9 Responses to "Vista the most secure OS, according to researcher"
  1. maurizio says:

    Come si fa a fare un confronto fra SO Desktop e SO Server?
    Oggi proporrò la sostituzione di tutti gli application server che girano su RH con Windows Vista, perchè Vista è il sistema operativo più sicuro ;)

  2. Roberto Messora says:

    tutte le volte che escono notizie come questa trovo davvero molto difficile commentarle, semplicemente perchè, nonostante i report offerti, è molto difficile capire su che basi vengono condotti questi benchmark (più ancora di quelli condotti sugli RDBMS). In genere si prediligono analisi indirizzate verso alcuni aspetti (ma non tutti), quindi non del tutto esaurienti.
    Che Vista sia il sistema operativo più sicuro mai realizzato da MS non ci piove, ma dalla mia esperienza non basta. e può anche darsi che in questo preciso periodo storico sia anche il più sicuro in assoluto. Però, fermo restando l’incredibile velocità con cui si muove il mondo dell’informatica, è molto più importante che il supporto al prodotto sia altrettanto sicuro ed efficiente nel tempo. Esattamente come per qualsiasi altro prodotto sw.
    Saluti

  3. Mauro Labate says:

    Beh ci sono tre cose dello studio che non vanno bene:
    1) è uno studio di Microsoft che mette in prima posizione Microsoft. Sarà anche basato su dati reali, ma prende in considerazione solo i parametri di comodo tali per cui Microsoft sta più in alto di tutti
    2) considera solo il numero di vulnerabilità scoperte. Posso capirlo per Vista, ma mettere nel grafico anche XP è quanto meno ridicolo. In XP le vulnerabilità saranno anche state poche all’inizio, ma se ne sfruttavi una ottenevi in 30ms accesso root a tutto il sistema e facevi quello che volevi. Non si può certo paragonare un problema di questo tipo a una vulnerabilità di RedHat che magari permette all’attaccante di eseguire javascript malevolo…
    3) i grafici si limitano ad indicare le vulnerabilità scoperte nei primi 90 e 180 giorni di vita dell’OS…non stupisce nessuno il fatto che un OS a codice aperto richieda meno tempo per trovare le falle del sistema…peccato che poi per windows si vada avanti a trovare decine di vulnerabilità al mese anche dopo 2-3 anni dalla prima release. Come dire: i buchi sono solo nascosti meglio, non è che non ci sono…

    Infine quoto Maurizio: come si può pretendere di confrontare distro Linux per Server, con centinaia di pacchetti aggiuntivi installati di default con un OS per desktop? Mi pare chiaro che con tutti quei pacchetti il numero grezzo di vulnerabilità sia superiore. L’autore ha avuto anche il coraggio di giustificarsi dicendo che ha tenuto conto solo di installazione con pacchetti default…

  4. Giorgio says:

    Mi sembra che l’articolo di Jeff Jones descriva in modo abbastanza comprensibile la metodologia usata per i confronti e che indirizzi anche il problema della differenza di componenti presenti nei diversi sistemi operativi proponendo un confronto tra Windows Vista/XP e RH/Suse “reduced” ovvero dove non sono state presi in considerazioni i problemi legati a componenti presenti su RH/Suse e non su Vista/XP.

  5. Mauro Labate says:

    No direi proprio di no. L’articolo non dice che sono stati presi in considerazione componenti non presenti in XP e Vista. Dice invece chiaramente che sono stati considerate le installazioni di default degli OS Linux ed è stato filtrato l’insieme dei risultati, eliminando i pacchetti opzionali come OpenOffice, Gimp e quelli che erano stati indicizzati come pacchetti esterni. Attenzione però che questi sono solo un numero minimo dei componenti installati di default: se l’autore avesse voluto vantarsi di aver comparato prodotto confrontabili dal punto di vista delle caratteristiche avrebbe dovuto basarsi sulle funzionalità nella sua analisi, non sulla denominazione del tipo di distribuzione di un componente. Una distribuzione Linux contiene un enorme numero di librerie e componenti che su Windows non sono presenti. Su Windows devo installare librerie per fare qualsiasi cosa, di base non ha nemmeno le JRE. Vorrei vedere se nei dati hanno considerato i bug di librerie e framework integrati nel sistema…

    Per Mac OSX poi non si è effettuato alcun filtraggio! OSX ha librerie Java, OpenGL framework, e altre (cito Java e framework di sviluppo OpenGL perché sono le due che ho usato recentemente e ho scoperto con piacere che fanno parte del pacchetto base dell’OS) installate, shell UNIX, decine e decine di tool di monitoraggio aggiuntivi. Come si fa a comparare dei sistemi tanto più ricchi di Windows solo sulla base del numero grezzo di vulnerabilità? Windows out of the box non offere particamente nulla: un browser, un client di posta e un file manager.

