В рубрику "Концепции безопасности" | К списку рубрик | К списку авторов | К списку публикаций
Сравнительный анализ программ с открытым кодом и проприетарного ПО
А.А. Абашев, эксперт
Есть мнение
В последнее время все большую популярность завоевывают программы с открытым кодом. Безусловно, на это есть ряд причин, и одна из них — стоимость продукта.
Существует также мнение, что ПО с открытым кодом более безопасно. После того как в ОС Windows был обнаружен ряд уязвимостей в стандартных сервисах, многие пользователи начали миграцию на различные дистрибутивы Linux и Unix-like ОС, объясняя это просто: последние работают стабильней и более удобны по настройке.
Спору нет, если пользователь или администратор хоро-шо разбирается в ОС, в программном окружении, используемом на его сервере, то лучшим дистрибутивом для него будет именно тот, с которым он работает в данный момент. И вот уже в различных форумах, посвященных ОС, идут постоянные войны, так называемые Holy Wars, — не только между приверженцами Windows- и Unix-like-дистрибутивов, но даже между пользователями (администраторами) дистрибутивов свободно распространяемого ПО, базирующегося на открытом коде.
Создатели сайтов свой выбор сделали
Интересны результаты исследований некоммерческого проекта NETSTAT.RU, собирающего данные о популярных среди провайдеров ОС в русском сегменте Глобальной сети. На сегодняшний момент семейство ОС Windows как хостинговая система занимает лишь третье место: она установлена примерно на 9% Web-серверов, тогда как Linux выбрали почти треть провайдеров, а Free-BSD — чуть ли не половина.
Среди Web-серверов на базе Windows более 50% приходится на Win ME, что, в общем-то, говорит о квалификации их создателей.
Удивителен и тот факт, что среди используемых ОС семейства Windows встречается, казалось бы, давно забытая Windows NT версии 3.5.
Но вернемся к сравнению данных ОС. Почему же большинство компаний используют для хостинга именно ОС с открытым кодом?
Плюсы и минусы ПО с открытым кодом
Использование продуктов с открытым кодом в корпоративных решениях для конечных потребителей более привлекательно: сказывается демократичная цена.
Каковы же преимущества названного ПО с точки зрения информационной безопасности? Так же как и минусы, плюсы объясняются тем, что код открыт. Другими словами, любой пользователь, разбирающийся в программировании, способен убедиться: в данном продукте присутствуют только те функции, которые были заявлены разработчиками. И значит, ему проще будет устранить обнаруженную уязвимость. Минусом является то обстоятельство, что открытый код повышает и скорость нахождения уязвимостей хакерами, так как им не приходится тратить лишнее время на отладку и дизассемблирование бинарного файла.
В случае проприетарного ПО на поиски уходит не один день: программист анализирует не код программы, а ее ответную реакцию на полученные данные.
Очевидно, что информационная безопасность компании не будет полной без своевременного обновления ПО -с целью закрытия обнаруженных уязвимостей.
В ОС Windows данный процесс осуществляется автоматически через сайт Microsoft, что существенно экономит время не только пользователей, но и сотрудников IT-отде-ла, администрирующих локальные сети из нескольких десятков или сотен компьютеров пользователей.
Для продуктов на базе открытого кода характерно практически полное отсутствие возможности централизованного обновления. Безусловно, существуют утилиты от разработчиков, но при централизованном администрировании процесс установки и скачивания обновлений достаточно трудоемок. В ходе эксплуатации ОС с открытым кодом в качестве рабочих станций возникает еще одна существенная проблема — обновление самой ОС или непосредственно ее ядра. Сложность заключается в том, что ядро ОС распространяется также в исходном коде, за исключением тех случаев, когда оно идет от поставщика дистрибутива для типовой конфигурации компьютера. Поэтому его перекомпиляция неизбежна. Злоумышленник, не зная деталей найденной уязвимости, способен получить всю необходимую информацию, прочитав patch-файл, в котором указаны необходимые изменения в исходниках.
Открытый код — не благотворительность
В заключение хочется отметить: чтобы усовершенствовать ядро ОС Windows, трудятся несколько тысяч человек, служащих в одной компании и получающих за это деньги. Над модернизацией ядра ОС Linux работают столько же людей (если не больше), но денег они за это не получают. Большинство исправлений и обнаруженных уязвимостей в этих ОС были найдены благодаря хакерам. Возможно, что ОС оказались бы по-настоящему защищенными при следующем условии: они имели бы открытый код, а разработчики получали деньги.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2005