behind there being a far smaller number of attacks against Linux. Not the least of these is the fact that the platform, whilst it is gaining traction fast, is still relatively small in the world of business critical production systems”.
Eu concordo em número, gênero e grau e não apenas em sistemas de missão crítica (dominados por UNIX puros – de grife – e os Windows – bancos usam Windows até não poder mais).
Seria apenas um problema de “bad design” ou também (e principalmente) um problema de spread? Não sei como estão as estatísticas, mas a porcentagem de máquinas Windows no mundo é infinitamente superior à de Linux, e isso certamente é um fator determinante para o foco na busca por buffer overflows e outras vulnerabilidades de “bad design”, sem falar é claro em três outros fatores importantes: (1) o número de cópias piratas do Windows que ficam sem qualquer atualização, (2) o
perfil de usuário Windows, que certamente é MUITO diferente do de um usuário Linux e (3), ódio mortal de toda uma comunidade contra a Micro$oft (com cifrão e tudo).
Prova de que Linux e Windows podem ser igualmente seguros sou eu, usuário de Windows (desktop desde 94 e servidor desde 97) e que nunca teve uma máquina infectada ou invadida. Idem para qualquer outro usuário Linux consciente e apto.
Sempre digo: não há sistema inseguro, existem administradores inseguros. O resto é encheção de saco e discussão sobre o sexo dos anjos.
A análise que eu faço desses comentários feitos por um especialista de estratégia da Microsoft é simples. Primeiro, o ponto de vista dele, possivelmente, está viesado.
Se por um lado a maior adoção do Linux em produção, seja sistemas de missão crítica ou não, deve aumentar o número de incidências em sistemas Linux, é necessário colocar que foi justo a maior adesão ao sistema que o fez crescer e amadurecer. O modelo de desenvolvimento de software livre é extremamente fundamentado na questão do feedback de quem o usa.
E uso o próprio CFGigolô como exemplo. Vc, Alex, e seus colegas estão sempre colocando no ar falhas, erros comuns de administradores e do sistema e as best practices para evitar tais problemas. O Linux também. Só que a quantidade de pessoas nessa tarefa é significativamente maior.
Claro que a maior exposição vai fazer aparecer mais administradores formados em cursos por correspondência e coisas do gênero, o que é ruim, independente da tecnologia. Isso eu não desconsidero (e nem acho que vc está errado ao afirmar que o problema são os administradores).
Outro ponto interessante é a questão da componentização. Linux é um sistema montado em cima de uma dezena (para não dizer centena) de componentes. Windows é, mais ou menos, monolítico. A grande vantagem que eu vejo na componentização é que vc tem visões diferentes trabalhando em cima do mesmo código.
O mesmo ferramental é utilizado em dezenas de distros de Linux (o que inclui a Novell, IBM, Red Hat), nos BSD (o que inclui a Apple – O MacOS X e baseado no core do FreeBSD). São desenvolvedores diferentes validando o mesmo código. O mesmo não acontece com o Windows.
Além disso, se for encontrada uma falha no Apache, por causa do OpenSSL, não só os desenvoldedores do OpenSSL vão buscar a solução, mas os experts em SSL do projeto Apache.
Por fim, tem o ‘release early, release often’. Se aparece um pau no kernel, ele é corrigido e a solução é publicada. Como não existe um vendor único para Linux, se o seu vendor for bom (Red Hat, Novell), ele logo disponibilizará os patches adequados para vc. Já a Microsoft fica lançando pacotões em periodos de tempo regulares, o que deixa uma janela de tempo grande para que se explore a falha. Eu não acho que isso seja bom. Para mim, o modelo que reje o Linux é mais interessante.
Claro que, repito, se o administrador do sistema for uma lesma manca, o cara pode estar usando o OpenBSD e ainda assim vai ser invadido.
Ah, e só para fazer um comentário irritante. Se vc rodar um nmap numa máquina com a instalação default de um Windows e uma com Linux, ambas ligadas na net com o mesmo serviço e etc, a diferença no resultado é significativa. A instalação desktop de uma distro padrão de Linux é um pouco mais segura sim.
Concordo contigo Luiz. Em ambientes de servidor, tomando-se uma mesma competência técnica, um mesmo cuidado na manutenção e atualização e (importante) a mesma quantidade de tentativas, o mesmo foco de atenção (em termos de tentativas e esforço gasto para encontrar brechas), o Linux leva vantagem em termos de segurança. É um pacote mais enxuto, por isso mesmo mais coeso e fechado.
Mas e no ambiente para desktop? Como fica? Se eu precisar ficar na mão de uma distro de grife, responsável e que lança patches de correção frequentemente e de forma simples (estilo “Windows updater”) terei que pagar por isso. É claro que o custo é mais baixo que em Windows, mas ainda sim é um custo (veja quanto custa um Conectiva Desktop, incluindo serviço de manutenção), fazendo cair por terra o grande diferencial financeiro competitivo do Linux.
Diante disso pergunto: Linux no desktop, para um usuário mediano (imagine seu pai, o meu, ou então uma secretária) é mais interessante economicamente falando que um Windows Home Edition (600 pilas em 24x), por exemplo?
Para mim, a questão desktop é sensível demais. Não sei até que ponto conseguiria fazer uma análise correta, mas vejo alguns pontos.
O diferencial financeiro é menor mesmo, mas a instalação padrão de uma distro Linux decente é mais segura, a princípio. Então teriamos além do “delta” financeiro, um “delta” de segurança que é significativo.
Mas, mantendo o foco segurança da discussão, acho que isso poderia vir por água abaixo pois o usuário leigo está sujeito a “má-administração” do sistema, justamente por não conhecer. Isso vale para os dois OSes (Win e Linux).
Alargando o espectro para a parte financeira, acho que o Linux bate sim o Windows, por uma série de razões. Uma secretária, por exemplo, jamais iria além do que o KDE (ou Gnome) oferecesse à ela. O que permite que se migre de uma distro para outra sem grandes impactos para a usuária. Em outras palavras, no Linux, temos um ‘Buyer’s Market’.
Já o Windows, por não ter outro similar (além dele ter suas peculiaridades – boas ou más, não estamos julgando isso), prende o usuário. Bom ou mal, isso faz com que o Windows prenda o usuário num ‘Seller’s Market’.
Economicamente falando, o mercado que o Linux trás consigo é bem mais vantajoso para o usuário: Maior concorrência. Isso, é claro, não entrando nos custos de migração de Windows (que hoje é maioria esmagadora) para Linux. Mas esse item é um pouco mais complexo e acho que eu deveria é fazer um post sobre isso o LSDR.net…