hit counter
Quale, tra Windows, Mac OS e Linux, è il sistema più sicuro? - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Quale, tra Windows, Mac OS e Linux, è il sistema più sicuro?

Quale, tra Windows, Mac OS e Linux, è il sistema più sicuro?

  • Comments 14
  • Likes

Il mio post di ieri sulle problematiche di sicurezza di Apple e quello letto oggi su Punto Informatico, hanno riacceso l'idea che vi avevo lanciato nel mio post di Natale, quando vi promettevo che vi avrei parlato della inconfrontabilità tra i sistemi operativi che competono tra loro sul mercato, ora essenzialmente Windows, Mac OS e Linux. All'inizio della mia esperienza in Microsoft, da puro tecnico e con la testa ancora presa dal sacro fuoco della teoria accademica, non capivo bene perché non si affrontasse il raffronto tra sistemi operativi concorrenti in termini strettamente tecnici e di architettura, e di confronto di funzionalità di sicurezza. Dopo un po' di anni a lavorare sul fronte e in trincea sugli aspetti di sicurezza, a fianco dei clienti (grandi clienti, con reparti IT sterminati...) impegnati ad usare realmente i prodotti Microsoft per realizzare soluzioni di business, ho piano piano capito perchè il mio punto di vista iniziale, "da smanettone", era limitato.

Tra parentesi, ci tengo a farvi presente che è proprio questo atteggiamento limitato da semplice smanettone, che vede il suo mondo iniziare e finire al solo computer (o ai soli computer) che ha a casa nello suo piccolo (o grande) laboratorio, che è spesso alla base delle guerre di religione a cui assistiamo... (Ho la massima ammirazione per gli smanettoni di questo tipo, ma spesso è proprio da alcuni di loro che vedo un atteggiamento ottuso di guerra preconcetta...)

Vi riporto le tre considerazioni importanti che sono alla base della mia idea di essenziale inconfrontabilità, parzialmente emerse anche da alcune considerazioni che condivido dell'articolo di Annunziata su Punto Informatico (ci sono anche diverse considerazioni che non condivido, ma su queste ci torno su a breve...;-).

Lo scenario di rischio che vivono i diversi sistemi operativi concorrenti è profondamente diverso in virtù della diversa quota di mercato e della diversa appetibilità dei dati da carpire. Si può confrontare un sistema operativo client adottato da milioni di utenti con altri diffusi molto molto meno? Non credo proprio. L'interesse da parte di chi intende attaccare è per forza orientato verso le piattaforme più diffuse e che possono far ottenere maggior guadagno con minor investimento possibile in termini di ricerca. L'attenzione e la ricerca di vulnerabilità è per forza sbilanciato verso la piattaforma Microsoft che ha un mercato molto molto più appetibile.

Altra piccola parentesi: è bene anche tener presente che (ed è uno dei trend attuali più importanti) quando l'intento diventa criminale e l'approccio professionista per puntare alla compromissione di un sistema ben focalizzato, non c'è piattaforma o investimento che tenga... il gioco di attacco/difesa è molto più arduo ed estremo...

Intanto una considerazione su questo punto: il fatto che la piattaforma Microsoft sia nell'occhio del ciclone più di altri non sempre è un punto a sfavore. Sono convinto che la massiccia diffusione dei sistemi e l'estrema attenzione di chi cerca di bucare Windows siano la migliore piattaforma di security testing che ci sia, molto molto meglio della famosa "many eyeballs lead to secure code" cara ai sostenitori open source. Fatemi dire una volta per tutte cosa penso al riguardo: con tutto il  rispetto per le community open source (che ammiro), ma il fatto che ci siano tanti che possano fare una revisione di sicurezza di codice open, non è assolutamente equivalente a dire che tanti facciano davvero tale revisione e altrettanti siano in grado di farla bene.

La fruibilità da parte degli utenti meno tecnici e la gestibilità dei computer in ambienti aziendali è notevolmente diversa tra questi sistemi operativi concorrenti. Per l'ambito in cui sono nati e per la storia evolutiva che stanno vivendo, solo ora questi diversi SO cominciano ad essere lontanamente paragonabili, ma la strada è ancora lunga: facilità d'uso, estetica accattivante, ricchezza di applicazioni e di periferiche, gestibilità della configurazione remota in ambienti numericamente complessi, possibilità granulare e semplificata di configurazione delle opzioni, ogni SO ha un suo profilo più o meno marcato su questi aspetti e quindi soddisfa esigenze diverse.

