Secondo una recente statistica, Mac OS X sarebbe il software con il maggior numero di vulnerabilità note al mondo, ma sarà proprio vero?
Esiste un proverbio, che talvolta vale forse la pena di richiamare alla mente, che afferma che “esistono tre tipi di bugie: le bugie, le dannate bugie e le statistiche”.
È un detto che mi è tornato alla mente, di recente, dopo avere letto, in alcuni tra i blog sulla tecnologia che seguo più o meno assiduamente, diverse notizie propalanti la nozione che Mac OS X sarebbe il software che, nel corso del 2015 appena trascorso, ha fatto rilevare il maggior numero di vulnerabilità, sotto l’aspetto della sicurezza.Potete trovare traccia di ciò, ad esempio, per i blog in lingua inglese, su Hackread, SC Magazine, Techworm, Fudzilla e molti altri; tralascio volutamente di indicare blog in lingua italiana, in quanto molto, troppo spesso, si limitano ad un mero copia e incolla – talvolta addirittura realizzato con il terrificante traduttore automatico di Google – di quanto riportato dai blog anglofoni.
La notizia trae origine, a quanto pare, da una statistica pubblicata su CVE Details (visibile QUI), un sito che tiene traccia delle vulnerabilità di sicurezza dei software, identificate mediante un processo proprietario da loro sviluppato, denominato “CVE identifiers” e basato, sostanzialmente, sugli “avvisi di sicurezza” che vengono pubblicati dai produttori di software (per inciso, il sito si autodefinisce “The ultimate security vulnerability data source”).
Secondo CVE Details infatti, nel corso del 2015, ad Apple è stato assegnato il più elevato numero di vulnerabilità riscontrate secondo il metodo descritto, in misura maggiore rispetto ad ogni altra società produttrice di software da loro esaminata; nel caso ve lo stiate chiedendo, si, ancor più che a Microsoft, a Google o ad Oracle.
Inoltre, il software di Apple con il maggior numero di vulnerabilità sarebbe proprio il sistema operativo Mac OS X.
Secondo questa statistica, Mac OS X sarebbe affetto da 384 vulnerabilità, seguito subito dopo da iOS, con 375; seguono poi, in classifica, alcuni software di Adobe.
È interessante rilevare che Internet Explorer di Microsoft, invero abbastanza noto per i problemi di sicurezza da cui è perennemente afflitto, occupa solo la settima posizione della classifica, con 231 vulnerabilità.
I ricercatori di CVE Details hanno contato 654 vulnerabilità di cui è stata resa nota l’esistenza nei software di Apple, 83 in più rispetto a Microsoft, che si è posizionata seconda con 571 vulnerabilità; seguono Cisco con 488, Oracle con 479, Adobe con 460, Google con 323, IBM con 312 e Mozilla con 188. I dettagli sono visibili QUI.
Come però è noto al colto e all’inclita, le statistiche possono, a volte, risultare fuorvianti.
Il problema fondamentale, con statistiche di questo genere (o forse sarebbe meglio dire con gli articoli acchiappaclic che esse generano) è l’assunto che a un maggior numero di avvisi di sicurezza rilasciati corrispondano effettivamente un maggior numero di vulnerabilità effettivamente sfruttabili, ma questo assunto è erroneo, in quanto, innanzi tutto, nulla viene detto in merito alla gravità della vulnerabilità scoperta, quale sia il suo potenziale impatto o se il difetto trovato nel codice abbia già dato luogo alla creazione di exploit.
Questo sistema, inoltre, porta all’assurdo risultato che se una società dovesse fare un buon lavoro nell’ambito della sicurezza dei suoi software, trovando i problemi, risolvendoli velocemente (perché comunque non esistono e non sono mai esistiti programmi costituiti da migliaia, o milioni, di linee di codice esenti da problemi) e dandone diligentemente avviso, si ritroverebbe, in virtù appunto dei numerosi avvisi di sicurezza rilasciati, in una posizione, in questo genere di classifica, tale da qualificarla come una società più afflitta da problemi di sicurezza rispetto ad altre che, magari, non fanno attivamente ricerca o, ancor più furbescamente, non pubblicano avvisi di sicurezza.
Oltretutto, nella realtà, come anche la storia recente ci insegna, un singolo problema di natura critica può causare più disastri di centinaia di vulnerabilità di scarso impatto per l’utenza.
Per cui, per quanto alla nostra anima “nerd” piaccia l’idea di liste, statistiche e classifiche riguardanti i produttori di software, che cerchino di determinare quale sia il programma più o meno sicuro, parrebbe che mettersi semplicemente a contare gli avvisi di sicurezza rilasciati non sia un buon metodo per avere un’idea chiara della situazione (e torniamo a ribadire il concetto: e se gli avvisi non vengono furbescamente rilasciati? Chi non li rilascia risulta “sicuro”…)
Naturalmente con ciò non si vuole affermare che i software prodotti da Apple siano immuni da problemi di sicurezza o che siano meglio degli altri, sotto questo aspetto, ma appare evidente che provare a trarre conclusioni su quale software sia il più vulnerabile sulla base di queste premesse ci riconduca sempre alla questione delle “bugie, le dannate bugie e le statistiche”.
Fonti:
Don’t Believe Headlines That Claim OS X Was The “Most Vulnerable” Software of 2015
Surprise, Apple’s OS X comes out as most vulnerable software of 2015
http://www.scmagazineuk.com/apple-os-x-named-most-vulnerable-software-of-2015/article/462764/
Surprise, OS X is the most vulnerable software of 2015 not Adobe Flash
http://www.fudzilla.com/news/39581-apple-software-most-vulnerable-and-buggy
https://www.cvedetails.com/top-50-products.php?year=2015
https://www.cvedetails.com/top-50-vendors.php?year=2015
Piuttosto che porre un punto interrogativo, è il caso di porre un punto esclamativo.
OSX è vulnerabile, alla stregua di ogni altro OS.
È anche pieno di errori, più o meno gravi.
Quello che invece manca nell’articolo è la seguente statistica : in quanto tempo OSX viene aggiornato a fronte della scoperta di un problema?
Per Linux la soluzione viene rilasciata in pochi giorni, Microsoft ha la politica dei rilasci settimanali, in genere il lunedì, e Apple?
Ogni uomo è come Dio lo ha fatto ahimé,
e spesso peggio.
Miguel de Cervantes
Hammarby, se esistesse un dio dovrebbe benedire OS X.
Se le vulnerabilità si riferiscono a tutti i sistemi operativi operativi di OSX che attualmente Apple aggiorna, anche per problemi di sicurezza (Osx 10.7 – 10.8 – 10.9 – 10.10 e 10.11) non sono molti 😉 …. sommando gli OS di Microsoft sono ben 1160 vulnerabilità … 😉
Mac mini Late 2012 Core i7 quad core 2.6 GHz – Ram 16 GB – SSD 500 GB + 1 TB
MacBook Air 13″ Mid 2013 Core i5 1.3 GHz – Ram 4 GB – SSD 128 GB iPhone 6 – 16 GB
Cito Faxus:
"Gli antivirus sono in assoluto inutili su OS X, e attualmente sono l’unico modo teoricamente conosciuto per immettere un virus nel sistema.
Ma non ne esistono e non si conoscono modi, anche teorici, di installare un virus su OS X.
Vista l’inutilità, si consideri che gli antivirus sono pesantissimi, controllano le funzioni di sistema e cambiano la disposizioni degli eventi.
Poiché all’installazione gli si concedono poteri praticamente assoluti operativi, le conseguenze sono sconosciute ed imprevedibili, perché il loro codice è chiuso.
In caso di malfunzionamento bloccano l’operatività e creano danni rilevanti.
In ogni caso, anche nella più fortunata delle ipotesi, rallentano il funzionamento e impediscono alcune semplici routine.
Dato che si autoaggiornano, in futuro non potrai mai sapere, ammesso che non ci sia anche adesso, se viene creato un accesso per operazioni di qualsiasi tipo volessero compiere.
Inutili, pericolosi e pesanti.
Nel caso che li paghi sono anche una truffa perché promettono di creare una difesa di cui non c’è prova che si possa effettuare, mancando un nemico.
Chi li programma, distribuisce e vende fa leva sull’abitudine degli ex utenti Windows e conta sull’ignoranza informatica degli utenti non avanzati.
Da anni le software house che li producono conducono campagne stampa e promozione presso blog e siti di tecnologia per creare la convinzione che è opportuno, perché non si sa mai"
Non è un problema di antivirus si o no,
il discorso è sulla vulnerabilità, ed OSX ne è tutt’altro che esente.
Questo articolo è di oggi, e riguarda la tecnica usata per gli aggiornamenti, in pratica OSX si appoggia a software non Apple e questo potenzialmente mette il vostro computer nelle mani di un hacker
http://arstechnica.com/security/2016/…s-elusive/
Ogni uomo è come Dio lo ha fatto ahimé,
e spesso peggio.
Miguel de Cervantes
E’ una balla così astrale che non è nemmeno degna di essere commentata.
Bastano pochi fatti per smentire queste baggianate.
1) quanto dura un’installazione di Mac OS (X) senza antivirus e quanto dura un’installazione windows senza antivirus (ma anche con!)
2) quanti casi di infestazioni da virus ci sono col mac e quanti con windows
Nel mio piccolo ho tre macchine virtuali: windows 10, snow leopard, e fedora. Quale macchina virtuale credete che abbia reinstallato almeno una volta all’anno?
Un indizio: comincia con win e finisce con dows …