Non hanno ancora capito…

Non hanno ancora capito. Eppure è facile, soprattutto se pretendi di lavorare “nel campo”… e invece, zero: Microsoft non ha ancora capito che “sicurezza di un sistema” e “numero di patch pubblicate” non sono due fattori direttamente proporzionali.
Ancora in questi giorni, è stata pubblicata sul blog di Jeff Jones una ricerca (condotta da un team di Microsoft, ndr) secondo la quale Vista è più sicuro di XP, relativamente al suo primo anno di distribuzione. E fin qui, nulla da obiettare: se non fosse stato questo il risultato, ci sarebbe seriamente da chiedersi che cazzo sono pagati a fare, a Redmond, o no?

La cosa che mi fa girare gli emenicoli, invece, è che la ricerca come al solito non si limita a fare un paragone tra i due sistemi controllati da Microsoft, ma cerca di menare qualche “picconata” alla concorrenza, ricadendo nella solita “figura di m”. Infatti dalla ricerca si evince che Vista (ma anche lo stesso XP) è decisamente più sicura di Red Hat Linux, Ubuntu 6.06LTS nonchè (naturalmente) Apple MacOS X. Tutto questo, basandosi sul matematico conteggio settimanale degli aggiornamenti “di sicurezza” (spero che abbiano almeno filtrato i soli aggiornamenti di sicurezza!).

A dimostrazione che la teoria di Microsoft non sta in piedi, ci pensa Secunia (“indipendente”, magico suono…). Qui troviamo la pagina dedicata alle vulnerabilità trovate in Windows Vista, mentre qui troviamo quella relativa a Ubuntu 6.06 LTS (se volete confrontare i dati anche di Apple MacOS X e RedHat Enterprise Linux 4 WorkStation, li trovate rispettivamente qui e qui).

Cominciamo dal numero di vulnerabilità rilevate. A parte il mese di dicembre (dove evidentemente, durante le feste ed a causa del freddo, gli analisti di sicurezza hanno concentrato i propri sforzi su Vista), le vulnerabilità rilevate su Windows Vista sono effettivamente numericamente inferiori a quelle di Ubuntu. Inutile dire che Ubuntu porta con se una quantità di software non indifferentemente maggiore di quella che si porta dietro Windows Vista: nella ricerca in effetti, si fa riferimento ad un “reduced software set” che tenga conto di questo “dettaglio”, peccato che poi le vulnerabilità conteggiate a Ubuntu 6.06 da Microsoft siano 224 contro le 134 rilevate da Secunia. Tralasciamo e proseguiamo.

Anche la tipologia delle falle rilevate è importante. Ci sono infatti falle che compromettono l’intero sistema, altre che invece possono portare al più al crash di una certa applicazione. Sotto questo profilo, possiamo rilevare che di falle dichiarate “estremamente”, in Ubuntu, non ce ne siano, mentre quelle “molto” critiche siano al 21%. Per Vista invece, di falle “estremamente” critiche, ce ne sono il 6%, al quale si deve aggiungere un 41% di falle “molto critiche”. Certo i numeri non sono dalla parte di Vista, dato che in totale, quel 47% di falle “estremamente e molto” critiche sono numericamente parlando solamente 8 falle, mentre in Ubuntu il 21% di falle “molto” critiche raggiunge le 28 unità.

Potrei dilungarmi ancora sulla possibilità di fruttare o meno da remoto una certa vulnerabilità (questione sulla quale, per inciso, dirò che Vista si comporta sorprendentemente bene), o sull’impatto di queste vulnerabilità sul sistema (aspetto sul quale invece Vista si rivela piuttosto sensibile), ma non lo farò così in dettaglio. Infatti, falle o non falle, pericolose o meno, alla fine il succo del discorso è che, a prescindere dal numero degli aggiornamenti, è importante la qualità del lavoro fatto (ossia: la patch risolve o meno il problema?). Sotto questo aspetto, il grafico presentato da Secunia è piuttosto eloquente: in Vista persiste, al 1 gennaio 2008, una vulnerabilità non corrette, mentre in Ubuntu tutte le falle segnalate sono state corrette, che siano più numericamente maggiori o meno di quelle di Vista.

Naturalmente il discorso potrebbe essere allargato anche a Red Hat Linux e Apple MacOS X, ma non era questo il mio intento: volevo semplicemente far vedere come a volte, fare demagogica propaganda per il gusto di farla cercando di affossare i propri avversari, non porta a grandi risultati. Se Jeff si fosse limitato a dire che Vista è più sicuro di XP, avrei anche potuto applaudirlo. Ma il marketing è marketing, e se lui non resiste alla tentazione di spalare palle sul conto degli altri “player” del mercato, io non farò sforzi per resistere alla tentazione di smontare le cose che dice…

PS: ahm… vale far notare che Vista è uscito il 30 gennaio 2007, e quindi è “in corso di diffusione”, mentre Ubuntu 6.06 è uscita (per l’appunto) a metà 2006 e quindi è già decisamente “diffusa”, o è colpire sotto la cintura?

Annunci

Un pensiero su “Non hanno ancora capito…

  1. Gianluca Varisco

    Il buon Mark J Cox, Security Response Team Lead di Red Hat, ne ha parlato anche sul suo blog: http://www.awe.com/mark/blog/200801161200.html 😉

    Mi trovi pienamente d’accordo su tutto quanto scritto in questo post, ed in particolare ci tengo a quotare questa frase: ‘volevo semplicemente far vedere come a volte, fare demagogica propaganda per il gusto di farla cercando di affossare i propri avversari, non porta a grandi risultati.’

    Rispondi

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...