Site Meter O Primeiro Passo é Admitir que o Problema Existe - Segurança na Microsoft - Site Home - TechNet Blogs

Segurança na Microsoft

Comentários e Análises sobre Segurança da Informação, por Fernando Cima

O Primeiro Passo é Admitir que o Problema Existe

O Primeiro Passo é Admitir que o Problema Existe

  • Comments 3
  • Likes

Michael Howard escreveu um post sensacional no blog do SDL que remete às estatísticas de vulnerabilidades que a Microsoft compilou após o primeiro ano do Windows Vista. Para recapitular, as estatísticas mostraram que o Windows Vista teve no seu primeiro ano menos da metade do número de vulnerabilidades divulgadas que o Windows XP no seu primeiro ano, mesmo tendo quase 50% a mais de linhas de código.

Isso para nós da Microsoft é a parte mais importante do relatório. Mostra  o investimento em um processo de desenvolvimento seguro está dando resultados. Mostra que a Microsoft está melhorando. Ainda há muito o que se fazer, claro.

Outra parte do relatório compara estes números de vulnerabilidades encontradas com os de outros sistemas operacionais de desktop, como o Ubuntu Linux, Red Hat Enterprise Linux e Mac OS X. E a coisa não ficou nada boa para este último, e é francamente vergonhoso para distribuições Linux, que tiveram aproximadamente 5 vezes (Ubuntu) ou 10 vezes (Red Hat) mais vulnerabilidades.

Assim como Michael Howard, eu também recebi todo o tipo de desculpa sobre estes números:

■ "Eu uso Linux sem antivirus e nunca tive problema"

■ "A Microsoft esconde as suas vulnerabilidades"

■ "Com estatísticas você consegue provar qualquer coisa"

■ "Nós somos mais seguros porque corrigimos mais vulnerabilidades"

Oops, este último foi a Red Hat!

OK, vamos então deixar a comparação com o Windows de lado por um segundo. Vamos inclusive remover as barras do Windows do gráfico original, e ficar aqui com essa versão:

Vulnerabilidades no Primeiro Ano de Lancamento

Não importa como você queira ver, quatrocentas vulnerabilidades encontradas em um ano é muita coisa. Significa mais de uma vulnerabilidade por dia, praticamente duas vulnerabilidades por dia se você contar somente os dias úteis! E note que isso se refere apenas a parte básica do sistema operacional - estamos excluindo aqui os pacotes de escritório, compiladores e tudo mais.

Ainda assim, eu não vejo ninguém admitir isso como sendo um problema. Você esperaria alguém dizer "olha, temos um problema, vamos procurar uma solução para isso". Mas isso nunca veio. Ao contrário, as poucas iniciativas para implementar uma melhoria sistemática na qualidade do software falharam (nesse caso em particular, o responsável acabou depois vindo trabalhar na Microsoft).

O primeiro passo para resolver o problema é admitir que ele existe. A Microsoft reconheceu isso abertamente e embarcou em uma jornada para produzir softwares mais seguros. Outros fabricantes preferem negar que o problema existe. Os números só refletem isso.

 

Comments
  • Voud discordar de você olhando a questão da "Microsoft reconheceu as falhas..." de um outro ângulo.   Não é que ela 'reconheceu'.   É que aquela 'molecadinha' do Time "Não Temos Nada na Cabeça & Não Fazemos Nada" furou o Sistema em diversos pontos e MOSTROU  inúmeras falhas ao longo desse período.

    É por essa e por outras, que a Microsoft TEVE O DEVER de reconhecer que havia brechas inesperadas em lugares inóspitos a serem corrigidas, e assim o foi, graças ao bom Deus!

    Adoro a Microsoft, ainda consegue me surpreender, e gostei imensamente da maneira como você expões essas questões/problemas.

    Meu Abraço prá Você, e que continue brilhante!

    Maria Antonieta, São Paulo

    te200@globo.com

  • Olá Maria,

    Obrigado, e na verdade eu concordo com quase tudo o que você disse. Realmente a Microsoft tinha o dever de reconhecer que havia um problema com a segurança dos seus softwares, e tinha que fazer alguma coisa.

    Só que este não era (e não é) só um problema da Microsoft, e este é o ponto deste post. Por que ninguém mais reconhece também que tem um problema - mesmo tendo abundante evidência que ele existe?

    Abraços,

  • Foi descoberta uma falha no Iphone (menina dos olhos de muito brasileiro) que permite o logon de qualquer

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment