hit counter
Windows Vista ancora vincente nel report sul confronto di vulnerabilità del primo anno - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Windows Vista ancora vincente nel report sul confronto di vulnerabilità del primo anno

Windows Vista ancora vincente nel report sul confronto di vulnerabilità del primo anno

  • Comments 22
  • Likes

Dopo un po' di attesa finalmente è stato rilasciato il famoso report del collega Jeff Jones che opera il confronto tra le vulnerabilità di Windows Vista e quelle di altri sistemi operativi client paragonabili, prendendo questa volta in considerazione il primo anno di vita dei prodotti presi in esame. Una certa ansia per l'attesa era comprensibile: sulle due versioni precedenti dello stesso report, quello dei primi 90 giorni (qui il mio post), e quello dei primi 6 mesi (ed il relativo  mio post), su questo stesso mio security blog ho visto scatenarsi i confronti più accesi e animati di un intero anno di blogging.

Iniziamo con il dire che alcuni detrattori di Windows Vista per partito preso, speravano che l'analisi ad un anno ribaltasse i risultati precedenti, un po' alla stregua di quanto avviene durante le elezioni politiche, dove si spera che i risultati dello spoglio siano diversi dagli exit-poll (spiego il parallelo che sembra forse un cavolo a merenda: mentre vi scrivo vedo con la coda dell'occhio i politici che se le danno a Porta-a-Porta in attesa del voto di fiducia al Senato di domani...): questo "ribaltone" non è avvenuto e in estrema sintesi si può dire che Windows Vista esce ancora una volta vincente nel confronto sulle vulnerabilità rispetto agli altri sistemi operativi scelti per il paragone (che vi ricordo sono Windows XP, Red Hat Ent. Linux 4 Wks, Ubuntu 6.06 LTS, Apple Mac OS X 10.4). Il risultato, inoltre, è anche più significativo se pensiamo che il numero di vulnerabilità totali cresce negli anni (dato confermato dall'ultimo Microsoft Security Intelligence Report) grazie all'evidente evoluzione dell'ecosistema di ricerca delle vulnerabilità: oggi ci sono più ricercatori, più strumenti automatici e più metodi per trovarle. Ancora una volta i numeri parlano da soli e i grafici rendono anche meglio il concetto, eccovi quindi il confronto in casa Microsoft, Windows XP rispetto a Windows Vista:

FirstYear-WindowsXP-vs-Vista

... e a seguire il confronto fuori casa Microsoft, Windows Vista contro tutti:

FirstYear-Vista-vs-Other

Il report merita davvero la vostra lettura (e mi riferisco in particolare a tutti coloro che hanno provato a polemizzare su questo tipo di analisi) perché Jeff Jones, proprio per rispondere elegantemente a queste critiche ci ha tenuto a puntualizzare alcune considerazioni importanti: visto che le condivido appieno ve le riporto in breve:

Nessuno ha mai preteso di far passare per dogma la seguente equivalenza: Vista ha meno vulnerabilità di tutti = Vista è più sicuro di tutti. La sicurezza è aspetto ben più complesso da valutare e questa singola metrica ovviamente da sola non basta allo scopo. Sarebbe però anche ottuso negare quale enorme peso abbia il numero delle vulnerabilità nel livello di rischio a cui è esposto un dato sistema operativo.

Il report poi propone una nuova interessante analisi che mostra come siano distribuiti nel corso dell'anno i cosiddetti patch event: documentando le varie occasioni in cui gli amministratori dei sistemi sono stati chiamati ad una operazione di aggiornamento per provvedere all'installazione di una security patch, si è in grado di dimostrare anche in questo caso un evidente vantaggio di Windows Vista rispetto a tutti, come sistema operativo che ha ridotto in modo significativo l'impegno amministrativo sui sistemi.

Per coloro che poi non trovano altro modo di sminuire questa analisi se non contestare questa metrica sul numero di vulnerabilità indicando come più significativa quella dei cosiddetti Days-Of-Risks (i giorni di esposizione al rischio, da quando si conosce la vulnerabilità in modo pubblico a quando si rende disponibile una patch correttiva), il buon Jeff Jones promette di ritornare appena possibile con un'analisi in tal senso... alla prossima!

