Tips & Tricks di sicurezza informatica
Permettemi di aggiungere alla discussione la sintesi delle considerazioni che ho espresso nel mio ultimo post al riguardo : ritengo abbastanza sterile confrontarsi sui numeri statistici in discussione, per giudicare il livello di sicurezza di un sistema operativo. La moderna gestione delle vulnerabilità è qualcosa di più complesso che non può essere giudicata solo dai tempi di correzione delle patch o da quante se ne producono...
http://blogs.technet.com/feliciano_intini/archive/2007/03/29/Riflessioni-sulle-recenti-statistiche-di-gestione-delle-vulnerabilita-Windows.aspx
L'analisi statistica è solo una parta. C'è poi l'analisi delle features e dei processi da guardare. MacOS è più simile a Windows che non a Linux (dal punto di vista di processo di produzione).
http://paperino.blogsphot.com/archive/2007/03/22/Linux-pi_F900_-sicuro-di-Vista_3F00_.aspx
Sinceramente mi soffermerei più sul fatto che il numero di utenti (coder malintenzionati in particolare vedi Andrea) che aggiornano un sistema libero e aperto nei primi 90 giorni è decisamente maggiore al num. di utenti che scelgono di migrare al nuovo sistema operativo a pagamento.
E da lì il resto delle conseguenze..
Qualche appunto:
<ul>
<li>non mi sembra abbia molto senso valutare la sicurezza di un sistema operativo su un periodo di 90 giorni, che si parli di Vista o altro</li>
<li>Windows Vista è stato messo a disposizione di molti utenti ben prima del lancio ufficiale (beta, rc), questo non avviene con Mac Os X (le beta sono disponibili solo ad un numero ristretto di sviluppatori paganti), quindi ha avuto un periodo di rodaggio di cui non si tiene conto nell'analisi (senza considerare il lungo periodo di gestazione).</li>
<li>le vulnerabilità di Linux sono necessariamente pubbliche, quelle di Mac Os X e Windows no</li>
<li>non capisco perché non vengano citate in modo analitico le fonti da cui vengono tratti i numeri proposti (vulnerabilità emerse e risolte); in questo modo è praticamente impossibile farsi un'idea sull'attendibilità dell'analisi</li>
</ul>
Consideriamo questo articolo di PI.
Innanzi tutto il parametro tempo. Lo ritengo, una mera scelta personale e quindi soggetta a possibili "maneggiamenti" per far "riportare" la valutazione in termini numerici (un pò come si fà nella scelta delle basi statistiche). Ma ammettiamo la buona fede come dice Matteo.
Al di là delle considerazioni, nell'articolo di PI, fatte sugli exploit zero-day, dipendenti da parametri come (cito) "la popolarità, il numero di applicazioni integrate", aspetterei a trarre conclusioni sulla bontà del sistema basandosi sulle vulnerabilità scoperte.
Se è vero che i sistemi *nix o *bsd non sono nuovi e quindi più consolidati (tanto da giustificare un minor numero di vulnerabilità highrisk) è altrettanto vero che l'architettura di Vista (in quanto molto rinnovato) deve ancora essere snocciolata dai vari "coder maleintenzionati" (anche se di beta ce ne sonostate molte e per molto tempo) , senza considerare la base di installato che ad oggi ancora non giustifica un passaggio di "piattaforma" per coloro che scrivono codice virale IMHO (tanto è così che si scoprono vulnerabilità).
Se c'è un pregio invece che si deve riconoscere a Microsoft è la rapidità (in media) nella scrittura di Fix che si aggira intorno a 21 giorni contro (worstcase) i 66 di Apple.
In definitiva io aspetterei altri (almeno) 90 giorni o addirittura una base d'installato congrua.
Qualcuno smentisce? :)
Saluti
Concordo con Matteo, l'analisi e' troppo superficiale. Bisognerebbe anche vedere il numero degli utilizzatori di entrambi i sistemi operativo a 90 giorni dalla loro uscita. Agli utenti Ubuntu, inoltre, e' bastato un comando per passare da una versione all'altra del sistema operativo, non si puo' quindi definire con esattezza i confini tra una versione e quella successiva.
