Windows è più sicuro di Linux?

Windows è più sicuro di Linux?

Ha fatto molto discutere l'interpretazione fornita da alcuni organi di informazione in merito alle statistiche di vulnerabilità pubblicate da SecurityFocus. Ma Windows è davvero più sicuro di Linux?
Ha fatto molto discutere l'interpretazione fornita da alcuni organi di informazione in merito alle statistiche di vulnerabilità pubblicate da SecurityFocus. Ma Windows è davvero più sicuro di Linux?


Roma – La scorsa settimana il celeberrimo sito dedicato alla sicurezza “SecurityFocus” ha pubblicato una serie di statistiche riguardanti la distribuzione delle vulnerabilità a seconda del sistema operativo. I dati, riferiti ad un arco di tempo che va dal gennaio all’agosto 2001, si sono prestati a varie interpretazioni.

La colpa del putiferio che è nato intorno a questi dati è, a parere di molti, in primo luogo imputabile a SecurityFocus. Questo sito ha infatti originariamente pubblicato dei grafici in cui veniva accostato il numero di vulnerabilità complessivo dei sistemi operativi Windows con quello dei sistemi operativi Unix e Linux.

Dal modo in cui erano stati esposti i dati era facile, secondo molti esponenti della comunità Linux, ricavare l’impressione che Windows avesse collezionato un numero di vulnerabilità assai minore rispetto a Linux. In particolare, risultava che nell’arco di tempo preso in esame da SecurityFocus i sistemi operativi Linux avevano collezionato 96 vulnerabilità di sicurezza contro le 42 di Windows NT/2000.

Rifacendosi a questi dati, negli scorsi giorni alcuni siti d’informazione del settore hanno proclamato la vittoria di Windows su Linux nel campo della sicurezza: una palma che, come è possibile immaginare, ha sollevato un bel vespaio fra gli agguerriti membri della comunità del Pinguino.

Ieri, in seguito alle numerose critiche, SecurityFocus ha riveduto la sua esposizione dei dati eliminando, in particolare, il grafico che accostava il totale delle vulnerabilità di Linux con il totale delle vulnerabilità di Windows e introducendo alcune note dove si spiega come “i numeri presentati di seguito non possono essere considerati una misura con cui poter effettuare un’accurata comparazione delle vulnerabilità di un sistema operativo con quelle di un altro”.

Nonostante questo, alcuni fanno notare come tre fra le maggiori distribuzioni Linux – Mandrake 7.2, Red Hat 7.0 e Debian 2.2 – abbiano collezionato lo scorso anno rispettivamente 33, 28 e 26 vulnerabilità di sicurezza contro le 24 di Windows 2000.

Altri però ribattono che questo è un confronto impari: le distribuzioni Linux sono infatti spesso costituite da un migliaio od anche più di pacchetti software, pacchetti su cui vengono conteggiati i bug. Se proprio si vuole fare una comparazione, sostengono alcuni esperti, questa va fatta semmai sui bug del solo kernel dei sistemi operativi.

Paul Thurrott, content manager del sito WinInformant.com, in un editoriale di ieri ribadisce che “Linux non è più sicuro di Windows. Questo è impossibile”.

“Io vorrei tanto sapere – scrive Thurrott – il motivo per cui la gente accetta ciecamente queste generalizzazioni. Nulla dimostra con evidenza la pretesa che Linux sia più sicuro e affidabile. Linux non è usato in così tanti sistemi reali come Windows. Non è evidentemente un target come lo è Windows, giorno dopo giorno. Ed ancora, quello che è considerato il più insicuro fra i sistemi operativi (Windows), in qualche modo si attiva ogni giorno e lavora. Fa quello che deve fare e le aziende scommettono il loro intero business su di lui. Se Windows fosse davvero insicuro, questo non accadrebbe”.

Punto Informatico ha raccolto, in merito ai dati pubblicati da SecurityFocus, l’opinione di alcuni esperti del settore.


Michel Morelli, responsabile del portale Linux ZioBudda.net, ha dato a Punto Informatico la propria visione sul motivo per cui la comunità Linux è insorta contro le originarie conclusioni di SecurityFocus e le conseguenti interpretazioni di alcuni siti d’informazione.