Le dinamiche di produzione dei sistemi operativi e delle funzionalità informatiche al contorno (hardware e software) sono diverse. Microsoft fa solo software e abilita l'ecosistema di partner nel realizzare hardware (e quindi driver: è di Microsoft la responsabilità dei driver???) e software. Apple fa il software ma controlla parte dell'hardware su cui fa eseguire il suo OS. Linux ha un modello di sviluppo del software totalmente diverso e per certi versi destrutturato (con il rischio di sfuggire al governo dei tipici processi di revisione di codice sicuro). Sono confrontabili questi sistemi? Direi di no.

Queste considerazioni mi portano a dire che la domanda "qual'è il sistema più sicuro?" messa così secca, non ha molto senso (come la sintesi finale dell'articolo di Punto Informatico...). Un sistema maggiormente preso di mira dagli attacchi non vuol dire che sia più insicuro, se mostra di riuscire a proteggere gli utenti e soddisfa i loro requisiti (che possono essere di facilità d'uso e ricchezza di dotazione hardware/software per Windows, altrettanta semplicità d'uso e superba estetica da parte di Apple, o estrema versatilità di configurazione e personalizzazione per l'utente smanettone nei riguardi dei sistemi Linux).

Il punto è, semmai, quali dei modelli di sviluppo e dei processi reali di produzione del software di questi diversi sistemi operativi è quello che offre maggiori garanzie di riduzione del livello di rischio in termini di riduzione vulnerabilità, miglioramento delle funzionalità protettive, maggiore supporto agli utenti nelle situazioni decisionali che sono legate ad aspetti di sicurezza, e capacità di reazione alle emergenze di sicurezza dal punto di vista gestionale? C'è carne al fuoco per diverse decine di post...

Share this post :
Comments
  • SPETTACOLARE.

    Un post da manuale!!!!!!!!!!!!!!!!!!!!!!!!

    GRANDE FELICIANO!!!!!!!!!!

  • Avrei voluto continuare a leggere almeno per almeno altri 10 minuti! Come sempre mi accade quando qualcuno scrive in maniera così intelligente!

  • Ale il nostro Feliciano se si sbizzarisce può continuare :D

  • Sarebbe possibile indire un concorso a premi per eleggere il miglior sistema operativo (SO) oggi in circolazione

  • ho visto prima un "amico" mac user per strada

    eccolo cosa faceva

    http://i165.photobucket.com/albums/u65/dovellas/piange.gif

  • A rigor di logica... se sono un utente malintenzionato che vuole bucare quanti più pc possibili, è chiaro che scelgo di sfruttare le falle del sistema operativo più diffuso nel mondo. A me sembrava una considerazione ovvia, ma quando l'ho detto al LUG, fortuna che non avevano ortaggi da tirarmi addosso... BoH!

  • Grande post, grande Fliciano!!! :)))

  • beh, veramente esistono degli standard e protocolli per misurare la sicurezza di un OS. La visione della quota di mercato mi sebra limitativa perchè non è sicuramente la sola: è più correttto forse esaminare la logica e la struttura che c'è dietro al concetto di un OS, e allora, forse, linux emerge.

    PEr non citare BSD: una cassaforte.

    Certo che se poi si vuole confrontare il tutto con la facilità d'uso, o la bellezza grafica è corretto anche tener in considerazione le risorse disponibili delle varie parti. E' chiaro che quante più opzioni di agginngono tanto più la sicurezza ne viene minacciata: Keep it Simple, e modularizzare!

  • non mi sembra di aver letto niente di così spettacolare, di fatto non si cambierà mai la testa di chi è integralista, da una parte o dall'altra.

  • "Si può confrontare un sistema operativo client adottato da milioni di utenti con altri diffusi molto molto meno? Non credo proprio."

    Si puo è si deve invece! Benchè Windows sia il sistema oretaivo client più diffuso va considerato che molte grosse realtà (google su tutti) si basano in gran percentuale su sistemi liberi. Anche lato client. I dati da carpire naturalmente mi fanno lavorare su un sistema operativo diffuso, ma mi sembra doveroso spiegare che il punto è se le vulnerabilità ci sono o meno.

    "il fatto che ci siano tanti che possano fare una revisione di sicurezza di codice open, non è assolutamente equivalente a dire che tanti facciano davvero tale revisione e altrettanti siano in grado di farla bene."

    Infatti, benchè il codice del kernel Linux (ad esempio) sia mantenuto da molti programmatori professionisti, viene implementato nelle varie distribuzioni da professionisti stipendiati da aziende. Aziende che seguono i normali protocolli per la sicurezza del codice, come Microsoft. Ed è sbagliato credere il contrario.

