באמת לא ידענו שזה יהיה המצב?

בכנס RSA האחרון זוג חוקרים, שאחד מהם הוצג כחובב לינוקס מושבע, הציגו סקר חדש. הוצג בו, איזו הפתעה, שלחלונות יש פחות פגיעויות אבטחת מידע מאשר ללינוקס.

לפני כמה ימים התפרסם המחקר עצמו. ירימו ידיהם, בבקשה, האנשים שיופתעו לגלות שהמחקר מומן ע”י מיקרוסופט. אפילו חובב הלינוקס המושבע לא כל כך מושבע.

עכשיו בואו נעשה בדיקה אמיתית של “מה קרה פה”.

האם החוקרים עיוותו את העובדות? לא סביר. למעשה, הם חשפו לחלוטין את שיטת הבדיקה שלהם. כל אחד מוזמן לנסות שלחזר את שיטת איסוף הנתונים ולמצוא את אותן התוצאות.

האם מיקרוסופט התערבה בתוצאות? סביר להניח שלא.
האם לחוקרים ניתנה יד חופשית במחקר? כן, למעט העובדה ששיטת המחקר נקבעה לפני ההתחייבות לתשלום. זה מופיע בצורה מפורשת בראיון איתם בקישור למעלה. זאת, למעשה, הנקודה המרכזית.

המחקר הזה, כמו קודמיו, אינו נעשה לפתע חסר משמעות בגלל שמיקרוסופט מימנה אותו. המחקר הזה חסר משמעות בגלל שמטריקות הבדיקה הן חסרות משמעות. העובדה שמיקרוסופט מימנה אותו קשורה לא לתוצאות שלו, אלא לזה שהוא נעשה בכלל. ללא המימון של מיקרוסופט, אף אחד לא היה בודק את המדדים האילו כדי להשוות בין מערכות הפעלה.

השוואה כמותית של בעיות אבטחה הינה חסרת כל משמעות פרקטית. השוואה משמעותית צריכה לקחת חומרה אבסולוטית, כמה רחב וכמה עמוק הידע על הבעיה, עד כמה קל לבצע את עדכון האבטחה, ואפילו מה המוניטין של מוציא העדכונים לגבי הסיכוי שהמערכת תשבר בגלל העדכון. כל הנ”ל משפיעים על זמן החשיפה, וללא מדידה של כל הנ”ל, אין משמעות לבדיקה.

דוגמאות:
חומרה אבסולוטית – לא מספיק להשוות בין החומרה שהספקים מייחסים לבעיה. צריך גם להשוות על פי מדדים יותר אוביקטיבים. למשל, בעיה שפירושה הדבקה של המערכת ללא כל פעולה של המשתמש, בעיה שפירושה הדבקה של המערכת אחרי פעולה תמימה של המשתמש, האם יש אזהרה, עד כמה היא רלוונטית, ועד כמה היא נפוצה בהקשרים אחרים, שבהם צריך להחליט אחרת מאיך שצריך להחליט פה.

כמה רחב וכמה עמוק הידע – ברור שמרגע שבעיה היא פומבית אז הסיכוי להתקפה עולה. מה שאנשים חייבים להבין הוא שהסיכוי להתקפה טרם היות הבעיה פומבית אינו אפס. כמה זמן היתה הבעיה ידועה למדווח טרם הדיווח, כמה זמן היתה הבעיה ידועה לחברה, כמה אנשים מחוץ לחברה ידעו על הבעיה טרם הפתרון, וכו.

עד כמה קל לבצע את עדכון האבטחה – אם עדכון דורש שמישהו יזכור להכנס למערכת, או שהוא דורש הפעלה מחדש (ובכך השבתה של המערכת לכמה דקות) הסיכוי שיתקינו אותו בזמן סביר יורד.

מוניטין האמינות – על פניו השיקול הכי מוזר. מצד שני, אם כל עדכון אבטחה מצריך הרמת מערכת בדיקה, הרצת העדכון במשך כמה ימים טרם התקנה על המערכת האמיתית, ולהמתין לשמוע איך האינטרנט מגיב לעדכון, הרי שהזמן עד שהעדכון יותקן בפועל עולה, ובהתאם גם זמן הפגיעות הממוצע.

לקיחת חלק מהגורמים באופן מנותק הינה מטעה. בגלל זה, אין טעם להתעמק במחקרים ממומנים. לא על אבטחה, לא על TCO, ולא על אף גורם אחר.

שחר