GFI: Apple e Linux i più vulnerabili del 2014?! Vediamoci chiaro…

GFI_OS_Chart

Il 18 Febbraio la GFI Software ha rilasciato una statistica che fa sicuramente discutere, e proprio per questo ho deciso di scrivere un articolo per puntualizzare ciò che non trovo corretto di questa analisi. Lo metto in chiaro fin da subito, sono di parte perché chi mi conosce sa bene che apprezzo di prodotti Apple e lavoro attivamente su Linux tanto è vero che faccio parte del team di sviluppo di BackBox Linux.

Fatta questa promessa proverò di essere il più analitico possibile, l’immagine in testata è quella diffusa dalla GFI e in tale immagine troviamo riportate in ordine crescente il numero di vulnerabilità rilevate nel ’14 per sistema operativo. La fonte dei dati è il National Vulnerability Database (NVD) e personalmente mi limiterò a giudicare solo questa immagine, nell’articolo della GFI sono riportate ulteriori statistiche sulle vulnerabilità dei software ma non mi interessa analizzarle come non voglio addentrarmi nel database del NVD per capire se i numeri riportati sono corretti o meno.

Linux e Apple raggruppati e Windows suddiviso per versioni?!

Questo è il primo dettaglio che mi è saltato all’occhio appena ho visto l’immagine, in sostanza viene fatto di ogni erba un fascio per i sistemi operativi di Apple e Linux mentre per Window no! Ma in fin dei conti vi sono centinai di versioni dell’OS X di Apple o di iOS e anche del Kernel Linux che anzi credo vinca il premio per il maggior numero di rilasci!

Così ho preso la calcolatrice alla mano è ho sommato Windows Server 2008 a Windows 8, poi a Windows Server 2012…ecc ecc fino ad ottenere la somma complessiva di 248 vulnerabilità!

Bingo, quindi Windows è al primo posto con 248 vulnerabilità! Seguito da Apple e poi da Linux!

GFI_OS_Chart_Somma_Windows

Poi se proprio vogliamo mettere i puntini sulle i dovremmo anche contare Windows XP, visto che per parte del 2014 è stato un sistema operativo supportato da Microsoft!

Linux è Open Source!

Esattamente cercare una vulnerabilità all’interno di un software Open Source è statisticamente più facile rispetto ad OS Closed Source, attenzione a non interpretare male questa mia affermazione! Individuare una vulnerabilità in un sistema Open Source è indubbiamente più facile, ma ciò non toglie che non vi son statistiche che dimostrano che un sistema Open sia più vulnerabile di un sistema Closed! Infatti nel precedente punto ho dimostrato che il sistema Closed è più vulnerabile!

Kernel? Ma non si parlava di Sistemi Operativi!?!

Questa è la terza anomalia che mi è venuta in mente, la statistica vuole riportare i sistemi operativi più vulnerabili…ma il Kernel NON è un Sistema Operativo!

In computing, the kernel is a computer program that manages I/O (input/output) requests from software, and translates them into data processing instructions for the central processing unit and other electronic components of a computer. The kernel is a fundamental part of a modern computer’s operating system. {Wikipedia}

Conclusioni

Questa analisi credo sia stata eseguita in maniera fin troppo superficiale, ma a pensar male…mi viene da dire che bisognava promuovere le “finestre”

  • GG

    A me sembra che, leggendo i dati, le vulnerabilità di Windows siano in totale 38… o magari in totale qualcuna in più..non certo la somma di tutte quelle elencate. Lo si può dedurre dal fatto che le vulnerabilità di windows 8 e windows 8.1 siano guarda caso lo stesso numero, dal fatto che windows server 2012, guarda caso, ne abbia 2 in più rispetto a windows 8 sul quale si basa etc etc (come se salendo in funzionalità offerte dal sistema, si salisse anche in vulnerabilità scoperte, portandosi dietro anche quelle dei sistemi più vecchi o “più castrati” come RT).
    Detto questo.. se invece han sommato, come avete fatto voi arbitrariamente, le vulnerabilità di ogni versione di mac os x.. beh vi do allora totalmente ragione, ma non credo..
    Per quanto riguarda linux, credo fosse impossibile elencare tutte le varie distro, e magari analizzando solo il kernel si possa dire che con 119 vulnerabilità siano affette per lo più tutte le varie versioni..

    • maury

      facendo finta che ogni versione di linux abbia anche solo 10 vulnerabilità, basta moltiplicare per tutte le versioni esistenti per ottenere un numero a 4 cifre..

  • guly

    http://www.cvedetails.com fornisce dati molto simili.

  • maurizio

    Wow chi ha scritto questo articolo è un genio!
    Le vulnerabilità totali di windows sono 248, insomma windows 8 e 8.1 non ne hanno nemmeno una in comune.

    Visto che per ottenere le vulnerabilità di windows fanno la somma di tutte le distribuzioni di windows, allora bisogna fare stessa cosa per linux e osx,

    Allora osx è alla versione 10.10.3, siamo buoni e moltiplichiamo semplicemente per 10 : osx : 1470
    ios è alla 8.3 : 381
    linux non ho la minima idea di quante diverse distribuzioni esistano, seconda questa pagina http://it.wikipedia.org/wiki/Categoria:Distribuzioni_Linux c’è ne sono almeno 87 : 10353

    Stranamente ora la classifica è cambiata…

    Windows 248
    ios 381
    osx 1470
    linux 10353

    • Simone Cartello

      Scherzi vero ?

