L’OS più vulnerabile è… Linux!

Matteo Cappadonna
14

Ogni tanto escono quelle notizie che ci fanno tremare la terra sotto i piedi o che, in un modo o nell’altro, mettono a dura prova quelle che sono le nostre convinzioni. Da utente Linux da parecchi anni, una delle cose che ho sentito dire in maniera praticamente immutata da sempre è “Windows è super vulnerabile, Linux è molto più sicuro!”.

Capita però che qualcuno, thebestvpn.com in questo caso, analizzi il National Vulnerability Database (Database delle Vulnerabilità Nazionale, ndr.) del National Institute of Standards and Technology in un’area di tempo decennale (dal 1999 al 2019) offrendo una visione leggermente differente da quella che davamo oramai per scontata.

Salta fuori che il sistema operativo con più vulnerabilità di tutti è Debian, distribuzione che non ha bisogno di presentazione, con ben 3067 vulnerabilità, seguito a ruota da Android (2563), ed il kernel Linux (2357). Dobbiamo aspettare la quarta posizione per vedere un sistema che non sia Linux o un suo derivato, ovvero macOS (kernel Darwin, un derivato di FreeBSD), ma al quinto posto già troviamo nuovamente Ubuntu con un totale di 2007 vulnerabilità nell’ultimo ventennio.

Ed il “tanto vulnerabile” Windows dove si posiziona? Beh, Windows 7 risulta avere 1283 vulnerabilità ed il suo successore, l’attuale Windows 10 ne conta 1111. Se li sommiamo otteniamo 2394 vulnerabilità, più del nostro amato kernel ma sotto Debian ed Android. Per certi versi… Uno shock.

Certo, se guardiamo un pochino nel dettaglio i vari sistemi operativi possiamo notare che Windows 7 è uscito nel 2009 ed il successivo nel 2015, e quindi stiamo valutando l’ultima decade, contro il ventennio di Debian, però comunque è strano vedere un’analisi del genera con in testa il kernel, cuore di tutte le distribuzioni Linux.

Ovviamente, non il solo numero di vulnerabilità è indicativo dell’insicurezza di un sistema, conta molto anche quanto possono essere sfruttate facilmente, quanto tempo passa prima che vengano risolte e tutti questi valori non sono stati indicati nella ricerca di cui sopra.

Inoltre non è un caso che siano sistemi come Debian, che da sempre hanno fatto della trasparenza verso la community un vero e proprio credo, ad essere in testa alla classifica. Quante vulnerabilità non pubbliche sono state risolte nel corso degli anni sui sistemi proprietari presenti in classifica? E, uh, quante invece sono ancora presenti?

In sostanza il dato espresso dalla classifica va preso per quello che è, un conteggio oggettivo di quelle che sono state le vulnerabilità scoperte, pubblicate e risolte nel corso di un decennio all’interno dei sistemi operativi disponibili sul mercato odierno.

Debian è in testa alla classifica? Per certi versi potrebbe anche essere un motivo di orgoglio.

Matteo Cappadonna

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

, ,

14 risposte a “L’OS più vulnerabile è… Linux!”

  1. Avatar xan
    xan

    che buffonata, vogliono prendere in considerazione solo 2 versioni di windows? bhè dovrebbero farlo anche con il mondo linux.

    vogliono prendere tutte le versioni? lo facessero con tutti, dal 99 ad oggi dovrebbero prendere: ME, 2000, XP, VISTA, 7, 8, 8.1, 10. ed il tutto sia considerando la versione desktop che server

    è semplicemente una fottuta buffonata, chi ha fatto sta cosa dovrebbe vergognarsi

  2. Avatar mauro on thewall
    mauro on thewall

    a parte che parlare di linux gia’ fa ridere di per se tanto e’ vasta l’ignoranza del concetto, ovvero che linux e’ fondamentalmente una raccolta pressoche’ infinita di software che orbita intorno al kernel di Linus Torvalds (e non solo), un articolo del genere mi fa sganasciare quanto quelli che leggono i numeri e non si pongono domande. La complessita’ di un enorme ecosistema, l’attenzione e la trasparenza continua di sviluppatori, utilizzatori avanzati, sistemisti seri portano come semplice consueguenza un controllo altissimo sulla qualita’ del software. Quanti bachi sono aperti dei tanti segnalati? un numero insignificante. Non esiste software perfetto, mai esistera’, esiste pero’ la serieta’ di chi ci lavora che contribuisce a rendere serio un sistema, utilizzabile dormendo di notte sereni. Molti di questi bachi, peraltro, saranno critici? no, semplici sbavature corrette al volo, insomma… parliamo di quanti bachi non risolti se non all’ultimo secondo e quanti non scoperti semplicemente perche’ non e’ possibile di tante altre soluzioni piu’ o meno blasonate. Allora, le barzellette saranno tante.
    Poi, vabbe’, lasciamo da parte i periodi temporali che fanno decisamente ridere….

  3. Avatar sabayonino
    sabayonino

    L’analisi presentata qui è solo una parte.

    thebestvpn .com / vulnerability-alerts /

    Presa nel dettaglio è molto più esplicativa.

    E la tendenza potrebbe cambiare di molto

  4. Avatar JustATiredMan
    JustATiredMan

    hhahahaha si si proprio una bella ricerca. Su windows hanno considerato ogni versione a se stante, in Debian e altre, hanno classificato tutto come “Debian”… si ma a partire da quale versione ? dalla 6 ? dalla 7 ?
    Se sommavano tutte le vulnerabilità di “Windows” sotto una unica categoria, sarebbe stato il primo della lista con amplissimo margine.

