Qual è il sistema operativo più sicuro ?

[lnessuno]

Quante volte avete sentito dire che Mac OS e Linux non hanno problemi di vulnerabilità e che Windows è un colabrodo ? Questo report di Jeff Jones (che lavora per Microsoft ma è un esperto riconosciuto del settore) dimostra il contrario, mettendo a confronto diversi sistemi operativi e mostrando un trend di miglioramento nella sicurezza dei sistemi Microsoft dovuto al rigoroso processo di sviluppo del codice noto come Security Development Lifecycle (SDL).

http://vincos.spaces.live.com/blog/c...F9D!2894.entry





http://secunia.com/product/13223/?task=statistics (vista)
http://secunia.com/product/10611/?task=statistics (ubuntu 6.06 lts)

cosa mi sfugge?

[W.S.]

Quote:

Originariamente inviato da lnessuno

cosa mi sfugge?

Credo nulla. Penso però che i semplici numeri non rendano l'idea.

Non è facile definire quale sistema è + sicuro di altri, ognuno può modificare il metro di misura a suo piacimento/favore... senza scatenare flame, non intendo difendere linux o mac o win, ci possono essere centinaia di obiezioni al fatto di quantificare la sicurezza solo in base ai bug ritrovati.

ad esempio:
- linux e mac comprendono nel sistema una marea di applicazioni, i bug di queste applicazioni vanno considerati?
- il livello di preparazione degli utenti va considerato?
- il tipo e la quantità di componenti installate vanno considerate?
- la possibilità di rimuovere immediatamente un'applicazione bacata?
- la quantità di gente impegnata al patching piuttosto che le policy aziendali?
- il numero di attacchi medio?
- la diffusione del sistema?
- etc etc etc

insomma... i numeri son quelli, non lo metto in dubbio. Secondo me però non bastano per dire "questo sistema è + sicuro di quest'altro".

[Ziosilvio]

Quote:

Originariamente inviato da lnessuno

cosa mi sfugge?

Che la definizione di "sicurezza" non è ben posta.
Se per "sicurezza" si intende "avere poche vulnerabilità sfruttabili", allora OpenBSD è molto più sicuro di Windows, Linux, e Mac OS X.
Se si intende "girare per anni senza piantarsi ed essendo sempre reattivo", allora QNX è probabilmente molto più sicuro di OpenBSD (e di Windows, Linux, e Mac OS X).
Oltretutto, la tabella fa riferimento a "vulnerabilità gravi", senza spiegare quale sia la soglia oltre la quale una vulnerabilità diventa grave.
Vale infine la pena di osservare come la versione di Ubuntu scelta per il confronto con Vista (il quale, essendo ancora molto nuovo e non tanto diffuso, avrà sicuramente poche vulnerabilità sfruttabili trovate) non sia la 6.10 ma la più vetusta 6.06.

[Cobra78]

E aggiungerei anche "in quanto tempo dalla scoperta viene risolto un baco", perchè ad esempio nel caso dei prodotti microsoft di norma se un baco viene scoperto il giorni di rilascio delle patch si resta a bocca asciutta fino al mese successivo, tranne rari casi; senza contare che Vista è sul mercato da troppo poco per poter dire quante magagne ha confronto a sistemi che sono diffusi da ben più di un anno.

[ilsensine]

Quote:

Originariamente inviato da lnessuno

cosa mi sfugge?

Il fatto che stai confrontando un s/o che fornisce migliaia di programmi con uno che fornisce campo minato e calcolatrice, più altri fattori (ad es. la relativa recentezza di Vista, ecc.).

Fare la semplice "somma" dei bug poi non sempre fa tornare i conti; come mai ad esempio ci sono in elenco i bug di firefox e gimp per Ubuntu e non su Vista? Questi programmi non sono forse installabili anche su Windows? (e opzionali su linux? Io uso konqueror ad esempio, lo preferisco a FF...)

