Diz a nódoa ao sujo: és o mais limpo de todos!
Saiu um relatório da Symantec sobre segurança e vulnerabilidades, focando os sistemas operativos no último semestre de 2006. Nesse relatório ficou mencionado que o Windows foi o SO que menos patchs teve de aplicar e foi quem demorou menos tempo a aplicá-los.Durante esse período, o Windows teve 39 vulnerabilidades, 12 das quais severas e a Microsoft demorou em média 21 dias a corrigi-las. Segundo o relatório, a Red Hat demorou 58 dias para resolver 208 vulnerabilidades. E continua o relatório dizendo que no Mac OSX foram encontrados 43 vulnerabilidades e demoraram 66 dias para resolver os bugs.
Com base neste relatório, a Symantec indicou o SO da Microsoft como o mais seguro de todos.
O problema então deve ser meu que não consigo perceber e encontrar a tal segurança no windows, em especial no XP, já que o relatório é anterior ao Windows XP SP3 codename Vista. Há um mês estive com um portátil novinho dum colega meu, na mão, com a usual cópia do Windows XP e com a habitual aberração mastodôntica do Norton Antivírus & firewall, produto da Symantec. Como quem ia utilizar esse portátil tem poucos conhecimentos informáticos, basicamente é para trabalhar no Excel, edição de imagens, queima de CDs/DVDs, MSN e umas navegações, dei-lhe umas dicas sobre como usar esse SO altamente seguro como diz a Symantec. Obriguei-o a usar passwords, navegar só com o Firefox, mas não consegui convencê-lo a usar o aMSN ou outro em vez do seguro MSN, nem usar o Openoffice em vez do seguro Office 2003. Muito menos consegui convencê-lo a usar o inseguro Ubuntu em vez daquela cópia do Windows, mas o portátil é dele, ele lá sabe....
O resultado demorou um mês a chegar, mas chegou em força! Após ter feito todos os seus trabalhos em Excel para serem apresentados no dia seguinte, o portátil ficou num estado de completa inutilidade, tantas as janelas a abrirem-se, erros a multiplicarem-se, etc. Coisas completamente normais num SO seguro, como afirma a Symantec.
Após uma vista de olhos pelos erros, pelo gestor de tarefas, só fiquei surpreendido pela quantidade de programas, troianos, spyware e badware que estavam nas pastas "Run" do regedit. Se fossem pessoas quase que não cabiam no Estádio da Luz! Era uma autêntica festa, um bacanal, deviam estar a comemorar com champanhe o facto de estarem todos juntos dentro dum SO tão seguro!
A princípio fiquei admirado com aquele paquiderme consumidor nato de recursos de nome Norton, ter deixado passar tudo. Estava actualizado e após um full scan, sai o relatório que o PC está impecável, sem badware, num estado assim como dizer...estado seguro. Mas agora as coisas são bem claras. Norton é da Symantec. E se a Symantec não tem capacidade de fazer um antivírus minimamente funcional, qual a fiabilidade dum relatório como o mencionado em cima???
Não falei da segurança do Uáu da Microsoft, mas promete ser bastante seguro. Pelo o que pedem os gurus de segurança da Microsoft, as vulnerabilidades que apareçam neste SO, mesmo sendo gravíssimas, poderão ser consideradas pequenos percalços normais...
15 comentários:
24 março, 2007 17:42
LOLOLOLOLOLOLOLOL
e mais LOLOLOLOLOLOLOLOL
e ainda mais LOLOLOLOLOLOLOLOL
e, para acabar, LOLOLOLOLOLOLOLOL
Coitado do teu amigo... Já não bastava usar Windows, ainda usava o norton... :( se ele quer continuar com Windows, ao menos que instale o NOD32; é muito mais leve e eficaz.
Qualquer pessoa com um dedo de testa sabe que esse relatório vale o que vale; o problema é o comum do utilizador, que de certeza vai levar em conta isso.
