Linux minder veilig dan Windows
Herbert Blankesteijn
Zoals iedereen weet is er qua veiligheid veel op Windows aan te merken. Windows heeft, of had, de neiging alle programmacode die hem voor de neus komt meteen uit te voeren, als een cavia die zijn tanden zet in alles wat groen is en die niet eerst om zich heen kijkt of de kust wel veilig is. Standaard staan in Windows poorten open, is de firewall (voor zover die er is, en voor zover hij die naam waard is) niet actief, en Microsoft is ook erg voor geheimhouding van lekken totdat er een patch is. Wekelijks horen we van gaten in de beveiliging, vaak veroorzaakt door buffer overflows, een symptoom van slordig programmeren.
Open-source-systemen zijn van zichzelf al veiliger, zijn niet in haast geprogrammeerd om een commerciële deadline te halen, en alle informatie over ontdekte lekken wordt zonder gezeur geopenbaard. Iedereen weet dat een besturingssysteem als Linux veiliger is dan Windows. Toch?
Anderhalve week geleden heeft het onderzoeksbureau Forrester gerapporteerd dat Linux niet veiliger is dan Windows. Het bijzondere is dat het verhaal van Forrester nu eens niet een 'dat weet toch iedereen'-verhaal is. Het is genuanceerd en met harde cijfers onderbouwd.
Forrester heeft geturfd in de periode van half 2002 tot half 2003, en heeft daarbij gekeken naar Microsoft en naar de Linuxbedrijven Red Hat en Debian. Microsoft moest in deze periode 128 veiligheidskwesties verhelpen. Dat lukte in alle gevallen binnen 25 dagen. Linux-leveranciers RedHat en Debian hadden in dezelfde periode 229 respectievelijk 285 problemen te repareren; elk ongeveer twee keer zoveel als het aantal in Windows. Dat kostte per lek gemiddeld 57 dagen; méér dan het dubbele van wat Microsoft nodig had. Bovendien lukte het niet in alle gevallen: RedHat moest één lek laten zitten, Debian een stuk of tien.
Forrester vindt de lekken bij Microsoft wel ernstiger. Bovendien zijn hackers vooral tuk op gaten in Windows, omdat dat systeem veel populairder is. Maar dat zijn zaken die los staan van de kwaliteiten van de systemen zelf. De cijfers wijzen erop dat Linux-distributeurs meer moeite hebben veiligheidsproblemen de baas te worden dan Microsoft. En het ziet er dus naar uit dat te grote populariteit dodelijk kan zijn voor Linux. Dat er zo weinig wormen en dergelijke voor Linux worden gemaakt heeft het te danken aan de veel grotere verspreiding van Windows. Zou Linux ooit net zo gewild worden onder computergebruikers, dan wordt het net zo gewild onder crackers als Windows. Voor een systeem dat zich blijkbaar niet snel laat repareren geen prettig vooruitzicht.
Waarschijnlijker is trouwens dat naarmate de populariteit van Linux toeneemt, de veiligheidsproblemen beter merkbaar zullen worden. Dat zal een rem worden op de populariteit, die op deze manier nooit zo groot kan worden als die van Windows.
Intussen heeft het blad First Monday [LINK: www.firstmonday.org] een verhandeling gepubliceerd over andere gebreken in open-source-software. De voornaamste zullen kenners bekend voorkomen. De software is vaak niet erg makkelijk in het gebruik, omdat hij door programmeurs voor zichzelf en voor soortgenoten wordt gemaakt. De documentatie schiet nogal eens tekort, omdat er geen contractuele verplichting is om die te leveren. Verder verwijt Michelle Levesque, de schrijver van het stuk, de open-source-programmeurs een religieuze blindheid voor goede dingen in commerciële software die ze zouden kunnen overnemen. Zolang deze problemen blijven bestaan kan open source niet doorbreken, aldus First Monday.