Comments

# dovella said:

SPETTACOLARE.

Un post da manuale!!!!!!!!!!!!!!!!!!!!!!!!

GRANDE FELICIANO!!!!!!!!!!

01 April 08 at 8:51 AM

# Ale said:

Avrei voluto continuare a leggere almeno per almeno altri 10 minuti! Come sempre mi accade quando qualcuno scrive in maniera così intelligente!

01 April 08 at 10:40 AM

# dovella said:

Ale il nostro Feliciano se si sbizzarisce può continuare :D

01 April 08 at 10:45 AM

# Welcome to MClips said:

Sarebbe possibile indire un concorso a premi per eleggere il miglior sistema operativo (SO) oggi in circolazione

01 April 08 at 11:16 AM

# dovella said:

ho visto prima un "amico" mac user per strada

eccolo cosa faceva

http://i165.photobucket.com/albums/u65/dovellas/piange.gif

01 April 08 at 2:15 PM

# Emiliano said:

A rigor di logica... se sono un utente malintenzionato che vuole bucare quanti più pc possibili, è chiaro che scelgo di sfruttare le falle del sistema operativo più diffuso nel mondo. A me sembrava una considerazione ovvia, ma quando l'ho detto al LUG, fortuna che non avevano ortaggi da tirarmi addosso... BoH!

02 April 08 at 8:54 AM

# Francesco said:

Grande post, grande Fliciano!!! :)))

04 April 08 at 6:46 AM

# Enrico said:

beh, veramente esistono degli standard e protocolli per misurare la sicurezza di un OS. La visione della quota di mercato mi sebra limitativa perchè non è sicuramente la sola: è più correttto forse esaminare la logica e la struttura che c'è dietro al concetto di un OS, e allora, forse, linux emerge.

PEr non citare BSD: una cassaforte.

Certo che se poi si vuole confrontare il tutto con la facilità d'uso, o la bellezza grafica è corretto anche tener in considerazione le risorse disponibili delle varie parti. E' chiaro che quante più opzioni di agginngono tanto più la sicurezza ne viene minacciata: Keep it Simple, e modularizzare!

06 April 08 at 5:53 AM

# os said:

non mi sembra di aver letto niente di così spettacolare, di fatto non si cambierà mai la testa di chi è integralista, da una parte o dall'altra.

07 April 08 at 5:30 AM

# Riccardo said:

"Si può confrontare un sistema operativo client adottato da milioni di utenti con altri diffusi molto molto meno? Non credo proprio."

Si puo è si deve invece! Benchè Windows sia il sistema oretaivo client più diffuso va considerato che molte grosse realtà (google su tutti) si basano in gran percentuale su sistemi liberi. Anche lato client. I dati da carpire naturalmente mi fanno lavorare su un sistema operativo diffuso, ma mi sembra doveroso spiegare che il punto è se le vulnerabilità ci sono o meno.

"il fatto che ci siano tanti che possano fare una revisione di sicurezza di codice open, non è assolutamente equivalente a dire che tanti facciano davvero tale revisione e altrettanti siano in grado di farla bene."

Infatti, benchè il codice del kernel Linux (ad esempio) sia mantenuto da molti programmatori professionisti, viene implementato nelle varie distribuzioni da professionisti stipendiati da aziende. Aziende che seguono i normali protocolli per la sicurezza del codice, come Microsoft. Ed è sbagliato credere il contrario.

"La fruibilità da parte degli utenti meno tecnici e la gestibilità dei computer in ambienti aziendali è notevolmente diversa tra questi sistemi operativi concorrenti."

E qui non si discute. soprattutto quando parliamo di grandi numeri. In ogni caso è d'obbligo constatare che la piattaforma Gnu/Linux-Unix in genere mi permette di intervenire sui processi di controllo tramite banalissimi script. Su Windows è un pò più complesso sviluppare un'applicazione che risponda precisamente a delle esigenze. Tutto qui.

"Le dinamiche di produzione dei sistemi operativi e delle funzionalità informatiche al contorno (hardware e software) sono diverse. Linux ha un modello di sviluppo del software totalmente diverso e per certi versi destrutturato (con il rischio di sfuggire al governo dei tipici processi di revisione di codice sicuro). Sono confrontabili questi sistemi? Direi di no."

Lo ripeto. Non va sottovalutato il modello di sviluppo del software libero. Specialmente quando abbondantemente sovvenzionato da aziende private. Linux è solo un kernel e non un sistema operativo e parlare di modelli di sviluppo in questo caso non ha senso. Ha senso invece farsi un giretto nei canali degli sviluppatori Ubuntu e chiedere a loro quali metodologie di sviluppo intraprendono e che genere di infrastrutture informatiche utilizzano (Cluster Red Hat tanto per cominciare).

Saluti, Riccardo

08 April 08 at 5:18 AM

# Feliciano Intini said:

Ciao Riccardo, grazie del corposo contributo: il mio post intendeva anche stimolare la discussione per confrontare i punti di vista diversi sull'argomento e quindi le tue considerazioni sono benvenute.

Forse non emergeva in modo limpido ma l'intento delle mie considerazioni era quello di spiegare queste 2  mie semplici opinioni che ora provo a sintezzare meglio da un diverso punto di vista

1- ogni SO ha i suoi pro e i suoi contro e il raffronto in termini assoluti per designare il migliore o il più sicuro, per me, non ha molto senso. Ci sono sottoambiti di analisi su cui è possibile fare (ed è giusto fare) un confronto punto punto, ma le scelte che poi ognuno di noi fa vengono realizzate sulla base delle priorità che diamo alle diverse caratteristiche.

2- la sicurezza nel suo insieme non riesco a considerarla un unico sottoambito di analisi: vedo più giusto operare un confronto più puntuale su singoli aspetti che, certamente concorrono a rendere un sistema più sicuro, ma da soli non possono essere usati per proclamare il sistema più sicuro in assoluto.

Dovremmo prima concordare, per esempio, una definizione: cosa vuol dire "il sistema più sicuro"? Non credo che tutti risponderemmo allo stesso modo.

Una volta definito il concetto dovremmo concordare un elenco di parametri oggettivi di misurazione: anche qui dubito che si possa trovare facilmente un consenso.

E dovremmo garantire lo stesso ambiente di test in cui operare le misurazioni...

Quindi non voglio evitare il confronto, legittimo, ma "da ingegnere" preferisco il raffronto su aspetti "misurabili" e non mi piace che il confronto sui singoli aspetti (conteggio vulnerabilità, days of risks, appetibilità delle vulnerabilità, etc) sia usato come unico elemento per giudicare la sicurezza di un SO rispetto agli altri, tenendo conto che vengono offerte diverse funzionalità e si confrontano con scenari di attacco diversi.

Per venire invece alle tue considerazioni:

- "se le vulnerabilità ci sono o meno": su questo aspetto le statistiche di conteggio delle vulnerabilità danno ragione a Microsoft

- "normali protocolli di sicurezza nel codice": il tema dei processi/tecniche/tool di revisione del codice dal punto di vista della sicurezza è tutt'altro che consolidato, e anche qui sarebbe bello riuscire a confrontarlo... io leggo che lo sforzo Microsoft con l'SDL sia ritenuto tra i più validi sul mercato

- sugli script di gestione: da un lato io ritengo decisamente più comode e più intuitive le Group Policy per gestire la configurazione di un numero elevato di sistemi e sulla granularità di gestione non a caso Microsoft è giunta a Powershell

- io non voglio sminuire il lavoro dei professionisti in ambito open source: io contesto l'equivalenza open source = maggiore sicurezza.

Grazie ancora dei commenti, ciao!

10 April 08 at 11:44 AM

# Security Blog di Feliciano Intini said:

Lungi da me scendere nell'arena delle guerre di religione (mi conoscete ormai, no?), ma un paio di articoletti

14 May 08 at 10:19 AM

# Security Blog di Feliciano Intini said:

Jeff Jones ha pubblicato un nuovo breve paper di confronto delle vulnerabilità, questa volta focalizzato

19 May 08 at 12:13 PM

# Security Blog di Feliciano Intini said:

Ho avuto il piacere di essere ospitato ieri su Punto Informatico (che ringrazio per la disponibilità

01 August 08 at 4:21 AM

Leave a Comment

Comment Policy: No HTML allowed. URIs and line breaks are converted automatically. Your e–mail address will not show up on any public page.

Name (required) 

Your URL (optional)

Comments (required) 

Remember Me?