®LINUX-SAUNA @ 
Sensaatiohakuiset haavoittuvuustaulukot.
Epätietoisuutta tietokoneiden käyttöjärjestelmien haavoittuvuustutkimuksissa? Pitkäaikainen kokemus osoittaa yhtä – jokin verkkolehti näyttääkin luvuillaan yht’äkkiä aivan toista?
Annetaan ymmärtää vakuuttavalla tyylillä Linuxin olevan ehdoitta haavoittuvaisempi kuin vaikkapa Windows. Mistä on kysymys?
Kyse on näiden ja vastaavien sivujen ihmisten silmille tuoduista tutkimistavoista:
Numerot
Debian Linux ja Linux-ydin siis näkyvät Windowsia korkeammalla näiden taulukoiden haavoittuneisuuksissa. Tässäkö lopullinen totuus?
Joku voisi ajatella että isompi raporttimäärä on itseasiassa parempi asia kuin vähäinen.. Tästä lisää tuonnempana.
Kun Windowsia ja Debian Linuxia verrataan Debianin kohdalla olettaen että 50 000+ pakettia on asennettuna (kuten tutkielman tekijä tuolla lähteissä tahallaan tai tahattomasti tekee) – näin saadaan kuin saadaankin numerot helposti Windowsin ”eduksi”.
Mielikuvaan vaikuttavat otsikot ovat mahdollisia, ikään kuin Linuxia vastaan, ellei perehdy asiaan (ja laskentakriteereihin tarkemmin). Microsoft Windows olisi siis yhdellä vilkaisulla vakuuttavan tietoturvallinen jos sellainen kuva halutaan välittää. On ilmeisesti haluttu? Ainakin MSPowerUser on mahdollisesti Microsoftin tukema sivusto.
Vakiintuneilla (varsinkin kaupallisilla) Linux-jakelijoilla (kuten Ubuntu, joka perustuu Debianiin) on omat osastonsa vain ja ainoastaan virheiden etsintää varten sekä yleisestiottaen KAIKKI on julkista – päinvastoin kuten Microsoftin kohdalla. Tästäkin lisää tuonnempana.
Selonteko
Miten noiden taulukoiden tieto sitten on saatu sellaiseksi kuin miltä näyttää?
Lyhyt vastaus: ensinnäkin Debian sisältää enemmän tavaraa kuin Windows – valtavaa kokonaisuutta naarataan ääritarkasti, aktiivisesti ja laajalti.
— He ovat tutkielmassaan eritelleet eri Windowsin versiot ja tulokset, mutta Linuxin kohdalla eri ytimien julkaisut on niputettu.
1999-2019 taulukossa Windows 7 on listattu 1283:lla haavoittuvuudella, Windows 10 saa 1111 haavoittuvuutta. Kun yhdistämme nuo luvut, saamme 2394 haavoittuvuutta, joka onkin nyt siis enemmän kuin mitä Linux sai.
Windows 7 julkaistiin 2009. Sitähän edelsivät Windows Vista ja Windows XP – Windows ME (2000) – Windows 2000 (1999).. Huomataan; he laskevat Windows-haavoittuvuudet alkaen vuodesta 2009, kun taas Linuxin kohdalla ne lasketaankin alkaen jo vuodesta 1999.
Windows 10 julkaistiin 2015 – vertailutaulukko päättyy vuoteen 2019. Raakasti ottaen neljässä vuodessa eteenpäin vuoteen 2023 – Windows 10:ssä ilmenisi 1111 haavoittuvuutta. Linux-ytimessä ilmenisi 2357 haavoittuvuutta mutta 20 vuoden haarukassa.
Mikä Debian on?
Voiko sitä verrata Windowsiin? Katsotaanpa.
- Debianissa on yli 10 eri työpöytää, 2 toimisto-ohjelmistoa, 16 nettiselainta
- Lukemattomia tekstinkäsittelyohjelmia, kuvankäsittelyohjelmia
- Useita video-ja musiikkitoistimia, pdf-ohjelmia, pikaviestimiä
- Kehitysympäristöt lähes kaikille koskaan tehdyille ohjelmointikielille
- …joissa vielä valinnanmahdollisuus useille tulkeille ja kokoajille
Lisäksi löytyvät tuhannet kirjasintyypit, sadat pelit, kymmenet sähköpostipalvelimet ja sähköpostin asiakasohjelmat, 8 verkkopalvelinta, jne.
Eihän tämä riitä. Mukana on myös muiden tuoteperheiden työkaluja. Mukana on tietenkin kaikki verkkotyökalut – wireshark – netcat – nmap – netcat sekä käsittämätön määrä satunnaisia pientyökaluja ja komentosarjoja (jotka aikanaan koettiin tarpeelliseksi pakata). Kaikki nämä ovat heti käytettäviä vapaita ohjelmistoja jotka ovat saaneet Debianin siunauksen.
Debian ei ole varsinaisesti ns. keveyteen pyrkivä vähäisten toimintojen pienjakelu. Kuten ei ole Ubuntukaan (joka perustuu Debianiin). Pienjakeluiden keveys on usein tuotantosaralla lähinnä lähtökohtaista kelvottomuutta; ovat tarkoitettu soveltuvaksi käyttövaroiltaan mm. rajallisiin erityiskohteisiin.
Debian Linux on tietoteknisesti yksi maailman suurimpia kokonaisuuksia ja monessa mielessä ylipäätään suurin vapaaohjelmistohanke koskaan.
Syyt alkavat hahmottumaan tuolle hyvin yllättävälle sijalle näissä taulukoissa, saaden Windowsin näyttämään Taivaan Lahjalta haavoittuvuuksien kannalta.
Kun katsotaan vain vuoden 2019 taulukkoa – Windows 10:llä on 357 haavoittuvuutta, Debianilla on 360. Vain siis rahtusen enemmän siitäkin huolimatta, mikä edellä kerrottiin – Debianiin kuuluva ohjelmistomäärä kokonaisuudessaan on valtava Windows 10:n vierellä.
Itse Linux-käsite niputettuna – satojen muiden Linux-jakeluiden suhteen sinällään on hyvin mielenkiintoinen lähestymistapa. Mm. TAILS on aivan oma yksityisyys-ja tietoturvaulottuvuutensa; asennettavaa järjestelmää ajetaan suoraan USB-tikulta. Nyansseista huolimatta otsikoissa on ”Linux”.
Tämä näemmä oletetusti arvovaltainen ja tietoinen lähde ”TheBestVPN” (mikä nimi) kutsuu Linuxia myös ohjelmistofirmaksi:
Mutta mitäpä pienistä.
CVE
Eikä tässä kaikki. Lisävääristymää saadaan Windowsin eduksi CVE (Common Vulnerabilities and Exposures, yleiset haavoittuvuudet ja paljastumiset) -raportoinnin avulla.
Linux-ytimestä näet lähtee valtava määrä parannusilmoituksia verrattuna Windowsiin, jatkuvasti ja julkisuuteen. Mikäli asian jättäisi tuohon, vetäen mutkat suoraksi – kyllä – niin saadaan Microsoftin tuotteita tukeva otsikko ja ”yllättävä” tutkimustulos.
Nythän, kun näitä haavoittuvuuksia naarataan Debian-leirissä tauotta 24/7 – ja täten ongelmia löytyy (siis hyvä asia!) – se ei tarkoita että löydökset olisivat myöskään aina esim. aktiivisia / jatkuvia hyökkäyksiä.
Suljettujen järjestelmien – kuten Microsoft Windows – käytäntö: paikkaukset tehdään usein juuri näihin jo aktiivisesti hyödynnettyihin aukkoihin.
Näitä aukkoja, virheitä ja haavoittuvuuksia on myös Windows-käytännössä vaikeampi havaita ja ennakoida Microsoftin ulkopuolelta – koska pääsyä lähdekoodiin ei ole. Suljettu tai avoin koodipohja: salaisuuksia ei ole käytännössä kummassakaan mallissa – kyse on kentällä siitä, saadaanko haitat paikattua päivässä vaiko viikossa.
