[tc] Davvero Linux è più sicuro di Win?

[Blackstorm]

Il 24/03/07, francesco foresti<frafore a tiscali.it> ha scritto:
> Alle 22:13, venerdì 23 marzo 2007, Blackstorm ha scritto:
> > > > Ok, io le fonti le ho citate. Ora, presupponiamo che i numeri siano
> > > > falsati, presupponiamo che tutti quelli che parlano in maniera
> > > > incoraggiante di Windows siano dei maledetti venduti, presupponiamo
> > > > che siano interessati solo a spargere FUD, presupponiamo che MS è il
> > > > male.
> > >
> > > io non voglio presupporre niente di tutto questo, però voglio sapere chi
> > > è che dice una certa cosa, solo per esercitare il gusto di scoprire in
> > > che modo questa persona (o azienda) ci guadagna affermando questo o
> > > quell'altro. Mi piace farlo perché spesso si scopre che ci sono interessi
> > > politici o economici dietro un'affermazione pomposamente dichiarata
> > > imparziale.
> >
> > Ok, le fonti te le ho date... a te la palla...
>
> io non ho postato un link ad un articolo che dice che statisticamente windows
> è più sicuro di linux.  Il fatto che io non ci creda è ininfluente. Io non ti
> voglio convincere che linux è meglio, quindi la palla non va a me; e per
> inciso, le uniche fonti che ho visto sono quelle di SCO e di Symantec, sulle
> quali nutro dubbi circa l'imparzialità.

Ok, ma tu hai detto che vuoi sapere che dice cosa per scoprire cosa ci
guadagna. Io ti ho dato le fonti, ora vorrei semplicemente sapere cosa
ci guadagnano le due fonti che ho citato, tutto qui. Non ho idea dei
rapporti fra tutte le sw house, per cui chiedevo solo questo.

>
> > > > Ora che abbiamo presupposto tutto ciò, posso avere delle statistiche
> > > > che dicano il contrario, che dimostrino che Vista non è così sicuro?
> > >
> > > __IMHO__ (e ripeto, IMHO), le statistiche __per definizione__ si usano
> > > quando una cosa non è dimostrabile (oltre ogni ragionevole dubbio,
> > > oppure usando la logica).
> >
> > Affermazione che potrebbe ritorcersi contro chi usa le statistiche per
> > dimostrare che un Os ha più o meno vulnerabilità di un altro...
>
> ripeto, la differenza sta nel fatto che chi scrive codice per linux non
> pubblica articoli "dimostrativi". I pochi articoli in tal senso li scrivono
> quelli che su linux ci guadagnano sopra, perciò anch'essi sono da
> considerare come quelli che hai postato tu.

Eh, questa però è paranoia. Scusami, ma se non mi posso basare su
articoli scritti da gente che presumibilmente ne sa (uno a caso,
Russinovich, che rientrerebbe nella categoria descritta da te visto
che i suoi articoli tecnici sono tesi a dimostrare la sicurezza di
Vista), e decisamente più di me, su cosa mi baso? Sui fatti? Ok, ma
quali? Io non sono in grado di forzare un sistema. Non so nemmeno da
che parte si comincia ad attaccare un sistema. Ed il fatto di non
prendere virus o malware, non è indicativo di un sistema più o meno
sicuro, dato che con XP sono eoni che non prendo virus e compagnia
bella. E questo è un fatto. Ma non è indicativo. Su cosa mi baso? Su
quello che leggo in questa lista? Si, ma questa lista è solo una delle
due campane. E se l'altra campana mi produce articoli tecnici e
dimostrativi, cosa faccio? Non la ascolto? Mi pare quanto meno
ridicolo, no?

>
> > I dati tecnici sono misurabili, i dati politici un po' meno. Io non
> > voglio motivi tecnici, vorrei solo qualche dato tecnico... Chiedo
> > troppo?
>
> per me i dati tecnici _attendibili_ sono quelli che riportano
> ALMENO:
> -- le condizioni al contorno (ogni singolo programma installato, ogni
>     servizio o demone in esecuzione, ogni patch eventualmente
>     installata in ciascun programma).
> -- le procedure utilizzate per evidenziare i difetti riscontrati (in modo
>    che siano ripetibili da chiunque).
> -- nessun tipo di valutazione fatta da esseri umani a nessun livello, nemmeno
>    una stima sulla gravità del difetto. L'unica cosa ammessa sono gli
>    effetti nell'eventualità che il difetto si presenti in un caso reale.
> -- gli strumenti statistici usati per elaborare i dati (il tipo di calcoli
>     effettuati).
> Ripeto (ad nauseam): io non devo dimostrarti nulla; se vuoi fare un
> confronto serio su cui basare delle conclusioni che abbiano un minimo
> di attendibilità questi sono (almeno per me) i requisiti minimi.
> Per il resto, è aria fritta, la mia quanto la tua.
>