Infine direi che e' quasi piu' importante l'intervallo temporale tra la scoperta di una vulnerabilita' e l'uscita del fix piu' che il numero di vulnerabilita' scoperte. Quanto ci ha messo la Microsoft a chiudere le falle del Sasser?
mah,
Per carità, non escludo che Vista possa essere più sicuro di molti (ma anche tutti) altri sistemi operativi desktop; come dimostra l'ultimo punto che ho citato, mi sembra solo che il confronto effettuato non sia particolarmente attendibile (in entrambi i sensi, anche se vi lascio immaginare in quale senso sia più sbilanciata secondo me).
Ciao
P.S. a proposito, sono d'accordo con Giovy per quanto riguarda i troll "Uinzozz sucks", "Micro$oft sucks", "Apple sucks", "Linux sucks" che dicono sempre solo questo.
il problema fondamentale nell'affrontare questioni di questo tipo è che si devono individuare bene le differenze... le vulnerabilità su linux non sono le stesse di vista e di MAC OSx ma, mentre per MAC OSx e linux le cose (per certi versi) si possono accumunare, per i prodotti microsoft si deve fare un discorso a parte. Essi infatti, quando classificati come High interessano TUTTO il sistema che può essere compromesso attraverso privilegi d'amministratore. Su sistemi che dividono (in modo reale) i privilegi e le ownership è vero si, che possono risultare vulnerabili, ma i bug interessano una "parte" dell'interno sistema. Le patch poi sono riferibili a tutto il software installato e non solo al "core" (come avviene in windows)... Di fatto, in conclusione, la maggior parte dei bug riscontrati su sistemi unix-like sono riferibili a difetti di programmazione "facilmente" patchabili cosa che invece, su sistemi windows, sono (la maggior parte delle volte) riconducibili a "difetti di progettazione" ben più profondi quindi e di difficile eliminazione (ecco perchè molte patch microsoft sono dei veri e proprio work around)
p.s. uso ubuntu e windows indifferentemente non chiamatemi talebano :D
Anche io sarei curioso proprio come Giovy di leggere qualche commento dei sostenitori accaniti Linux e Mac. Io apprezzo sia Linux, Ubuntu in particolare, e sono affascinato anche dal sistema Mac, ma al momento sto utilizzando Windows Vista. Mi piace essere imparziale e senza pregiudizi. E' un peccato che Vista non abbia ancora implementato il nuovo filesystem che permetterà di porre fine alla frammentazione dei file, ma da quello che ho potuto capire verrà implementato con il rilascio del service pack 1. A mio giudizio è un buon prodotto e chi usa Xp ha molte ragioni per migrarvi, ad esempio che l'intera gestione dell'ambiente grafico viene gestita dalla GPU, freature che io apprezzo decisamente molto e che mi tiene molta più ram libera nel sistema, mentre invece Xp me la saturava completamente.
Sarei proprio curioso di leggere qualche commenti delle stesse persone che sul mio blog continuano a rompere le scatole attaccando Vista senza motivo e senza argomentazioni, e difendendo a spada tratta Mac OS X o Linux.
... ma ovviamente NON si faranno sentire, dato che non hanno argomenti con cui rispondere.
Bravo Gianni, ottimo articolo ed ottimi spunti di discussione (e riflessione per tutti i fondamentalisti pro Linux e Mac.
Blogosfere è il più grande network italiano di blog professionali d'informazione.
Qui puoi trovare le ultime news su cronaca, politica, economia, cultura, scienze, tecnologia, spettacoli, moda, sport, motori, viaggi e cucina prodotte in perfetto stile multimediale.
Blogosfere Srl socio unico
P. IVA 05221970964
Sede legale: Via Pordenone 8 20132 Milano
REA n. 1804860
Privacy
Condizioni di utilizzo
Copyright © 2005-2012 Blogosfere
Quest'opera è pubblicata
con licenza Creative Commons
Attribution - Non commercial - No derivates
Per informazioni pubblicitarie e progetti speciali su Blogosfere (media brand del gruppo Populis) contattare la concessionaria pubblicitaria del gruppo, Populis Engage
alle 18:08
Demolitions
Magari è un po' tardi per commentare, ma mi piaceva l'argomento; prendendo però per reali e confermati i dati statistici forniti, bisogna anche considerare un altro paio di punti, ad esempio:
1) Windows(Vista o XP) viene fornito con una sola tipologia di installazione (o tutto o niente), stesso discorso vale per OSX, mentre anche Ubuntu (distribuzione linux che personalmente non apprezzo molto) presenta una grande scelta dei pacchetti da installare, molti non necessari e con vari bug; ad un primo calcolo evitando di installare pacchetti come OpenOffice (già vecchio di ben 2 revisioni quando è stata rilasciata la Ubuntu 6.06), le vulnerabilità si riducono drasticamente.
1.b) Come windows ha "Windows Update" che scarica aggiornamenti quando più ci da fastidio, imponendo di riavviare la macchina quando ha finito (IMPONENDO), anche OS X ha una utility di aggiornamento software, da lanciare quando vogliamo; la stessa cosa vale per Ubuntu, non mi sembra giusto confrontare questo tipo di falle di sicurezza a sistema installato in quanto Vista scarica subito aggiornamenti impedendoci di usare il sistema come vogliamo noi per le prime ore di utilizzo, mentre le due controparti ci lasciano pieno campo di decidere SE e QUANDO vogliamo scaricare gli aggiornamenti; quindi molte delle 42 falle chiuse in Ubuntu sarebbero state chiuse in seconda fase di installazione semplicemente aggiornando i pacchetti, alcuni dei quali per forza di cose all'uscita della distribuzione erano già vecchi.
2) Concordo con l'opinione espressa da molti che i 90 giorni di tempo sono una mera illusione, in è vero che MS ha chiuso UNA falla su 5 contro le 3 su 20 di Apple, ma se si guarda le 42 su 71 dei vari sviluppatori linux e ci mettiamo a tavolino troviamo che:
Vista : 1/5 -> 0.2 (20%)
OSX : 3/20 -> 0.15 (15%)
Ubuntu: 42/71 -> 0.59 (59%)
O, se volete utilizzare letteralmente i dati forniti possiamo fare i conti sulle falle ancora aperte dopo i 90 giorni:
Vista : 4/5 -> 0.8 (80%)
OSX : 17/30 -> 0.85 (85%)
Ubuntu : 29/71 -> 0.41 (41%)
E direi che non è chiaramente un punto a favore di Vista (mancano totalmente i dati su XP, che non terrò in considerazione)
3) Windows Vista ha un prezzo che si aggira intorno ai 100 euro, e viene venduta la licenza di utilizzo del software e non il software stesso, stessa cosa per OS X (con prezzo intorno ai 130 euro), mentre VOLENDO acquistare Ubuntu Linux, al massimo sono riuscito a trovarla su una rivista (evito di dire quale) a ben 8,50 euro, ed ho acquistato IL SOFTWARE, non una licenza d'uso.
Detto questo, mi sembra stupido nonchè superfluo puntualizzare che sono un fiero utente Linux (Slackware, non Ubuntu), ma ribadisco che il punto non è in realtà QUANTE falle di sicurezza si trovano e/o si chiudono in un sistema operativo, ma QUANTA libertà il suddetto sistema operativo ci lascia di gestire il nostro BEN PAGATO computer, che esula dal contesto e quindi eviterò di approfondire.
In ultimo, semplicemente, utilizzate il SO che più vi piace e che più vi sembra utile, installate firewall e antivirus(chi ne ha bisogno), e ricordatevi che la community Open Source è sempre aperta ad accogliere nuovi utenti, ma solo se loro stessi vengono spontaneamente a presentarsi, gare di questo tipo fra sistemi operativi Open Source e a pagamento sono assolutamente da evitarsi, in quanto comunemente chi installa una qualsiasi distribuzione linux lo fa per passione o per necessità, MAI perchè gli viene imposto (date un po' un'occhiata ai portatili che ci sono in vendita per capire cosa intendo)
Happy Computing!