  5. Avatar Nicola Revelant
    Nicola Revelant

    Sono completamente d’accordo con te. Si tende a credere che un sistema proprietario sia più sicuro perché nessuno può trovare bug analizzando codice sorgente ma soltanto testando. Ma la verità è che se un codice viene fatto bene, reso pubblico e corretto se qualcuno trova errori, è meglio senza se e senza ma.

  6. Avatar Nicola Revelant
    Nicola Revelant

    Per l’esattezza dovrebbe cercarsi un altro lavoro. E rimpiangere di aver fatto tale scemenza.

  7. Avatar amedeo lanza
    amedeo lanza

    Non è che Debian svetta perché è estremamente diffuso ed i suoi sorgenti studiati ed analizzati ? Quanti buchi si possono trovare ‘a tavolino’ studiando i sorgenti e quanti ravanando tra degli eseguibili proprietari ? Quanti buchi vengono scoperti dai sorgenti e corretti velocemente e quanti trovati in eseguibili proprietari e sfruttati prima che il produttore ne individui le cause nei sorgenti ?
    A parte le già citate differenze fra periodi e versioni prese in considerazione, il fatto che per Debian siano stati scovati tanti buchi potrebbe essere semplicemente una dimostrazione di come la disponibilità dei sorgenti alla comunità permetta una migliore analisi degli stessi. La cosa più importante è che i buchi vengano scovati e di conseguenza corretti, non affidarsi ad una “security by obfuscation” che dà una falsa impressione di sicurezza.

  8. Avatar Roberto Lucchesi
    Roberto Lucchesi

    Ma la devono smettere, se quel colabrodo di Windows pubblicasse i sorgenti di vulnerabilità ne salterebbero fuori otto mlliliardi

  9. Avatar Vittorio Colombo
    Vittorio Colombo

    Chiaro che un sistema “aperto” sia più vulnerabile, il mondo é pieno di persone squisite… Ma anche di gran bastardi…

  10. Avatar Vittorio Colombo
    Vittorio Colombo

    Perché offendersi boh non vi capisco, sembrate inquadrati peggio di un komunista anni 60 o un fascista anni 30… Mica vi hanno colpiti di persona… Windows ~ un ottimo S. O. (a voi sta sulle palle a prescindere perché ritenete figo essere bastian contrari). Ma é ottimo, stabile, con pochi problemi e funzionale, personalizzabile a sufficienza (più del tanto osannato os per esempio)… Fatevene una ragione, poi se. Uno vuole usa anche. Linux (come me) ma non mi permetterei mai di sputare sentenze per partito preso… Ciao..

  11. Avatar amedeo lanza
    amedeo lanza

    “é ottimo, stabile, con pochi problemi e funzionale”
    questo detto di un sistema che da almeno sei mesi ad ogni aggiornamento pianta le macchine, si perde pezzi per la strada, fa perdere ore davanti ad uno schermo con la scritta ‘Aggiornamento in corso’, perde le funzionalità di ricerca locale poiché non è accessibile il motore di ricerca della mamma spiona

    Certo, windows mi sta sulle palle ed il motivo è che la maggior parte dei clienti si ostina ad utilizzarlo, avere dei problemi e tritare le palle per delle scemenze. Ormai gli utenti si sono assuefatti ai malfunzionamenti di windows e li considerano ineluttabile parte del sistema.

  12. Avatar Cristian Martina
    Cristian Martina

    Bisogna anche vedere nel dettaglio. Per esempio ubuntu ha circa 2000 falle. OK. Ma riferite a quale versioni del software? La maggior parte degli utenti credo non abbia le versioni obsolete sia del SO che del software installato.

  13. Avatar Giovanni Ivan Alberotanza
    Giovanni Ivan Alberotanza

    Questa tabella del paragrafo “Should you worry?” dell’articolo in questione a mio avviso spiega molto meglio la situazione.

  14. Avatar carlo coppa
    carlo coppa

    Non è questione di offendersi, anche perché non conosco nessuno che ha preso un virus con Gnu/Linux, al contrario ne ho conosciuti molti che li hanno presi in Windows. Tra l’altro a me non sta certo sulle palle un OS, semplicemente non lo uso e installo. Quello che sta sulle palle è la metodologia, è il confrontare le mele con le pere, per farne una classifica, questo si, mi sta sulle palle, perché contribuisce a diffondere ignoranza. Confrontare sistemi che utilizzano un metodo pubblico nella gestione di bug e falle di sicurezza, con uno privato, dove viene pubblicato solo quello approvato dall’azienda o da quello che viene scoperto da enti terzi, capirai da solo che non ha alcun senso, sopratutto se poi il periodo è ampio e non tutti i OS erano ancora esistenti. Tutto questo è anche spiegato nell’articolo, tuttavia il messaggio che di solito passa, è la classifica.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (3) Notizie (2908) Saturday's Talks (46)

Tag cloud

ai (43) Android (32) AWS (30) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (61) Fedora (52) Firefox (36) GitHub (67) Google (85) IBM (49) Intel (54) KDE (35) Kernel (218) Kubernetes (89) Linux (672) LinuxFoundation (31) LTS (32) Malware (54) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (322) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (46) RHEL (36) SaturdaysTalks (45) Sicurezza (90) Software (36) SUSE (34) systemd (73) Torvalds (79) Ubuntu (167) Vulnerabilità (55) Windows (80)