http://www.csoonline.com/pdf/Vista_Vuln_Report.pdf

Questo è il report completo dell'articolo del tipo della SCO. Che fra
l'altro fa un discorso molto simile al tuo qui:
http://blogs.csoonline.com/exactly_how_biased_am_i
Ora, se ti sembra che ancora non sia possibile valutare questo report,
pazienza. Io sto cercando sul serio onestamente di darti in mano tutto
ciò che chiedi, non per dimostrarmi qualcosa, ma perchè se ci riesco,
non puoi più questionare sull'attendibilità delle fonti e possiamo
passare a discutere di quanto questo report sia "corretto".

Passo velocemente a LuX:

>>> Mi permetti di farti notare che così facendo ci ritroveremmo a giudicare
>>> un kernel senza interfaccia grafica e con una manciata di servizi (lato
>>> Linux) e un'obesa scatola semivuota (lato Windows)?
>>
>> Ok. Ma mi basterebbero le installazioni di base, anche con eventuali
>> patch di sicurezza del caso.
>
>Secondo me PRIMA di tentare un confronto bisognerebbe fissare un livello
>di funzionalità minime che il SO sia in grado di assolvere.
>In modo da poter dire che siano paragonabili.
>Non avrebbe senso paragonare un SO che sia in grado di eseguire 10.000
>compiti con uno che non ne sappia eseguire nessuno, perchè sarebbe una
>lotta impari.

Non ho mai detto il contrario.Partiamo dalle installazioni base dei
due sistemi, vediamo le funzionalità che hanno, e quelle che uno ha e
l'altro no le aggiungiamo. Mi sembra ottimo.

>> Come l'antivirus di Trend Micro non viene
>> installato di base da una Ububntu o quel che è. Mettici le patch di
>> sicurezza, quel che vuoi, ma i programmi "esterni" sono un po' una
>> forzatura...
>
>Con un pizzico di fantasia (neanche troppa) potrei considerare un
>antivirus come una patch di sicurezza (per win, almeno) ;)

Ma levacelo pure. Per me non è un problema. Basta che i sistemi
partano alla pari.

>> Vedi il recente bug di firefox che consente l'esecuzione di codice
>> arbitrario: è un problema di firefox, che interpreta male i link,
>> non un problema di linux o windows che sia... Mi spiego?
>
>Questo credo sia il nocciolo della questione. Se leviamo il browser ad
>un SO perchè è fonte di buchi di sicurezza.. dovremmo (per onestà)
>toglierlo anche all'altro SO altrimenti il primo sarebbe avvantaggiato
>dalla mancanza di quella funzionalità. E il confronto tra due cose
>diverse.. lascia il tempo che trova.

Ok. Mi va benissimo. E' giusto. Infatti, i bug di firefox non li
considererei per windows, ma nemmeno per linux.

>> Ok, mi va bene. Ma è anche vero che se io ti do un programma con
>> dentro una backdoor, non puoi accusare il sistema operativo di essere
>> insicuro, perchè un attaccante mi penetra dal programma, non violando
>> il S.O....
>
>Su questo punto ti do atto che hai ragione.
>Per questo motivo sostenevo l'ipotesi di fissare un insieme di
>funzionalità minime per esaudire le quali si sia liberi di scegliere i
>migliori programmi (possibilmente trasparenti, quindi senza "sorpresine"
>dentro) che siano in grado di assolvere tali compiti.

Ma appunto. Era quello che volevo dire io quando parlavo di quella
lista chilometrica. Non mi interessa chi è in vantaggio alla fine, ma
ripeto che mettere bug di applicazioni che non rientrano nelle
funzionalità minime, tende a falsare il risultato.

>A costo di diventare noioso, ripeto, non credo che abbia senso
>confrontare due SO che fanno cose diverse, altrimenti metto in gara il
>mio codice (che con l'occasione chiamerò "LuXinux") che vincerà
>SICURAMENTE ;)
>+------------(Assembler)-+
>| Ciclo: NOP             |
>|        JMP SHORT Ciclo |
>+------------------------+

E perchè non un semplice

loop: JMP SHORT loop

:)

Ti elimino anche il pericolosissimo bug della nop... :)
Cmq sia, naturalmente il mio discorso era teso a fare esattamente
quello che dici tu: le liste di bug che hai postato contengono bug di
molti software che imho non rientrano nella lista minima...

-- 
---
Blackstorm

God does not care about our
mathematical difficulties.
He integrates empirically.