    Contare poi il numero di vulnerabilità non ha senso. Quantifichiamo i danni creati da quelle vulnerabilità e poi rapportiamoli al numero di terminali che usano l’uno o l’altro OS. Fare solo la conta dei bug trovati e fixati è veramente come giudicare un programma dal numero di linee di codice.

    Resta il fatto che Vista è sicuramente molto più sicuro dei vecchi OS Microsoft; ma mettere nel calderone anche XP è stato proprio il passo dell’articolo che mi ha fatto storcere il naso. Quel sistema operativo è il MALE nella sua prima versione rilasciata (che è ciò che l’articolo considera). Provate a metterlo su una macchina e collegatela in rete senza metterci davanti un potente firewall. Dopo 15 minuti non avete più la possibilità di fare nulla se non formattare: il PC non è più vostro. Ora c’è vulnerabilità e vulnerabilità, ma lì si trattava proprio di portoni aperti, altro che bug seri o lievi…

  6. Marcello Semboli says:

    Voi la fate troppo complicata. Per me la questione è semplice:
    http://strip.hacknight.org/index.php?indice=10

  7. E’ sconfortante notare come su questo tema di confronto, anche su questo blog (che di solito ha un ottimo livello di discussione) come sul mio (http://blogs.technet.com/feliciano_intini/archive/2007/06/21/I-primi-6-mesi-di-Windows-Vista-quando-i-numeri-parlano-da-soli.aspx ) si finisca con il “litigio” ma fatto con posizioni di pregiudizio, da ambo i lati. Tante considerazioni fatte da chi non condivide questa ricerca dimostrano apertamente che non ci si è presi la briga di leggere il report dettagliato, così come non sembra sia stato letto l’articolo di Ars Technica citato come fonte, e che riporta in fondo diverse considerazioni interessanti su cui, queste sì, varrebbe la pena di confrontarsi. Io stesso ho dato la scorsa volta, ai 90 giorni, una diversa chiave di lettura (http://blogs.technet.com/feliciano_intini/archive/2007/03/29/Riflessioni-sulle-recenti-statistiche-di-gestione-delle-vulnerabilita-Windows.aspx), ma questo non interessa, si preferisce prendere spunto solo per litigare come i bambini su “chi sia il più sicuro”, quando non era questo l’intento dello studio.

  8. Non mi sembra si stia litigando come “bambini”. Sono state fatte delle osservazioni. Trovo che sarebbe meglio da parte tua scrivere qualcosa sul perchè ritieni lo studio valido e in cosa sbagliano coloro che lo criticano.

  9. La mia provocazione sul “litigio infantile” si riferiva al fatto che in tutte le occasioni in cui si sta dibattendo su questo tema (non solo su questo blog) si è preso spunto dal report per continuare a litigare in modo quasi religioso sull’eterno dilemma di quale sia il sistema operativo più sicuro. Il report del mio collega Jeff Jones non intende fornire la risposta a questa domanda: è un confronto di vulnerabilità, per dimostrare i progressi del Security Development Lifecycle, in primo luogo verso il proprio passato (tenuto conto del fatto che Windows XP non aveva beneficiato di tutto l’SDL completo), e in seconda battuta verso i sistemi operativi concorrenti che non hanno lo stesso processo strutturato di scrittura e verifica di codice sicuro. Ribadisco inoltre che diverse osservazioni fatte nei commenti precedenti dimostrano di non aver letto il post originale (http://blogs.csoonline.com/windows_vista_6_month_vulnerability_report) e il report completo (http://www.csoonline.com/pdf/6_Month_Vista_Vuln_Report.pdf), nonché la personale dichiarazione di Jones sull’imparzialità o meno delle sue analisi e le motivazioni di fondo (http://blogs.csoonline.com/exactly_how_biased_am_i).
    Nel mio commento precedente ho riportato i link dei miei due post (uno fatto quando è stata pubblicata la prima versione del report, ai 3 mesi, e l’altro in corrispondenza della versione ai 6 mesi) proprio per segnalare le personali considerazioni che ho già avuto modo di esprimere in modo più esteso di quanto si possa fare in un breve commento: rimando cortesemente ad essi per chi fosse interessato a conoscere il valore che Microsoft, per la visibilità che ho personalmente di questi aspetti, attribuisce ad analisi come questa.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>