Quante volte avete sentito dire che Mac OS e Linux non hanno problemi di vulnerabilità e che Windows è un colabrodo ? Questo report di Jeff Jones (che lavora per Microsoft ma è un esperto riconosciuto del settore) dimostra il contrario, mettendo a confronto diversi sistemi operativi e mostrando un trend di miglioramento nella sicurezza dei sistemi Microsoft dovuto al rigoroso processo di sviluppo del codice noto come Security Development Lifecycle (SDL).

http://vincos.spaces.live.com/blog/cns!1BE30B71856FFF9D!2894.entry

http://blogs.csoonline.com/files/6mo-reduced-high.PNG



http://secunia.com/product/13223/?task=statistics (vista)
http://secunia.com/product/10611/?task=statistics (ubuntu 6.06 lts)

cosa mi sfugge?

cosa mi sfugge?

Credo nulla. Penso però che i semplici numeri non rendano l'idea.

Non è facile definire quale sistema è + sicuro di altri, ognuno può modificare il metro di misura a suo piacimento/favore... senza scatenare flame, non intendo difendere linux o mac o win, ci possono essere centinaia di obiezioni al fatto di quantificare la sicurezza solo in base ai bug ritrovati.

ad esempio:
- linux e mac comprendono nel sistema una marea di applicazioni, i bug di queste applicazioni vanno considerati?
- il livello di preparazione degli utenti va considerato?
- il tipo e la quantità di componenti installate vanno considerate?
- la possibilità di rimuovere immediatamente un'applicazione bacata?
- la quantità di gente impegnata al patching piuttosto che le policy aziendali?
- il numero di attacchi medio?
- la diffusione del sistema?
- etc etc etc

insomma... i numeri son quelli, non lo metto in dubbio. Secondo me però non bastano per dire "questo sistema è + sicuro di quest'altro".

cosa mi sfugge?
Che la definizione di "sicurezza" non è ben posta.
Se per "sicurezza" si intende "avere poche vulnerabilità sfruttabili", allora OpenBSD è molto più sicuro di Windows, Linux, e Mac OS X.
Se si intende "girare per anni senza piantarsi ed essendo sempre reattivo", allora QNX è probabilmente molto più sicuro di OpenBSD (e di Windows, Linux, e Mac OS X).
Oltretutto, la tabella fa riferimento a "vulnerabilità gravi", senza spiegare quale sia la soglia oltre la quale una vulnerabilità diventa grave.
Vale infine la pena di osservare come la versione di Ubuntu scelta per il confronto con Vista (il quale, essendo ancora molto nuovo e non tanto diffuso, avrà sicuramente poche vulnerabilità sfruttabili trovate) non sia la 6.10 ma la più vetusta 6.06.

E aggiungerei anche "in quanto tempo dalla scoperta viene risolto un baco", perchè ad esempio nel caso dei prodotti microsoft di norma se un baco viene scoperto il giorni di rilascio delle patch si resta a bocca asciutta fino al mese successivo, tranne rari casi; senza contare che Vista è sul mercato da troppo poco per poter dire quante magagne ha confronto a sistemi che sono diffusi da ben più di un anno.

cosa mi sfugge?
Il fatto che stai confrontando un s/o che fornisce migliaia di programmi con uno che fornisce campo minato e calcolatrice, più altri fattori (ad es. la relativa recentezza di Vista, ecc.).

Fare la semplice "somma" dei bug poi non sempre fa tornare i conti; come mai ad esempio ci sono in elenco i bug di firefox e gimp per Ubuntu e non su Vista? Questi programmi non sono forse installabili anche su Windows? (e opzionali su linux? Io uso konqueror ad esempio, lo preferisco a FF...)

Alcuni mesi fa il web si era scompisciato dalle risate all'uscita dei risultati di uno studio (commissionato da M$) secondo cui in un tempo di riferimento di alcuni mesi erano stati trovati e "debellati":
0 virus per Linux
1 virus per MacOS
+ di 1200 virus per Windows
....di conseguenza, secondo questi "signori" Windows è il sistema + sicuro perchè in tale sistema gli antivirus sono + efficaci.....

dipende da come si interpretano i dati :Prrr:

Il fatto che stai confrontando un s/o che fornisce migliaia di programmi con uno che fornisce campo minato e calcolatrice, più altri fattori (ad es. la relativa recentezza di Vista, ecc.).

