Visite também: UnderLinux ·  VivaOLinux ·  LinuxSecurity ·  Dicas-L ·  NoticiasLinux ·  SoftwareLivre.org ·  [mais] ·  Efetividade ·  Linux in Brazil ·  Floripa  

Opinião: O software livre é realmente mais seguro?

“Momento de reflexão: O software livre é realmente mais seguro? Segundo link do slashdot: Entre setembro e março, o Mozilla Firefox teve 40 alertas de segurança; enquanto que o Internet Explorer, 11 alertas. Embora os números do jornalista estejam errados, pois ao todo são 22 alertas do firefox contra 85 do ie e, neste último ano, o firefox teve 18 alertas contra apenas 11 do internet explorer, há uma verdade por trás disto: a taxa de alertas do Firefox está muito alta. Já foi levantado várias vezes se a popularidade de um software livre não iria afetar sua segurança. Será que afeta mesmo? E o apache? Ah! o webserver mais usado do mundo está em situação muito pior! apache 2.x: % do mercado: 69.15%, problemas: 25 , soluções: 92%; iss 6.0: % do mercado: 20.36%, problemas: 2 , soluções: 100%. E a velha máxima que 'software livre é mais seguro que o software proprietário'? Acho que é momento de reflexão...” A nota foi enviada por Alan Kelon Oliveira de Moraes (akomΘcin·ufpe·br), que acrescentou este link da fonte para maiores detalhes.

Opiniões são opiniões, e o fato de estarem aqui publicadas não necessariamente implica que o BR-Linux concorda com elas. Ainda assim, embora a comparação direta entre os números brutos de falhas reportadas e corrigidas em ferramentas diferentes possa ser um método questionável (ainda que freqüente) de avaliação de segurança, a reflexão sobre o assunto é válida e o tema merece ser discutido.

Comentários dos leitores

Os comentários abaixo são responsabilidade de seus autores e não são revisados ou aprovados pelo BR-Linux. Consulte os Termos de uso para informações adicionais. Esta notícia foi arquivada, não será possível incluir novos comentários.
Comentário de Anon-ra
Ah, estatisticas....: Há um problema na analise do apache 68% dos servidores sao apaches, mas contando as versoes 1.3 e 2.0, sendo q a 2.0 foi reescrito do zero e praticamente acabou de ser liberado, ou seja nao eh tao maduro assim, vai ter mais bugs mesmo.
Comentário de bebeto_maya
__O grande percalço que não: __O grande percalço que não está sendo analisado é que as falhas do Apache são menos críticas que as do ISS, assim como as do Firefox são bem menos críticas que as Internet Explorer...É preciso dizer que, geralmente, quando falha, o Internet Explorer leva consigo o S.O., põe vírus na PC do usuário e abre as porta do PC...COisa que acontece bem menos no Firefox...Outro absurdo é com relação ao APAche, quem já usou e usa sabe que um dos maiores problemas de um WebServer são vírus e uma base operacional tosca...Coisa que não acontece com quem usa o Apache Web-Server.Então acho que todos esses dados são super-estimados...Além disso o código é aberto..Ë muito mais fácil para uma equipe que análisa vulnerabilidades encontrar BUGs perscrutando o código, do que para essa mesma equipe achá-los num software fechado...

__Desculpe, mas pelo que sinto na prática, jamais trocaria o conforto e a economia de um Apache por um ISS da Microsoft...O servidor pode até ser bom...Mas a base operacional...
Comentário de alan
Continuação de meu pensamento: Olá!

Antes que me joguem pedras, vou tentar expressar minha opinião melhor.

Não estou dizendo que open source é bom ou ruim, apenas gostaria de discutir com os colegas este fato que, para mim, foi bastante curioso. Números são muito expressivos, embora devamos ter cuidado em suas interpretações, conforme lembrou o Augusto.

A tão famosa lei de Linus - Given enough eyeballs, all bugs are shallow -, criada por Raymond, parece não mais surtir efeito quando um software torna-se popular. Até o próprio desenvolvimento do Linux constata isto:

Linux 2.6.x: 13 de 54 (2.7/mês) alertas não resolvidos, e o monitoramento iniciou-se em janeiro de 2004.

Microsoft Windows Server 2003 Enterprise Edition: 8 de 64 (2.2/mês) alertas não resolvidos e o monitoramento iniciado em abril de 2003.

É verdade que a gravidade em ambos os casos é bastante diferente, pois a severidade dos alertas para o Linux é consideravelmente menor que do Windows, porém existe risco no Linux também. Não há plataforma segura. Um estudo da Forrester Research mostra que a segurança de ambos, Linux e Windows, é equivalente, levando em consideração vários fatores, por exemplo, a velocidade de liberação do problema.

Novamente, repito que não estou cuspindo no prato que comi [1] [2] [3], nem questionando a validade dos movimentos de desenvolvimento colaborativos, muito menos tentando impor alguma opinião ou querendo provar algo. Apenas gostaria de obter justificativas, outras opiniões e comentários para tal fato.

Certa vez, submeti um texto ao Augusto sugerindo um dos motivos porque o Software Livre deveria ser mais seguro, mas não foi publicado aqui. No texto, apelei para o lado psicológico da vaidade humana para tentar justificar a melhor codificação dos softwares e não sei até que ponto minha suposição estava certa ou errada.

Anon-ra, se não estou enganado, o IIS 6 também foi reescrito da mesma forma que o Apache 2. Bom, na realidade, não há software reescrito do zero literalmente. Sempre aproveita-se código. O que muda-se, quando se fala na reescrita de um software, é a arquitetura em si, mas aproveita-se código antigo sim.

Bebeto, a pesquisa da Forrester não mostra isto. Quando há um problema no firefox, irá afetar tanto o Linux como Windows e os dois estarão vulneráveis; e o Apache também roda em Windows. Deixando de lado Windows vs Linux, você tocou em dois pontos interessantes:

1) "É muito mais fácil para uma equipe que análisa vulnerabilidades encontrar BUGs perscrutando o código". Com o código fonte também seria mais fácil livra-se dos mesmos. Não é isto que a Lei de Linus prega?

