[Vai al menu di navigazione del blog]

[Leggi il post]

Vulnerabilità: questione di punti di vista

Venerdì 20 Gennaio 2006 - 10:00

di Francesco Caccavella

Sicurezza

La polemica tiene banco da alcuni giorni. L’ultimo rapporto di fine anno dello US-Cert, il centro per la sicurezza informatica formato dal Cert (Computer Emergency Response Team) della Carnegie Mellon University di Pittsburgh e dal Dipartimento per la sicurezza interna del governo degli Stati Uniti, ha stilato una classifica comparativa fra le vulnerabilità scoperte nel 2005 in sistemi informatici. I crudi numeri sono questi:

  • 2.328 Bug di Unix/Linux
  • 812 Bug di Windows
  • 2.058 Bug condivisi

Windows, secondo la lista, è molto, quasi tre volte, più sicuro di Linux. Ne siamo certi?

Sin dalla pubblicazione dei dati, lo scorso 31 dicembre, si sono moltiplicate le critiche e le richieste di precisazione. Qualcuno ha chiesto addirittura di delegittimare il centro di ricerca per l’approssimazione della pubblicazione. Le imperfezioni della ricerca sono state evidenziati sin da subito, per primi dai commentatori di Slashdot. La lista contiene infatti centinaia di record multilpli: se una stessa vulnerabilità è stata aggiornata successivamente alla scrittura della prima scheda viene considerata per due volte. Queste vulnerabilità, ad esempio, vengono considerate come sei e non come una sola.

Ethereal Denial of Service or Arbitrary Code Execution
Ethereal Denial of Service or Arbitrary Code Execution (Updated)
Ethereal Denial of Service or Arbitrary Code Execution (Updated)
Ethereal Denial of Service or Arbitrary Code Execution (Updated)
Ethereal Denial of Service or Arbitrary Code Execution (Updated)
Ethereal Denial of Service or Arbitrary Code Execution (Updated)
Ethereal Denial of Service or Arbitrary Code Execution (Updated)

Eliminando dalla lista i record multipli, i crudi numeri vengono modificati:

  • 891 Bug di Unix/Linux
  • 671 Bug di Windows
  • 1512 Bug condivisi

Ma c’è dell’altro. Spulciando la lista si incorre anche in alcune indicazioni quantomeno opinabili. Per esempio:

PHPMyAdmin ‘Import_Blacklist’ Variable Overwrite
PHPMyAdmin ‘Import_Blacklist’ Variable Overwrite (Updated)

Perché, ci si chiederà, includere una vulnerabilità di Cross-Site Scripting di PhpMyAdmin nell’elenco delle vulnerabilità di Linux/Unix? PhpMyAdmin è un’applicazione Web in Php e come tale è multipiattaforma. Perché solo Linux?

Se poi confrontiamo, lo hanno fatto quelli di Newsforge, le schede dedicate alle vulnerabilità più pericolose del 2005 raccolte nei bollettini “Cyber Security Alerts” dello US-Cert vediamo che le 22 schede sono così ripartite:

  • 11 schede per Windows
  • 3 schede per Oracle
  • 2 schede per Cisco
  • 1 scheda per Mac Os X

Morale della favola? Ce lo dice Brian Martin, del team dell’open source vulnerability database che si chiede quando verrà il giorno cui:

coloro che operano con fondi commerciali o statali faranno davvero il loro lavoro pubblicando informazioni serie per aiutare piuttosto che per confondere e ingannare?

Tags:

Categoria: Sicurezza | Permalink

Commenti

1

prima di delegittimarli, mi chiedo, chi li ha legittimati?

questi risultati mooooooooooooooooooooolto imprecisi indicano un basso livello di professionalità!

# - postato da Salvatore PECORARO - 20 Gennaio 2006 - 11:44

2

butto il sassolino nello stagno..

attenzione ke molti bug (risolti) nn sono indice di minore qualità.. anzi..

i bug sono il prodotto di una delle fasi più importanti dell’ing sw.. lo scopo del dubugging di un sw nn è, infatti, “ke bello nn ci sono errori” ma al contrario.. “ke figata ho chiuso 3′456′782 porte ad eventuali intrusi”.. almeno questo dicono tutti i libri di ing sw ed in effetti anke un pò di buon senso..

sottolineo inoltre ke se bill ha 10 ing a cercare errori ce ne sono 100 fuori che debbuggano linux et simila e quindi la gara è persa in partenza..

va sempre letta tra le righe la VERA verità.. :D

ciaone

# - postato da Luke83 - 20 Gennaio 2006 - 14:45

3

E la vera verità d’ove? :-)
Mamma mia, un discorso da Jesu Cristo quello sulla vera verità, molto ortodosso, ma poco pratico da seguire.

Basterebbe il buon senso, ma spesso questo si perde tra le pieghe di alcuni biglietti di carta; per esempio basta rileggersi la polemica di alcuni mesi fa riguardo alla pubblicità su una nota rivista linux.
Il fatto: il gruppo editoriale che mantiene in vita la rivista in questione, inserisce pubblicità Microsoft al’interno della rivista, ma questo non è nulla, il fatto grave è che la Microsoft introduce sempre pubblicità del tipo Win è meglio di Lin perché … e giù dati di Secunia e parenti che dicono come mai Win è meglio e sopratutto costa meno perché …
Storia vecchia, quasi tutti sanni qui che la storia dei costi è falsa o perlomeno molto vicino alla parità tra i due sistemi.
Ma si sa, non tutti sono aggiornati, non tutti hanno voglia e tempo di aggiornarsi e giustamente non vedono perché debbano farlo, non tutti quelli che leggono un giornale vogliono conoscere tutto di ciò che leggono, sta a chi scrive le notizie di inserire solo verità vere, come le hai chiamate.

Purtroppo la verità vera la sanno solo quelli che commissionano certi test, e ovviamente non la svelano perché la verità vera non è mai conveniente per nessuno.
Come si evince dai quei test una volta che sono stati puliti dai dati spuri, non è che Linux se la passi benissimo.
Si protesta perché i dati spuri sono una bestemmia, ma attenzione a diffondere quelli buoni perché politicamente fanno ancora male, e la politica è l’arte della verità mai troppo pulita.
Il grosso problema di linux, e lo diceva persino Stallmann è da sempre stato quello di mettersi in competizione con Microsoft, meglio sarebbe stato lavorare tranquilli e fottersene dei commenti, ora come ora siamo in guerra e la guerra è sempre sporca.

marco.

# - postato da Marcolino - 21 Gennaio 2006 - 09:02

4

La battaglia Windows - Unix/Linux è come la battaglia Berlusconi - Sinistra.

Berlusconi porta dalla sua parte tutti i migliorativi che ha fatto (opinabili da chiunque, non faccio politica, è solo un esempio). Con statistiche dichiara di aver ragione, ecc…

La Sinistra porta dalla sua parte il senso comune, casi individuali o collettivi che vanno dalla parte opposta.

La morale della favola è che - analizzando il tutto con una concezione non di parte e non prevenuta - entrambi hanno ragione (mi riferisco a Windows e Linux). Per certi ambiti Windows è sicuramente, al momento, più performante; e per certe altre Unix/Linux non lo vede nemmeno a Windows per quanto è indietro.

Talvolta diventa un fatto di fede, come ad esempio quelli che credono ancora che un PPC sia più potente di un PC, ma con una visione non di parte si riuscirebbe a creare qualcosa di serio.

Io non darei per scontate le scelte strategiche che ultimamente Microsoft sta facendo, come ad esempio la scelta di rilasciare codice, acquisire sviluppatori dell’altra “sponda”. A breve sarà disponibile una nuova Virtual PC con supporto ai filesystem di Linux e sarà componente di serie di Vista ed altre cose simili… probabilmente i nuovi DG della MS hanno capito che piuttosto che combattere il nemico, va “sposato”.

Le statistiche quindi vanno sempre lette con un occhio critico addestrato a non cercare di leggere quello che si vuole all’interno, ma cercando di capire quello che sta accadendo al mondo informatico in generale; altrimenti diventa una “questione di punti di vista”.

(IMHO)

# - postato da DarCas - 21 Gennaio 2006 - 12:18

5

Microsoft sta rilasciando codice?!?

# - postato da Andrea Paiola - 22 Gennaio 2006 - 10:08

6

In parte, con il programma Shared Source.

# - postato da Francesco - 22 Gennaio 2006 - 13:07

Inserisci il tuo commento:





(puoi usare i seguenti tag HTML per formattare il testo -
a href, b, i, br/, p, strong, em, ul, ol, li, blockquote, pre):

 

Anteprima del commento