Ondernemingen investeren veel tijd, moeite en geld in het beveiligen van hun systemen. De meest veiligheidsbewuste bedrijven hebben misschien wel een Security Operations Center. Zij gebruiken natuurlijk firewalls en antivirustools. Ze spenderen waarschijnlijk veel tijd aan het monitoren van hun netwerken, op zoek naar verklikkende anomalieën die op een inbreuk zouden kunnen wijzen. Met IDS, SIEM en NGFW’s hebben ze een waar alfabet aan verdedigingsmiddelen.
Maar hoeveel hebben nagedacht over een van de hoekstenen van hun digitale bedrijfsvoering: de besturingssystemen die op de pc’s van de werknemers worden gebruikt? Was veiligheid zelfs een factor toen het besturingssysteem voor de desktop werd gekozen?
Dit roept een vraag op die elke IT’er zou moeten kunnen beantwoorden: Welk besturingssysteem is het veiligst voor algemeen gebruik?
We vroegen enkele deskundigen wat zij vinden van de veiligheid van deze drie keuzes: Windows, het steeds complexer wordende platform dat gemakkelijk het populairste desktopsysteem is; macOS X, het FreeBSD Unix-gebaseerde besturingssysteem dat Apple Macintosh-systemen aandrijft; en Linux, waarmee we alle verschillende Linux-distributies en verwante Unix-gebaseerde systemen bedoelen.
Hoe we hier zijn gekomen
Een van de redenen waarom bedrijven de beveiliging van het OS dat ze aan het personeel hebben ingezet, misschien niet hebben geëvalueerd, is dat ze de keuze jaren geleden hebben gemaakt. Ga ver genoeg terug in de tijd en alle besturingssystemen waren redelijk veilig, omdat het hacken ervan en het stelen van gegevens of installeren van malware nog in de kinderschoenen stond. En als de keuze voor een besturingssysteem eenmaal is gemaakt, is het moeilijk om een verandering te overwegen. Weinig IT-organisaties willen de hoofdpijn van het overbrengen van een wereldwijd verspreid personeelsbestand naar een geheel nieuw besturingssysteem. Ze krijgen al genoeg tegenwerking als ze gebruikers overzetten op een nieuwe versie van het OS van hun keuze.
Maar toch, zou het verstandig zijn om het te heroverwegen? Zijn de drie toonaangevende desktop besturingssystemen verschillend genoeg in hun benadering van beveiliging om een verandering de moeite waard te maken?
De bedreigingen waarmee bedrijfssystemen worden geconfronteerd, zijn in de afgelopen jaren zeker veranderd. Aanvallen zijn veel geraffineerder geworden. De eenzame tienerhacker die ooit tot de publieke verbeelding sprak, is vervangen door goed georganiseerde netwerken van criminelen en schimmige, door de overheid gefinancierde organisaties met enorme computermiddelen.
Zoals velen van u heb ik uit de eerste hand ervaring met de bedreigingen die er zijn: Ik ben geïnfecteerd door malware en virussen op talloze Windows-computers, en ik had zelfs macrovirussen die bestanden op mijn Mac infecteerden. Meer recentelijk omzeilde een wijdverspreide geautomatiseerde hack de beveiliging van mijn website en infecteerde deze met malware. De effecten van dergelijke malware waren aanvankelijk altijd subtiel, iets wat je niet eens zou merken, totdat de malware zo diep in het systeem verankerd raakte dat de prestaties er merkbaar onder begonnen te lijden. Een opvallend ding over de infestaties was dat ik nooit specifiek doelwit was van de onverlaten; tegenwoordig is het net zo gemakkelijk om 100.000 computers aan te vallen met een botnet als het is om er een dozijn aan te vallen.
Maakt het OS echt uit?
Het OS dat u uw gebruikers aanbiedt, maakt wel degelijk verschil voor uw beveiligingsstandpunt, maar het is geen zekere waarborg. Zo is het tegenwoordig waarschijnlijker dat een inbraak wordt gepleegd omdat een aanvaller uw gebruikers heeft onderzocht, niet uw systemen. Uit een enquête onder hackers die deelnamen aan een recente DEFCON-conferentie bleek dat “84 procent social engineering gebruikt als onderdeel van hun aanvalsstrategie”. Het implementeren van een veilig besturingssysteem is een belangrijk startpunt, maar zonder gebruikersvoorlichting, sterke firewalls en constante waakzaamheid kunnen zelfs de meest veilige netwerken worden binnengedrongen. En natuurlijk is er altijd het risico van door de gebruiker gedownloade software, extensies, hulpprogramma’s, plug-ins en andere software die goedaardig lijkt, maar een pad wordt voor malware om op het systeem te verschijnen.
En welk platform u ook kiest, een van de beste manieren om uw systeem veilig te houden is ervoor te zorgen dat u software-updates tijdig toepast. Zodra een patch in het wild is, kunnen de hackers het immers reverse-engineeren en een nieuwe exploit vinden die ze in hun volgende aanvalsgolf kunnen gebruiken.
En vergeet de basisbeginselen niet. Gebruik geen root, en geef gasten geen toegang tot zelfs oudere servers op het netwerk. Leer uw gebruikers hoe ze echt goede wachtwoorden moeten kiezen en bewapen ze met tools zoals 1Password, waarmee het voor hen gemakkelijker wordt om verschillende wachtwoorden te hebben voor elke account en website die ze gebruiken.
Want het komt erop neer dat elke beslissing die u neemt met betrekking tot uw systemen van invloed is op uw beveiliging, zelfs het besturingssysteem waarop uw gebruikers hun werk doen.
Windows, de populaire keuze
Als u een beveiligingsmanager bent, is het zeer waarschijnlijk dat de vragen die dit artikel oproept als volgt kunnen worden geherformuleerd: Zouden we veiliger zijn als we afstapten van Microsoft Windows? Zeggen dat Windows de bedrijfsmarkt domineert, is de zaak onderschatten. NetMarketShare schat dat op maar liefst 88% van alle computers op het internet een versie van Windows draait.
Als uw systemen binnen die 88% vallen, bent u er waarschijnlijk van op de hoogte dat Microsoft de beveiliging van het Windows-systeem steeds verder heeft verbeterd. Tot de verbeteringen behoren het herschrijven van de codebase van het besturingssysteem, het toevoegen van een eigen antivirussoftwaresysteem, het verbeteren van firewalls en het implementeren van een sandbox-architectuur, waarbij programma’s geen toegang hebben tot de geheugenruimte van het besturingssysteem of van andere toepassingen.
Maar de populariteit van Windows is een probleem op zich. De veiligheid van een besturingssysteem kan voor een groot deel afhangen van de omvang van het geïnstalleerde bestand. Voor auteurs van malware biedt Windows een enorm speelveld. Als ze zich daarop concentreren, krijgen ze het meeste waar voor hun geld.
Zoals Troy Wilkinson, CEO van Axiom Cyber Solutions, uitlegt: “Windows komt om een aantal redenen altijd op de laatste plaats in de beveiligingswereld, voornamelijk vanwege de adoptiegraad van consumenten. Met een groot aantal Windows-gebaseerde pc’s op de markt, hebben hackers zich historisch gezien het meest op deze systemen gericht.”
Het is zeker waar dat, van Melissa tot WannaCry en verder, veel van de malware die de wereld heeft gezien, gericht was op Windows-systemen.
macOS X en beveiliging door obscuriteit
Als het populairste OS altijd het grootste doelwit zal zijn, kan dan het gebruik van een minder populaire optie voor veiligheid zorgen? Dat idee is een nieuwe kijk op het oude – en volledig in diskrediet gebrachte – concept van “beveiliging door obscuriteit”, dat stelde dat het geheim houden van de innerlijke werking van software de beste manier was om zich tegen aanvallen te verdedigen.
Wilkinson stelt onomwonden dat macOS X “veiliger is dan Windows,” maar hij haast zich eraan toe te voegen dat “macOS vroeger werd beschouwd als een volledig veilig besturingssysteem met weinig kans op beveiligingsfouten, maar in de afgelopen jaren hebben we gezien dat hackers extra exploits tegen macOS in elkaar hebben geknutseld.”
Met andere woorden, de aanvallers vertakken zich en negeren het Mac-universum niet.
Veiligheidsonderzoeker Lee Muson van Comparitech zegt dat “macOS waarschijnlijk het neusje van de zalm is” als het gaat om het kiezen van een veiliger OS, maar hij waarschuwt dat het niet ondoordringbaar is, zoals ooit werd gedacht. Het voordeel is dat “het nog steeds profiteert van een vleugje beveiliging door middel van onduidelijkheid tegenover het nog steeds veel grotere doelwit van Microsoft’s aanbod.”
Joe Moore van Wolf Solutions geeft Apple een beetje meer krediet, zeggende dat “van de plank, macOS X heeft een geweldige track record als het gaat om beveiliging, deels omdat het niet zo wijdverspreid doelwit is als Windows en deels omdat Apple een vrij goede baan heeft om bovenop beveiligingskwesties te blijven.”