Fare la semplice "somma" dei bug poi non sempre fa tornare i conti; come mai ad esempio ci sono in elenco i bug di firefox e gimp per Ubuntu e non su Vista? Questi programmi non sono forse installabili anche su Windows? (e opzionali su linux? Io uso konqueror ad esempio, lo preferisco a FF...)

per l'appunto, mi sfugge come fa a risultare più sicuro vista che è più recente e ha meno software di default, rispetto a linux... il numero dei bachi trovati su ubuntu 6.06 è superiore a quello di vista, ma la criticità? il 40% dei bachi di vista sono altamente o estremamente critici, su linux le falle di sicurezza altamente critiche poco più della metà...

mi sfugge come fa windows ad essere considerato più sicuro.

Quante volte avete sentito dire che Mac OS e Linux non hanno problemi di vulnerabilità e che Windows è un colabrodo ? Questo report di Jeff Jones (che lavora per Microsoft ma è un esperto riconosciuto del settore) dimostra il contrario, mettendo a confronto diversi sistemi operativi e mostrando un trend di miglioramento nella sicurezza dei sistemi Microsoft dovuto al rigoroso processo di sviluppo del codice noto come Security Development Lifecycle (SDL).

http://vincos.spaces.live.com/blog/cns!1BE30B71856FFF9D!2894.entry

http://blogs.csoonline.com/files/6mo-reduced-high.PNG



http://secunia.com/product/13223/?task=statistics (vista)
http://secunia.com/product/10611/?task=statistics (ubuntu 6.06 lts)

cosa mi sfugge?Bhè, sarebbe come chiedere ad Emilio Fede e poi a Santoro se la colpa della situazione in Italia è della sinistra o della destra :asd:

Io un idea riguardo la sicurezza me la sono fatta e se posso credere che l'OSX possa ricoprire quella posizione ho dei seri dubbi per quanto riguarda Vista e Red Hat Enterprise, semmai li invertirei di posizione :asd:

http://secunia.com/product/13223/?task=statistics (vista)
http://secunia.com/product/10611/?task=statistics (ubuntu 6.06 lts)

cosa mi sfugge?

Niente ti sfugge, solamente quella classifica si basa sui bug TROVATI nei primi 6 mesi di vita dei vari sistemi.
Secunia riporta il totale e se sono chiusi o meno, ecco perchè è diverso.

L'unica cosa interessante di quel grafico imho è il paragone Xp-Vista.

/edit: da prendere con le molle anche Secunia, come detto sopra ingloba in tutte le distro linux un eventuale bug in OpenOffice o Firefox ma non lo fa, per esempio, con IE7 per Windows.

per l'appunto, mi sfugge come fa a risultare più sicuro vista che è più recente e ha meno software di default, rispetto a linux... il numero dei bachi trovati su ubuntu 6.06 è superiore a quello di vista, ma la criticità? il 40% dei bachi di vista sono altamente o estremamente critici, su linux le falle di sicurezza altamente critiche poco più della metà...

mi sfugge come fa windows ad essere considerato più sicuro.
La statistica sulla percentuale di criticità per Vista ancora non è statisticamente significativa, visto l'esiguo numero di advisory. Inoltre, come ti dicevo, la "somma" non fa il "totale".
Guarda ad es. come ti faccio crescere subito la percentuale al 45% -- se su Ubuntu hanno inserito una vulnerabilità critica per openoffice, non trovi che su Vista andrebbe considerata anche questa?
http://secunia.com/advisories/25178/
E' una vulnerabilità indubbiamente importante, su programmi che chiunque usa windows ha. Eppure non compare nell'elenco delle vulnerabilità di Vista...

rotfl, abbiamo scritto la stessa cosa, giuro che non ti avevo letto prima di editare. :eek:

La statistica sulla percentuale di criticità per Vista ancora non è statisticamente significativa, visto l'esiguo numero di advisory

E' un paragone fatto allo scadere dei 6 mesi, per tutti i sistemi presi in considerazione.