    "La fruibilità da parte degli utenti meno tecnici e la gestibilità dei computer in ambienti aziendali è notevolmente diversa tra questi sistemi operativi concorrenti."

    E qui non si discute. soprattutto quando parliamo di grandi numeri. In ogni caso è d'obbligo constatare che la piattaforma Gnu/Linux-Unix in genere mi permette di intervenire sui processi di controllo tramite banalissimi script. Su Windows è un pò più complesso sviluppare un'applicazione che risponda precisamente a delle esigenze. Tutto qui.

    "Le dinamiche di produzione dei sistemi operativi e delle funzionalità informatiche al contorno (hardware e software) sono diverse. Linux ha un modello di sviluppo del software totalmente diverso e per certi versi destrutturato (con il rischio di sfuggire al governo dei tipici processi di revisione di codice sicuro). Sono confrontabili questi sistemi? Direi di no."

    Lo ripeto. Non va sottovalutato il modello di sviluppo del software libero. Specialmente quando abbondantemente sovvenzionato da aziende private. Linux è solo un kernel e non un sistema operativo e parlare di modelli di sviluppo in questo caso non ha senso. Ha senso invece farsi un giretto nei canali degli sviluppatori Ubuntu e chiedere a loro quali metodologie di sviluppo intraprendono e che genere di infrastrutture informatiche utilizzano (Cluster Red Hat tanto per cominciare).

    Saluti, Riccardo

  • Ciao Riccardo, grazie del corposo contributo: il mio post intendeva anche stimolare la discussione per confrontare i punti di vista diversi sull'argomento e quindi le tue considerazioni sono benvenute.

    Forse non emergeva in modo limpido ma l'intento delle mie considerazioni era quello di spiegare queste 2  mie semplici opinioni che ora provo a sintezzare meglio da un diverso punto di vista

    1- ogni SO ha i suoi pro e i suoi contro e il raffronto in termini assoluti per designare il migliore o il più sicuro, per me, non ha molto senso. Ci sono sottoambiti di analisi su cui è possibile fare (ed è giusto fare) un confronto punto punto, ma le scelte che poi ognuno di noi fa vengono realizzate sulla base delle priorità che diamo alle diverse caratteristiche.

    2- la sicurezza nel suo insieme non riesco a considerarla un unico sottoambito di analisi: vedo più giusto operare un confronto più puntuale su singoli aspetti che, certamente concorrono a rendere un sistema più sicuro, ma da soli non possono essere usati per proclamare il sistema più sicuro in assoluto.

    Dovremmo prima concordare, per esempio, una definizione: cosa vuol dire "il sistema più sicuro"? Non credo che tutti risponderemmo allo stesso modo.

    Una volta definito il concetto dovremmo concordare un elenco di parametri oggettivi di misurazione: anche qui dubito che si possa trovare facilmente un consenso.

    E dovremmo garantire lo stesso ambiente di test in cui operare le misurazioni...

    Quindi non voglio evitare il confronto, legittimo, ma "da ingegnere" preferisco il raffronto su aspetti "misurabili" e non mi piace che il confronto sui singoli aspetti (conteggio vulnerabilità, days of risks, appetibilità delle vulnerabilità, etc) sia usato come unico elemento per giudicare la sicurezza di un SO rispetto agli altri, tenendo conto che vengono offerte diverse funzionalità e si confrontano con scenari di attacco diversi.

    Per venire invece alle tue considerazioni:

    - "se le vulnerabilità ci sono o meno": su questo aspetto le statistiche di conteggio delle vulnerabilità danno ragione a Microsoft

    - "normali protocolli di sicurezza nel codice": il tema dei processi/tecniche/tool di revisione del codice dal punto di vista della sicurezza è tutt'altro che consolidato, e anche qui sarebbe bello riuscire a confrontarlo... io leggo che lo sforzo Microsoft con l'SDL sia ritenuto tra i più validi sul mercato

    - sugli script di gestione: da un lato io ritengo decisamente più comode e più intuitive le Group Policy per gestire la configurazione di un numero elevato di sistemi e sulla granularità di gestione non a caso Microsoft è giunta a Powershell

    - io non voglio sminuire il lavoro dei professionisti in ambito open source: io contesto l'equivalenza open source = maggiore sicurezza.

    Grazie ancora dei commenti, ciao!

  • Lungi da me scendere nell'arena delle guerre di religione (mi conoscete ormai, no?), ma un paio di articoletti

  • Jeff Jones ha pubblicato un nuovo breve paper di confronto delle vulnerabilità, questa volta focalizzato

  • Ho avuto il piacere di essere ospitato ieri su Punto Informatico (che ringrazio per la disponibilità

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment