Virksomheder investerer meget tid, kræfter og penge i at holde deres systemer sikre. De mest sikkerhedsbevidste har måske et sikkerhedsoperationscenter. De bruger naturligvis firewalls og antivirusværktøjer. De bruger sandsynligvis meget tid på at overvåge deres netværk og lede efter afslørende anomalier, der kan indikere et brud. Med IDS, SIEM og NGFW’er har de et sandt alfabet af forsvarssystemer.
Men hvor mange har tænkt meget over en af hjørnestenene i deres digitale aktiviteter, nemlig de operativsystemer, der er installeret på medarbejdernes pc’er? Var sikkerheden overhovedet en faktor, da desktop-operativsystemet blev valgt?
Det rejser et spørgsmål, som enhver it-medarbejder bør kunne besvare:
Vi har spurgt nogle eksperter, hvad de mener om sikkerheden ved disse tre valgmuligheder: Windows, den stadig mere komplekse platform, der er det mest populære desktop-system, macOS X, det FreeBSD Unix-baserede operativsystem, der driver Apples Macintosh-systemer, og Linux, hvormed vi mener alle de forskellige Linux-distributioner og relaterede Unix-baserede systemer.
Hvordan vi kom hertil
En af grundene til, at virksomhederne måske ikke har evalueret sikkerheden i det operativsystem, de har implementeret til arbejdsstyrken, er, at de har truffet valget for mange år siden. Hvis man går langt nok tilbage i tiden, var alle operativsystemer rimeligt sikre, fordi det at hacke sig ind i dem og stjæle data eller installere malware var i sin vorden. Og når først et operativsystem er valgt, er det svært at overveje at ændre det. De færreste it-organisationer vil have hovedpine af at flytte en globalt spredt arbejdsstyrke til et helt nyt operativsystem. De får nok modstand, når de flytter brugere til en ny version af deres foretrukne OS.
Så ville det alligevel være klogt at genoverveje det? Er de tre førende desktop OS’er forskellige nok i deres tilgang til sikkerhed til at gøre et skift værd?
Der er ingen tvivl om, at de trusler, som virksomhedssystemer står over for, har ændret sig i de sidste par år. Angrebene er blevet langt mere sofistikerede. Den enlige teenagehacker, som engang dominerede den offentlige forestilling, er blevet erstattet af velorganiserede netværk af kriminelle og skyggefulde, statsfinansierede organisationer med enorme computerressourcer.
Som mange af jer har jeg selv erfaring med de trusler, der findes derude: Jeg er blevet inficeret af malware og virus på adskillige Windows-computere, og jeg har endda haft makrovirus, der inficerede filer på min Mac. For nylig omgik et udbredt automatiseret hack sikkerheden på mit websted og inficerede det med malware. Virkningerne af sådan malware var altid i begyndelsen subtile, noget man ikke engang ville bemærke, indtil malware endte med at være så dybt indlejret i systemet, at ydelsen begyndte at lide mærkbart. En slående ting ved infestationerne var, at jeg aldrig var specifikt mål for de ondsindede; i dag er det lige så let at angribe 100.000 computere med et botnet, som det er at angribe et dusin.
Har styresystemet virkelig nogen betydning?
Det styresystem, du udruller til dine brugere, gør en forskel for din sikkerhedsindstilling, men det er ikke en sikker beskyttelse. For det første er der i dag større sandsynlighed for, at et brud på sikkerheden opstår, fordi en angriber har undersøgt dine brugere og ikke dine systemer. En undersøgelse blandt hackere, der deltog i en DEFCON-konference for nylig, viste, at “84 procent bruger social engineering som en del af deres angrebsstrategi”. Implementering af et sikkert styresystem er et vigtigt udgangspunkt, men uden uddannelse af brugerne, stærke firewalls og konstant årvågenhed kan selv de mest sikre netværk blive invaderet. Og der er naturligvis altid en risiko for brugerdownloadet software, udvidelser, hjælpeprogrammer, plug-ins og anden software, der ser godartede ud, men som bliver en vej for malware til at dukke op på systemet.