2) "Jamais trocaria o conforto e a economia de um Apache por um ISS da Microsoft". Então entrou o fator econômico e não mais a segurança, muitas vezes alardeadas por membros da nossa comunidade.

Alguém mais possui estudos sérios sobre segurança em produtos desenvolvidos de forma livre comparada a produtos fechados?

Vamos continuar a discussão com esta serenidade, procurar não deixar a paixão tomar conta da situação e deixar as exaltações apenas quando dominarmos o mundo ;-)

Abraços,
--
Alan Kelon Oliveira de Moraes
http://www.cin.ufpe.br/~akom

Comentário de CWagner
Velendo-se do dito popular "p: Velendo-se do dito popular "pimenta nos olhos(?!?!?) dos outros é refresco", este artigo deixa de lado várias informações que são facilmente verificadas no site Secunia http://secunia.com/product/4227/ e http://secunia.com/product/11/, ambos citado no artigo do slashdot.

Realmente os números não mentem, tanto que as informações citadas no artigo estão lá. Acontece que as iformações isoladas dizem uma coisa completamente diferente do que uma leitura completa e atenta das páginas da Secunia poderiam levar.

Estudando um pouco de estatística pode-se constatar várias coisas e alguns até levam a coisa tão asério que desistem de acreditar em qualquer pesquisa, por mais importante que seja.

O software livre é mais seguro? Acredito que sim, pois não basta o fonte estar disponível, alguém tem que entendê-lo e alterá-lo para que suporte as novas exigências, seja de segurança, desempenho, usabilidade ou tudo isso junto. As comunidades de desenvolvedores formadas ao redor de sistemas importantes como o kernel Linux, Firefox, Apache e tantos outros, têm essa disponibilidade de ler e alterar qualquer parte do código que esteja com problema, a qualquer hora do dia, em qualquer lugar do mundo, basta que uma nova vulnerabilidade ou bug sejma detectados ou uma nova funcionalidade do sistema seja necessário, e o que mais impressiona nesses casos, além da velocidade da submissão das correções, é o compromisso que esses desenvolvedores têm com os sistemas que desenvolvem, alguns sequer são recompensados financeiramente, ficando satisfeitos em terem o nome divulgado em um Changelog ou lista parecida.

Claro que sistema algum seria usável sem um sistema base, e em qualquer caso os sistemas operacionais fazem parte do pacote de segurança dos sistemas, queiramos ou não, esses programas são responsáveis, em última instância, pelo acesso aos recursos que programas "mau intencionados" tentam invadir. Com isso quero dizer que de nada adianta você ter um servidor de páginas "super seguro" se rodar em uma colcha de retalhos (como alguns acreditam ser o caso do kernel Linux) ou um queijo suíço (o que para muitos seria o caso do M$ Window$).

Qual sistema é o melhor? talvez nenhum dos dois. Quem sabe os BSDs sejam a melhor resposta, talvez não. Talvez o sistema (aplicativo ou operacional) perfeito esteja sendo criado em algum laboratório de desenvolvimento de uma grande empresa, universidade ou no quarto mal iluminado de algum hacker (acredito que ninguém aqui tenha dificuldades com essa palavra), e talvez esse nirvana computacional nunca aconteça.

Enquanto isso devemos fazer nossas escolhas, fundadas em questões técnicas, pessoais ou mesmo acreditando na sorte. O que não podemos deixar de fazer é atualizar os programas que rodam em nossos desktops e servidores e torcer para que todas as vulnerabilidades dos mesmos seja descobertas e corrigidas, algo que pelo visto a turma do SL têm feito com mais eficiência.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Carlos Wagner - São Luís / MA
Comentário de Xico
Interessante o post do Alan,: Interessante o post do Alan, achei muio lúcido.

Acho que o que define principalmente a segurança de um sistema é a quantidade de falhas não concertadas que este tem. Não adianta ter uma falha só se ela não foi concertada, não é?

O Software livre deixa com que qualquer um verifique as falhas de segurança e corrija ele mesmo? Sim! É vero! Mas vamos colocar os pés no chão:

A microsoft tem provavelmente centenas de programadores e analistas que ganham um salário(que dúvido que seja baixo) para corrigir e procurar as falhas de seus softwares. Enquanto um software livre depende da boa vontade de algum programador, o software proprietário tem programadores e analistas que ganham pra arrumar aquilo.
O que é mais rápido? Esperar a boa vontade do programador ou um esperar um programador pago que ganha pra isso?

Vejam bem, não estou dizendo que os programadores do apache e do firefox não ganhem nenhum salário, e sim que as vunerabilidades de um sistema dependem muito mais do dinheiro que está sendo empregado nele, do que a "filosofia" na qual ele está sendo lançado.
Comentário de Bruno Gonçalves
:): 1 - O kernel, ele vai ter falhas de segurança ainda por muito tempo, mas elas vão mudando de lugar, arruma uma aparece outra, quem lembra que o changelog apenas da versão 2.6.13 tem 2 MB? o preço da evolução acelerada é a falta de segurança e estabilidade, quando são testadas as vulnerabilidades do kernel, essas vulnerabilidadese incluem as centenas de módulos que vem incluídos? afinal onde precisamos de segurança é em servidor, onde é fácil recompilar um kernel bastante enxuto e otimizado, inclusive com inclusão de alguns patchs de segurança, será que são incluídas apenas falhas específicas para plataforma i386? pois é provavel que existam falhas específicas para alguma plataforma tb.

2 - Está certo que Linux tem um número muito menor de usuários, mas será que se fossemos tão inseguros ainda não teriamos vírus que por exemplo apenas de entrar em um site tudo comece a ter problema, apareçam spywares, etc, etc...?

3 - Repositórios, qual o repositório do seu sistema proprietário? quantos programas ele tem disponível? será que ainda irão conseguir implantar vírus e spywares dentro dos nossos repositórios?

4 - Vocês acreditam realmente que até hoje não apareceu nenhum vírus realmente ameaçador para o Linux pq tem pouco usuário? se o pessoal faz vírus até pra versão específica de celular?

