GFI: Apple e Linux i più vulnerabili del 2014?! Vediamoci chiaro…

GFI_OS_Chart

Il 18 Febbraio la GFI Software ha rilasciato una statistica che fa sicuramente discutere, e proprio per questo ho deciso di scrivere un articolo per puntualizzare ciò che non trovo corretto di questa analisi. Lo metto in chiaro fin da subito, sono di parte perché chi mi conosce sa bene che apprezzo di prodotti Apple e lavoro attivamente su Linux tanto è vero che faccio parte del team di sviluppo di BackBox Linux.

Fatta questa promessa proverò di essere il più analitico possibile, l’immagine in testata è quella diffusa dalla GFI e in tale immagine troviamo riportate in ordine crescente il numero di vulnerabilità rilevate nel ’14 per sistema operativo. La fonte dei dati è il National Vulnerability Database (NVD) e personalmente mi limiterò a giudicare solo questa immagine, nell’articolo della GFI sono riportate ulteriori statistiche sulle vulnerabilità dei software ma non mi interessa analizzarle come non voglio addentrarmi nel database del NVD per capire se i numeri riportati sono corretti o meno.

Linux e Apple raggruppati e Windows suddiviso per versioni?!

Questo è il primo dettaglio che mi è saltato all’occhio appena ho visto l’immagine, in sostanza viene fatto di ogni erba un fascio per i sistemi operativi di Apple e Linux mentre per Window no! Ma in fin dei conti vi sono centinai di versioni dell’OS X di Apple o di iOS e anche del Kernel Linux che anzi credo vinca il premio per il maggior numero di rilasci!

Così ho preso la calcolatrice alla mano è ho sommato Windows Server 2008 a Windows 8, poi a Windows Server 2012…ecc ecc fino ad ottenere la somma complessiva di 248 vulnerabilità!

Bingo, quindi Windows è al primo posto con 248 vulnerabilità! Seguito da Apple e poi da Linux!

GFI_OS_Chart_Somma_Windows

Poi se proprio vogliamo mettere i puntini sulle i dovremmo anche contare Windows XP, visto che per parte del 2014 è stato un sistema operativo supportato da Microsoft!

Linux è Open Source!

Esattamente cercare una vulnerabilità all’interno di un software Open Source è statisticamente più facile rispetto ad OS Closed Source, attenzione a non interpretare male questa mia affermazione! Individuare una vulnerabilità in un sistema Open Source è indubbiamente più facile, ma ciò non toglie che non vi son statistiche che dimostrano che un sistema Open sia più vulnerabile di un sistema Closed! Infatti nel precedente punto ho dimostrato che il sistema Closed è più vulnerabile!

Kernel? Ma non si parlava di Sistemi Operativi!?!

Questa è la terza anomalia che mi è venuta in mente, la statistica vuole riportare i sistemi operativi più vulnerabili…ma il Kernel NON è un Sistema Operativo!

In computing, the kernel is a computer program that manages I/O (input/output) requests from software, and translates them into data processing instructions for the central processing unit and other electronic components of a computer. The kernel is a fundamental part of a modern computer’s operating system. {Wikipedia}

Conclusioni

Questa analisi credo sia stata eseguita in maniera fin troppo superficiale, ma a pensar male…mi viene da dire che bisognava promuovere le “finestre”

0 0 vote
Article Rating
Subscribe
Notificami
guest
16 Commenti
più votati
più nuovi più vecchi
Inline Feedbacks
View all comments
GG
GG
25 Febbraio 2015 10:31

A me sembra che, leggendo i dati, le vulnerabilità di Windows siano in totale 38… o magari in totale qualcuna in più..non certo la somma di tutte quelle elencate. Lo si può dedurre dal fatto che le vulnerabilità di windows 8 e windows 8.1 siano guarda caso lo stesso numero, dal fatto che windows server 2012, guarda caso, ne abbia 2 in più rispetto a windows 8 sul quale si basa etc etc (come se salendo in funzionalità offerte dal sistema, si salisse anche in vulnerabilità scoperte, portandosi dietro anche quelle dei sistemi più vecchi o “più castrati” come RT).… Leggi il resto »

maury
maury
25 Febbraio 2015 16:58
Reply to  GG

facendo finta che ogni versione di linux abbia anche solo 10 vulnerabilità, basta moltiplicare per tutte le versioni esistenti per ottenere un numero a 4 cifre..

guly
guly
25 Febbraio 2015 15:21

http://www.cvedetails.com fornisce dati molto simili.

maurizio
maurizio
25 Febbraio 2015 17:07

Wow chi ha scritto questo articolo è un genio! Le vulnerabilità totali di windows sono 248, insomma windows 8 e 8.1 non ne hanno nemmeno una in comune. Visto che per ottenere le vulnerabilità di windows fanno la somma di tutte le distribuzioni di windows, allora bisogna fare stessa cosa per linux e osx, Allora osx è alla versione 10.10.3, siamo buoni e moltiplichiamo semplicemente per 10 : osx : 1470 ios è alla 8.3 : 381 linux non ho la minima idea di quante diverse distribuzioni esistano, seconda questa pagina http://it.wikipedia.org/wiki/Categoria:Distribuzioni_Linux c’è ne sono almeno 87 : 10353 Stranamente… Leggi il resto »

Simone Cartello
Simone Cartello
25 Febbraio 2015 17:49
Reply to  maurizio

Scherzi vero ?