Og uanset hvilken platform du vælger, er en af de bedste måder at holde dit system sikkert på at sikre, at du anvender softwareopdateringer rettidigt. Når en patch først er i naturen, kan hackerne trods alt reverse engineer den og finde en ny udnyttelse, som de kan bruge i deres næste bølge af angreb.
Og glem ikke det grundlæggende. Brug ikke root, og giv ikke gæsteadgang til selv ældre servere på netværket. Lær dine brugere at vælge rigtig gode adgangskoder, og udrust dem med værktøjer som 1Password, der gør det lettere for dem at have forskellige adgangskoder på alle de konti og websteder, de bruger.
For bundlinjen er, at enhver beslutning, du træffer vedrørende dine systemer, vil påvirke din sikkerhed, selv det operativsystem, som dine brugere udfører deres arbejde på.
Windows, det populære valg
Hvis du er sikkerhedschef, er det yderst sandsynligt, at de spørgsmål, som denne artikel rejser, kan omformuleres på denne måde: Ville vi være mere sikre, hvis vi gik væk fra Microsoft Windows? At sige, at Windows dominerer virksomhedsmarkedet, er at undervurdere sagen. NetMarketShare anslår, at hele 88 % af alle computere på internettet kører en version af Windows.
Hvis dine systemer falder inden for disse 88 %, er du sikkert klar over, at Microsoft fortsat har forbedret sikkerheden i Windows-systemet. Blandt forbedringerne har Microsoft omskrevet og omskrevet styresystemets kodebase, tilføjet sit eget antivirussoftwaresystem, forbedret firewalls og implementeret en sandkasse-arkitektur, hvor programmer ikke kan få adgang til styresystemets eller andre programmers hukommelsesrum.
Men Windows’ popularitet er et problem i sig selv. Sikkerheden i et styresystem kan i høj grad afhænge af størrelsen af dets installerede base. For malwareforfattere giver Windows en enorm spilleplads. Ved at koncentrere sig om det får de mest muligt ud af deres indsats.
Som Troy Wilkinson, administrerende direktør for Axiom Cyber Solutions, forklarer: “Windows kommer altid sidst i sikkerhedsverdenen af en række årsager, hovedsagelig på grund af forbrugernes udbredelsesgrad. Med et stort antal Windows-baserede pc’er på markedet har hackere historisk set rettet sig mest mod disse systemer.”
Det er helt sikkert sandt, at fra Melissa til WannaCry og fremefter har meget af den malware, som verden har set, været rettet mod Windows-systemer.
macOS X og sikkerhed gennem uklarhed
Hvis det mest populære styresystem altid vil være det største mål, kan brugen af en mindre populær løsning så sikre sikkerheden? Denne idé er et nyt bud på det gamle – og fuldstændig miskrediterede – koncept om “sikkerhed gennem uklarhed”, som gik ud på, at den bedste måde at forsvare sig mod angreb på var at holde softwares indre funktioner fortrolige og derfor hemmelige.
Wilkinson siger ligeud, at macOS X “er mere sikkert end Windows”, men han skynder sig at tilføje, at “macOS plejede at blive betragtet som et fuldt sikkert styresystem med ringe chance for sikkerhedshuller, men i de seneste år har vi set hackere udforme yderligere exploits mod macOS”.”
Med andre ord forgrener angriberne sig og ignorerer ikke Mac-universet.”
Sikkerhedsforsker Lee Muson fra Comparitech siger, at “macOS sandsynligvis vil være det bedste valg”, når det kommer til at vælge et mere sikkert styresystem, men han advarer om, at det ikke er uigennemtrængeligt, som man tidligere troede. Fordelen er, at “det stadig nyder godt af en snert af sikkerhed gennem uklarhed i forhold til det stadig meget større mål, som Microsofts tilbud udgør”.”
Joe Moore fra Wolf Solutions giver Apple lidt mere kredit og siger, at “uden for hylden har macOS X en god track record, når det kommer til sikkerhed, dels fordi det ikke er så bredt målrettet som Windows, dels fordi Apple gør et ret godt stykke arbejde med at holde sig på toppen af sikkerhedsproblemer.”
Og vinderen er …
Du vidste det sikkert fra starten: Der er klar enighed blandt eksperterne om, at Linux er det mest sikre styresystem. Men mens det er det foretrukne operativsystem til servere, er der kun få virksomheder, der anvender det på skrivebordet.
