Pubblicato l'11° Internet Security Threat Report: Symantec dice che Windows è il sistema più sicuroLa nota azienda di sicurezza informatica Symantec, ci comunica, tramite la pubblicazione del suo 11° rapporto (qui in pdf), che Windows - dati alla mano - nell'ultimo semestre del 2006 (il periodo preso come riferimento dal rapporto), sarebbe risultato il sistema operativo più sicuro, migliore addirittura di Linux e Mac. Vediamo però di approfondire un attimo alcuni aspetti della questione.
Innanzitutto, secondo Webnews (che si è preso la briga di spulciare il rapporto), facendo riferimento ai numeri riportati risulta che nei sei mesi presi come riferimento Windows ha evidenziato 39 vulnerabilità, 12 delle quali considerate critiche. Il tempo medio di correzione risulta essere stato di 21 giorni. Al secondo posto troviamo la celebre distro Linux Red Hat (208 vulnerabilità - di cui 2 gravi -, tempo medio di correzione 58 giorni). In terza posizione troviamo invece Mac OS X (43 vulnerabilità risolte in 37 giorni).
Stando a questi dati, risulta effettivamente che sì, le vulnerabilità di Windows sono state di meno e risolte in un tempo più breve. Bisogna però tenere conto che le vulnerabilità corrette da zio Bill spesso e volentieri sono minori rispetto a quelle effettivamente riscontrate dagli utenti che le segnalano. I motivi possono essere i più disparati (motivi di tempo, di marketing, ecc...). Nello scorso dicembre, ad esempio, Microsoft ha omesso di correggere due pericolose falle di Word (Zero-Day) perché, come ammesso dalla stessa casa di Redmond, "non ha fatto in tempo".
A questo si aggiungono poi tutte le magagne che hanno afflitto nel corso degli anni il celeberrimo (quanto bacato) Internet Explorer, il browser Microsoft i cui componenti ActiveX - che caricati ed eseguiti automaticamente dal browser aprivano l'accesso completo al sistema operativo - sono stati da sempre il mezzo di aggressione preferito dai vandali informatici. Quante volte mamma Microsoft nei suoi bollettini di sicurezza (che sembrano più bollettini di guerra) ci ha consigliato amorevolmente di disattivare "per sicurezza" i controlli ActiveX del browser in attesa del rilascio della patch? Nell'estate del 2002 (un caso che è passato alla storia) Microsoft ha lasciato passare quasi un mese di tempo per correggere ben 19 (diciannove) falle di I.E. riconducibili a vario titolo ai controlli ActiveX, limitandosi a suggerire laconicamente di disattivare tali componenti.
Un altro aspetto che va considerato affinché si possa fare una valutazione il più obiettiva possibile in merito, riguarda la sfruttabilità di queste falle. In pratica, è più pericoloso un bug di sicurezza su un sistema Windows o su un sistema Linux? La risposta è piuttosto semplice e alla portata anche di chi non ha particolari competenze informatiche. Alcuni dei motivi per cui è molto più difficile che venga sfruttata una falla di sicurezza su un sistema Linux sono ben descritti in questo documento (un pò datato ma concettualmente ancora valido) scritto da Marco Pratesi, mentre invece un interessante documento che spiega in dettaglio le tecniche di sviluppo e aggiornamento del software open source rispetto a quello proprietario lo trovate qui.
A monte di questi discorsi puramente tecnici, però, vale la pena segnalare che un elemento determinante per valutare il grado di sicurezza di un sistema rispetto ad un altro (che in ultima analisi è quello che ci interessa) è quello che si trova tra il monitor e la sedia, cioè l'utente, noi insomma. E qui andiamo a toccare un tasto piuttosto dolente. Non esiste infatti sistema operativo la cui sicurezza possa prescindere in qualche modo da un minimo di competenza da parte di chi usa il pc.
Il bello è che non è richiesta chissà quale preparazione tecnica, basterebbe sapere che per accedere a internet con un minimo di tranquillità serve (almeno) un antivirus e un firewall ben configurato, insieme a un pò di buon senso quando si naviga: non è necessario cambiare sistema operativo. Purtroppo, per esperienza personale, posso dire che non sempre è così. Mi trovo spesso nella situazione di dover (volentieri, ci mancherebbe) "soccorrere" gente col pc infestato dalle peggiori pestilenze informatiche che si sarebbero potute eludere semplicemente attuando i due semplici accorgimenti menzionati sopra. Vabbè.
Tutto questo - per riprendere un pò le redini del discorso iniziale - per dire che i dati riportati da Symantec saranno sicuramente corretti, ma esiste una differenza sostanziale tra la loro oggettività e la loro interpretazione.
Nessun commento:
Posta un commento