La polemica tiene banco da alcuni giorni. L'ultimo rapporto di fine anno dello US-Cert, il centro per la sicurezza informatica formato dal Cert (Computer Emergency Response Team) della Carnegie Mellon University di Pittsburgh e dal Dipartimento per la sicurezza interna del governo degli Stati Uniti, ha stilato una classifica comparativa fra le vulnerabilità scoperte nel 2005 in sistemi informatici. I crudi numeri sono questi:
- 2.328 Bug di Unix/Linux
- 812 Bug di Windows
- 2.058 Bug condivisi
Windows, secondo la lista, è molto, quasi tre volte, più sicuro di Linux. Ne siamo certi?
Sin dalla pubblicazione dei dati, lo scorso 31 dicembre, si sono moltiplicate le critiche e le richieste di precisazione. Qualcuno ha chiesto addirittura di delegittimare il centro di ricerca per l'approssimazione della pubblicazione. Le imperfezioni della ricerca sono state evidenziati sin da subito, per primi dai commentatori di Slashdot. La lista contiene infatti centinaia di record multilpli: se una stessa vulnerabilità è stata aggiornata successivamente alla scrittura della prima scheda viene considerata per due volte. Queste vulnerabilità , ad esempio, vengono considerate come sei e non come una sola.
Ethereal Denial of Service or Arbitrary Code Execution
Ethereal Denial of Service or Arbitrary Code Execution (Updated)
Ethereal Denial of Service or Arbitrary Code Execution (Updated)
Ethereal Denial of Service or Arbitrary Code Execution (Updated)
Ethereal Denial of Service or Arbitrary Code Execution (Updated)
Ethereal Denial of Service or Arbitrary Code Execution (Updated)
Ethereal Denial of Service or Arbitrary Code Execution (Updated)
Eliminando dalla lista i record multipli, i crudi numeri vengono modificati:
- 891 Bug di Unix/Linux
- 671 Bug di Windows
- 1512 Bug condivisi
Ma c'è dell'altro. Spulciando la lista si incorre anche in alcune indicazioni quantomeno opinabili. Per esempio:
PHPMyAdmin 'Import_Blacklist' Variable Overwrite
PHPMyAdmin 'Import_Blacklist' Variable Overwrite (Updated)
Perché, ci si chiederà , includere una vulnerabilità di Cross-Site Scripting di PhpMyAdmin nell'elenco delle vulnerabilità di Linux/Unix? PhpMyAdmin è un'applicazione Web in Php e come tale è multipiattaforma. Perché solo Linux?
Se poi confrontiamo, lo hanno fatto quelli di Newsforge, le schede dedicate alle vulnerabilità più pericolose del 2005 raccolte nei bollettini "Cyber Security Alerts" dello US-Cert vediamo che le 22 schede sono così ripartite:
- 11 schede per Windows
- 3 schede per Oracle
- 2 schede per Cisco
- 1 scheda per Mac Os X
Morale della favola? Ce lo dice Brian Martin, del team dell'open source vulnerability database che si chiede quando verrà il giorno cui:
coloro che operano con fondi commerciali o statali faranno davvero il loro lavoro pubblicando informazioni serie per aiutare piuttosto che per confondere e ingannare?
