Vulnerabilități și vrăjeală în OS-uri 2014

De câteva zile se tot vehiculează și reciclează un articol cum că în 2014 „Windows” ar fi fost cel mai sigur sistem de operare, bătând detașat „Apple Mac OSX / iOS” și ”Linux Kernăl”.

Găsiți aici una din preluările articolului original, prima pe care mi-a atras atenția din cauză că tot site-ul este… fan Microsoft products; dar din etică și moralitate noi ar trebui să știm mai bine că fanatismul e dăunător, da? 😛

La fel ca în presa românească, titlul te umple de respect: „ Forget Windows, the most vulnerable operating systems in 2014 were Mac OS X and iOS ”, deși e irelevant față de realitate sau de conținutul articolului.
Am mai găsit o preluare a articolului care adăuga heartbleed și shockshell la „linux kernel” deși săracul Linus n-are nici o vină că fac prostii ăia de la OpenSSL sau maintainerii de la GNU Bash (eu folosesc ZSH, btw).

În primul rând e vorba de bug-uri cunoscute public. Și pentru cine nu știe, Microsoft s-a cam ofensat ca o domnișoară virgină când Google a început să-i facă (recent) vulnerabilitățile criticale publice. Dar asta doar pentru că le-au trimis rapoarte și tichete fără să primească un răspuns cu lunile, dărămite bugfix-urile.
În al doilea rând, e ipocrit să pui „osx” chior și un număr, iar la windows să spargi în versiuni și variante. Hai să adunăm totul sub un rând în tabel, numit „windows” și o să dea vreo 250. Sau hai 200, să considerăm că alea 50 din 8 și 8.1 sunt duplicat.
Stai așe, 50 de vulnerabilități criticale, încă prezente, din 2012 de când a fost lansat 8. Sună… grav.

Acum într-un teren mai favorabil mie, anume linux. Ca să fac o paralelă cu cele 50 de bugs care dăinuie 2-3 ani, când foloseam debian unstable și dădeam un bugreport, în maxim o zi primeam mail să încerc noua subvariantă că update-ul deja a fost împins în repos.
În 2014 „kernelul linux”, cum vor ei să-i zică, a fost în 7 variante, de la 3.13 la 3.19 (fără să luăm în calcul versiunea veșnic rolling, linux-next, care-i instabilă). Pe care din alea 7 e numărul de bug-uri?
Se adună și bug-urile din gnu/bash și alte utilitare incluse de distribuții third party (gen bubuntu, fendora, openzuse?) care n-au legătură directă cu maintainerii linux, ci compilează după cum îi taie capul propriu kernelul? Sau e vorba de bubuntu lts, care atunci avea kernel 3.12 (deci și mai vechi cu o variantă)?

Între timp, găsesc articolul original, aici, și observ că din cauza comentariilor privind colocarea tabelului (cam ce am zis mai sus) a făcut un update și situația e complet diferită:

Ubuntu: 39 total – 7 high, 27 medium, 5 low severity
RHEL: 27 total – 6 high, 17 medium, 4 low severity
OpenSuse: 20 total – 9 high, 9 medium, 4 low severity
Fedora: 15 total – 3 high, 9 medium, 3 low severity

Și colocarea Windows în viziunea lui: 68 total – 47 high. 20 medium, 1 low severity

Deși eu aș fi fost mai generos și aș fi dat 150-200 din ochi, nu prea avem cum să  verificăm situația reală, luând în calcul că e vorba de vulnerabilități descoperite și raportate, confirmate și publicate, comparând un kernel (linux, nu un sistem de operare gnu/linux) cu două sisteme de operare closed source.

Este o estimare preferențială și ne-fondată pe date demonstrabile. În concluzie, aș zice că oricât ar fi de dezbătut pe subiect, tot e irelevant care sistem de operare e statistic mai sigur cât timp utilizatorul ce-l folosește e dezinformat și iresponsabil.

Thank you for your time, sudo yaourt -Syua! 😀
95acf102ae8e11cbb30065daed4314d8f21af4f4411c810b9e3f49878af0903d