E' un paragone fatto allo scadere dei 6 mesi, per tutti i sistemi presi in considerazione.
All'inizio del periodo di 6 mesi, Ubuntu era già dotato di software largamente diffuso e studiato, mentre Vista stava appena entrando nel mercato. L'unica conclusione che sento di trarre da quelle statistiche è che windows ha notevolmente migliorato la sua sicurezza, ma gli adv di Securnia non sono secondo me utilizzabili così come sono per paragonare un s/o "recente" dotato di pochi software e uno più maturo, dotato di migliaia di software (non necessariamente installati dall'utente).

All'inizio del periodo di 6 mesi, Ubuntu era già dotato di software largamente diffuso e studiato, mentre Vista stava appena entrando nel mercato. L'unica conclusione che sento di trarre da quelle statistiche è che windows ha notevolmente migliorato la sua sicurezza, ma gli adv di Securnia non sono secondo me utilizzabili così come sono per paragonare un s/o "recente" dotato di pochi software e uno più maturo, dotato di migliaia di software (non necessariamente installati dall'utente).

In linea di massima sono d'accordo, io a Secunia non ho mai dato grande peso.
Piuttosto pensavo che il paragone con Office è forzato, di default non è installato nei sistemi Windows, diverso ragionamento per esempio con il browser, se riporti i bug di FF in tutte le distro linux lo devi fare anche con Ie per Windows, anzi, a maggior ragione visto che il secondo non si può nemmeno disinstallare.

Sul confronto come utilizzatori non saprei, l'unico dato che ho visto è quello dell'hw survey di Steam, dove Vista arrivava al 6%, purtroppo però non so in quale percentuale sia stimata la presenza di client Linux.

In linea di massima sono d'accordo, io a Secunia non ho mai dato grande peso.

Secunia mostra le statistiche per i sistemi così come sono distribuiti agli utenti, non è colpa loro se linux viene con migliaia di programmi e windows con nessuno, o se Vista è uscito l'anno scorso. E non possono includere in windows anche Office per il semplice fatto che è Microsoft (e i Mac dotati di Office? e gli utenti windows che usano OpenOffice? e gli utenti linux che usano koffice o abiword al posto di OpenOffice?).
Usare quelle statistiche per fare confronti di questo tipo è poco significativo.

Il sistema operativo più sicuro ?

Il mio.

(spero).

;)

Il sistema operativo più sicuro ?
quello di un pc spento (e con cavo di rete o modem staccato se possibile)

a parte gli scherzi, ma che senso ha fare statistiche su prodotti che hanno una distribuzione sulla popolazione così differente?
e poi secondo me, trovare più bug e subito è buona cosa rispetto a scoprire di avere un sistema buggato quando esce il service pack dopo un anno dall'uscita.
e sopratutto avere codice aperto porta ad avere una maggiore rilevazione di bug & C. che secondo me è un punto di forza inarrivabile per prodotti closed.

Se per "sicurezza" si intende "avere poche vulnerabilità sfruttabili", allora OpenBSD è molto più sicuro di Windows, Linux, e Mac OS X.

Linux è un kernel non un sistema operativo, il kernel Linux "da solo" è probabilmente più sicuro di OpenBSD (che è un sistema operativo completo... kernel + "roba" in userspace). Poi dipende dalla dotazione che aggiungi al "kernel Linux", da come è compilato, dal fatto che vengano o meno applicate alcune patch di hardening etc etc.

Il sistema operativo più sicuro?? come ho sempre detto e sempre dirò il sistema operativo più sicuro è qquello nelle mani di una persona che sa quello che fa, che non clicca a casosu tes solo perchè crede di fare prima e che non si sente un esperto in informatica solo perchè sa scaricare l'ultimo film dei Vanzina (che poi si rivela il solito pornazzo rinominato ) da emule...
Se un utente sa quello che fa allora al 99% si para il culo... Poi le varie pach e i vari anti virus ti possono coprire per il restante 1%...
Almeno questa è la mia opinione:)

Il sistema più sicuro... bene allora vi dico come la penso.

Se parliamo di sicurezza intrinseca cioè di sicurezza a livello di codice e di funzionalità di sicurezza, sicuramente abbiamo 3 OS allo stesso livello:

Linux, MacOS, Vista... molti gradini sotto c'è XP.

Ma non basta... ci sono molteplici fattori che concorrono, ad esempio la diffusione del sistema.

Da questo punto di vista Linux è il SO più sicuro perché è il meno diffuso (il Mac è più diffuso, e si diffonde sempre di più infatti Kaspersky ha recentemente pubblicato un bollettino a tale proposito).

Ancora non basta, il pericolo maggiore di ogni sistema è rappresentato dal fattore utente (magari alle prime armi).

Se creassi uno script in linux (magari mandato via email) che chiedesse la password di root e l'utente ignaro la digitasse, supponendo di usare un client email testuale per l'invio, avrei accesso all'account root di quel pc.

La differenza sta nel fatto che tipicamente l'utente Linux è definito come "avanzato" e quindi diffida dal fatto di ricevere un file script via email.

Il fatto è che nn si considera che lo stesso livello di accortezza ce lo può avere un utilizzatore di qualsiasi altro sistema operativo.

A livello intrinseco con Vista si sono allineati sicuramente agli standard di protezione degli altri OS (vedi gestione dei privilegi).

In finale puoi avere anche il sistema più sicuro del mondo, ma la vera sfida rappresenterà sempre l'utente.

Non esiste un software a prova di stupido, è la prima cosa che ti insegnano nei corsi di ingegneria.

PS: da quanto dice Secunia, si include in Vista anche un bug dovuto a drivers ATi.

Risposta lunga:

La mia di prima poteva sembrare una battuta, ma intrinsecamente e molto sinteticamente, volevo intendere ciò che molti di voi hanno già espresso.

E cioè che è l'utente a rendere sicuro un sistema operativo.

Strumenti come Antivirus, Antispyware/malware/*ware possono dare un aiuto, ma se l'utente non ha quel giusto grado di conoscenza e diffidenza verso tutto ciò che non gli è chiaro, allora questi strumenti non servono a nulla.

Anche l'OS più blindato non può far nulla se l'utente invia le credenziali bancarie attraverso le email di Banca Intesa e/o Banco Posta.

Analogamente non può far nulla se l'utente installa un firewall e poi apre tutte le porte per giocare/scaricare l'impossibile.

Quindi si torna sempre al punto di partenza.

Ci sono sistemi che si prestano meglio di altri ad essere monitorati e bindati, ma il 90% della sicurezza di un OS risiede tra la sedia e la tastiera.

Ci sono sistemi che si prestano meglio di altri ad essere monitorati e bindati, ma il 90% della sicurezza di un OS risiede tra la sedia e la tastiera.
quoto: EBKAC

quoto: EBKAC

quoto anch'io
che sia win (che pero devi per forza mettere un antivirus succhia risorse) o mac o linux o BSD sono tutti dei colabrodo, chi piu :confused: :D e chi meno.
io penso che il problema di linux sia la troppa varieta' di cose, che rende difficile la correzione o la scoperta di bug.

secondo me comunque il 90% dei problemi derivanti dall'uso di xp è dovuto al fatto che si usa da amministratore... quante volte ho fatto assistenza a gente che magari aveva un account per ogni famigliare, e tutti da amministratore... :muro:

con vista dovrebbe essere migliorata la cosa con le uac o come si chiamano (un surrogato di sudo, fondamentalmente), ma in giro per la rete si vedono già decine di guide di "espertoni" che consigliano di togliere questa funzionalità...:cry:

Non sarà nemmeno di parte suppongo visto che ci lavora in Microsoft :D
E poi si parla di bugs pubblici...e grazie tante che ne trovano meno!E poi i programmatori Windows non è che subito sbandierano ai quattro venti i bugs trovati e nemmeno si sono distinti per la velocità nelle patch pubbliche.
E poi ubuntu stessa per quanto sia un fork Debian è sempre relativamente giovane e comunque avere pacchetti sempre "alla moda" per filosofia non l' aiuta molto in questo sondaggio. Magari con qualche distro storica non sarebbe stato così scontato il sondaggio.
Oltretutto la differenza è che una distribuzione linux posso ridurla all'osso (riducendo possibili problemi) e comunque modellarla secondo le mie esigenze.Windows semplicemente no :)

secondo me queste statistiche, se non sono di parte, lasciano il tempo che trovano perchè non valutano l'aspetto più importante, cioè che problema mi da una eventuale infezione o bug.