[Fugazi]

Alcuni mesi fa il web si era scompisciato dalle risate all'uscita dei risultati di uno studio (commissionato da M$) secondo cui in un tempo di riferimento di alcuni mesi erano stati trovati e "debellati":
0 virus per Linux
1 virus per MacOS
+ di 1200 virus per Windows
....di conseguenza, secondo questi "signori" Windows è il sistema + sicuro perchè in tale sistema gli antivirus sono + efficaci.....

dipende da come si interpretano i dati

[lnessuno]

Quote:

Originariamente inviato da ilsensine

Il fatto che stai confrontando un s/o che fornisce migliaia di programmi con uno che fornisce campo minato e calcolatrice, più altri fattori (ad es. la relativa recentezza di Vista, ecc.).

Fare la semplice "somma" dei bug poi non sempre fa tornare i conti; come mai ad esempio ci sono in elenco i bug di firefox e gimp per Ubuntu e non su Vista? Questi programmi non sono forse installabili anche su Windows? (e opzionali su linux? Io uso konqueror ad esempio, lo preferisco a FF...)

per l'appunto, mi sfugge come fa a risultare più sicuro vista che è più recente e ha meno software di default, rispetto a linux... il numero dei bachi trovati su ubuntu 6.06 è superiore a quello di vista, ma la criticità? il 40% dei bachi di vista sono altamente o estremamente critici, su linux le falle di sicurezza altamente critiche poco più della metà...

mi sfugge come fa windows ad essere considerato più sicuro.

[SergioL68]

Quote:

Originariamente inviato da lnessuno

Quante volte avete sentito dire che Mac OS e Linux non hanno problemi di vulnerabilità e che Windows è un colabrodo ? Questo report di Jeff Jones (che lavora per Microsoft ma è un esperto riconosciuto del settore) dimostra il contrario, mettendo a confronto diversi sistemi operativi e mostrando un trend di miglioramento nella sicurezza dei sistemi Microsoft dovuto al rigoroso processo di sviluppo del codice noto come Security Development Lifecycle (SDL).

http://vincos.spaces.live.com/blog/c...F9D!2894.entry





http://secunia.com/product/13223/?task=statistics (vista)
http://secunia.com/product/10611/?task=statistics (ubuntu 6.06 lts)

cosa mi sfugge?

Bhè, sarebbe come chiedere ad Emilio Fede e poi a Santoro se la colpa della situazione in Italia è della sinistra o della destra

Io un idea riguardo la sicurezza me la sono fatta e se posso credere che l'OSX possa ricoprire quella posizione ho dei seri dubbi per quanto riguarda Vista e Red Hat Enterprise, semmai li invertirei di posizione

[Pr|ckly]

Quote:

Originariamente inviato da lnessuno

http://secunia.com/product/13223/?task=statistics (vista)
http://secunia.com/product/10611/?task=statistics (ubuntu 6.06 lts)

cosa mi sfugge?

Niente ti sfugge, solamente quella classifica si basa sui bug TROVATI nei primi 6 mesi di vita dei vari sistemi.
Secunia riporta il totale e se sono chiusi o meno, ecco perchè è diverso.

L'unica cosa interessante di quel grafico imho è il paragone Xp-Vista.

/edit: da prendere con le molle anche Secunia, come detto sopra ingloba in tutte le distro linux un eventuale bug in OpenOffice o Firefox ma non lo fa, per esempio, con IE7 per Windows.

[ilsensine]

Quote:

Originariamente inviato da lnessuno

per l'appunto, mi sfugge come fa a risultare più sicuro vista che è più recente e ha meno software di default, rispetto a linux... il numero dei bachi trovati su ubuntu 6.06 è superiore a quello di vista, ma la criticità? il 40% dei bachi di vista sono altamente o estremamente critici, su linux le falle di sicurezza altamente critiche poco più della metà...

mi sfugge come fa windows ad essere considerato più sicuro.

