Mac OS X è il software più vulnerabile?

martedì, 26 gennaio 2016__21:30

Inviato da: Eretico


Secondo una recente statistica, Mac OS X sarebbe il software con il maggior numero di vulnerabilità note al mondo, ma sarà proprio vero?
Esiste un proverbio, che talvolta vale forse la pena di richiamare alla mente, che afferma che “esistono tre tipi di bugie: le bugie, le dannate bugie e le statistiche”.
È un detto che mi è tornato alla mente, di recente, dopo avere letto, in alcuni tra i blog sulla tecnologia che seguo più o meno assiduamente, diverse notizie propalanti la nozione che Mac OS X sarebbe il software che, nel corso del 2015 appena trascorso, ha fatto rilevare il maggior numero di vulnerabilità, sotto l’aspetto della sicurezza.
Potete trovare traccia di ciò, ad esempio, per i blog in lingua inglese, su Hackread, SC Magazine, Techworm, Fudzilla e molti altri; tralascio volutamente di indicare blog in lingua italiana, in quanto molto, troppo spesso, si limitano ad un mero copia e incolla – talvolta addirittura realizzato con il terrificante traduttore automatico di Google – di quanto riportato dai blog anglofoni.
La notizia trae origine, a quanto pare, da una statistica pubblicata su CVE Details (visibile QUI), un sito che tiene traccia delle vulnerabilità di sicurezza dei software, identificate mediante un processo proprietario da loro sviluppato, denominato “CVE identifiers” e basato, sostanzialmente, sugli “avvisi di sicurezza” che vengono pubblicati dai produttori di software (per inciso, il sito si autodefinisce “The ultimate security vulnerability data source”).
Secondo CVE Details infatti, nel corso del 2015, ad Apple è stato assegnato il più elevato numero di vulnerabilità riscontrate secondo il metodo descritto, in misura maggiore rispetto ad ogni altra società produttrice di software da loro esaminata; nel caso ve lo stiate chiedendo, si, ancor più che a Microsoft, a Google o ad Oracle.
Inoltre, il software di Apple con il maggior numero di vulnerabilità sarebbe proprio il sistema operativo Mac OS X.
Secondo questa statistica, Mac OS X sarebbe affetto da 384 vulnerabilità, seguito subito dopo da iOS, con 375; seguono poi, in classifica, alcuni software di Adobe.
È interessante rilevare che Internet Explorer di Microsoft, invero abbastanza noto per i problemi di sicurezza da cui è perennemente afflitto, occupa solo la settima posizione della classifica, con 231 vulnerabilità.
I ricercatori di CVE Details hanno contato 654 vulnerabilità di cui è stata resa nota l’esistenza nei software di Apple, 83 in più rispetto a Microsoft, che si è posizionata seconda con 571 vulnerabilità; seguono Cisco con 488, Oracle con 479, Adobe con 460, Google con 323, IBM con 312 e Mozilla con 188. I dettagli sono visibili QUI.
Come però è noto al colto e all’inclita, le statistiche possono, a volte, risultare fuorvianti.
Il problema fondamentale, con statistiche di questo genere (o forse sarebbe meglio dire con gli articoli acchiappaclic che esse generano) è l’assunto che a un maggior numero di avvisi di sicurezza rilasciati corrispondano effettivamente un maggior numero di vulnerabilità effettivamente sfruttabili, ma questo assunto è erroneo, in quanto, innanzi tutto, nulla viene detto in merito alla gravità della vulnerabilità scoperta, quale sia il suo potenziale impatto o se il difetto trovato nel codice abbia già dato luogo alla creazione di exploit.
Questo sistema, inoltre, porta all’assurdo risultato che se una società dovesse fare un buon lavoro nell’ambito della sicurezza dei suoi software, trovando i problemi, risolvendoli velocemente (perché comunque non esistono e non sono mai esistiti programmi costituiti da migliaia, o milioni, di linee di codice esenti da problemi) e dandone diligentemente avviso, si ritroverebbe, in virtù appunto dei numerosi avvisi di sicurezza rilasciati, in una posizione, in questo genere di classifica, tale da qualificarla come una società più afflitta da problemi di sicurezza rispetto ad altre che, magari, non fanno attivamente ricerca o, ancor più furbescamente, non pubblicano avvisi di sicurezza.
Oltretutto, nella realtà, come anche la storia recente ci insegna, un singolo problema di natura critica può causare più disastri di centinaia di vulnerabilità di scarso impatto per l’utenza.
Per cui, per quanto alla nostra anima “nerd” piaccia l’idea di liste, statistiche e classifiche riguardanti i produttori di software, che cerchino di determinare quale sia il programma più o meno sicuro, parrebbe che mettersi semplicemente a contare gli avvisi di sicurezza rilasciati non sia un buon metodo per avere un’idea chiara della situazione (e torniamo a ribadire il concetto: e se gli avvisi non vengono furbescamente rilasciati? Chi non li rilascia risulta “sicuro”…)
Naturalmente con ciò non si vuole affermare che i software prodotti da Apple siano immuni da problemi di sicurezza o che siano meglio degli altri, sotto questo aspetto, ma appare evidente che provare a trarre conclusioni su quale software sia il più vulnerabile sulla base di queste premesse ci riconduca sempre alla questione delle “bugie, le dannate bugie e le statistiche”.

Fonti:
https://www.intego.com/mac-security-blog/dont-believe-headlines-that-claim-os-x-was-the-most-vulnerable-software-of-2015/
https://www.hackread.com/apples-os-x-most-vulnerable-software-of-2015/
http://www.scmagazineuk.com/apple-os-x-named-most-vulnerable-software-of-2015/article/462764/
http://www.techworm.net/2016/01/surprise-os-x-is-the-most-vulnerable-software-of-2015-not-adobe-flash.html
http://www.fudzilla.com/news/39581-apple-software-most-vulnerable-and-buggy
https://www.cvedetails.com/top-50-products.php?year=2015
https://www.cvedetails.com/top-50-vendors.php?year=2015


Commenti (6)


iMaccanici Assistenza Mac
http://www.imaccanici.org/article.php/statistiche