26 setembro 2006

Relatório imparcial da Symantec

Parece-me que ninguem tem duvidas sobre qual é o mais seguro, se o IE ou o Firefox; se o software open source, se o software proprietário. Já fiz vários artigos sobre o assunto, empresas respeitadas já o disseram, entidades conceituadas já o afirmaram, o próprio senso comum já se rendeu à evidencia que o software sendo aberto, tendo o código fonte disponível , qualquer programador pode escarafunchar nele, encontrar bugs, denunciá-los, corrigi-los. Aliás, pode e é incutido a isso. Ao contrário do software fechado em que o código fonte é escondido a 7 chaves e bugs ou problemas encontrados são alvo de tentativas de abafamento.

Mas eis que aparece uma empresa de méritos reconhecidos, a Symantec e diz que afinal o Firefox/Mozilla tem mais vulnerabilidades que o Internet Explorer!! Mais: apresentam dados que corraboram essa tese! Como é agora? Já me referi à Sophos anteriormente, que aconselhava os utilizadores a mudarem-se do windows para o MacOSX e dei uma razão credível para não darem o Linux como opção de mudança. Será que há uma conspiração contra o Linux e o software opensource?

Na verdade a Symantec apenas está a usar uma especialidade da Microsoft, o uso do FUD(Fear, Uncertainty and Doubt). Dizendo meias verdades, apresentados numeros corretos mas embrulhados duma maneira parcial, criam o medo, a incerteza e a dúvida.

E afinal como é? Bom, na verdade só se fala nas vulnerabilidades descobertas e reconhecidas pelo próprio fabricante!É sabido que a Microsoft tenta camuflar ou recusar aceitar seus bugs! E mais, somam todas as vulnerabilidades dos vários browsers da Mozilla! Seja o Firefox, seja o Camino, seja o Mozilla. Assim é batota!! E os dados referem-se ao primeiro semestre de 2005:
  • A Fundação Mozilla confirma 25 vulnerabilidades nos seus browsers.
  • A Microsoft confirmou 13 vulnerabilidades no Internet Explorer.
E se agora se for buscar os numeros a uma empresa independente, sem ser a Symantec, ou da sua aliada Microsoft ou mesmo da Mozilla? A Secunia é uma empresa respeitada quando se fala em segurança! Vejamos o que ela diz:
  • IE 6 - Avisos de vulnerabilidades: 106. Por resolver: 19
  • Firefox 1.x - Avisos de vulnerabilidades: 36. Por resolver: 3
Apresentando os numeros de uma maneira imparcial e sem batota, a conclusão é completamente diferente! E nem vale a pena falar sobre o tempo médio que a Microsoft demora a resolver as suas vulnerabilidades que é cerca de um mês. Já agora convem referir que a amostra dos numeros do relatório da Symantec se refere à altura do lançamento do Firefox 1.0, cuja versão ainda trazia muitos problemas, sem tomar em conta que hoje, quem usa o Firefox, na sua maioria usa já as versões 1.5.x, que são muito mais seguras.

Mas se se usar os mesmos artifícios que no relatório da Symantec, mas no sentido oposto, os dados tomam ainda uma aparencia mais grave:
  • IE (5.01+5.5+6.x) = 239 vulnerabilidades
  • Firefox (0.9+1.x) = 75 vulnerabilidades
Fica agora a pergunta no ar: porque é que a Symantec lançou este relatório de puro FUD, tendencioso e "falso"? Deixo pistas:
  • IE é "bom" para ser usado pelo utilizador. Na verdade é pior e irá fazer vender mais produtos da Norton antivirus, que significa mais lucros para a Symantec.
  • Firefox é "pior" para o utilizador. Na verdade é melhor mas implica menos produtos da Norton, menos lucros...

comentários:

Muito bem dito, não diria melhor! Mas o pior é mesmo um "fanboy" que eu apanhei num forum que frequento a afirmar a pés juntos que o Software Open Source é por natureza mais inseguro e que o closed source é mais seguro por ser closed source e ninguem poder ver o codigo (Isto vinha de uma discussão Opera VS Firefox)... PIOR: Num post a seguir ele já recomendava o Jabber como protocolo de IM xD