Comments
  • <p>Il nostro Feliciano ha fatto un post molto interessante (stanotte!) commentando i risultati del report</p>

  • <p>Technorati Tags: Microsoft , Windows , Security Voglio segnalarvi questo post di Feliciano Intini che</p>

  • <p>E' uscita la nuova versione del documento di analisi di Microsoft delle vulnerabilit&amp;#224; di Windows</p>

  • <p>E&amp;#39; uscita la nuova versione del documento di analisi di Microsoft delle vulnerabilit&amp;#224; di Windows</p>

  • <p>che Vista sia &quot;pi&#249; sicuro&quot; di XP non c'&#232; dubbio, in Microsoft hanno fatto un bel lavoro. Certo, si potrebbe notare come Vista abbia avuto i suoi problemi di sicurezza (e non pochi!) anche PRIMA della data che viene usata come Tempo 0 nel report. Ma soprassediamo, un prodotto in fase di sviluppo ha il diritto di avere problemi ed &#232; sacrosanto non considerarli.</p> <p>Sul confronto con Linux invece, ci sarebbero un bel p&#242; di cose da dire, a partire dal fatto che le assunzioni - il reduced component set fa rabbrividire - non hanno la minima validit&#224; (un paper cos&#236; in ambito accademico sarebbe rifiutato ovunque) e che le politiche di gestione della sicurezza sono molto diverse.</p> <p>Nel complesso per&#242; stiamo leggendo un documento Microsoft oriented, non ci si pu&#242; aspettare molto di pi&#249; (e la stessa cosa &#232; vera &quot;dall'altra parte&quot; purtroppo). Bella segnalazione Feliciano, nel complesso &#232; utile come reference.</p>

  • <p>@claudio</p> <p>forse a non ti &#232; chiaro che si sono considerate le &quot;reduced build&quot; di linux, proprio per favorire linux o meglio per gareggiare ad armi mari, non per svantaggiarlo! Quindi leggiti almeno il report su cosa significa &quot;reduced build&quot;, invece che sparare vaccate!</p> <p>Di quali politiche di gestione della sicurezza di linux parli?? Delle ridicole, obsolete, e superate r,w,e UGO? ROTFL!</p>

  • <p>FARto, ci ho pensato un p&#242; sul risponderti o meno. Alla fine ho deciso di evitare la flamewar: &#232; evidente che non conosci l'ambiente Linux moderno o quantomeno lo conosci in modo molto superficiale, tant'&#232; che mi citi i &quot;buoni vecchi&quot; 9 bit. Fa niente.</p> <p>Nel caso specifico mi riferivo alla politica di gestione degli aggiornamenti e delle problematiche di sicurezza in particolare: hai ragione sono stato impreciso. Nel mondo OS di solito vale la regola di rilasciare presto, che &#232; sostanzialmente l'opposto di quanto avviene per Microsoft (o nell'enterprise se &#232; per questo), e valgono anche una serie di altri discorsi.</p> <p>Osservavo semplicemente che l'appiattimento che ha fatto Jones &#232; troppo esagerato - e a parere mio fuorviante, ma questo &#232; un parere personale - per essere preso seriamente. Se facessi una review del paper lo rimanderei al mittente con un parere negativo.</p> <p>Questo non toglie niente alla validit&#224; del lavoro di raccolta informazioni, che resta interessante.</p>