Linuxin kohdalla jokainen CVE on julkinen. Joskus ydinkehittäjiä tiedotetaan ensin ja paikkakin saatetaan jo asettaa – mutta yhtä kaikki: CVE-julkistus tehdään.
Windowsin kohdalla – vain julkiseksi annetuista ongelmista – tai vain niistä joita Microsoft PITÄÄ tarpeeksi merkittävinä haavoittuvuuksina tehdään CVE-julkistus. Kyse on talon sisällä löydetyistä haavoittuvuuksia, tai joista Microsoft on hiljaa tietoinen mutta CVE:tä (siis julkistusta), ei tehdäkään.
Microsoft voi myös kieltäytyä julkistamasta haavoittuvuutta – tai sitten se saattaa vähätellä löydetyn haavoittuvuuden tasoa.
Moinen CVE-manipulaatio auttaa Windows / Microsoft-ohjelmia yleisen julkisesti saaden ne näyttämään turvallisemmilta kuin ovatkaan.
Linux-turvaongelmat julkistetaan kokonaisuudessaan sellaisenaan – toisin sanoen kaunistelematta (välillä myöhässäkin, mutta yhtä kaikki – ne julkistetaan) – Windowsin turvaongelmat ”voidaan julkistaa, tai olla julkistamattakin”.
Kiteytys ja esimerkit kentältä
Syyt miksi näissä valtamedian esiin tuoduissa haavoittuvuuskartoissa näkyy ”Linux” niin korkealla Windowsiin nähden on siis nyt havainnoitu.
- Esimerkkitapaus 1
Eräässä oppilaitoksessa oli vuosia sitten tietoturvaprojekti ja satuttiin huomaamaan; kun syötti Microsoftin Internet Explorerissa (javascriptiä käyttäen) varmenne-evästeen – tämä selain latasikin ne ENSIKSI (siis vuotaen tuon evästeen).
Seurauksena selaimessa eteen hyppäsi kysely ”mitä tehdään” – sillä varmenteessa olisi jotakin epäilyttävää tekeillä. Asiasta tiedotettiin suoraan Microsoftille. Heidän vastauksensa: tämä on täysin normaalia eikä kyseessä ole turvallisuusongelma.
- Esimerkkitapaus 2
Työkeskustelussa tuli ilmi, että sillä hetkellä käytössä ollutta Microsoftin SQL-palvelinta pidettiin virallisesti turvattomampana kuin vanhaa edeltäjäänsä – koska tuon uuden vaihdokin tiimoilta ei oltu vielä julkistettu CVE-haavoittuvuusjulkistuksia ollenkaan. Turvaluokitus ei näet perustunut vielä mihinkään todelliseen ja koettuun, mutta ei se mitään.
Omistautuneisuus parannuksiin – Linux
Linux-yhteisö etsii erittäin epätodennäköisiäkin uhkia lepäämättä – jopa mielikuvituksellisiakin. Jos osaat kuvitella jotakin, niin ehkäpä joku on jo tuon kuvitellun asian jossakin muodossa tehnyt?
Tehdäänkö tuollaista välttämättömyydestä? Ehei – on ilo antaa panoksensa yhteisen hyödyn eteen; lahjasta hyötyvät kaikki käyttäjät kaikilla osa-alueilla. Microsoft reagoi tavanomaisesti (jos reagoi ollenkaan) – kun tavarat ovat jo tuulettimessa.
Kriittiset kohteet, luottamus ja Debian
Debian Linux korvasi kaikki Windowsit mm. kansainvälisellä avaruusasemalla syystä, mutta toki noiden taulukoiden mukaan valinta olisi kammottava. Hilpeää!
Katso tästä missä kaikkialla maailmassa Debian Linuxiin luotetaan kriittisissä ja vakautta vaativissa kohteissa. Mukana myös tahojen perustelut.
Linux-ulottuvuus on asiassa rehellisen julkinen ja siis ”huonompi” virheiden piilottamisessa – kun taas Microsoft on Huonompi niiden virheiden myöntämisessä. Kukapa olisi uskonut megakorporaatiosta ja Juhani Mannisesta ensinäkemältä.
✍️@Kopimi
