Dopo un po' di attesa finalmente è stato rilasciato il famoso report del collega Jeff Jones che opera il confronto tra le vulnerabilità di Windows Vista e quelle di altri sistemi operativi client paragonabili, prendendo questa volta in considerazione il primo anno di vita dei prodotti presi in esame. Una certa ansia per l'attesa era comprensibile: sulle due versioni precedenti dello stesso report, quello dei primi 90 giorni (qui il mio post), e quello dei primi 6 mesi (ed il relativo mio post), su questo stesso mio security blog ho visto scatenarsi i confronti più accesi e animati di un intero anno di blogging.
Iniziamo con il dire che alcuni detrattori di Windows Vista per partito preso, speravano che l'analisi ad un anno ribaltasse i risultati precedenti, un po' alla stregua di quanto avviene durante le elezioni politiche, dove si spera che i risultati dello spoglio siano diversi dagli exit-poll (spiego il parallelo che sembra forse un cavolo a merenda: mentre vi scrivo vedo con la coda dell'occhio i politici che se le danno a Porta-a-Porta in attesa del voto di fiducia al Senato di domani...): questo "ribaltone" non è avvenuto e in estrema sintesi si può dire che Windows Vista esce ancora una volta vincente nel confronto sulle vulnerabilità rispetto agli altri sistemi operativi scelti per il paragone (che vi ricordo sono Windows XP, Red Hat Ent. Linux 4 Wks, Ubuntu 6.06 LTS, Apple Mac OS X 10.4). Il risultato, inoltre, è anche più significativo se pensiamo che il numero di vulnerabilità totali cresce negli anni (dato confermato dall'ultimo Microsoft Security Intelligence Report) grazie all'evidente evoluzione dell'ecosistema di ricerca delle vulnerabilità: oggi ci sono più ricercatori, più strumenti automatici e più metodi per trovarle. Ancora una volta i numeri parlano da soli e i grafici rendono anche meglio il concetto, eccovi quindi il confronto in casa Microsoft, Windows XP rispetto a Windows Vista:
... e a seguire il confronto fuori casa Microsoft, Windows Vista contro tutti:
Il report merita davvero la vostra lettura (e mi riferisco in particolare a tutti coloro che hanno provato a polemizzare su questo tipo di analisi) perché Jeff Jones, proprio per rispondere elegantemente a queste critiche ci ha tenuto a puntualizzare alcune considerazioni importanti: visto che le condivido appieno ve le riporto in breve:
Nessuno ha mai preteso di far passare per dogma la seguente equivalenza: Vista ha meno vulnerabilità di tutti = Vista è più sicuro di tutti. La sicurezza è aspetto ben più complesso da valutare e questa singola metrica ovviamente da sola non basta allo scopo. Sarebbe però anche ottuso negare quale enorme peso abbia il numero delle vulnerabilità nel livello di rischio a cui è esposto un dato sistema operativo.
Il report poi propone una nuova interessante analisi che mostra come siano distribuiti nel corso dell'anno i cosiddetti patch event: documentando le varie occasioni in cui gli amministratori dei sistemi sono stati chiamati ad una operazione di aggiornamento per provvedere all'installazione di una security patch, si è in grado di dimostrare anche in questo caso un evidente vantaggio di Windows Vista rispetto a tutti, come sistema operativo che ha ridotto in modo significativo l'impegno amministrativo sui sistemi.
Per coloro che poi non trovano altro modo di sminuire questa analisi se non contestare questa metrica sul numero di vulnerabilità indicando come più significativa quella dei cosiddetti Days-Of-Risks (i giorni di esposizione al rischio, da quando si conosce la vulnerabilità in modo pubblico a quando si rende disponibile una patch correttiva), il buon Jeff Jones promette di ritornare appena possibile con un'analisi in tal senso... alla prossima!
@Claudio:
grazie a te per la discussione.
"So che non mi crederai", ma solitamente l'"approccio FARto" è quello tipico, del "mondo" Linux nei confronti del "mondo" Microsoft.
Magari sei fra quelli che non credono nell'"accaparrarsi quote di mercato", che non vedono che di Linux si parla, da quando ben noti Nomi hanno visto in esso un'arma anti-Microsoft, ma grazie lo stesso.
Avrei qualcosa da ridire sul "bastano 4 corsi e delle skill medie", ma insomma, ognuno porta la sua esperienza :)
@Pasquale:
sulla compatibilità, si può dire di tutto ed il contrario di tutto.
A me sembra che l'elenco delle applicazioni compatibili sia in crescendo rossiniano.
Tuttavia, una cosa vorrei chiederti: è da due anni prima dell'uscita di Vista che ho cominciato a seguire i talk su "cosa fare per rendere le proprie applicazioni compatibili con Vista".
Su UAC e manifest si sapeva praticamente tutto; nè la virtualizzazione del file system (una pratica "deprecated", tra l'altro) è stata tenuta nascosta. Tool come ACT (http://www.microsoft.com/italy/technet/windowsvista/rtm/act5feat.mspx) sono in giro da molto, ma molto prima del "lancio" di Vista.
L'aggiornamento delle proprie applicazioni a Vista, spettava forse a Microsoft? Le Aziende che lo producono, il "software che costa bei soldini", CHE HANNO FATTO?
Chiuderei qui l'OT, sennò Feliciano, invece della(e) scandinava(e), mi manda Elektra :P
@Paolo
Lo so lo so, purtroppo l'attacco a testa bassa per partito preso è una brutta bestia, e la vedo tanto trai fanatici di Linux.Io provo a non caderci se riesco :-)
@All: uaoooo... è proprio vero che "l'acqua che non ha fatto in cielo sta..." (frase dialettale delle mie parti...): ho tanto desiderato che i miei post generassero discussioni intense... ed ecco ...finalmente!
Ma visto che di natura sono un po' bacchettone, vi riporto all'ordine: perché, di grazia, questi confronti scivolano sempre su una tonnellata di temi diversi di sicurezza (per carità interessantissimi) tutti assieme, lontani dal punto di partenza iniziale?
Qui (il mio post del report) si sta discutendo DI FATTO del processo di sviluppo di codice e della sua capacità di ridurre il numero di vulnerabilità (per Microsoft leggi SDL): si sta confrontando il numero di vulnerabilità corrette e non corrette nel primo anno di vita dei prodotti sulla base di database pubblici. Basta. Stop. Finish. N-O-N si sta dicendo che Vista è più sicuro per questo. Ma chi dice che Vista è più bacato degli altri prende una cantonata e si deve ricredere, e chi dice che più occhi sul codice portano necessariamente ad un codice meno affetto da bug di sicurezza deve iniziare una profonda riflessione sulla validità di questo assunto...
@Feliciano:
guarda, visto che sono pigro di natura, la "riflessione" la faccio a Lipner (nel 2001, ripresa nel suo testo sull'SDL) :D
Già, io c'ero!... Ne avrete sicuramente letto, di quest'aperitivo organizzato da Microsoft Italia
Sintesi : come conto di fare ogni tanto d'ora in avanti, posterò una sintesi delle considerazioni
La notizia segnalata dal lettore nel commento al mio ultimo post era effettivamente troppo succosa per