En de winnaar is …
Je wist dit waarschijnlijk vanaf het begin: Deskundigen zijn het erover eens dat Linux het veiligste besturingssysteem is. Maar hoewel het het besturingssysteem bij uitstek is voor servers, zijn er maar weinig bedrijven die het op de desktop gebruiken.
En als u zou besluiten dat Linux de juiste keuze was, zou u nog steeds moeten beslissen welke distributie van het Linux-systeem u zou kiezen, en daar wordt het een beetje ingewikkelder. Gebruikers zullen een UI willen die vertrouwd overkomt, en u zult het meest veilige OS willen.
Zoals Moore uitlegt, “Linux heeft de potentie om het meest veilig te zijn, maar vereist dat de gebruiker iets van een power user is.” Dus, niet voor iedereen.
Linux distro’s die zich richten op veiligheid als een primaire functie zijn onder andere Parrot Linux, een Debian-gebaseerde distro die volgens Moore tal van beveiligingsgerelateerde tools direct uit de doos biedt.
Natuurlijk is een belangrijke differentiator dat Linux open source is. Het feit dat programmeurs elkaars werk kunnen lezen en becommentariëren lijkt misschien een beveiligingsnachtmerrie, maar het blijkt in feite een belangrijke reden te zijn waarom Linux zo veilig is, zegt Igor Bidenko, CISO van Simplex Solutions. “Linux is het meest veilige OS, omdat de broncode open is. Iedereen kan het nakijken en ervoor zorgen dat er geen bugs of achterdeurtjes zijn.”
Wilkinson werkt verder uit dat “Linux en Unix-gebaseerde besturingssystemen minder exploiteerbare beveiligingsfouten hebben die bekend zijn in de informatiebeveiligingswereld. Linux-code wordt beoordeeld door de tech-gemeenschap, wat zich leent voor beveiliging: Door zoveel toezicht zijn er minder kwetsbaarheden, bugs en bedreigingen.”
Dat is een subtiele en misschien contra-intuïtieve verklaring, maar door tientallen – of soms honderden – mensen elke regel code in het besturingssysteem te laten doorlezen, is de code in feite robuuster en is de kans kleiner dat er fouten in het wild terechtkomen. Dat heeft veel te maken met de uitspraak van PC World dat Linux veiliger is. Zoals Katherine Noyes uitlegt: “Microsoft mag dan wel zijn grote team van betaalde ontwikkelaars aanprijzen, maar het is onwaarschijnlijk dat dat team kan wedijveren met een wereldwijde basis van Linux-gebruikers-ontwikkelaars over de hele wereld. De beveiliging kan alleen maar profiteren van al die extra ogen.”
Een andere factor die PC World aanhaalt, is het betere gebruikersprivilegesmodel van Linux: Windows-gebruikers “krijgen over het algemeen standaard beheerderstoegang, wat betekent dat ze zo’n beetje toegang hebben tot alles op het systeem,” aldus Noyes’ artikel. Linux daarentegen beperkt de toegang tot “root” aanzienlijk.
Noyes merkt ook op dat de diversiteit die binnen Linux-omgevingen mogelijk is, een betere bescherming vormt tegen aanvallen dan de typische Windows-monocultuur: Er zijn gewoon veel verschillende distributies van Linux beschikbaar. En sommige daarvan zijn gedifferentieerd op manieren die specifiek gericht zijn op beveiligingsproblemen. Beveiligingsonderzoeker Lee Muson van Comparitech geeft deze suggestie voor een Linux-distro: “Het Qubes OS is het beste startpunt voor Linux dat je op dit moment kunt vinden, met een goedkeuring van Edward Snowden die zijn eigen extreem nederige claims enorm overschaduwt.” Andere beveiligingsexperts wijzen op gespecialiseerde veilige Linux-distributies zoals Tails Linux, ontworpen om veilig en anoniem direct vanaf een USB-flashdrive of vergelijkbaar extern apparaat te draaien.
Building security momentum
Inertie is een krachtige kracht. Hoewel er een duidelijke consensus is dat Linux de veiligste keuze is voor de desktop, is er geen stormloop geweest om Windows- en Mac-machines te dumpen ten gunste van Linux. Niettemin zou een kleine maar significante toename in de adoptie van Linux waarschijnlijk resulteren in veiliger computergebruik voor iedereen, omdat het verlies van marktaandeel een zekere manier is om de aandacht van Microsoft en Apple te trekken. Met andere woorden, als genoeg gebruikers overstappen op Linux op de desktop, zullen Windows en Mac PC’s zeer waarschijnlijk veiliger platforms worden.