5 - Existem casos que uma distribuição remove um erro antes mesmo deele ser corrigido no projeto oficial :)

6 - Mesmo se o software proprietário fosse mesmo mais seguro, nada vale mais que a liberdade.
Comentário de Daniel Dantas
Halloween: Se lembra dos documentos Halloween (http://www.opensource.org/halloween/)??? São mensagens internas da Microsoft que foram divulgadas na internet. O que isso tem a ver??
Se me lembro bem, logo antes do lançamento do windows 2000, um deles dizia que o windows 2000 continha 64.000 bugs conhecidos (CONHECIDOS), sendo 28.000 críticos, ou seja, comprometiam gravemente a segurança e/ou estabilidade do sistema. E dizia que mesmo assim, o sistema iria ser liberado.
Bem, centenas de programadores e analistas sendo pagos a preço de ouro, mas mesmo assim 64.000 bugs conhecidos e outros tantos mais desconhecidos. ( momento de reflexão :-P )
Se lembra da máxima de "vai ser liberado quando estiver pronto"?? Nenhuma empresa comercial pode fazer isso, acho que não preciso explicar o porquê. O linux faz isso, se bem que com a pressão dos usuários finais que não entendem essas coisas, esse pensamento ficou menos importante em alguns casos.
Quando eu analiso os bugs de segurança que são encontrados no linux, às vezes, chego a rir do bug. Normalmente, são falhas tão pequenas e tão difíceis de serem exploradas... Enquanto as do windows... Então fico com o conforto e a satisfação de saber que mesmo essas falhas pequenas são tratadas como falhas enormes e são corrigidas como tal.
Como vou achar que o software livre é menos seguro que o proprietário??
Comentário de Anderson.
Pesquisas podem ser montadas: Pesquisas podem ser montadas de diversas maneiras, aqui vai a minha, e só confio nesta, porque faz parte do meu dia dia no trabalho.

SUSE Linux 9.3 = 0 out of 36 Secunia advisories http://secunia.com/product/4933/

Microsoft Windows XP Professional = 26 out of 110 Secunia advisories http://secunia.com/product/22/

SuSE Linux Database Server = 0 out of 71 Secunia advisories http://secunia.com/product/1178/

Microsoft Windows Server 2003 Enterprise Edition = 8 out of 64 Secunia advisories http://secunia.com/product/1174/

Analizando os números e as falhas reportadas, vão perceber que no Linux, além de disponibilizar o maior número de correções, tem coisas misturadas, por exemplo :

Nas distros linux, são considerados como falhas do SO vulnerabilidades encontradas em servidores de banco de dados (PostGreSQL, MySQL, etc.), linguagens (php, etc.) e até mesmo suite Office (OpenOffice).

Se em outros SO's, também fossem consideradas estas mesmas falhas, os números com certeza seriam gritantes.

No meu dia a dia, mantenho Windows e Linux sempre atualizados. O Linux, mesmo com todas estas falhas (a maioria local), não registramos um incidente que fosse em quase 10 anos de uso, já no outro SO, é raro passar algum trimestre sem ocorrer algum incidente. 30 máquinas utilizadas, 23 com Linux e 7 com Windows.

As falhas tem duas situações :

-Identificar a falha
-Corrigir a falha o quanto antes

Deixar falhas abertas permite que receitas de bolo sejam feitas, assim qualquer um consegue explorar, afinal, já tem o caminho das pedras.

Comentário de Marco Carvalho
Não é bem assim...: Tem um fator que ninguém está levando em consideração, os bugs relatados em sistemas proprietários são bugs descobertos _por terceiros_, ou alguém tem a ilusão de que a Microsoft divulga os bugs descobertos internamente??
No caso do software livre, qualquer bug é divulgado, sejam os descobertos por terceiros, sejam os descobertos pela equipe de desenvolvimento, o que pode eventualmente dar a ilusão de que o número de bugs é maior.

Quanto ao fato de a popularidade do software afetar a segurança, não vejo como isso possa acontecer. Problemas de segurança são descobertos por hackers e entre estes o software livre já é muito popular, aumentar a base de usuários "comuns" não vai mudar isso, o que vai mudar é se o desenvolvimento inverter as prioridades e dar mais importância á facilidade de uso do que á segurança.

Esse é justamente o calcanhar de aquiles do Windows, ele sempre priorizou a facilidade de uso em detrimento à segurança, e esta segurança sempre foi por obscuridade.

Um outro ponto para se levar em conta é que _nenhuma_ avaliação entre software proprietário e software livre pode ser feira de forma clara, independente e transparente, já que o software proprietário impõe forte restrição ao que pode ser divulgado.
--------------------------------------------------------------
Marco Carvalho
http://marcocarvalho.homelinux.net:15080
Maceio - Alagoas - Brazil
Debian GNU/Linux - GNU-PG ID:08D82127
Linux Registered User #141545
"Talk is cheap, show me the code" LT
Comentário de simio
Re: Continuação de meu pensamento: Interessante sua reflexão - melhor comentar agora antes que os fanáticos a destruam.

Em resposta à pergunta: "O software livre é realmente mais seguro?"

Eu acredito que o sw livre é mais seguro pela sua natureza aberta a todos. Isso de forma alguma significa menos bugs ou menos problemas - acredito que seja até o contrário - o acesso livre ao código torna-se transparente o funcionamento. Isso significa que se houverem problemas haverá uma grande chance que sejam mais facilmente detectáveis e talvez isso gere um número bem grande de alertas.

Em sw proprietários, dentro da empresa, claro, espera-se um planejamento de qualidade de serviço e auditoria interna para descoberta de problemas/bugs. Fora, as descobertas são feitas através de testes de caixa preta e engenharia reversa, muitas vezes baseados em vetores de ataques comuns. Mas são descobertos mesmo assim, tão exploráveis quanto o software livre.

A grande diferença aqui é que um sw livre tem um número muito grande de auditores pois seu acesso é livre e certamente muito maior que de uma empresa privada. Pela lógica, trata-se de uma natureza mais segura.

NO ENTANTO , isso não é de forma alguma a regra.

