Miti o verità: security by minority, open source e le conclusioni basate su metri di giudizio opinabili…

Ripropongo questo articolo perchè secondo la mia personale opinione merita un po’ più visibilità, ma in realtà è perchè sono sotto esami e non ho molto tempo per scrivere :P

ms_vs_linux.jpg…sottotitolato: “Linux è più sicuro di Windows. No è Windows ad essere più sicuro di Linux”

E poi giù botte. La sicurezza questa sconosciuta. Cosa vuol dire la parola sicurezza riferita ad un sistema operativo o ad un applicativo? Di solito la si usa impropriamente accennando solo ad alcune delle sue sfumature, tuttavia esistono criteri oggettivi che si possono adottare per darle una concretezza nel contenuto, spesso ignorati dai più. Ed è proprio per questo che gli innumerevoli casi di studio, in qualche occasione commissionati da chi il software lo produce, possono a volte risultare fuorvianti o passibili di interpretazioni differenti.

Quella che vi propongo è una lettura interessante trovata nei meandri dei miei segnalibri sparsi nella rete, uno spunto per poterci dotare di occhio critico quando leggiamo qualche nuovo confronto, una pubblicità od un report da parte di qualche azienda specializzata nel settore; non è oro colato ma quantomeno fa riflettere ed aiuta a non credere incondizionatamente a tutto quello che viene scritto. Ovviamente il concetto è ricorsivo, applicabile anche al piccolo studio in questione.

Security Report: Windows vs Linux è un articolo in inglese (invito a leggerlo tutto) pubblicato nell’ottobre del 2004, ancora valido ad oggi, che affronta la sfida alla sicurezza tra Windows e Linux principalmente in ambito server e con qualche riferimento al desktop, lì dove Microsoft cerca di convincere i potenziali clienti ad usare i suoi prodotti con la famosa campagna “GET THE FACTS!“, screditando in qualche modo i propri concorrenti.

Gran parte di questo caso è incentrato sull’analisi sia dei metri di giudizio che dei dati in se stessi. Si cerca di capire come si possa arrivare all’affermazione di superiorità di un sistema operativo su un altro cercando di cogliere il maggior numero di aspetti possibili e “smontando” gli accrocchi che, in questo caso Microsoft, costruisce per diffondere l’idea della sicurezza dei suoi applicativi. Il concetto tuttavia può indiscriminatamente valere per qualunque altro produttore. GNU/Linux è preso come antagonista, dato per sconfitto in partenza dalle “leggende” che aleggiano negativamente intorno alla sua testa, cose come:

Ci sono molti più avvisi di sicurezza per Linux piuttosto che per Windows, e quindi Linux è meno sicuro di Windows

ed ancora

Il lasso di tempo che in media trascorre tra la scoperta di una vulnerabiltà a quando una patch per quella vulnerabilità viene rilasciata è maggiore per Linux rispetto a Windows, e quindi Linux è meno sicuro di Windows.

per non parlare dello statement

Security by minority

più volte ostentato per difendere in qualche modo l’incidenza di malware su Windows rispetto a Linux ed ancora

L’open source è più pericoloso del codice proprietario perchè gli “hacker” possono sfruttarlo per trovare delle falle di sicurezza

In realtà la partita non è così scontata, potrebbe avere un finale diverso da quello pronosticato.

Ho fatto una libera traduzione ( a mano, sicuramente non perfetta ma rende meglio di quelle automatiche ) di due parti del testo che mi sembravano le meno tecniche e le più fruibili anche ad un pubblico non eccessivamente “dentro” alla questione. Ve le propongo in due file di testo in quanto sarebbero troppo lunghe da inserire come post nel blog:

theres-safety-in-small-numbers_italiano.pdf

conclusions-based-on-single-metrics_italiano.pdf

In ogni caso rinnovo l’invito a leggere interamente l’articolo, è un po’ lungo, ma vale la pena arrivare fino in fondo. Alla luce di queste considerazioni provate a rileggere un recente report di sicurezza di Symantec.
Buona lettura.

6 pensieri su “Miti o verità: security by minority, open source e le conclusioni basate su metri di giudizio opinabili…

  1. neon

    Complimenti, è l’articolo che avrei voluto scrivere da tempo e che non ho mai avuto la voglia di fare.

    Adesso mi basterà dirottare la gente qui.

    Complimenti (anche) per le traduzioni. Io le avrei lasciate in inglese, sono troppo pigro.

    Replica
  2. annarita

    Ciao, Claudio. Quest’estate, quando ho visto la prima volta il tuo blog, ti ho comunicato subito la mia impressione positiva. Poi, ti ho perso di vista. Adesso ho sottoscritto il tuo feed così ti terrò ben presente.

    Questo articolo merita, merita veramente e vado a pubblicizzarlo sul mio blog del web 2.0 nella sezione “i posts della settimana”.

    …studia, studia: è cosa buona e giusta! Il blogging può attendere;)

    bye!

    Replica
  3. Pingback: Come sei diventato blogger? « Ispirazioni informatiche

Rispondi