IDG Now: Sistemas operacionais têm 5.198 falhas em 2005
Em 2005, foram detectadas 5.198 vulnerabilidades nos sistemas operacionais, sendo que 812 encontradas exclusivamente no Windows, 2.328 nos sistemas Unix/Linux e 2.058 que afetaram vários sistemas operacionais, inclusive os citados anteriormente. A informação foi divulgada no anuário do US-CERT, órgão responsável pela segurança da internet nos EUA, que coletou informações de fontes independentes no período entre janeiro e dezembro de 2005. Na lista, falta a recém-descoberta vulnerabilidade do Windows, relacionada aos arquivos WMF (Windows Metafile). Nenhuma vulnerabilidade foi listada especificamente para o Mac OS X, mas como ele é desenvolvido na plataforma Unix, está vulnerável a algumas falhas associadas a este sistema operacional. Veja o texto completo no IDG Now!.
Nos últimos 3 dias recebi um total de 9 submissões desta mesma notícia, ou de outras que mencionam a mesma fonte, acompanhadas de manifestações indignadas ou questionamentos quanto à aparente comparação de segurança entre o Windows e o Linux que este relatório permitiria - e que deveria ser sempre bem-vinda, se feita a partir de critérios sólidos. Entretanto, basta uma rápida análise do relatório original do CERT para ver que este agrupamento entre "falhas do Windows", "falhas no Unix/Linux" e outros não se presta a esta análise, e nem foi feito para este fim. Além de misturar falhas de aplicativos com as do sistema operacional (o que não necessariamente prejudica a análise) e não fazer distinção entre código aberto e código fechado (o que possivelmente seria uma interessante análise adicional), a categoria que inclui o Linux e o Unix menciona várias falhas específicas de diversos sabores de Unix, claramente identificadas (incluindo as do OS X, que o IDG Now disse estar ausente do relatório), mas sem contabilização em separado.
Para completar, falhas que foram relatadas múltiplas vezes em 2005 constam repetidamente no relatório, e a categorização leva em conta apenas o ambiente em que a falha foi reportada - assim, não há necessariamente a certeza de que uma falha do unarj ou do Adobe Reader mencionadas como sendo da categoria Unix/Linux não se manifesta também nas outras categorias.
Esta análise comparativa de falhas de segurança que tem sido proposta a partir deste relatório pode ser muito interessante, e a massa de dados coletada pelo CERT pode ser uma boa base - mas a recategorização necessária pode dar bastante trabalho aos interessados.
(postado por Augusto Campos)
Comentários dos leitores
Comentário de Jefferson Xavier
06/01/06 12:53
Já estou até vendo...: Propaganda da M$ em todo lugar com "Windows teve 812 falhas e Linux 2.328... Sei que é para baseados no Unix, mas pode ter certeza que M$ vai fazer de conta que não sabe...
Comentário de renatogdelf
06/01/06 13:57 - usuário registrado #51
são vários os detalhes: Achei interessante esta parte na matéria da zdnet
"...CERT's report did not include figures for how quickly vulnerabilities are patched once they are discovered. According to security firm Secunia, 124 of its security advisories relate to flaws in Windows XP Professional, of which 29 are unpatched which gives it a lands Microsoft's operating system with a "Highly Critical" security rating.
In contrast, Red Hat 9 is affected by 99 Secunia warnings, but only one of these flaws has not been patched by Red Hat. SuSE Linux Enterprise Server 9 is covered in 91 advisories, but every one has been patched by the vendor. Both products get a 'Not Critical' rating.
..."
"...CERT's report did not include figures for how quickly vulnerabilities are patched once they are discovered. According to security firm Secunia, 124 of its security advisories relate to flaws in Windows XP Professional, of which 29 are unpatched which gives it a lands Microsoft's operating system with a "Highly Critical" security rating.
In contrast, Red Hat 9 is affected by 99 Secunia warnings, but only one of these flaws has not been patched by Red Hat. SuSE Linux Enterprise Server 9 is covered in 91 advisories, but every one has been patched by the vendor. Both products get a 'Not Critical' rating.
..."
Comentário de Douglas Augusto
06/01/06 14:17 - usuário registrado #12
FUD: Saiu no Slashdot: The Annual US-CERT FUD Festival.
--
gaffitter: a file fitter powered by a genetic algorithm.
fltk: fast light C++ GUI toolkit.
--
gaffitter: a file fitter powered by a genetic algorithm.
fltk: fast light C++ GUI toolkit.
