在英格兰东南部某处的地下深处,安全专家已建起一个几乎完全建立在开放源系统基础之上的数据寄存中心。
“掩体”公司(Bunker)密码学家对安全性充满信心,声称无需使用通常用以阻截电脑黑客的工具 ¾ 防火墙。该公司是前北约反核武隐匿处,为一家同名数据寄存集团所拥有。
“我们为每一系统的服务提供安全保证,而不是依赖防火墙来做到这一点。”掩体公司技术总监亚当•劳瑞(Adam Laurie)表示:“如果客户提出要求,并且我们参与了设计程序,那么我们也会偶尔使用防火墙,但这些防火墙都是开放源。”
劳瑞认为,Linux及BSD等开放源操作系统比微软各种“视窗”(Windows)版本更加安全。
他说:“视窗的问题在于它并非作为一种服务器技术而设计的。其设计目的是要向终端用户提供服务,我一直都不明白人们为什么会使用它。问题的一部分在于:他们总是增加可能会产生问题的功能,并且还有无数的后门程序(back door)。”
开放源安全性优于微软这一点几乎已经成为一种普遍看法。但确实如此吗?
答案多半取决于人们比较何种产品。但是,衡量软件质量的一种方法是比较黑客或病毒编写者用来破坏系统的缺陷数量。
在许多情况下,发现漏洞的人向微软和开放源开发商报告自己的发现。然后开发商再试图尽快公布堵塞漏洞的补丁程序(patch)。
“有了开放源,就意味着你能够进入圈内,并且在相对较短的时间内得到一个补丁程序。”美国白宫前任网络安全顾问霍华德•施密特(Howard Schmidt)说:“而微软处于一个生产环境,你将会得到一个高质量的产品,但所需时间可能也更长。但我会建议双方改进各自程序中的编码,这样就没那么容易受到攻击。”
今年4月至8月间,丹麦安全公司Secunia的漏洞专家们发布了21条有关视窗XP专业版(Windows XP Professional)中缺陷的警告。其中1%的缺陷被注明为“危急”,需要引起紧急关注,还有24%的缺陷有待微软正在编写过程中的补丁程序加以改进。在同一期间,Secunia公司也针对Novell 公司的SUSE Linux 9.3桌面系统发出26条警告,所有缺陷都已获修补并且都不属于危急性质。
安全机构SANS协会的漏洞专家们表示,安全并不能仅仅用补丁程序来衡量,因为一个操作系统的安全性完全取决于其网络管理员。
“薄弱环节并非操作系统,而是配置。”SANS协会互联网风暴中心(Internet Storm Centre)首席技术官约翰尼斯•乌尔里克(Johannes Ullrich)说:“一名经验丰富的网络管理员能解决这一问题,而一名经验缺乏的网络管理员会使之更糟。”
投资银行德利佳华(Dresdner Kleinwort Wasserstein)的全球信息安全副总裁安德鲁•约曼斯(Andrew Yeomans)表示,清点补丁程序数量于事无补。他说:“对我而言,主要问题是‘我能否保证微软或开放源的安全?’答案都是肯定的,但目前Linux的花费比视窗少。”
在产品总成本中,安全问题占据一大部分,因为经常需要进行费时的调整。
扬基集团(Yankee Group)分析师的研究发现,88%的公司认为微软视窗服务器2003(Windows Server 2003)的可靠性等同于或者优于Linux。
“我有点怀疑那些认为开放源更加安全的人。”Red Monk公司分析师詹姆斯•格韦纳(James Govenor)说:“在编码方面,我认为微软处于领先地位,因为它针对特定问题分配资源。”
格韦纳表示,自从发布系统维护补丁Windows XP service pack 2后,微软已在尝试改变方法,开发更加安全的软件。
扬基集团的报告还发现,73%的公司采用视窗2000或2003服务器技术,其他公司则使用某种形式的开放源。
一直以来,微软都认为,由于公司市场份额较大,因此有更多黑客和病毒编写者以其操作系统为攻击目标。但是,根据记录黑客活动的Zone-H.org网站,更多人因网站破坏而攻击Linux操作系统。
2004年12月,对开放源网络服务器Apache的有记录攻击共6101起,而对微软IIS服务器的攻击次数仅有一半。对视窗(25527起)和BSD(724起)的一般性攻击也少于对Linux(27245起)。
随着争论升级,各公司似乎都为手头产品混合及匹配最佳工具。
“我看到双方都在努力解决漏洞问题,他们都定期迅速推出补丁程序,从而避免造成混乱情况。”施密特还表示:“我不认为哪一方更好 ¾ 双方在这个世界里都有各自的位置,这就是我两者都使用的原因。”
甚至连提倡开放源的劳瑞也承认,微软已改善其安全性:“从积极方面看,他们在进行自动更新。可这仍然是封闭源。”