  • Simone Cartello

    Mi sono iscritto per poter commentare questo articolo perche é esattamente la stessa cosa che ho pensato io appena l’ho letto. La superficialita dell’autore di quello scritto é davvero impressionante ed inconcepibile

    • d4n1x

      Se imparate a leggere la totalità degli articoli e non solo i disegni colorati magari tu e l’autore di questo post non cascate nei tranelli 😉

      “Windows

      68 total vulnerabilities 47 high severity20 medium severity 1 low severity

      As you can see a lot of Windows vulnerabilities apply to multiple Windows versions and because of that there is not a huge difference between the number for the entire Windows operating systems family and the numbers for different Windows versions.”

      Fonte
      http://www.gfi.com/blog/most-vulnerable-operating-systems-and-applications-in-2014/

      • Simone Cartello

        Per me , sinceramente , si cerca di interpretare i dati come si vuole .. Anche guardando in modo oggettivo senza essere fan di nessuna cosa .

  • Kali

    E poi al massimo è stata fatta una PREMESSA, non una PROMESSA.

  • MaCheScherziamo

    La classifica dei sistemi più vulnerabili del 2014 è fatta apposta per essere tendenziosa e interpretabile in diversi modi dai vari fan-boy dei vari sistemi (e per far pubblicità a GFI… più se ne parla meglio è) .

    Credo anche io che le 30 vulnerabilità delle varie versioni di Windows siano in parte le stesse e questo è un dato a sfavore di tale sistema anzichè a favore.

    Secondo me la classifica dei sistemi più vulnerabili non dovrebbe tenere solo conto del numero delle falle ma anche e soprattutto del tempo medio intercorso per tappare quei buchi!
    In quest’ottica ecco che il sistema più vulnerabile sembrerebbe (ma non è certo per mancanza di dati) Windows che ha sempre le stesse 30 vulnerabilità in ben 6 versioni uscite in tempi diversi!!

    Sempre in quest’ottica è piuttosto chiaro che il Kernel Linux è il meno vulnerabile visto che si evolve continuamente e che ogni bug scoperto viene patchato nel giro di pochissimo tempo.
    Non commento Apple perché non la conosco il metodo di aggiornamento delle vulnerabilità ma mi ricordo sempre che qualche anno fa Apple abbandono l’aggiornamento del plugin flashplayer lasciando tutti i suoi utenti in grave pericolo per molto tempo….

  • giovanni

    Un paio di osservazioni.

    “Individuare una vulnerabilità in un sistema Open Source è indubbiamente più facile” Sicuro? Dici cosi’ per il semplice motivo che il codice sorgente e’ disponibile?

    Secondo te una persona che vuole trovare una vulnerabilita’ in Firefox preferisce guardare il codice sorgente o lanciare un fuzzer e vedere cosa crasha?

    Hai dati concreti sulla probabilita’ di trovare bug tramite code audit vs fuzzing/altri tipi di test dove il codice sorgente non e’ necessario?

    “Questa è la terza anomalia che mi è venuta in mente, la statistica vuole riportare i sistemi operativi più vulnerabili…ma il Kernel NON è un Sistema Operativo!”

    A maggior ragione. Per Linux sono state contate solo le vulnerabilita’ di Linux (cioe’ Kernel) mentre in Windows anche vulnerabilita’ NON kernel (shell, parser, ecc, che in Linux sono a parte), e nonostante cio’ il numero e’ molto maggiore.

    E ovviamente mi associo al fatto che sommare le vulnerabilita’ nelle varie versioni di Windows non ha alcun senso ed e’ totalmente sbagliato. Fortunatamente non lavori in GFI 😉

  • marco

    con la quota di mercato ridicola tra Apple e Linux chissà di quanti bug non ci si accorgerà mai!

  • Overflow

    Ma il fatto che tutte insieme siano 248 non c’entra un bel niente!
    Cioè concretamente parlando si utlizza un solo sistema operativo windows ,non è che li utilizzi tutti e 10 contemporaneamente ed hai 248 vulnerabilità..
    Il vostro articolo è molto “campato in aria”.

  • behemoth

    Leggendo con attenzione:

    “The reason why only Linux Kernel and Apple OS X are listed at the top is because the number of vulnerabilities that specifically apply to other Linux distributions (like Red Hat, Debian, etc.) is lower than the number of vulnerabilities that apply to the operating systems already listed.”

    Nello specifico:

    Ubuntu
    39 total vulnerabilities 7 high severity 27 medium severity 5 low severity

    Red Hat Enterprise
    27 total vulnerabilities 6 high severity 17 medium severity 4 low severity

    openSUSE
    20 total vulnerabilities 9 high severity 9 medium severity 4 low severity

    Fedora
    15 total vulnerabilities 3 high severity 9 medium severity 3 low severity

    If we had to group the different Windows versions under one entry the statistics would look like this:

    Windows
    68 total vulnerabilities 47 high severity20 medium severity 1 low severity

  • Rosario Fassapella

    buona sera a tutti, ho sempre seguito questo blog e spero che questo articolo sia uno scherzo e ci tengo a dire che neanche berlusconi avrebbe girato la frittata in questo modo vergognoso. se sei davvero un it security researcher guarda i fatti e raccontali come sono indipendentemente dall os che preferisci o dalla tua filosofia.

  • jack

    ne hanno sempre parlato male di windows e gliè brucia sta cosa… guarda questo che se inventa