  • <p>@Claudio: ciao Claudio, innanzitutto complimenti per il blog (affrontare il lavoro di Ristic non &#232; da tutti).</p> <p>Vorrei per&#242; capire anch'io (magari in maniera un p&#242; diversa da FARto) cosa critichi in particolare nella scelta del &quot;reduced component set&quot;; sarebbe stato magari ingeneroso un confronto Windows sistema operativo vs. una distro completa, con vari server, suite da ufficio, IDE, applicativi di vario genere ecc. ecc. (anche se, mi concederai, &#232; uno scenario reale: a parte qualcosina per &nbsp;gli OEM, di solito Windows viene rilasciato &quot;nude&quot;, laddove buona parte degli utenti Linux si affida ad una distro che &#232; un ambiente sistema operativo + applicativi + servizi, spesso ridondanti rispetto alle necessit&#224;. Che poi si possano utilizzare i configuratori, disinstallare i pacchetti, esistano distro &quot;secure by default&quot;, espressione comunque alquanto impropria.... &#232; un altro discorso).</p> <p>I modelli di sicurezza sono molto diversi (e del resto sono due s.o. diversi nella pi&#249; intima essenza, dalla gestione dei thread a quella della memoria a....), ma &#232; stato preso in considerazione un parametro &quot;gross&quot; come il numero di vulnerabilit&#224;, soggetto a qualche critica come tutti i parametri &quot;gross&quot;, ma indipendente dal modello di sicurezza.</p> <p>Ti ricordo per&#242; che su un parametro dipendente dal processo e non dal prodotto (IMHO un'ottima garanzia di &quot;affidabilit&#224;&quot; del confronto) come il tempo di risoluzione delle vulnerabilit&#224;, anche l&#236; Vista &#232; risultato vincente (<a rel="nofollow" target="_new" href="http://www.symantec.com/business/theme.jsp?themeid=threatreport">http://www.symantec.com/business/theme.jsp?themeid=threatreport</a>). E Symantec, beh, dopo il rilascio di Windows Defender, non si pu&#242; dire che fosse tenera di lingua n&#232; di carte bollate, con Microsoft!</p> <p>A proposito infine di modelli di sicurezza, chiunque spera in una piattaforma Windows sempre migliore non pu&#242; fare a meno di salutare una &quot;new entry&quot; del calibro di Crispin Coward nel team di Howard &amp; Co....</p> <p>Ed a Feliciano &#232; sfuggito di menzionarlo nel blog!</p> <p>CATTIVO! :P</p>

  • <p>Permettemi di aggiungere le brevi considerazioni che avrei voluto fare subito, poi vi lascio continuare nella (spero) pacata discussione.</p> <p>@Claudio: mi fa molto piacere averti qui sul mio security blog a commentare e a confrontarsi, soprattutto alla luce della dichiarazione di intenti che ho letto nel tuo blog &quot;he is not into the religion war most Linux users are fighting&quot;. Quando ho visto il tuo commento, per&#242;, mi sono leggermente dispiaciuto perch&#233; mi sono detto &quot;possibile che io non sia stato cos&#236; chiaro? Ho detto espressamente che questo report non vuole affermare che Vista sia pi&#249; sicuro degli altri. Prende in considerazione l'aspetto di scoperta di vulnerabilit&#224; e relative correzioni e si confronta, su dati che io ritengo oggettivi&quot;. Tu invece hai impostato il tuo commento argomentando su questo punto che non &#232; in discussione, non in questo report e sicuramente non per quanto mi riguarda.</p> <p>@FARto: mi sarebbe piaciuto che tu supportassi il mio desiderio di vedere un confronto pacato sul mio blog, non credo che questo modo discutere aiuti a fare dei progressi.</p> <p>@Paolo: non mi &#232; sfuggito... &#232; solo nella mia lunghissima coda delle informazioni utili da bloggare ;-)</p>

  • <p>@Feliciano: era ironico! :P</p> <p>Spero che stavolta ti farai trovare ad &quot;Heroes Happens&quot;; o quantomeno, manda una fotomodella scandinava in sostituzione! Anche due va bene, non sono un integralista.</p> <p>Faccio una bella &quot;branch&quot; del post con un divertente &quot;giochino a premi&quot; (NO, NON la fotomodella scandinava... al massimo una copia gratuita di SQL Server 2008 Express), cosa che va molto di moda qui in Italia: quali sono gli oggetti del kernel ai quali &#232; stata applicata la &quot;labeled security&quot;, una delle tante novit&#224; di Vista?</p> <p>Non sono un esperto di &quot;strategy forecasting&quot;, ma sono sicuro che al creatore di AppArmor (e di StackGuard, se &#232; per questo) piacer&#224; darvi un'occhiata... </p> <p>Come da prassi dei giochi a premio, i tenutari di blog del Technet non possono partecipare al concorso! :P</p>

