[NaLug] Windows più sicuro di Linux: ma de che?

dave dave.m a email.it
Mar 19 Lug 2005 06:15:33 CDT 


Sono anni che Ms paga per questo tipo di pubblicità tecnica
allo scopo di confondere le persone inesperte.

Innanzitutto commissionare uno studio comparativo a terzi offre
le stesse garanzie di imparzialità di uno studio fatto in casa,
per cui, come si è detto, è assolutamente una comparazione di parte.


Mi sono preoccupato di esaminare lo studio per apprenderne la
metodologia.


Sono sinceramente preoccupato.

Vi sono delle difficltà da parte mia di accettare principi quali la 
comparazione sul numero di vulnerabilità.

Per un attacker può essere utile avere più ingressi, ma 
un sistema con molte vulnerabilità locali è ovviamente più sicuro
di uno con lo stesso numero di vulnerabilità remote.

Vi sono fattori umani quali la facilità nello scrivere l'exploit 
e la diffusione pubblica che sono fondamentali a valutare un
impatto sul rischio.


L'algoritmo utilizzato per calcolare le vulnerabilità è assolutamente
puerile, sterile ed errrato.

E' puerile perchè si limita a considerare 2 soli fonti:
le vulnerabilità presenti sul sito della microsoft all'indirizzo:
  http://www.microsoft.com/technet/security/current.aspx 
e di red hat su:
  https://rhn.redhat.com/errata/rhel3es-errata-security.html

senza verificarne l'impatto e l'exploitabilità di fatto.
  

E' sterile perchè non offre nulla di più che un semplice conto 
delle righe di 2 tabelle.


Errato perchè viola i suoi stessi principi.

Un principio enunciato è di voler confrontare 2 sistemi con le stesse
funzionalità.


Ebbene se si consulta https://rhn.redhat.com/errata/RHSA-2004-432.html
si nota come Acrobat Reader pesa di 2 punti al conto (per il cve multiplo)
sulle spalle di red hat ma non viene conteggiato per Ms.

E'solo un esempio ma anche ethereal (http://www.ethereal.com) viene pesa
solo per Red Hat.

Allora non prendiamoci in giro. 

Delle 106 vulnerabilità denunciate da Red Hat, nella mia comparazione,
senza prendere in considerazione i cve multipli, quasi tutte non hanno a 
che fare con l'installazione che un tecnico qualificato svolgerebbe per un
web server.

Se l'obbiettivo è fornire servizi web con supporto php e mysql perchè
includere roba come emacs, xemacs gnome, sniffer di rete, demoni di stampa,
latex, mozilla, samba, squid, rsync, openoffice, mutt e pure gaim.



Questa non è l'installazione di default, è l'installazione che farebbe 
un ubbriaco o uno che vede per la prima volta Red Hat, senza leggere 
documetazione, con una certo menefreghismo sul risultato mentre guarda la Tv.
 
Sono sicuro che dalla seconda in poi, nonostante il menefreghismo e la Tv, vi 
sia un netto miglioramento.


Arrivati a questo punto, perchè non aggiungere a Red Hat anche le 
vulnerabilità di microsoft per tutti i software che si possono emulare con 
wine?


-- 
>here are more things in heaven and earth,
horatio, than are dreamt of in your philosophy.

Maggiori informazioni sulla lista NaLug