Компания Aberdeen Group, специализирующаяся на консультационных услугах в сфере компьютерной безопасности, опубликовала весьма интересный отчет о безопасности различных компьютерных платформ. В нем, в частности, указывается, что пальма первенства по количеству дыр и уязвимостей в программных продуктах постепенно переходит от корпорации Microsoft к разработчикам ПО с открытым исходным кодом.

На такие выводы аналитиков Aberdeen Group натолкнуло изучение рекомендаций организации CERT (Computer Emergency Response Team) за последние пару лет. Как оказалось, наибольшее количество сообщений об уязвимостях в Windows пришлось на 2001 г. В то же время, за первые десять месяцев года нынешнего более половины (точнее, 16 из 29) предупреждений CERT касались Linux. Количество сообщений CERT о троянских программах для Windows снизилось с шести до нуля. В случае с Linux число троянов немного увеличилось: за первые десять месяцев 2002 г. были выпущены два предупреждения CERT против одного за весь 2001 г. Кроме того, постепенно растет число предупреждений о дырах в программных продуктах для других вариантов UNIX, включая MacOS X, внутреннего ПО сетевого оборудования и систем защиты информации.

В Aberdeen Group выражают сомнение в том, что разработчики ПО с открытым кодом действительно быстрее и эффективнее устраняют дыры в своих продуктах. Например, в случае с Linux борьбу с дырами усложняет наличие большого числа дистрибутивов, для каждого из которых часто требуются собственные заплатки. В открытых продуктах редко встречаются системы автоматического обновления, ставшие уже привычными для продуктов той же Microsoft и позволяющие оперативно и в автоматическом режиме ликвидировать уязвимые места в программном обеспечении. Все это значительно осложняет борьбу с дырами в Linux и других UNIX-подобных системах.

Аналитики Aberdeen Group полагают, что поставщики решений на основе открытого ПО должны лучше следить за безопасностью своих продуктов и совершенствовать технологии их оперативного обновления. В свою очередь, для всей отрасли программного обеспечения, как с открытым, так и с закрытым кодом, необходимой является выработка единых стандартов обеспечения безопасности и единой системы сертификации продуктов на предмет соответствия таким стандартам.

Специалисты CERT, впрочем, полагают, что в Aberdeen Group сделали слишком далеко идущие выводы из их рекомендаций. Политика CERT заключается в выпуске предупреждений лишь о самых опасных дырах и вредоносных программах, независимо от того, содержатся ли они в открытом или закрытом ПО. При этом CERT охватывает около пятой части всех подобных инцидентов. В организации также подчеркивают, что дыры обязаны своему появлению не тому, что программа разрабатывается сообществом open source или крупной компанией, а ошибкам и недоработкам программистов.