  • <p>@Feliciano, ma anche Paolo</p> <p>Salve a te e grazie per il benvenuto :-) In realt&#224; sono stato frainteso: non stavo minimamente criticando l'affermazione &quot;Vista &#232; pi&#249; sicuro&quot;, figuriamoci, anzi condivido in pieno quanto hai scritto nel post, sei stato chiarissimo... anche se forse non sono d'accordo sull'oggettivit&#224; dei parametri, ma non voglio criticare questo (no religion wars :) ).</p> <p>Piuttosto criticavo il modus operandi proprio del reduced set! </p> <p>Non perch&#233; sia sbagliata l'idea - tutto sommato se si vogliono fare dei confronti si deve fare in quel modo - ma perch&#233; &#232; discutibile il modo in cui &#232; realizzata. </p> <p>Tanto per fare un esempio, costava tanto includere a latere una lista degli RPM effettivamente presi in considerazione? Magari c'&#232; e l'ho mancata, ma cos&#236; non fosse questo &#232; uno di quegli esempi di come il modo di porsi sia completamente sbagliato. I risultati devono essere in primo luogo verificabili, altrimenti li si rifiuta a prescindere... o almeno generalmente &#232; cos&#236; che si fa in ambito scientifico. </p> <p>E non ho nemmeno detto che il valore gross va pesato opportunamente con difficolt&#224; di exploiting ed impatto potenziale, cosa che sembrerebbe banale ma manca nel report.. e che probabilmente cambierebbe non di poco i risultati.</p> <p>Poi magari potremmo discutere sul cosa sia stato effettivamente incluso, sulle modalit&#224; con cui viene gestito (per esempio: sono stati considerati SOLO gli aggiornamenti per la sicurezza? Se si, come?) e cos&#236; via.</p> <p>A questo aggiungiamo che non &#232; il modello di sicurezza ad essere diverso (grazie cmq Paolo per aver citato apparmor, per fortuna non tutti pensano che si sia ancora al rwx) ma la &quot;politica di rilascio&quot;, altro dato che dovrebbe essere pesato in ogni comparison.</p> <p>Sono tutte informazioni che mancano e che lasciano un alone appannato sul report relegandolo nella &quot;fuffa executive&quot;. Sempre che non mi sia sfuggito qualcosa.</p> <p>Tutto questo dovendo essere rigoroso e cattivo.</p> <p>Poi, da realista, penso che comunque si tratta di un buon lavoro, &nbsp;che viene utile e che d&#224; una buona panoramica di quello che Microsoft sta facendo. Ho sentito grandi cose di Windows 2008 e anche il modello di sicurezza di Vista &#232; leghe avanti a quello di XP. Il rapporto flessibilit&#224;/semplicit&#224; &#232; probabilmente superiore a tutto quello che c'&#232; ora in ambito OpenSource: perch&#232; non dire queste cose, piuttosto? :)</p> <p>@Paolo</p> <p>La soluzione &#232; saltata subito fuori - la labeled security non &#232; nuova ma, se funzioner&#224; come si deve, &#232; veramente fantastica - per&#242; lascio il premio a qualcuno che effettivamente lo userebbe... non credo che sotto Wine darebbe il meglio di s&#232; ;)</p> <p>Anyway grazie per i complimenti, se tutto va bene con Ristic avremo parecchio da parlare nel prossimo futuro ;-)</p>