O grande X da questão é o nível de responsabilidade em resposta dos incidentes/alertas, incluindo rapidez, transparência e uma série de esforços para minimizar problemas na codificação/design da ferramenta.

Não adianta nada ser um software livre (beneficiando-se então de uma natureza mais transparente, segura) e não adotar práticas de desenvolvimento segura. Isso se torna ainda mais crítico quando o software começa a ser bastante utilizado.

Veja o caso dos browsers e clientes de email, por exemplo. Atualmente phishing está se tornando algo muito lucrativo e diário. Logicamente, browsers serão alvos na proporção da sua utilização, pois trata-se de um ótimo vetor de ataque.

Em suma: a natureza aberta ajuda bastante, mas não faz milagres.
Comentário de bogus
Propaganda é a alma do negócio.: Acho que o que define principalmente a segurança de um sistema é a quantidade de falhas não concertadas que este tem. Não adianta ter uma falha só se ela não foi concertada, não é?

O raciocínio está correto, falta apenas dizer como é que se contabiliza as falhas existentes e não concertadas de software proprietário. Já sei, ignoramos o fato de que é mau negocio para uma empresa divulgar suas falhas de segurança a menos que seja forçada a isso ou já tenha uma correção disponível. Neste caso, basta consultar a secunia.

A microsoft tem provavelmente centenas de programadores e analistas que ganham um salário para corrigir e procurar as falhas de seus softwares. Enquanto um software livre depende da boa vontade de algum programador, o software proprietário tem programadores e analistas que ganham pra arrumar aquilo.
O que é mais rápido? Esperar a boa vontade do programador ou um esperar um programador pago que ganha pra isso?


Pelo visto, parece que o mais rápido é contar com a boa vontade do programador motivado. Ao concluir que o salário é fator determinante para a segurança do sistema por acaso foi levado em conta que nenhuma das falhas relatadas nos produtos da MS tem origem na sua equipe de desenvolvimento? Se eles não descobrem falhas de que tem servido os salários? Desconfio que eles descobrem nós é que não ficamos sabendo quais até um vírus infectar milhares de máquinas.
Comentário de rdg
Segurança Aberta e Continuidade: Pessoal, até onde eu sei de segurança, os padrões de criptografia abertos são os mais seguros, pois todos sabem como funcionam, mas é uma tarefa ardua ou até impossível, na época, devido as retrições hardware, de quebrá-los. Assim posso afirmar que os SLs são realmente muitos mais seguros. Minha opnião pessoal, é que existem duas váriáveis que definem a continuidade da segurança desses softwares: o nivel de atividade dos desenvolvedos envolvidos no projeto e sua quantidade de usuarios, ou seja, o que adianta um software (in)seguro hoje ,que não tem suas falhas corrigidas ou que demoram muito para serem corrigidas, e que um software pouco usado dificilmente revelará suas falhas se não for testado acessivamente de varias formas antes. Eu sei que coisas que eu falei antes já foram questionadas e vou repetir, com certeza nenhuma empresa revela seus problemas até ter uma solução para isso, e mais eles ainda são presenteados com avisos de pessoas que não ganham nada e ainda pagam para ajudar a evolução desses softwares (correções de falha e novas funcionalidades). Eu afirmo com convicção que o desenvolvimento em Sl é muito superior que o proprietario e que consequente frequentemente geram softwares mais seguros, mais ajustados as necessidades dos usuarios e justos em relação ao preço, pois um pouco do lucro desses softwares deveriam ser repassados aos usuarios que o ajudam. Desculpem-me por ter saído um pouco do foco, mas eu não pude deixar de comentar ;-D

Rodrigo A.R. Almeida, Aracaju/SE
Comentário de oi
Mantenho minha opnião: Está bem clara em
http://br-linux.org/main/newscomm-000081.html#000343

Software é software. Dá pau sendo livre ou não. É feito por pessoas e o erro faz parte da natureza humana. Se houver evolução, junto virão os problemas.

O SL tem se mostrato muito preocupado com isto (assim como o software proprietário), mas tem uma coisa que me irrita profundamente. Versões alpha, beta e RC intermináveis. Enquanto os softwares estão neste estágio, dificilmente os usuários comuns e corporativos utilizarão estas versões.

Vide fenômeno firefox. Enquanto era um RC não tinha esta legião de fãs, o firefox era perfeito. Quando,lançou a versão 1.0, todos achavem que estava perfeito (usuários de versões beta/RC e desenvolvedores), mas com a massificação, vieram os problemas. Neste ponto o SL se aproxima do SP. A diferença é que o SP fica faturando muito antes colocando muitos usuários a utilizarem o software, mesmo sabendo que este não está pronto. Prática comum. As vezes isto acaba com um software, dependendo de muitas situações. Porém duvido que isto acontecesse com o firefox, se eles tivessem lançado um ano antes a versão "estável". Teríamos hoje a versão 2.0, com muitos bugs a menos e alguns novos recursos (que trariam mais bugs, obviamente).

Outro exemplo é o open office 2.0 (1.9.xxx) beta, que já está muito melhor que o 1.x.x mas ainda estão lambendo a criança. Depois, quando for lançada a versão estável e for adotado por muitas pessoas/corporações, virão uma avalanche de problemas e esta discussão voltará à tona.

Enquanto algumas pessoas pró-SL tentam se enganar dizendo que o SL dá menos problemas ou menos críticos que o SP, do outro lado existem outras pessoas pró-SP que fazem a mesma coisa contra o SL. No dia que admitirem que software é software e nenhum é imune a problemas e evidenciar as virtudes do SL ao invés de depreciar o SP, talvez as coisas melhorem e este tipo de discussão não precise acontecer.



Comentário de Douglas Augusto
> Vejam bem, não estou dizen: > Vejam bem, não estou dizendo que os programadores do apache e do firefox não ganhem nenhum salário, e sim que as vunerabilidades de um sistema dependem muito mais do dinheiro que está sendo empregado nele, do que a "filosofia" na qual ele está sendo lançado.