24 março, 2007 19:04
windows o mais seguro...
Estes senhores não devem ser deste planeta.
25 março, 2007 00:33
Pois, pois. Ainda hoje fui a uma firma onde a Symantec estava a fazer um lindo serviço.
Era de tudo e ainda por cima o mais afectado foi o servidor.
Solução:
-Backup com DAT "tapes" novas em folha e para o meu "hosting" (a esta hora ainda está a decorrer);
-Formatação;
-Instalação do Windows Enterprise Server 2003 (se o conseguiram arranjar durante o dia de hoje, senão leva com o 2000);
-Restantes programas e filtrar os backup's;
-Por fim a protecção a cargo da firewall e anti-virus da COMODO, e o restante pelotão de ad-ware, spybot, e a mais fantástica ferramenta que vi até hoje, para Windows é claro!, o TRUESWORD.
Timeline - Segunda pelas 08H00!
Isto é que eu chamo de seguro!!
25 março, 2007 00:45
Entretanto, consultei a minha referência - SECUNIA - e numa primeira análise constatei o seguinte:
ANO DE 2006
M$
-WinXP - 45 vulnerabilidades, algumas extremamente graves. 7 ainda por resolver.
-Win2000 - 39 vulnerabilidades, algumas extremamente graves. 8 ainda por resolver.
-Win2003 Enterprise Server - 38 vulnerabilidades, algumas extremamente graves. 2 ainda por resolver.
LINUX
RedHat Enterprise - 0
RedHat Linux 9 - 0
openSuse 10.2 - 0
Fedora Core 6 - 8 vulnerabilidades. 0 por resolver.
APPLE
MacOSX - 24 vulnerabilidades. 3 por resolver.
Acho que isto diz tudo.
A Secunia é "apadrinhada" por todos os fabricantes e é tida como a referência neste tipo de estatísticas, enquanto a Symantec pode meter o hard pelo soft acima que tenho a certeza não notarão qualquer diferença.
@braço.
25 março, 2007 00:47
Já me esquecia:
http://secunia.com/vendor/
Está lá todo o mundo.
Por divertimento indicaria uma olhada ao IE...
25 março, 2007 02:21
Há alguma disparidade entre o relatório da symantec e os dados da secunia.
25 março, 2007 10:30
Já agora em relação a este artigo por uma questão de rior deixa-me acrescentar o seguinte:
1- O registo de segurança de cada produto não foi inventado pela Symantec
2- A análise é sobre os últimos 6 meses de 2006, daí as diferenças encontradas por muitos de vocês, mas prontamente omitida com o objectivo claro de desvalorizar a referida análise
3- Estas métricas revelam que muitos dos mitos associados ao software livre não passam disso mesmo
4- É preocupante que as pessoas não consigam perceber as tendências e padrões nestes números, felizemente começa a ser observável e a deixar o dominio da teoria, infelizmente esta não é uma corrida de 100 metros, mas uma maratona
Em relação à história muito ternurenta, creio que é interessante dizer o seguinte, não há por software que consiga proteger utilizdores inconscientes, a primeira batalha de todas é a EDUCAÇÃO, no que respeita à segurança.
A segurança, não é um produto, não há nenhum produto de software sem bugs (só mesmo aquele com zero linhas de código), as pessoas são um dos elos fracos no triângulo, tecnologia, pessoas e processos, e nas falhas habituais com as soluções, a tecnologia apenas representa 20% desses problemas, por isso mesmo que o software seja muito bom e sem vulnerabilidades haverá sempre alguém que o utiliza, ou configura mal, se esquece de algma coisa, enfim percebes a ideia.
Tenho muitos amigos e familia a utilizar o Windows XP, e não tem esses problemas todos que o teu amigo teve. Eu utilizo o Vista (sem anti-virus e o XP também o utilizei sem anti-virus) e não tenho esses problemas que descreveste, nem sei o que isso é...
25 março, 2007 12:14
A verdade é que esse meu colega que poucos conhecimentos tem em informática, se tivesse o Ubuntu instalado ou um Suse ou outro, não tinha ficado agarrado por causa da (in)segurança do Windows, nem tinha metade dos recursos do PC reféns de programas de (pseudo)proteção do SO. Essa é que é a verdade!
Quanto aos teus amigos e familiares que não tem esses problemas, ainda bem para eles, mas são raros. Tambem tenho aqui um windows 2000 e nunca teve vírus nem dessas coisas, mas aqui o utilizador sabe como o evitar.
Em contrapartida todos os meus colegas e familiares que pouco sabem de informática, usam os (in)seguros Windows 98/2k/xp, estão sempre a berrar por ajuda com vírus e badware! Devem ter azar....
No Linux nem procuro evitar esses badwares, nem sequer me ralo com essas particularidades do windows. Funciona sempre e bem, se calhar é só comigo...
25 março, 2007 12:21
E os dados de Secunia dizem respeito a TODOS os meses de 2006. O que lá está bem patente é que muitos LINUX = 0 (ZERO), durante todo o ano e não apenas os últimos 6 meses e ainda continuam a 0 (ZERO) durante 2007!
Isto não é omitir nem deturpar os factos. Chama-se realidade. E a realidade diz que a SECUNIA é a referência para todos (TODOS!) os fabricantes. Nunca mas mesmo nunca a Symantec servirá de referência a alguma coisa. Ou melhor é a 2ª referência mundial quanto a mamar recursos da máquina, logo atrás dos Window$ (os outros, pois nem vale a pena falar no "espécie de SO").
Aliás foi muito estranho ver a SYMANTEC ter-se "esquecido" da questão de colocar a M$ nos tribunais. De repente recuou e agora vem com esta. Mais uma vez suspeito dos milhões a funcionar.
Parece que, felizmente, quem não se esqueceu foi o recém-parceiro da M$ a Novell a qual continua a malhar forte e feio na M$!
E onde?
Claro que só poderia ser na segurança!
Pode ser defeito meu, talvez por não saber ler nem escrever, mas também acho muito estranho a Symantec falar apenas de Windows sem especificar qual o Window$. É que durante 2006 a M$ ainda dava suporte a muitos Window$.
Mas estranho, muito estranho mesmo, é haver uma pequena comunidade onde não existe qualquer tipo de problema quanto à segurança!
E mais ainda, nem sabem o que isso (todos os problemas descritos) é!
Há coisas fantásticas não há?!
PS: Quanto à segurança basta fazer uma procura e ver quantas empresas a M$ comprou neste ramo e quantos produtos a M$ vende para proteger os tais Window$ que nunca, mas mesmo nunca, foram afectados por qualquer problema!
Ora, sei lá. Nem sei o que isso é!
25 março, 2007 14:39
Concordo com um ponto que o Anónimo aborda; a estupidez dos utilizadores. O utilizador comum, sempre que vê um OK, carrega instintivamente; nem se dá ao trabalho de ler.
26 março, 2007 09:25
Joca então mostra-me lá onde estão os Linuxes com 0 boletins.
26 março, 2007 10:54
Ah!
Desculpe, bastaria seguir o link, depois Novell e em seguida openSUSE 10.2, por exemplo. Mas só para facilitar a vida:
http://secunia.com/product/13375/?task=advisories_2006
Por exemplo:
openSUSE 10.2 - 0 (zero) durante todo o ano de 2006...
Já agora poderá consultar os RedHat que mencionei e que também estão a zero. O processo é o mesmo só varia a a RedHat em vez do Novell. Mas se preferir evitar as "navegações" aqui vão os link's para a Red Hat:
http://secunia.com/vendor/3/
No comentário acima indiquei o openSUSE (zero) e o Fedora (8) porque são esses os OS's que uso regularmente.
Cumprimentos.
27 março, 2007 08:19
Ah, já percebi o problema com a Secunia e que definitivamente não deve ter sido a fonte para esta análise por se incompleta.
O que quero dizer com isto, quero dizer que a Secunia não acompanha a divulgação das vulnerabilidades ns distribuições Linux, pura e simplesmente. Existem algumas razõs práticas para isso, por exemplo imagina que divulgo uma vulnerabilidade no Kernel 2.6, que é um componente base para as distribuições, será que me podes dizer se a vulnerabilidade se aplica a todas as distribuições ou não? Por exemplo, a Red Hat modifica o kernel, podem nem sequer carregar o componente afectado, ou já ter corrigido o problema. Multiplica isto por centenas de distribuições e a validação individual, é impossível para a Secunia.
Por isso basicamente a Scunia, apenas publica boletins depois de o fabricante ter admitido a vulnerabilidade no seu produto, e normalmente com a publicação de um patch.
Resumindo os números relativos a patches inexistentes na Secunia são muito pouco rigorosos.
Um bom local para começares a fazer uma análise mais próxima da realidade é começares por exemplo por aqui:
http://nvd.nist.gov/
http://cve.mitre.org/
Por aqui vais encontrar bases de dados com as vulnerabilidades de tudo o que é produto e começar a perceber melhor de onde vêm provavelmente os números de análises como as da Symantec.
27 março, 2007 10:46
Então vamos lá:
No nvd-
opensuse (qualquer versão) = no matching (mesmo nos últimos 3 anos).
windows xp = 420 (nos últimos 3 anos)!
http://cve.mitre.org/-
Este link não leva a nada, excepto às empresas que declararam que estão a trabalhar ou já são compatíveis como CVE.
Aqui apenas se nota a notável ausência da M$ como já seria de esperar!
Como pode ver daqui não se pode retirar qualquer conclusão.
Quanto à Secunia, agradeço o favor de ver com olhos de ver. Se reparar bem para o ano de 2007 e ainda relativamente ao openSUSE 10.2 poderá certamente aperceber-se que as actualizações ao kernel constam como vulnerabilidades.
Mais, também existem actualizações para produtos de terceiros como o Firefox, Thunderbird, Openoffice,php e Samba.
Se quiser comparar estes totais com a M$ terá que somar o Windows+Office+IE+Outlook (todos produtos da M$)e o leque ainda não fica completo pois também tem que somar o php e o Samba, ou retirá-los da contagem.
Assim, continuo a apostar no Secunia como a minha referência.
"Por isso basicamente a Scunia, apenas publica boletins depois de o fabricante ter admitido a vulnerabilidade no seu produto, e normalmente com a publicação de um patch."
Muitas das vezes é assim excepto no referente ao patch porque, nesse caso, não haveriam "não resolvidas", mas também existem milhares que são descobertas por terceiros. Logicamente, estes "terceiros" terão que ter a confiança da Secunia senão poderia dar-se o caso desses resultados não serem fidedignos.
Cumprimentos.
29 março, 2007 01:05
Joca, pega no XML e analisa com o ficheiro e verás o que te digo.
No Mitre claro que encontras também uma lista e em diferentes formatos, e estes não são os únicos locais, por isso não uses a Secunia como o local de referência que efectivamente não é.
O que te disse é verdadea informação que lá consta de muitas distribuições de Linux não é rigorosa.
Em relação a minha afirmação sobre os pacthes, é verdadeira e reconhecida pela própria Secunia (aliás já o vi escrito e podes sempre perguntar-lhes), e na minha afirmação a palavra que ignorou mas era importante no contexto foi NORMALMENTE, por esse motivo é que o número de vulnerabilidades unpacthed é tão pequena, pelo fenómeno que descrevi.
Já agora o OpenSuse deve ser diferente das outras distribuições todas de Linux e não tem vulnerabilidades... só acredita quem quer.
Enviar um comentário