La polemica tiene banco da alcuni giorni. L'ultimo rapporto di fine anno dello US-Cert, il centro per la sicurezza informatica formato dal Cert (Computer Emergency Response Team) della Carnegie Mellon University di Pittsburgh e dal Dipartimento per la sicurezza interna del governo degli Stati Uniti, ha stilato una classifica comparativa fra le vulnerabilità scoperte nel 2005 in sistemi informatici. I crudi numeri sono questi:
- 2.328 Bug di Unix/Linux
- 812 Bug di Windows
- 2.058 Bug condivisi
Windows, secondo la lista, è molto, quasi tre volte, più sicuro di Linux. Ne siamo certi?
Sin dalla pubblicazione dei dati, lo scorso 31 dicembre, si sono moltiplicate le critiche e le richieste di precisazione. Qualcuno ha chiesto addirittura di delegittimare il centro di ricerca commentatori di Slashdot
Ethereal Denial of Service or Arbitrary Code Execution
Ethereal Denial of Service or Arbitrary Code Execution (Updated)
Ethereal Denial of Service or Arbitrary Code Execution (Updated)
Ethereal Denial of Service or Arbitrary Code Execution (Updated)
Ethereal Denial of Service or Arbitrary Code Execution (Updated)
Ethereal Denial of Service or Arbitrary Code Execution (Updated)
Ethereal Denial of Service or Arbitrary Code Execution (Updated)
Eliminando dalla lista i record multipli, i crudi numeri vengono modificati:
- 891 Bug di Unix/Linux
- 671 Bug di Windows
- 1512 Bug condivisi
Ma c'è dell'altro. Spulciando la lista si incorre anche in alcune indicazioni quantomeno opinabili. Per esempio:
PHPMyAdmin 'Import_Blacklist' Variable Overwrite
PHPMyAdmin 'Import_Blacklist' Variable Overwrite (Updated)
Perché, ci si chiederà , includere una vulnerabilità di Cross-Site Scripting di PhpMyAdmin nell'elenco delle vulnerabilità di Linux/Unix? PhpMyAdmin è un'applicazione Web in Php e come tale è multipiattaforma. Perché solo Linux?
Se poi confrontiamo, lo hanno fatto quelli di Newsforge, le schede dedicate alle vulnerabilità più pericolose del 2005 raccolte nei bollettini "Cyber Security Alerts" dello US-Cert vediamo che le 22 schede sono così ripartite:
- 11 schede per Windows
- 3 schede per Oracle
- 2 schede per Cisco
- 1 scheda per Mac Os X
Morale della favola? Ce lo dice open source vulnerability database
coloro che operano con fondi commerciali o statali faranno davvero il loro lavoro pubblicando informazioni serie per aiutare piuttosto che per confondere e ingannare?