Полный список предупреждений CERT выглядит на сегодняшний день следующим образом

• CA-2002-01: Exploitation of Vulnerability in CDE Subprocess Control Service (использование уязвимости в службе CDE Subprocess Control ОС Solaris)
• CA-2002-02: Buffer Overflow in AOL ICQ (переполнение буфера в ICQ)
• CA-2002-03: Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) (несколько дыр в различных реализациях протокола SNMP)
• CA-2002-04: Buffer Overflow in Microsoft Internet Explorer (переполнение буфера в Microsoft Internet Explorer)
• CA-2002-05: Multiple Vulnerabilities in PHP fileupload (несколько уязвимостей в механизме загрузки файлов языка PHP)
• CA-2002-06: Vulnerabilities in Various Implementations of the RADIUS Protocol (уязвимости в различных реализациях протокола RADIUS)
• CA-2002-07: Double Free Bug in zlib Compression Library (ошибки в библиотеке архивирования данных zlib)
• CA-2002-08: Multiple Vulnerabilities in Oracle Servers (несколько дыр в серверном ПО Oracle)
• CA-2002-09: Multiple Vulnerabilities in Microsoft IIS (несколько дыр в пакете Microsoft Internet Information Services)
• CA-2002-10: Format String Vulnerability in rpc.rwalld (уязвимость в демоне rpc.rwalld)
• CA-2002-11: Heap Overflow in Cachefs Daemon (cachefsd) (уязвимость Heap Overflow в демоне cachefsd ОС Solaris)/li>
• CA-2002-12: Format String Vulnerability in ISC DHCPD (уязвимость в демоне протокола DHCP)
• CA-2002-13: Buffer Overflow in Microsoft's MSN Chat ActiveX Control (переполнение буфера в модуле ActiveX программы MSN Chat)
• CA-2002-14: Buffer Overflow in Macromedia JRun (переполнение буфера в программе Macromedia JRun 3.0 и 3.1)
• CA-2002-15: Denial-of-Service Vulnerability in ISC BIND 9 (уязвимость в DNS-сервере BIND9)
• CA-2002-16: Multiple Vulnerabilities in Yahoo! Messenger (несколько дыр в интернет-пейджере Yahoo Messenger)
• CA-2002-17: Apache Web Server Chunk Handling Vulnerability (дыра в веб-сервере Apache)
• CA-2002-18: OpenSSH Vulnerabilities in Challenge Response Handling (дыры, связанные с обработкой запросов в OpenSSH)
• CA-2002-19: Buffer Overflows in Multiple DNS Resolver Libraries (несколько ошибок переполнения буфера в библиотеках для работы с DNS)
• CA-2002-20: Multiple Vulnerabilities in CDE ToolTalk (несколько уязвимостей в CDE ToolTalk)
• CA-2002-21: Vulnerability in PHP (снова дыра в PHP)
• CA-2002-22: Multiple Vulnerabilities in Microsoft SQL Server (несколько дыр в СУБД Microsoft SQL Server)
• CA-2002-23: Multiple Vulnerabilities in OpenSSL (несколько дыр в OpenSSL)
• CA-2002-24: Trojan Horse OpenSSH Distribution (дистрибутив OpenSSH с троянской программой)
• CA-2002-25: Integer Overflow In XDR Library (переполнение при работе с целыми числами в библиотеке XDR компании Sun)
• CA-2002-26: Buffer Overflow in CDE ToolTalk (переполнение буфера в CDE ToolTalk)
• CA-2002-27: Apache/mod_ssl Worm (червь Apache/mod_ssl для веб-сервера Apache)
• CA-2002-28: Trojan Horse Sendmail Distribution (дистрибутив почтового сервера Sendmail, содержащий трояна)
• CA-2002-29: Buffer Overflow in Kerberos Administration Daemon (переполнение буфера в демоне администрирования некоторых дистибутивов пакета Kerberos)
• CA-2002-30: Trojan Horse tcpdump and libpcap Distributions (дистрибутивы пакетов tcpdump и libpcap, содержащие троянов)
• CA-2002-31: Multiple Vulnerabilities in BIND (несколько дыр в различныз версиях DNS-сервера BIND)
• CA-2002-32: Backdoor in Alcatel OmniSwitch AOS ("черный ход" в коммутаторе Alcatel OmniSwitch)
• CA-2002-33: Heap Overflow Vulnerability in Microsoft Data Access Components (MDAC) (уязвимость в Microsoft Data Access Components (MDAC)
• CA-2002-34: Buffer Overflow in Solaris X Window Font Service (переполнение буфера в демоне fs.auto OC Solaris)

Кроме этого CERT были выпущены пять сообщений об использовании уязвимостей и случаях массового заражения вирусами.

• IN-2002-01: W32/Myparty Malicious Code (распространение почтового червя W32/Myparty)
• IN-2002-02: W32/Gibe Malicious Code (случаи заражения червем W32/Gibe)
• IN-2002-03: Social Engineering Attacks via IRC and Instant Messaging (атаки через IRC и интернет-пейджеры с использованием методов социотехники)
• IN-2002-04: Exploitation of Vulnerabilities in Microsoft SQL Server (факты использования дыр в СУБД Microsoft SQL Server)
• IN-2002-05: W32/Frethem Malicious Code (распространение червя W32/Frethem)

Таким образом, видно, что в сообщениях об уязвимостях действительно преобладают открытые программные продукты и клоны UNIX. Однако все пять инцидентов, связанных с использованием дыр и распространением вирусов касаются платформ Microsoft.