Simone Cartello
Simone Cartello
25 Febbraio 2015 17:48

Mi sono iscritto per poter commentare questo articolo perche é esattamente la stessa cosa che ho pensato io appena l’ho letto. La superficialita dell’autore di quello scritto é davvero impressionante ed inconcepibile

d4n1x
d4n1x
27 Febbraio 2015 14:28

Se imparate a leggere la totalità degli articoli e non solo i disegni colorati magari tu e l’autore di questo post non cascate nei tranelli 😉

“Windows

68 total vulnerabilities 47 high severity20 medium severity 1 low severity

As you can see a lot of Windows vulnerabilities apply to multiple Windows versions and because of that there is not a huge difference between the number for the entire Windows operating systems family and the numbers for different Windows versions.”

Fonte
http://www.gfi.com/blog/most-vulnerable-operating-systems-and-applications-in-2014/

Simone Cartello
Simone Cartello
27 Febbraio 2015 14:35
Reply to  d4n1x

Per me , sinceramente , si cerca di interpretare i dati come si vuole .. Anche guardando in modo oggettivo senza essere fan di nessuna cosa .

Kali
Kali
25 Febbraio 2015 20:00

E poi al massimo è stata fatta una PREMESSA, non una PROMESSA.

MaCheScherziamo
MaCheScherziamo
25 Febbraio 2015 21:27

La classifica dei sistemi più vulnerabili del 2014 è fatta apposta per essere tendenziosa e interpretabile in diversi modi dai vari fan-boy dei vari sistemi (e per far pubblicità a GFI… più se ne parla meglio è) . Credo anche io che le 30 vulnerabilità delle varie versioni di Windows siano in parte le stesse e questo è un dato a sfavore di tale sistema anzichè a favore. Secondo me la classifica dei sistemi più vulnerabili non dovrebbe tenere solo conto del numero delle falle ma anche e soprattutto del tempo medio intercorso per tappare quei buchi! In quest’ottica ecco… Leggi il resto »

giovanni
giovanni
26 Febbraio 2015 02:20

Un paio di osservazioni. “Individuare una vulnerabilità in un sistema Open Source è indubbiamente più facile” Sicuro? Dici cosi’ per il semplice motivo che il codice sorgente e’ disponibile? Secondo te una persona che vuole trovare una vulnerabilita’ in Firefox preferisce guardare il codice sorgente o lanciare un fuzzer e vedere cosa crasha? Hai dati concreti sulla probabilita’ di trovare bug tramite code audit vs fuzzing/altri tipi di test dove il codice sorgente non e’ necessario? “Questa è la terza anomalia che mi è venuta in mente, la statistica vuole riportare i sistemi operativi più vulnerabili…ma il Kernel NON è… Leggi il resto »

marco
marco
5 Marzo 2015 14:54

con la quota di mercato ridicola tra Apple e Linux chissà di quanti bug non ci si accorgerà mai!

Overflow
Overflow
19 Marzo 2015 07:57

Ma il fatto che tutte insieme siano 248 non c’entra un bel niente!
Cioè concretamente parlando si utlizza un solo sistema operativo windows ,non è che li utilizzi tutti e 10 contemporaneamente ed hai 248 vulnerabilità..
Il vostro articolo è molto “campato in aria”.

behemoth
behemoth
25 Aprile 2015 19:13

Leggendo con attenzione: “The reason why only Linux Kernel and Apple OS X are listed at the top is because the number of vulnerabilities that specifically apply to other Linux distributions (like Red Hat, Debian, etc.) is lower than the number of vulnerabilities that apply to the operating systems already listed.” Nello specifico: Ubuntu 39 total vulnerabilities 7 high severity 27 medium severity 5 low severity Red Hat Enterprise 27 total vulnerabilities 6 high severity 17 medium severity 4 low severity openSUSE 20 total vulnerabilities 9 high severity 9 medium severity 4 low severity Fedora 15 total vulnerabilities 3 high… Leggi il resto »

Rosario Fassapella
Rosario Fassapella
17 Maggio 2015 21:12

buona sera a tutti, ho sempre seguito questo blog e spero che questo articolo sia uno scherzo e ci tengo a dire che neanche berlusconi avrebbe girato la frittata in questo modo vergognoso. se sei davvero un it security researcher guarda i fatti e raccontali come sono indipendentemente dall os che preferisci o dalla tua filosofia.

jack
jack
12 Agosto 2015 18:05

ne hanno sempre parlato male di windows e gliè brucia sta cosa… guarda questo che se inventa