Não necessariamente. Saiu algum tempo atrás um artigo (no Slashdot ou OSNews, não me recordo) em que dizia que programadores funcionam expressivamente melhor quando gostam daquilo que fazem, o que é notório no universo do SL. É por isso que não é válido afirmar que pagar mais trará maior eficiência, talvez o mais importante seja a motivação pessoal para realizar a tarefa.

--
FLTK fltk.org (Fast Light C++ GUI Toolkit)
Comentário de ricarab
Sobre a segurança de qualquer sistema:: é seguro, o sistema que você domina completamente! Se eu for para o Windows, nem saberia como desabilitar aquele monte de portas abertas que ficam lá dando bobeira! Já no meu Suse, as coisas mudam: não só sei para que serve cada porta aberta, como também sei como atualizar o sistema e o que cada atualização faz. No Linux eu sei olhar todos os logs e procurar por erros do sistema, e incidentes de segurança.

Mas, não existe sistema completamente seguro! Um sistema completamente seguro, perde a funcionalidade, vejam: não dá para negar que um OpenBSD é bem mais seguro que o meu Suse aqui, mas também não dá para negar que eu iria ter metade da funcionalidade do meu desktop Suse!

A segurança completa só existe em teoria, e quanto mais a implementamos, mais perde-se a funcionalidade e a facilidade: não consigo imaginar meu Suse rodando numa partição criptografada, com memória encriptada, enfim... impossível!


A Física é tão subjetiva quanto qualquer outra empresa humana.
Albert Einstein
Comentário de Ricardo Carvalho
O fato de o software ser aber: O fato de o software ser aberto ou não nada tem com a segurança deste. Depende muito mais se ele é bem escrito ou não, se é bem testado ou não e se ele tem uma boa a adaptação a condições anormais de uso. Há muitos softwares fechados por aí que são verdadeiros exemplos de como fazer um software seguro e softwares abertos que poderiam ser bem melhorados neste quesito. Ou seja depende muito mais do foco que a equipe que faz o software dá a segurança do que ao fato de ele ser aberto ou não.
Comentário de César A. K. Grossmann
Se com mais olhos, mais bugs: Se com mais olhos, mais bugs são encontrados, o que se espera que aconteça com um software aberto? Que tenha mais alertas de bugs. Ou será que mais pessoas examinando o código, e mais bugs sendo encontrados, significa menos alertas? Para mim, parece o contrário...

Em outras palavras, o número de bugs encontrados significa que o software está sendo examinado por mais gente. Menos bugs encontrados, pode ser que o software tenha melhor qualidade, ou então que ele seja menos popular -- é preciso ver o caso.

Quanto a ser seguro, o número bruto de alertas de segurança não significa muita coisa: é preciso ver a severidade do problema. Uma comparação fictícia -- comparando um programa que tenha meia dúzia de bugs, todos eles permitindo que a máquina seja tomada automaticamente (ou seja, por vírus e worms), e outro que tenha duas dúzias de bugs, mas nenhum deles de fácil exploração, todos pedindo que a máquina seja atacada "na unha", qual a mais segura? A que tem menos bugs?

Mas ainda não se esgota o assunto. Uma outra medida, esta sim, de qualidade, é a quantidade de bugs por linha (ou por mil linhas, para não ter um número muito quebrado), comparado com um software considerado seguro (mesmo um software seguro tem bugs).

Finalmente, é preciso ver, nestas contagens de bugs, qual a política do fabricante sobre o anúncio de bugs. Se só anunciam bugs que tem a solução, ou se todo bug "denunciado" é "anunciado" também. Em outras palavras, até que ponto o número de bugs anunciado reflete o número de bugs encontrados.
Comentário de Xico
Os documentos que você citou: Os documentos que você citou eu desconheço, e estou sem tempo de ler todos agora.
Bem, centenas de programadores e analistas sendo pagos a preço de ouro, mas mesmo assim 64.000 bugs conhecidos e outros tantos mais desconhecidos. ( momento de reflexão :-P )
E?....
Erros acontecem, o problema está: QUEM vai concertar eles quando eles aparecerem?
Você desvirtuou meu comentário, o que eu disse, na prática, é que não adianta como na idéia um software de código livre, se só quem está trabalhando com ele o conhece.

Se lembra da máxima de "vai ser liberado quando estiver pronto"?? Nenhuma empresa comercial pode fazer isso, acho que não preciso explicar o porquê. O linux faz isso, se bem que com a pressão dos usuários finais que não entendem essas coisas, esse pensamento ficou menos importante em alguns casos.
Espantalho.
O Kernel 2.6 do linux, pelo que sei, saiu de forma muito prematura e ainda não está 100%.

Embora o que eu vá dizer não prove nada, nem o Patrick está colocando ele como default no Slackware.

Normalmente, são falhas tão pequenas e tão difíceis de serem exploradas... Enquanto as do windows... Então fico com o conforto e a satisfação de saber que mesmo essas falhas pequenas são tratadas como falhas enormes e são corrigidas como tal.
Evidência anedota.

Como vou achar que o software livre é menos seguro que o proprietário??
Embora você não tenha insinuado disso, eu não disse isso. Eu disse que o software mais seguro é o que tem mais dinheiro envolvido nele, independente de ser livre ou proprietário.
Comentário de Xico
Não necessariamente. Saiu al: Não necessariamente. Saiu algum tempo atrás um artigo (no Slashdot ou OSNews, não me recordo) em que dizia que programadores funcionam expressivamente melhor quando gostam daquilo que fazem, o que é notório no universo do SL. É por isso que não é válido afirmar que pagar mais trará maior eficiência, talvez o mais importante seja a motivação pessoal para realizar a tarefa.
Programador não vive de filosofia. A motivação pessoal está intimamente ligada ao salário que o funcionário ganha.
E sim, não discordo que ele tem que gostar do que faz...
Não sei se entendi, você acredita que só quem trabalhe no mozilla e no apache goste do que faz?
Comentário de Xico
O raciocínio está correto,: O raciocínio está correto, falta apenas dizer como é que se contabiliza as falhas existentes e não concertadas de software proprietário. Já sei, ignoramos o fato de que é mau negocio para uma empresa divulgar suas falhas de segurança a menos que seja forçada a isso ou já tenha uma correção disponível. Neste caso, basta consultar a secunia.
Falácia do espantalho. É o mesmo que eu dizer:"É um mau negócio o governo da NASA encontrou aliens em vargínia e veio buscar sem a permissão do governo brasileiro".

Pelo visto, parece que o mais rápido é contar com a boa vontade do programador motivado.
Concordo plenamente. Mas insisto em dizer que salário é o fator predominante ao que pode motivar um funcionário. Ou você acha que quem trabalha no apache e no firefox são mais motivados de quem trabalha na microsoft simplesmente por mexerem com SL?



Ao concluir que o salário é fator determinante para a segurança do sistema por acaso foi levado em conta que nenhuma das falhas relatadas nos produtos da MS tem origem na sua equipe de desenvolvimento?
Desculpe se não ficou claro. Mas eu disse que o salário é fator predominante pra motivação do funcionário.
Se a MS conhecesse o erro você realmente acha que ela lançaria o software com a falha?

Se eles não descobrem falhas de que tem servido os salários?
Suas famílias.
Eles descobrem as falhas sim, mas não conseguem descobrir TODAS.

Desconfio que eles descobrem nós é que não ficamos sabendo quais até um vírus infectar milhares de máquinas.
Falácia do espantalho.
Comentário de CWagner
Não necessariamente,mas voc: Não necessariamente,mas vocêtemque convir que alguém fará melhor algo de que goste.

Já vi muitos "virarem" programadores apenas por acharem que dá dinheiro, e muitos deles quebraram a cara e logo voltaram às suas origens. Isso pode ser visto nas faculdades,onde uma parte dos alunos desistem dos cursos, logo nos primeiros semestres por não se identificarem com os mesmos.

Isso não quer dizer que programador de sftw proprietário seja mercenário, bandido ou coisa parecida, apenas que é mais fácil você encontrar alguém que faz algo que gosta sem ter o dinheiro como objetivo principal no mundo do SL.

E o mesmo pode ser levado para o tal "mercado" de que falam tanto. O mercado que o Linux e o SL nunca irá tomar do Software Proprietário, mesmo porque a maioria dos SLs não têm como objetivo o mercado financeiro ou a hegemonia nos desktops e servidores de empresas públicas e privadas, mas apenas resolver problemas existentes, nesse ou naquele mundo.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Carlos Wagner - São Luís / MA
Comentário de Flavio Machado
SW Aberto tem mais chance de ser seguro: Há muitos softwares fechados por aí que são verdadeiros exemplos de como fazer um software seguro e softwares abertos que poderiam ser bem melhorados neste quesito

Como é que você sabe que ele é seguro se você não tem acesso ao código? Por definição não dá para afirmar que o código é seguro até que você possa testar todas as hipóteses e auditar o código. Fora isso, não é seguro, mesmo que não apareçam falhas.
Comentário de Manoel Pinho
Segurança: Estatísticas como essas podem ser interpretadas e deturpadas à vontade. Essa do Apache 2.x x IIS 6.x já foi usada até pelo Baboo...

O que importa mais do que o número cru de furos de segurança é a possibilidade/probabiblidade/facilidade de explorá-los e os danos que pode causar. Vejam só essa notícia de hoje

http://idgnow.uol.com.br/AdPortalv5/SegurancaInterna.aspx?GUID=BE89E3F3-1548-4F2C-BD4B-F7BC0045FA6A&ChannelID=21080105

Vírus escritos para Windows aumentam 48% em 2005

Segunda-feira, 19 setembro de 2005 - 10:42
IDG Now!

O número de vírus que tem como alvo o sistema operacional Windows aumentou 48% no primeiro semestre de 2005, chegando próximo de 11 mil no período, segundo a pesquisa Internet Secutiy Threat Report, divulgado hoje (19/09) pela empresa de antivírus Symantec.


E no windows a probabilidade de pegar um vírus/worm é altíssima, além de ser muito fácil ele fazer um belo dano. Sim, claro que dá para colocar firewall, antivírus, anti-spyware, camisinha, armadura, etc, mas basta um novo vírus/worm desconhecido pelo antivírus/anti*, aliado com uma conta com poderes administrativos (que é o default na maioria dos sistemas), para o sistema estar comprometido.

Outra coisa é o seu uso em si do SL. Se há um problema de segurança em um dos módulos do apache mas eu não o utilizo então isso não representa um risco a curto prazo para mim. Muitas vezes a complexidade para explorar a falha é tão grande que na prática não é explorada.

Enfim, ficar usando estas estatísticas para falar mal ou bem de um determinado programa é pura perda de tempo para mim. Se o cara instalar um Apache antigo, com diversos problemas conhecidos, em um OpenBSD vai ser mais vulnerável que o linux ou mesmo o windows, mas isso não significa que o Apache ou o OpenBSD não prestem.
Comentário de David
Linux = Software Livre, mas Software Livre nao se resume a Linux: FreeBSD 4, desde 2003: 1/54
FreeBSD 5, desde 2003: 0/55
OpenBSD 3, desde 2003: 1/57

100% corrigido pelo Vendor

Nao foi preciso pesquisar muito para encontrar outros sistemas livres com historico parecido de numero de problemas, mas muito mais responsavel em relacao as correcoes "vendor made".
Comentário de Ricardo Carvalho
Seguindo a sua lógica o fato: Seguindo a sua lógica o fato de se existir código aberto eliminaria todas as falhas de segurança que um programa possa vir a ter, claro isso não existe. Theo de Raadt vez ou outra diz que a bagunça do código do Linux pode prejudicar a segurança do sistema, apesar de achar a posição dele prepotente na maneira em como ele sempre afirma isso eu não tenho capacidade para discordar dele.
Comentário de Ark
BSD é show de bola, mas vc m: BSD é show de bola, mas vc misturou: BSD tem licença BSD e não GPL (livre).
Comentário de Douglas Augusto
Note que apenas disse que "ma: Note que apenas disse que "maior salário" *não* implica em "maior eficiência do programador".