Per spiegarmi meglio vi racconto questa

Un mio amico che usa XP per lavoro (niente navigazione in siti particolari, niente scaricare giochi, film, niente chat, ecc., ecc., ecc....) che usa un firewall tutto chiuso, Norton antivirus (definizione impronte virus aggiornata più volte alla settimana), ecc..., niente instllazione programmi vari "per vedere come sono", all'improvviso ha incominciato a notare comportamenti strani (riavvii, icone e scritte svolazzanti per lo schermo, ecc..), ha pensato bene di fermare Norton ed usare un antivirus "online", mi pare kaspersy.

Risultato: 27 tra virus, trojan, dialler, ecc, un mare di file (eseguibili e non) infetti e non recuperabili. Notare che ha trovato anche allegati infetti ad e-mail inviate da un nostro amico comune che è maniaco del PC (usa anch'esso XP) e della sicurezza (è in pensione e passa metà delle sue giornate a "curare" il PC), fare aggiornamenti, mettere e configurae antivirus (a forza di antivirus il suo athlon 2000 gira come un 500 !) ed evita come la peste siti anche solo lontanamente dubbi ed e-mai puzzolenti.

Evidentemente qualche virus non rilevato dall'antivirus ha infettato norton rendendolo inefficace. E per finire, appena rimossi tutti file infetti segnalati, (distruggendo numerosi programmi) ecco che la danza riprende, numerosi file sospetti (da ricerche su internet) ricompaiono ecc...

Io invece ho una installazione di Linux/mandriva da non ricordo più, mi pare 5/6 anni (aggiornata da mandrake 9.qualcosa fino a mandriva 2007) con il firewall (mi pare shorewall) con impostazioni di default, al livello più basso di sicurezza, e non ho mai avuto problemi di sicurezza da virus, trojan, ecc...
Non dico di non averne, dico solo che non mi hanno dato mai il benchè minimo fastidio, tanto che non me ne sono mai dovuto preoccupare.

Magari le mie e-mail seminano virus su mezza internet, ma a me non danno alcun problema !

Ora vi chiedo: è più sicuro il mio (mal)(bis)trattato linux o gli XP supercurati e superprotetti dei miei due amici ?

P.S.

Nel loro caso il problema non sta tra la sedia e la tastiera, ma in quell'ammaso di bit contenuto nekll'HD chiamato XP !

Nel loro caso il problema non sta tra la sedia e la tastiera, ma in quell'ammaso di bit contenuto nekll'HD chiamato XP !
Network address translation e passa la paura :O

Il fatto che usi Norton è tutto a suo sfavore.

In secondo luogo (ma guarda te se devo difendere Windows !), se XP è originale, seppur con un tempismo da pachiderma, vengono rilasciate le patch di sicurezza che risolvono diversi problemi di windows.

Il problema è che la maggior parte dei windows in circolazione è pirata. Quindi o hanno gli aggiormamenti automatici bloccati, oppure hanno la bellissima stellina che li avvisa che il sistema è contraffatto. Risultato: non possono fare le patch.

Uso windows dai tempi del 3.11 per Workgroup (per questo preferisco Linux ;) ), ma i sistemi operativi Windows 'sotto la mia giurisdizione', non si sono (quasi) mai infettati a livello 'letale'.

Ovvio che le direttive di condotta sono rigide (non usare Outlook, non usare IE, non usare Norton, non aprire email senza oggetto/mittente ecc ecc).

Qui lo dico (e potrei pentirmene), dopo Windows NT e 2000, XP SP2 è il miglior sistema uscito da casa MS.

Resto, quindi, sconcertato dal fatto che invece migliorare/ottimizzare XP abbiamo generato quell'obrobrio di Vista, ma non sono io il repsonsabile marketing MS.

Quindi si torna al punto di partenza: la sicurezza di un OS è nell'utente.

P.S:
Se un utente ti chiama con un pc infettato da 27 virus e ti dice ' che non ha fatto nulla' ... mente.