Die GCHQ-Unterorganisation „Communications Electronics Security Group“ (kurz CESG, vergleichbar vielleicht mit dem deutschen BSI) hat die Aufgabe der Sicherung der elektronischen Kommunikation und Computersysteme des Vereinigten Königreichs und hat nun einen Test veröffentlicht, der die Sicherheit elf ausgewählter Betriebssysteme unter die Lupe nahm.
Getestete Betriebssysteme¶
Dieser Test umfasste elf Betriebssysteme aus dem mobilen und dem Desktop-Bereich:
Android 4.2
Samsung Geräte (mit Android 4.2)
Apple iOS 6
Apple OSX 10.8
Blackberry 10.1 (EMM Corporate)
Blackberry 10.1 (EMM Regulated)
Google Chrome OS 26
Ubuntu 12.04 LTS
Windows 7 & 8
Windows 8 RT
Windows Phone 8
Ubuntu 12.04 LTS „Precise Pangolin“ erreichte in diesem Test den ersten Platz – als einziges Betriebssystem, das alle Kategorien ohne Significant Risks und mit nur drei orangenen Bewertungen durchlief.
Ein PDF-Report (siehe Quellen) fasst die Studie zusammen, zeigt die Schwachstellen auf und untersucht, wieso Ubuntu ein sicheres Betriebssystem für Behörden und Unternehmen ist.
Die 12 Kategorien¶
Die Kategorien sollen die Basis des Best practice aus Unternehmenssicherheit darstellen. Kein Betriebssystem konnte in allen Kategorien die höchste (grüne) Stufe erreichen. Ubuntu 12.04 LTS schnitt jedoch im direkten Vergleich am besten ab.
VPN
Disk Enryption
Authentication
Secure Boot
Platform Integrity and Application Sandboxing
Application Whitelisting
Malicious Code Detection and Prevention
Security Policy Enforcement
External Interface Protection
Device Update Policy
Event Collection for Enterprise Analysis
Incident Response
Tabellarische Übersicht¶
Bereiche, die ein signifikantes Risiko eines Betriebssystems darstellen, sind rot markiert. Bereiche, die vor Risiken warnen, sind orange markiert. Bereiche, die ohne Beanstandung durchlaufen wurden, sind grün markiert.
Test der elf Betriebssysteme | |||||||||||||||
Betriebssysteme → Kategorien ↓ | Android 4.2 | Samsung Geräte (Android 4.2) | Apple iOS 6 | Apple OSX 10.8 | Blackberry 10.1 (EMM Corporate) | Blackberry 10.1 (EMM Regulated) | Google Chrome OS 26 | Ubuntu 12.04 LTS | Windows 7 & 8 | Windows 8 RT | Windows Phone 8 | ||||
VPN | |||||||||||||||
Disk Encryption | |||||||||||||||
Authentication | |||||||||||||||
Secure Boot | |||||||||||||||
Platform Integrity / Application Sandboxing | |||||||||||||||
Application Whitelisting | |||||||||||||||
Malicious Code Detection & Prevention | |||||||||||||||
Security Policy Enforcement | |||||||||||||||
External Interface Protection | |||||||||||||||
Device Update Policy | |||||||||||||||
Event Collection for Enterprise Analysis | |||||||||||||||
Incident Response | |||||||||||||||
Grün | 5 | 9 | 7 | 8 | 5 | 9 | 8 | 9 | 8 | 7 | 7 | ||||
Orange | 6 | 2 | 4 | 4 | 6 | 2 | 3 | 3 | 4 | 4 | 3 | ||||
Rot | 1 | 1 | 1 | 0 | 1 | 1 | 1 | 0 | 0 | 1 | 2 |
Fazit¶
Das aus Sicht der britischen CESG sicherste Betriebssytem ist damit Ubuntu 12.04 LTS „Precise Pangolin“. Es erreicht als einziges unter den elf Betriebssystemen neun grüne Bewertungen, drei orangene und keine rote Bewertung.
Zwei weitere Betriebssysteme erhielten ebenfalls neun grüne Bewertungen. Das sind die Samsung Geräte mit Android 4.2 sowie Blackberry 10.1 (EMM Regulated). Diese erhielten jedoch jeweils einmal eine rote Bewertung im Bereich Event Collection for Enterprise Analysis.
Neben Ubuntu konnten drei weitere Systeme erfolgreich eine rote Bewertung umgehen. Das sind Apple OS 10.8 sowie die beiden Windows Systeme 7 und 8. Diese drei erhielten jedoch jeweils eine orangene Bewertung im Bereich Device Update Policy mehr als Ubuntu.
Diese vier Betriebssysteme (Apple OSX 10.8, Windows 7 & 8 und Ubuntu 12.04 LTS) erhielten alle orangene Bewertungen in den gleichen Bereichen: VPN, Disk Encryption sowie Secure Boot.
Die Reaktion von Ubuntu¶
Canonical in Person von Darryl Weaver hat sich die drei orangenen Bewertungen in den Bereichen VPN, Disk Encryption sowie Secure Boot angeschaut und seine Einschätzungen dazu veröffentlicht (siehe Quellen).
In den Bereichen VPN und Verschlüsselung hält Ubuntu alle technischen Standards ein. Es geht "lediglich" darum, dass das eingebaute VPN und die beiden Verschlüsselungsarten LUKS und dm-crypt nicht unabhängig auf das CESG Foundation Grade 🇬🇧 überprüft wurden; es also sein könnte, dass jemand während des Entwicklungsprozesses an den Paketen herumpfuscht.
Canonical geht im Falle von VPN davon aus, dass man mit der nächsten Veröffentlichung 14.04 LTS „Trusty Tahr“ die Anforderungen voll erfüllt und dementsprechend im Bereich VPN eine grüne Bewertung erhält. Im Bereich Verschlüsselung steht diese unabhängige Überprüfung noch aus. Darryl Weaver betont, dass auch alle anderen Betriebssysteme in diesen beiden Bereichen eine orangene (oder sogar rote) Bewertung erhielten.
Im Bereich Secure Boot erreichen Ubuntu 12.04, Apple OSX 10.8 und Windows 7 & 8 nur eine orangene Bewertung. Canonical geht – im Gegensatz zu anderen – den Weg über GRUB 2. Jedoch mit der Möglichkeit, Secure Boot abschalten zu können, so dass das Betriebssystem, wenn gewollt, angepasst werden kann. Daran und an der orangenen Bewertung wird sich also auch in Zukunft nichts ändern, da Canonical der Meinung ist, damit Anwendern und Unternehmen den besten Kompromiss zwischen Sicherheit und (gewollter) Anpassbarkeit des Betriebssystems zu geben.
Quellen:
Ubuntu scores highest in UK Gov security assessment – Ubuntu Insights 🇬🇧
Darryl Weaver, Canonical: UK-Gov-Report-Summary.pdf (PDF) 🇬🇧
End User Devices Security and Configuration Guidance (CESG) 🇬🇧