La statistica sulla percentuale di criticità per Vista ancora non è statisticamente significativa, visto l'esiguo numero di advisory. Inoltre, come ti dicevo, la "somma" non fa il "totale".
Guarda ad es. come ti faccio crescere subito la percentuale al 45% -- se su Ubuntu hanno inserito una vulnerabilità critica per openoffice, non trovi che su Vista andrebbe considerata anche questa?
http://secunia.com/advisories/25178/
E' una vulnerabilità indubbiamente importante, su programmi che chiunque usa windows ha. Eppure non compare nell'elenco delle vulnerabilità di Vista...

[Pr|ckly]

rotfl, abbiamo scritto la stessa cosa, giuro che non ti avevo letto prima di editare.

Quote:

La statistica sulla percentuale di criticità per Vista ancora non è statisticamente significativa, visto l'esiguo numero di advisory

E' un paragone fatto allo scadere dei 6 mesi, per tutti i sistemi presi in considerazione.

[ilsensine]

Quote:

Originariamente inviato da Pr|ckly

E' un paragone fatto allo scadere dei 6 mesi, per tutti i sistemi presi in considerazione.

All'inizio del periodo di 6 mesi, Ubuntu era già dotato di software largamente diffuso e studiato, mentre Vista stava appena entrando nel mercato. L'unica conclusione che sento di trarre da quelle statistiche è che windows ha notevolmente migliorato la sua sicurezza, ma gli adv di Securnia non sono secondo me utilizzabili così come sono per paragonare un s/o "recente" dotato di pochi software e uno più maturo, dotato di migliaia di software (non necessariamente installati dall'utente).

[Pr|ckly]

Quote:

Originariamente inviato da ilsensine

All'inizio del periodo di 6 mesi, Ubuntu era già dotato di software largamente diffuso e studiato, mentre Vista stava appena entrando nel mercato. L'unica conclusione che sento di trarre da quelle statistiche è che windows ha notevolmente migliorato la sua sicurezza, ma gli adv di Securnia non sono secondo me utilizzabili così come sono per paragonare un s/o "recente" dotato di pochi software e uno più maturo, dotato di migliaia di software (non necessariamente installati dall'utente).

In linea di massima sono d'accordo, io a Secunia non ho mai dato grande peso.
Piuttosto pensavo che il paragone con Office è forzato, di default non è installato nei sistemi Windows, diverso ragionamento per esempio con il browser, se riporti i bug di FF in tutte le distro linux lo devi fare anche con Ie per Windows, anzi, a maggior ragione visto che il secondo non si può nemmeno disinstallare.

Sul confronto come utilizzatori non saprei, l'unico dato che ho visto è quello dell'hw survey di Steam, dove Vista arrivava al 6%, purtroppo però non so in quale percentuale sia stimata la presenza di client Linux.

[ilsensine]

Quote:

Originariamente inviato da Pr|ckly

In linea di massima sono d'accordo, io a Secunia non ho mai dato grande peso.

Secunia mostra le statistiche per i sistemi così come sono distribuiti agli utenti, non è colpa loro se linux viene con migliaia di programmi e windows con nessuno, o se Vista è uscito l'anno scorso. E non possono includere in windows anche Office per il semplice fatto che è Microsoft (e i Mac dotati di Office? e gli utenti windows che usano OpenOffice? e gli utenti linux che usano koffice o abiword al posto di OpenOffice?).
Usare quelle statistiche per fare confronti di questo tipo è poco significativo.

[WebWolf]

Il sistema operativo più sicuro ?

Il mio.

(spero).

[vizzz]

Il sistema operativo più sicuro ?
quello di un pc spento (e con cavo di rete o modem staccato se possibile)

a parte gli scherzi, ma che senso ha fare statistiche su prodotti che hanno una distribuzione sulla popolazione così differente?
e poi secondo me, trovare più bug e subito è buona cosa rispetto a scoprire di avere un sistema buggato quando esce il service pack dopo un anno dall'uscita.
e sopratutto avere codice aperto porta ad avere una maggiore rilevazione di bug & C. che secondo me è un punto di forza inarrivabile per prodotti closed.

Quote:

Originariamente inviato da Ziosilvio

Se per "sicurezza" si intende "avere poche vulnerabilità sfruttabili", allora OpenBSD è molto più sicuro di Windows, Linux, e Mac OS X.

Linux è un kernel non un sistema operativo, il kernel Linux "da solo" è probabilmente più sicuro di OpenBSD (che è un sistema operativo completo... kernel + "roba" in userspace). Poi dipende dalla dotazione che aggiungi al "kernel Linux", da come è compilato, dal fatto che vengano o meno applicate alcune patch di hardening etc etc.

[manfredi90]

Il sistema operativo più sicuro?? come ho sempre detto e sempre dirò il sistema operativo più sicuro è qquello nelle mani di una persona che sa quello che fa, che non clicca a casosu tes solo perchè crede di fare prima e che non si sente un esperto in informatica solo perchè sa scaricare l'ultimo film dei Vanzina (che poi si rivela il solito pornazzo rinominato ) da emule...
Se un utente sa quello che fa allora al 99% si para il culo... Poi le varie pach e i vari anti virus ti possono coprire per il restante 1%...
Almeno questa è la mia opinione

[WarDuck]

Il sistema più sicuro... bene allora vi dico come la penso.

Se parliamo di sicurezza intrinseca cioè di sicurezza a livello di codice e di funzionalità di sicurezza, sicuramente abbiamo 3 OS allo stesso livello:

Linux, MacOS, Vista... molti gradini sotto c'è XP.

Ma non basta... ci sono molteplici fattori che concorrono, ad esempio la diffusione del sistema.

Da questo punto di vista Linux è il SO più sicuro perché è il meno diffuso (il Mac è più diffuso, e si diffonde sempre di più infatti Kaspersky ha recentemente pubblicato un bollettino a tale proposito).

Ancora non basta, il pericolo maggiore di ogni sistema è rappresentato dal fattore utente (magari alle prime armi).

Se creassi uno script in linux (magari mandato via email) che chiedesse la password di root e l'utente ignaro la digitasse, supponendo di usare un client email testuale per l'invio, avrei accesso all'account root di quel pc.

La differenza sta nel fatto che tipicamente l'utente Linux è definito come "avanzato" e quindi diffida dal fatto di ricevere un file script via email.

Il fatto è che nn si considera che lo stesso livello di accortezza ce lo può avere un utilizzatore di qualsiasi altro sistema operativo.

A livello intrinseco con Vista si sono allineati sicuramente agli standard di protezione degli altri OS (vedi gestione dei privilegi).

In finale puoi avere anche il sistema più sicuro del mondo, ma la vera sfida rappresenterà sempre l'utente.

Non esiste un software a prova di stupido, è la prima cosa che ti insegnano nei corsi di ingegneria.

PS: da quanto dice Secunia, si include in Vista anche un bug dovuto a drivers ATi.

[WebWolf]

Risposta lunga:

La mia di prima poteva sembrare una battuta, ma intrinsecamente e molto sinteticamente, volevo intendere ciò che molti di voi hanno già espresso.

E cioè che è l'utente a rendere sicuro un sistema operativo.

Strumenti come Antivirus, Antispyware/malware/*ware possono dare un aiuto, ma se l'utente non ha quel giusto grado di conoscenza e diffidenza verso tutto ciò che non gli è chiaro, allora questi strumenti non servono a nulla.

Anche l'OS più blindato non può far nulla se l'utente invia le credenziali bancarie attraverso le email di Banca Intesa e/o Banco Posta.

Analogamente non può far nulla se l'utente installa un firewall e poi apre tutte le porte per giocare/scaricare l'impossibile.

Quindi si torna sempre al punto di partenza.

Ci sono sistemi che si prestano meglio di altri ad essere monitorati e bindati, ma il 90% della sicurezza di un OS risiede tra la sedia e la tastiera.