Og hvis du besluttede dig for, at Linux var den rigtige løsning, skulle du stadig beslutte, hvilken distribution af Linux-systemet du skulle vælge, og der bliver tingene lidt mere komplicerede. Brugerne vil have en brugergrænseflade, der virker velkendt, og du vil have det mest sikre styresystem.
Som Moore forklarer, “Linux har potentialet til at være det mest sikre, men det kræver, at brugeren er noget af en power user.” Så det er ikke for alle.
Linux-distroer, der sigter mod sikkerhed som en primær funktion, omfatter Parrot Linux, en Debian-baseret distro, som ifølge Moore indeholder adskillige sikkerhedsrelaterede værktøjer lige ud af boksen.
Et vigtigt differentieringselement er naturligvis, at Linux er open source. Det faktum, at programmører kan læse og kommentere hinandens arbejde, kan virke som et sikkerhedsmæssigt mareridt, men det viser sig faktisk at være en vigtig grund til, at Linux er så sikker, siger Igor Bidenko, CISO hos Simplex Solutions. “Linux er det mest sikre styresystem, da dets kilde er åben. Alle kan gennemgå det og sikre sig, at der ikke er fejl eller bagdøre.”
Wilkinson uddyber, at “Linux og Unix-baserede styresystemer har færre sikkerhedshuller, der kan udnyttes, og som er kendt i informationssikkerhedsverdenen. Linux-kode bliver gennemgået af det tekniske samfund, hvilket egner sig godt til sikkerhed: Ved at have så meget tilsyn er der færre sårbarheder, fejl og trusler.”
Det er en subtil og måske kontraintuitiv forklaring, men ved at have snesevis – eller nogle gange hundredvis – af mennesker til at læse hver eneste kodelinje i operativsystemet, er koden faktisk mere robust, og risikoen for, at fejl slipper ud i naturen, er mindre. Det havde meget at gøre med, hvorfor PC World kom direkte ud og sagde, at Linux er mere sikkert. Som Katherine Noyes forklarer: “Microsoft kan godt nok fremhæve sit store team af betalte udviklere, men det er usandsynligt, at dette team kan sammenlignes med en global base af Linux-bruger-udviklere rundt omkring på kloden. Sikkerheden kan kun drage fordel af alle disse ekstra øjne.”
En anden faktor, der nævnes af PC World, er Linux’ bedre model for brugerrettigheder: Windows-brugere “får generelt administratoradgang som standard, hvilket betyder, at de stort set har adgang til alt på systemet”, står der i Noyes’ artikel. Linux begrænser derimod i høj grad “root”.”
Noyes bemærkede også, at den mangfoldighed, der er mulig i Linux-miljøer, er et bedre værn mod angreb end den typiske Windows-monokultur: Der er simpelthen mange forskellige Linux-distributioner til rådighed. Og nogle af dem er differentieret på måder, der specifikt tager højde for sikkerhedsproblemer. Sikkerhedsforsker Lee Muson fra Comparitech giver dette forslag til en Linux-distribution: “Qubes OS er så godt et udgangspunkt for Linux, som du kan finde lige nu, med en anbefaling fra Edward Snowden, der massivt overskygger dets egne ekstremt ydmyge krav.” Andre sikkerhedseksperter peger på specialiserede sikre Linux-distributioner som Tails Linux, der er designet til at køre sikkert og anonymt direkte fra et USB-flashdrev eller en lignende ekstern enhed.
Bygning af sikkerhedsmomentum
Inerti er en stærk kraft. Selv om der er klar enighed om, at Linux er det sikreste valg til skrivebordet, har der ikke været noget stormløb for at droppe Windows- og Mac-maskiner til fordel for Linux. Ikke desto mindre ville en lille, men betydelig stigning i udbredelsen af Linux sandsynligvis resultere i mere sikker computerbrug for alle, fordi tab af markedsandele er en sikker måde at få Microsofts og Apples opmærksomhed på. Med andre ord, hvis tilstrækkeligt mange brugere skifter til Linux på skrivebordet, er der stor sandsynlighed for, at Windows- og Mac-pc’er bliver mere sikre platforme.