  • <p>@Claudio</p> <p>no, effettivamente, il mondo della sicurezza Linux non &#232; fermo ad rwx (che non &#232; certo scomparso, o superato, semmai &#232; ortogonale ad altri meccanismi), c'&#232; AppArmor. E SELinux. E PaX/grSecurity. Io credo che, riallacciandomi al &quot;rapporto semplicit&#224;/flessibilit&#224;&quot;, l'idea del &quot;mondo Linux&quot; di implementare N (con N molto grande) meccanismi con l'idea di &quot;accaparrare quote di mercato&quot; (QUALE mercato, visti i &quot;numeri&quot; attuali?) sia fuorviante e non ispiri (giustamente) la fiducia di chi opera in ambito enterprise, non sei d'accordo? La Sicurezza, tanto per parafrasare Howard/Lipner/LeBlanc, &#232; &quot;pi&#249; sicura&quot; quando &#232; &quot;pi&#249; usabile&quot;; avere meccanismi &quot;matematicamente verificati&quot; (affermazione che molte volte lascia il tempo che trova...) che poi all'atto pratico non usa nessuno non serve a granch&#232;, convieni?</p> <p>Continuo, mi permetterai, a non capire le tue perplessit&#224; sulla &quot;lista degli RPM effettivamente presi in considerazione&quot;. Il modello matematico usato anche nell'SDL, quello dei 50 bug ogni 1.000 linee di codice, &#232; fonte di infinite discussioni sui numeri, ma non &#232; mai stato messo in dubbio da nessuno come principio: pi&#249; &quot;RPM&quot; (perch&#232; poi fermarsi agli RPM?) fossero stati tirati in ballo, pi&#249; sfavorevole era il confronto per Linux, non sei d'accordo?</p> <p>Hai ragione quando dici che &quot;il valore gross va pesato opportunamente con difficolt&#224; di exploiting ed impatto potenziale&quot;, ma mettere dei &quot;numeri&quot; a questi parametri sarebbe fonte di ancor pi&#249; infinite discussioni, non credi?</p> <p>Forse, tutto sommato, il parametro adottato nel threat report della Symantec (<a rel="nofollow" target="_new" href="http://www.symantec.com/business/theme.jsp?themeid=threatreport">http://www.symantec.com/business/theme.jsp?themeid=threatreport</a>) &#232; quello pi&#249; attendibile: il tempo di risoluzione dei bug &#232; una misura, affidabile, di un PROCESSO; per intenderci, di quell'SDL che costituisce l'approccio olistico nato dalla Security Push, quello che ha trasformato un prodotto che &quot;destava sospetti&quot; come IIS 5.0 in IIS 6.0 (ed oggi in IIS 7.0); quello che ha creato un database a zero vulnerabilit&#224; (SQL Server 2005; ma non ribatteziamolo &quot;unbreakable&quot;, per carit&#224;!); quello che ha portato a Vista. Perch&#232;, scusami se mi ripeto, ma la &quot;gara&quot; sul tempo di risoluzione minore delle vulnerabilit&#224;, l'ha vinta Vista :)</p> <p>&quot;Anyway&quot;, la mia piccola &quot;competition&quot; non l'hai vinta: la gara, era elencare per QUALI oggetti del kernel di Vista &#232; stata adottata la labeled security. Il premio &#232; ancora valido: avrai un DBMS a zero vulnerabilit&#224;. Magari con Wine non potrai usarlo, ma magari di Wine non hai bisogno: ti basta tornare alla piattaforma, che d&#224; sicurezza usabile su ogni scrivania :)</p>

  • <p>@Paolo </p> <p>Sono d'accordo con te su molte delle considerazioni che fai riguardo &quot;il mondo della sicurezza e Linux&quot;. Come non esserlo? Convengo, convengo, il fatto che ci siano 1000 modalit&#224; per fare 1000 cose diverse non giova al mercato (per piccolo che sia). Anche se non sono d'accordo sulla tua analisi delle motivazioni (accaparrasi quote di mercato? mah) &#232; vero: il mondo OS soffre del problema serissimo che, mentre per Microsoft bastano 4 corsi e delle skill medie per ottenere un buon risultato, dall'altra parte sono necessarie uberskills &nbsp;per fare il finetuning delle politiche di SELinux tanto per fare un esempio. RH non d&#224; supporto per le strict, pensa te...</p> <p>Sul resto, parlamm e nun ce capaimm come diceva il comico.Io attaccavo il fatto che non si fosse DETTO quali erano. Preso un opportuno pool di qualsiasi cosa, rpm compresi, si tira fuori qualsiasi risultato. E' la scientificit&#224; il problema, that's it. Cos&#236; &#232; in ambito accademico-scientifico, sull'atto pratico poi discutiamo quanto vuoi. Per chi ha metodo scientifico quel paper vale ben poco.</p> <p>Sono d'accordo anche con il fatto che associare dei pesi sia fonte di discussioni, ma non per questo &#232; lecito rimuoverli dove sono importanti, o si falsa il risultato. La scienza &#232; piena di costanti incognite. Ovvio poi che l'executive non capisce quale sia il risultato, e torniamo al mio commento di prima. </p> <p>Occhio anche all'adottare parametri &quot;oggettivi&quot; ed &quot;affidabili&quot;. Anche se tu misuri i tempi all'endpoint di un processo questo non ti dice niente su come &#232; fatto un processo all'interno, magari stai misurando cose completamente diverse.</p> <p>Misuriamo i tempi medi di risoluzione, per capirci. Diciamo che ci sono 3 bug, di cui 2 sono di bassissimo impatto ed uno critico. Il tempo di risoluzione dei primi 2 &#232; 1 giorno, del terzo 1 mese. Il tempo medio &#232; dunque di (30+2)/3, circa 10 giorni. Stessa situazione, ma il terzo bug lo risolvo in 1 giorni e gli altri in un mese: 61 / 3 fa circa 20. D'accordo con me che quel numerino non ci dice niente sul livello di sicurezza dato che la prima macchina &#232; stata scoperta 20 giorni in pi&#249; dell'altra? Ma questo ci farebbe discutere, a parit&#224; o meno di exposure time, sulla probabilit&#224; di exploiting. Etc etc etc.</p> <p>Certo per&#242; che sul problema del colabrodo che era IIS (&quot;destava sospetti&quot; &#232; semplicemente FANTASTICO, sei il mio eroe!) ti d&#242; ragione, le logiche dell'SDL stanno dimostrando di funzionare alla grande e gli ultimi sono buoni prodotti.</p> <p>Detto questo, riassumo: d'accordo con te (voi) sul fatto che Vista stia facendo molto bene, e che i processi di Microsoft sulla sicurezza siano - a naso, non li conosco a fondo quindi &#232; una opinione sostanzialmente infondata - migliori di quanto si fa altrove. Assolutamente perplesso invece sulla natura dei dati del paper: dismissed as &quot;fuffa&quot; thank you, next submission please.</p> <p>Per quanto riguarda il tuo contest avevo ben capito, ma lascio la palla a qualcuno che lo userebbe. Apprezzo la frecciata sulla sicurezza usabile ma finisce a vuoto questo giro: temo che Vista sia ancora lontano dal livello di sicurezza che gradisco sul mio desktop. Per amor di Dio, &#232; molto lontano e molto pi&#249; elaborato di quello che trovi &quot;su ogni scrivania&quot; eh.</p> <p>Quando poi dovr&#242; mettere su un server DB, sicuramente installer&#242; Ora^H^H^H un server sicuro a zero vulnerabilit&#224; ;-)</p> <p>Scherzi a parte ho visto cosa riesce a fare 2005 su problemi di business intelligence,ed &#232; notevole! Ma qui finisco OT e Feliciano mi modera il commento ;) Anzi Feliciano grazie per lo spazio di discussione!</p>

  • <p>Nota di colore: mentre guardavo in msdn la risposta al tuo contest (in effetti non la sapevo giusta a quanto ho letto :P) mi sono accorto che l'msdn mi fa crashare ripetutamente l'ie sotto wine.Che strano, mai capitato!</p>

  • <p>Perch&#232; non provare migliorare anche la compatibilit&#224; con i software che giravano correttamente in Xp ?</p> <p>Qualcuno ha speso bei soldini per acquistare software originale e adesso si trova a non poterlo usare .</p>

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment