Quanto è sicuro Microsoft Windows Vista? Analisi dopo un anno

Microsoft Windows Vista ha saputo dividere le opinioni degli utenti sin dal proprio lancio: gli argomenti al centro del contendere spaziano dalle risorse hardware necessarie, alle funzionalità introdotte, alla compatibilità software e, ovviamente, alla sicurezza. Proprio quest'ultimo aspetto ha creato un elevato numero di discussioni, alimentate anche da alcuni report pubblicati da analisti indipendenti.

A tal proposito si ricorderà il lavoro di Jeff Jones in merito all'analisi del numero di vulnerabilità a distanza di 90 giorni dal rilascio del prodotto. In tale analisi veniva confrontato il numero di vulnerabilità note e il numero problemi risolti; l'analisi effettuava un confronto con altri prodotti Microsoft e con alcune distribuzioni Linux. I risultati erano molto incoraggianti dal punto di vista di Microsoft.

Da poche ore è stato distribuito un aggiornamento di tale lavoro: l'analisi proposta da Jeff Jones intende analizzare la situazione ad un anno dalla disponibilità di Windows Vista. I grafici seguenti sono sufficientemente chiari e mostrano il buon risultato, in questa particolare classifica, ottenuto da Microsoft Windows Vista.

Tra i molteplici aspetti secondari presi in considerazione nel lavoro di Jeff Jones segnaliamo l'analisi relativa alle varie occasioni in cui gli amministratori dei sistemi sono stati chiamati ad una operazione di aggiornamento per provvedere all'installazione di una security patch. La particolare strategia di Microsoft nel rilascio degli aggiornamenti a scadenze fisse viene descritta come un significativo vantaggio: per gli amministratori di sistema tali operazioni di aggiornamento possono essere pianificate con sufficiente anticipo.

La nuova analisi proposta porterà sicuramente alle immancabili critiche: così è stato per le precedenti edizioni e così sarà anche in futuro. In questo lavoro di Jeff Jones viene messo in discussione il metodo scelto per definire più o meno sicuro un sistema operativo: il numero di vulnerabilità note e risolte non può essere l'unico indice.

Alcuni vorrebbero introdurre quale parametro di confronto il numero giorni di esposizione al rischio, da quando si conosce la vulnerabilità in modo pubblico a quando si rende disponibile una patch correttiva; questa analisi, probabilmente, penalizzerebbe Microsoft proprio per le modalità di rilascio ad appuntamenti prestabiliti. Un ulteriore indice per valutare la sicurezza di un sistema  potrebbe essere la valutazione del tipo di vulnerabilità e del potenziale rischio ad essa associato.

Come segnalato da blog.technet.com, Jeff Jones non ha ignorato le critiche sollevate in merito al proprio lavoro ed ha voluto commentare come segue:

Nessuno ha mai preteso di far passare per dogma la seguente equivalenza: Vista ha meno vulnerabilità di tutti = Vista è più sicuro di tutti. La sicurezza è aspetto ben più complesso da valutare e questa singola metrica ovviamente da sola non basta allo scopo. Sarebbe però anche ottuso negare quale enorme peso abbia il numero delle vulnerabilità nel livello di rischio a cui è esposto un dato sistema operativo.

Nelle prossime edizioni di questa particolare analisi, probabilmente, il metodo di valutazione verrà modificato introducendo vari fattori di giudizio.