任何操作系統都會存在漏洞,Linux、Windows、Unix或是FreeBSD,無一例外。不過,現在爭論得最熱鬧的就是Linux與Windows。Linux的輿論形象一直比較“陽光”、“健康”,與微軟的Windows相比,它以開放和安全贏得了眾多的支持者。即使偶爾有負面消息,也往往被認為是來自微軟的攻擊。因此用戶們在潛移默化中已經接受了“Linux更安全”這一說法。
Linux的擁護者認為Linux比Windows更安全,因為它開放源代碼,全世界的程序員都可以隨時更新。不過,全世界的程序員是為Windows服務的多還是為Linux服務的多?況且,開放源代碼對普通用戶很有用嗎?
安全不安全,比比漏洞看
最近,由微軟所贊助的一項研究指出,以Linux所運作的網站會比Windows面對更多的風險。當然了,誰贊助了研究,研究者寫報告的時候對東家難免會照顧一點。但是研究方法的設計是量化而可重復的,所有人都可以自己去動手驗證。
先解釋一個名詞:風險日(Days of Risk),它是指在漏洞公開之後及軟件開發者修補好漏洞期間的風險日總數。這是一種衡量已知而未修補漏洞的方法。在這份研究報告中,微軟網絡服務器的風險日比開放原始碼的競爭對手要少很多。研究人員計算了2004年裡每個網絡服務器修補完成的已公布漏洞,其中使用Red Hat Enterprise Linux ES 3的服務器風險日超過了1.2萬天,而微軟則大約為1600天;漏洞方面,搭配Apache Web Server、MySQL數據庫以及PHP Scripting Language的紅帽網絡服務器的出廠設定要處理174個漏洞,而微軟Server 2003、Inte.net Information Server 6、SQL Server 2000及ASP.Net的出廠設定則有52個漏洞。研究人員還研究了兩者的最小化設定,也就是把一些與網頁伺服無關的應用拿掉之後再做比較。在此情況下,微軟是52個漏洞,而紅帽子Linux是132個漏洞。
看到這裡是不是有點怕?不過Linux陣營也有自己的話要說。紅帽子Linux方面認為:“不管是以微軟或者是紅帽子的嚴格標准來分,Red Hat Enterprise Linux 3只有8個漏洞屬危險等級。而這些漏洞裡,有四分之三在一天內就能修補好,一般則都是要八天。”雖然風險日和漏洞的計算都不能當做衡量安全的真正方式,但等待漏洞的時間總數是一個相當合理的計算方法。
當我們比較主流平台的漏洞數量和嚴重性時總是想真正地進行危險級別區分。但是實際情況並非如此。真正的評估底線是如果一個漏洞導致了網絡入侵,那麼它就是問題,而不管這個漏洞是個“高”風險還是個“低”風險。當事故發生時,用戶只在意處理這個問題時花費了多少時間和金錢。
很多Mac用戶都認為蘋果電腦比Windows系統的PC更為安全,但是Symantec公司最近的分析報告指出,前者絕對不比後者安全多少。Symantec在Mac OS系統中發現37處高危隱患,而蘋果公司也對此報告表示認可。Mac OS目前保持較高安全性的主要原因便是較低的普及率和有限的使用范圍。然而,隨著iPod等蘋果產品的日益流行,蘋果電腦開始逐步吸引著攻擊者的目光。
安全之道,存乎一心
實際上,即使是專門為安全而設計的防火牆,也允許電子郵件和網絡詢問通過。而入侵檢測系統雖然可以抵擋一些進攻,但對新型攻擊方法也無計可施。沒有什麼操作系統是可以絕對保證安全的。
一個好幾個月都不浏覽安全技術站點、不知道如何升級防火牆、不知道如何給系統打補丁的管理員幾乎比比皆是。筆者通常開機之後第一件事就是去安全相關網站溜達一圈,這習慣是讓人逼出來的。早年在電腦城“練攤兒”的時候,社會交往多,晚上家裡的電話吵個不停,一半是求救電話,不是網絡癱瘓了,就是被“黑”了或是中毒了。有的孩子問老師:“互聯網是什麼啊?能不能捕魚捉鳥呢?”有個計算機管理員問我:“我昨天殺了一次病毒,怎麼還有?殺毒軟件還要天天升級?”這問題與“互聯網能不能捕魚捉鳥”有異曲同工之妙,每次都能把筆者氣得不行。一頓飯就能買出好幾套正版殺毒軟件,卻用著上個世紀的軟件自以為高枕無憂。迷信殺毒軟件、木馬克星,就不知道去操作系統開發提供商的網站上“Update”(升級)一下?
從技術上來說,軟件當中的隱性後門表面上根本看不出來,只有制造者懂得如何利用它,就算是安全專家也未必能通過閱讀源代碼把它找出來。這條法則不僅對微軟的軟件適用,同樣也對開放源代碼軟件適用。
對於有能力的管理員來說,無論是Linux、Unix、FreeBSD或者Windows,都相當安全,安全程度大多還是要靠管理員的業務水平。所以,安全之道,存乎一心。安全,起碼要有這份意識,否則,用任何“先進”的操作系統也只是趕時髦而已。