Sobre seu questionamento sobre "não vive de filosofia", um programador pode ter um emprego tal e programar naquilo que gosta nas suas horas vagas. Aliás, é provável que a maioria dos projetos de software livre surjam assim, inclusive os grandes (o Linux mesmo foi um desses).

--
FLTK fltk.org (Fast Light C++ GUI Toolkit)
Comentário de bebeto_maya
Será? Até ontem eu pensava: Será? Até ontem eu pensava que era o que tinha mais talento...Mais já que você disse dinheiro...Deve ser por isso que os SOftwares da M$ são tão bons e estáveis...A propósito, estou com um servidor Linux rodando Apache a seis meses, ele tem duas falhas de segurança...Que ainda não atualizei...E até agora não caiu e não...Já o servidor Win 2003...Bem esse foi desabilitado por problemas de vírus...Temporariamente!
Comentário de hamacker
Certa vez fui averiguar esses: Certa vez fui averiguar esses erros reportados e fiquei surpreso com a repetição dos mesmos porém somado juntamente com outras distros.
O erro do apache é do apache mas constava nos diversos sabores de linux.
O kernel do linux era o mesmo para todas as distros porém um erro que afetava apenas a distro X tava contabilizado no kernel.

Não sei se tá mais confiável hoje, mas acredito que os erros existam, mas a melhor forma de verifica-los é mesmo pelo bugs reportados no bugzilla e não em outras organizações o que até aumentaria o numero de bugs, pois o bugzilla normalmente inclui versoes anteriores e snapshots.

Porém em produtos fechados não há como contabilizar tais bugs, pois não existe um bugzilla para inspecionar e sempre dependem de erros divulgados por terceiros.

Trocando em miúdos enquanto os bugs do software livre podem ser verificados olhando um bugzilla e vê o quanto ainda falta para ser resolvido, o sistema proprietário depende de alguem nao ligado a empresa proprietaria possa descobrir uma falha por tentativa e erro.

Além disso se a empresa proprietaria reportar um bug provavelmente o problema já vai estar solucionado e vai aparecer na estatistica como um software onde o numero de correcoes é maior, quando na realidade já foi divulgado com correção para inflar a estatistica na parte nobre.

A metodologia para comparar softwares livres e proprietários é melhor por 'pesquisas de opnião', saber de fato quantos sistemas foram invadidos ou subtraidos. Contar por exemplo quantos perderam um documento enquanto redigia no word versos OO, quantos tiveram seu sistema Windows invadido versus Linux, e assim por diante ou seja contar a estatistica pelo resultado final e não pelo 'report', pois não há transparencia nos sistemas proprietários como há nos sistemas livres.
Comentário de Carlos Roberto
Acima de tudo!: Ou você acha que quem trabalha no apache e no firefox são mais motivados de quem trabalha na microsoft simplesmente por mexerem com SL?

Não vou afirmar que eles tem maior motivação, mas vale ressaltar que aqueles (poucos) que amam o que fazem, seja no trabalho ou como voluntário, tem motivação igual e talvez até maior que qualquer pessoa que faz por dinheiro.

O amor está acima de tudo, principalmente do dinheiro, orgulho e vaidade.

Outra coisa importante que não podemos confundir é o tempo dedidado ao projeto com a motivação nele, são coisas ao meu ver diferentes.

Alguém pode trabalhar 8 horas por dia, mas estar desmotivado no que está fazendo, e apenas continuando porque precisa do dinheiro. Enquanto outra pessoa pode dedicar apenas meia ou uma hora por dia naquele projeto, mas estando muito mais motivado em dar o seu melhor, por puro altruismo.

_________________
Quer se livrar do provedor do speedy e velox?

http://members.fortunecity.com/carlosguitar/
Comentário de bogus
Espantalho: Como assim falácia do espantalho!?!? Os argumentos são teus, eu apenas apontei as incoerências do que afirmaste. Como é possível fazer qualquer comparação partindo de uma base de dados incompleta? O trabalho de uma equipe de desenvolvimento não acaba quando o software é lançado, as centenas de programadores e analistas super motivados pelos altos salários continuam com sua dedicação. Mesmo trabalhando na versão seguinte e já que este não é um processo estanque, vez ou outra descobrem falhas que também afetam versões anteriores. É muito fácil para o pessoal do Secunia coletar informações a respeito de software livre, mas não se pode dizer o mesmo do software proprietário. Por isso mencionei o fato estranho de as únicas falhas reportadas terem origem em terceiros. Alguém é capaz de dizer as correções aplicadas a cada service pack? A MS afirmar que algumas pragas virtuais que afetam seus produtos surgiram após analise feita aos seus pacotes de correções te diz alguma coisa?

Comentário de David
coff coff : coff coff

Entao livre e exclusivamente software sob GPL? Sei. Entao, do seu ponto de vista limitado, e melhor nao usar Apache, Postfix, Qmail, Sendmail, Open Office, Mozilla, Firefox, PHP... afinal, nao sao livres... nao e? Logico que nao! Presta atencao amigo. Software Livre se extende a muito mais do que o umbigo narcisita da GPL.

Liste os 10 software livres mais usados no mundo. Vamos ver quais estao sob GPL.

Comentário de Xico
Você colocou palavras na min: Você colocou palavras na minha boca. Eu só disse que dinheiro trás motivação.

E suas experiências pessoais com um sistema operacional não servem de fator decisivo para análise do mesmo.
Comentário de Xico
E isso só pode acontecer no: E isso só pode acontecer no mozilla e no apache?

Cara, passando pra argumentos mais "pessoais", você já trabalhou pra ganhar pouco? É horrível você ter que fazer aquilo, mesmo que você ame de coração tudo que você faz aquele sentimento de "putz, to fazendo tudo isso pela aquela miséria no fim do mês" é o fator predominante faz te desmotivar.

No resto, eu concordo. Motivação e amor são coisas muito importantes pra um profissional.
Comentário de alan
Um bug é diferente de um alerta de segurança: Olá, pessoal!