“Non è possibile – commenta Morelli – conteggiare l’errore di un software moltiplicandolo per il numero di distribuzioni Linux esistenti. Se il baco è contenuto, come spesso avviene, in un programma comune a tutte le distribuzioni Linux, questo errore dev’essere conteggiato una ed una sola volta, non una volta per la distribuzione RedHat, una volta per la SuSE, una volta per la Debian e così via”.

“Non ha semplicemente senso fare un conteggio di questo tipo – insiste Morelli -, senza contare che in una comparativa neutrale si dovrebbe tenere in conto quale software è causa del problema. I bug del kernel nell’anno appena passato sono stati molti, ma erano quasi tutti relativi al “ramo” di sviluppo, mentre il ramo “stabile” ha risentito di pochissimi bug. Se conteggiamo anche questi, allora risulterà senza dubbio che Linux è molto più vulnerabile di Windows, ma nessuno si è preso la briga di conteggiare i bug delle versioni beta di Windows.”.

Il problema, a parere di alcuni esponenti della comunità Linux, è dunque quello che non è assolutamente corretto sommare i bug di ogni singola distribuzione perché, così facendo, si finirebbe per contare gli stessi errori più di una volta. Non solo, come stabilire quali bug vanno considerati nel computo totale? Un bug di Internet Explorer deve essere considerato un baco di Windows? Ed è giusto considerare una vulnerabilità di Mozilla, un browser incluso in molte distribuzioni Linux, come un bug di Linux?

Sono questi interrogativi che fanno capire, come ora giustamente evidenziato anche da SecurityFocus, l’estrema precarietà delle comparazioni fra sistemi operativi eseguite su questi dati.

Di seguito altre opinioni raccolte su queste statistiche: da un esperto italiano del settore e dal responsabile delle attività di sicurezza di Microsoft Italia.


Analizzando un po ‘ più in profondità le statistiche di SecurityFocus, Stefano Tagliaferri, responsabile ICT & Networking di una grossa azienda di Roma, ha spiegato a Punto Informatico che “l’attenzione va posta soprattutto sull’aumento dei sistemi Unix-like per quello che concerne la rete Internet e sul vistoso incremento nel numero di sistemi Linux”.

“Tra il 2000 ed il 2001 – ha continuato Tagliaferri – le vulnerabilità, a parte alcuni sistemi come SCO Unix e Sun Solaris, sono diminuite drasticamente. I sistemi più vulnerabili sono di ispirazione commerciale: sistemi user friendly come Mandrake Linux, Sun Solaris, RedHat Linux e Windows sono quelli che riscuotono maggior attenzione da parte dei cracker. La diffusione di questa tipologia di sistemi accentua il problema della sicurezza in rete: l’introduzione dei tool grafici per la gestione di sistemi comunque complessi va decisamente a scapito della competenza e della professionalità di chi li amministra”.

“Windows – fa notare Tagliaferri – è decisamente migliorato rispetto al passato, soprattutto grazie all’arrivo di Windows 2000. Non dimentichiamo che anche i sistemi di sicurezza sono migliorati: la cultura sulla security inizia ad essere un background tecnologico e molte aziende finalmente iniziano a considerare in tale ottica anche gli investimenti”.

“I dati riportati da questa indagine – ha detto a Punto Informatico Marco Agnoli, responsabile delle attività di sicurezza di Microsoft Italia – sono importanti e costituiscono certamente elemento di riflessione per chi deve valutare con dati oggettivi l’affidabilità di un sistema operativo”.

“La sicurezza di un sistema – ha affermato Agnoli – è il risultato di una serie di componenti di tecnologia e di organizzazione. Indubbiamente Microsoft ricopre un ruolo di “industry leader” nel mondo del software e come leader abbiamo fatto partire da tempo una serie di iniziative per rendere il nostro software più affidabile, scalabile e sicuro. Ricordo di recente lo Strategic Technology Protection Program – che ha introdotto programmi di rilascio di strumenti di supporto alla gestione della sicurezza – o la Secure Windows Initiative che coinvolge tutto il gruppo di sviluppo dei prodotti. Bill Gates ha poi di recente illustrato il concetto di “Trustworthy Computing” definendo l’affidabilità e la sicurezza dei sistemi come la priorità numero uno di Microsoft ed evidenziando con forza la direzione strategica intrapresa da questa azienda”.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 6 feb 2002
Link copiato negli appunti