Agradeço pela participação de todos. O debate está sendo produtivo, com opiniões bastante interessantes. Diante do vocês disseram, vou tecer meus comentários e opinião que consegui formar a partir dos mesmos e do que já achava.

Juntando o que penso com os comentários, concluo que software livre deverá ter mais bugs por sua natureza aberta, mas, em minha opinião, isto nada tem a ver com sua segurança a princípio.

Para efeito de esclarecimento, um bug é uma anormalidade na execução do programa que não está de acordo com os requisitos do mesmo. Ele acontece onde esperava-se um fluxo de eventos que, por algum motivo, não ocorreram. É comum programas terem bugs, tanto livres como proprietários, mas não estou falando deles neste momento. Meu pensamento foi para alertas de segurança, que são brechas que permitemm, por exemplo, a execução de código malicioso não autorizado. É este tipo de problema ao qual me refiro e não a quantidade de bugs em um bugzilla. Os alertas de seguranças surgem através de outras empresas especializadas e por isto é irrelevante a política de transparência de controle de qualidade. Em nenhum momento questionei a qualidade do software livre ou se possuiam mais bugs que os proprietários. A maioria dos bugs são facilmente resolvíveis por serem simples, mas problemas de segurança surgem de forma inesperada e não são tão triviais... Consegui ser claro?

O César tocou em um ponto interessantíssimo: a popularidade. Citando o Marco:

"Quanto ao fato de a popularidade do software afetar a segurança, não vejo como isso possa acontecer. Problemas de segurança são descobertos por hackers e entre estes o software livre já é muito popular, aumentar a base de usuários "comuns" não vai mudar isso, o que vai mudar é se o desenvolvimento inverter as prioridades e dar mais importância á facilidade de uso do que á segurança."

Minha lógica é: um software popular atrai mais usuários que querem utilizá-los e também usuários que querem destruí-lo. Se ninguém o conhece, ninguém descobre problemas de segurança, pois para que tentar destruir o Escambroso-X? Empresas também possuem hackers e tecnicamente bastante competentes, com certeza desejando sempre projetar o melhor software, da mesma forma que acontece no software livre. Em tempo: Desculpem-me a ignorância por usar apenas o Firefox, mas há algum navegador livre *popular e base de usuários relevante* que não se baseie no Gecko e quantos problemas de segurança ele tem?

Estamos seguros usando software livre apenas por ele não possuir a maior parte do mercado? Pelo Firefox rodar também em Windows não contribuiu para que se soubesse mais bugs? Será que tal explosão do número de usuários não deve ter tornado-o a menina dos olhos para os crackers? Volto a repetir que não estou insinuando que software desenvolvido de forma fechada seja melhor, apenas questiono a relação entre popularidade e segurança em sistemas livres.

Obrigado pela contribuição de todos. O debate de vocês foi a segunda notícia mais lida de ontém, mostrando a relevância do tema. Parabéns pelo nível do debate, foi muito enriquecedor!

Ah, e mais reflexão e não deixemos de conversar =)

Abraço,
--
Alan Kelon Oliveira de Moraes
Comentário de Jimi
Falha potencial: Contumo ler sobre a falhas de segunrança, mas tenho observado que é comum dizer de: Uma falha potencialmente exploravel ou uma possivel falha de segurança... isto quando relacionado ao software livre. Mas quando se trata de software proprietario: Servidores X de X sistema foi derrubado, ou invadido ou..ou devido a uma falha de segurança x. Ou ainda falha de segurança encontrada no software tal de forma afirmativa.

No meu ver ha uma diferença grande entre "pode ser que ocorra" e
esta sendo explorada ou realmente existe a falha.

Se somar todos os "talvez" realmente vai parecer que o codigo aberto é uma desgraça. O software de codigo fechado só aparece o bug quando não tem mais como esconder.

Mas programadores, não fiquem desanimados, até a natureza erra feito. Vocês deveriam ver quanto bug tem o código genetico de uma planta (vegetal). E ainda é cheio de remendos e restos de código inutil, que as vezes trunca durante a copia. E pior,ao que parece também é um código proprietario.





Comentário de Lucas F. Rosada
Pagar por bugs?: Levando em consideracao o fato de que o software livre possui mais bugs (vamos dizer o dobro) do que os softwares proprietarios, podemos afirmar que, ainda assim, eh mais vantajoso utilizar software livre por dois motivos principais:
- em primeiro lugar, os dois tipos possuem bugs e, segundo muitas analises tecnicas, os bugs do softwares proprietarios sao mais criticos pelo fato de envolverem todo um S.O., neste ultimo nos ainda pagamos pelo produto. Quando se envolve dinheiro, espera-se um tempo de resposta quase imediato para o problema, o que muitas vezes nao acontece;
- um segundo fato que devemos levar em consideracao, ainda sobre vantagem do software livre, eh que a equipe de producao esta geograficamente espalhada e, mesmo assim, ainda obtemos um tempo de resposta parecido com as equipes de softwares pagos. O melhor de tudo eh que eh de graca!
Comentário de CWagner
Engano seu, amigo. : Engano seu, amigo.

O código da natureza está aí para quem quiser ler, o que falta é competência ao homem para entender a obra divina, e a ciência é apenas uma maneira criada para tentar compreender como tudo funciona, geralmente fazendo comparações com algo que pouco entendemos também, e quando esse algo não está de acordo com o que achamos certo, dizemos que está errado.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Carlos Wagner - São Luís / MA
BR-Linux.org
Linux® levado a sério desde 1996. Notícias, dicas e tutoriais em bom português sobre Linux e Código Aberto. "A página sobre software livre mais procurada no Brasil", segundo a Revista Isto É.
Expediente
Sobre o BR-Linux
Enviar notícia ou release
Contato, Termos de uso
FAQ, Newsletter, RSS
Banners e selos
Anunciar no BR-Linux
BR-Linux apóia
LinuxSecurity, Tempo Real
Suporte Livre, Drupal
Verdade Absoluta
Pandemonium
Efetividade, Floripa.net
sites da comunidade
Ajuda
Moderação
Flames: não responda!
Publicar seu texto
Computador para Todos
Notícias pré-2004
Tutoriais, HCL pré-2004