Comentário de nemesis
06/01/06 15:32 - usuário registrado #1514
quick patches: isso é o que importa
;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")
;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")
Comentário de Copernico Vespucio
06/01/06 16:28 - usuário registrado #4868
fumaça e espelhos: É o tradicional jogo de espelhos do software proprietário...
Se fosse possível um estudo comparando as falhas descobertas em sistemas abertos e as falhas ainda não descobertas em sistemas Windows, qual vcs. acham que seria o resultado?
Ter poucas falhas, enquanto vc. as esconde, é fácil.
Se fosse possível um estudo comparando as falhas descobertas em sistemas abertos e as falhas ainda não descobertas em sistemas Windows, qual vcs. acham que seria o resultado?
Ter poucas falhas, enquanto vc. as esconde, é fácil.
Comentário de Rafael Peregrino da Silva
06/01/06 20:54 - usuário registrado #2571
O que o relatório mostra...: Olá,
O relatório mostra que a segurança de sistemas Linux É fantástica!
Mas, se é assim, por que há 4 vezes mais problemas de segurança no Linux e no Unix do que no Windows(R)? Afinal, não é isso que o relatório está dizendo?
Olhando o relatório mais de perto, podemos entender o que quero dizer. Praticamente CADA UMA DAS FALHAS DE SEGURANÇA aparece listada múltiplas vezes para o Linux e o Unix, com a indicação Updated. Para falhas de segurança do Windows isso também acontece, mas muito mais raramente.
O que significa isso? Vou dar um exemplo, dentre os vários existentes para o Linux/Unix:
BZip2 File Permission Modification
A listagem da falha está indicada como segue:
BZip2 File Permission Modification
BZip2 File Permission Modification (Updated)
BZip2 File Permission Modification (Updated)
BZip2 File Permission Modification (Updated)
BZip2 File Permission Modification (Updated)
BZip2 File Permission Modification (Updated)
BZip2 File Permission Modification (Updated)
BZip2 File Permission Modification (Updated)
BZip2 File Permission Modification (Updated)
BZip2 File Permission Modification (Updated)
E é contada DEZ VEZES. Muito bonito, não?
Agora a coisa fica ainda mais interessante, se a gente olhar página por página, entrando nos links de cada uma das falhas de segurança:
No original
http://www.us-cert.gov/cas/bulletins/SB05-096.html#bzip2
Apenas a falha de segurança está sendo citada - nenhuma distribuição.
1ª Update
http://www.us-cert.gov/cas/bulletins/SB05-138.html#bzip2
Agora está indicada um atualização da indicação da falha de segurança, onde consta sua presença no Ubuntu.
2ª Update
http://www.us-cert.gov/cas/bulletins/SB05-145.html#bzip2
Ubuntu e Mandriva estão listados agora.
3ª Update
http://www.us-cert.gov/cas/bulletins/SB05-142.html#bzip2
Agora estão listados Ubuntu, Mandriva & Debian
4ª Update (adivinhem...)
http://www.us-cert.gov/cas/bulletins/SB05-159.html#bzip2
Ubuntu, Mandriva, Debian & TurboLinux
5ª Update
http://www.us-cert.gov/cas/bulletins/SB05-166.html#bzip2
Ubuntu, Mandriva, Debian, TurboLinux & OpenPKG
6ª Update
http://www.us-cert.gov/cas/bulletins/SB05-173.html#bzip2
Ubuntu, Mandriva, Debian, TurboLinux & OpenPKG
Vou pular as próximas atualizações e vou direto para a última:
9ª Update
http://www.us-cert.gov/cas/bulletins/SB05-320.html#bzip2
Ubuntu, Mandriva, Debian, TurboLinux, OpenPKG, RedHat, FreeBSD,
Conectiva, SGI, FedoraLegacy.
Percebam: é a MESMA falha de segurança (eu fiz questão de escolher uma sem a observação "No Exploit has been reported", senão a coisa toda iria soar de maneira muito positiva ;-)
Sendo irônico, só posso dizer que, seguindo o raciocínio do CERT, deveríamos estar felizes que não há ainda mais distribuições Linux, senão o sistema seria ainda mais "inseguro"...
A gente vê cada coisa... FUDnites States of America?
De mais a mais - e apesar do exposto acima - a comparação direta entre os núcleos dos sistemas operacionais mostra um panorama totalmente diferente na distribuição de problemas de segurança: foram registrado MAIS problemas de segurança para o Windows (mais de 70) e MUITO menos para o Linux (apenas 23). Além disso, os números, da maneira como foram representados no relatório, não têm nenhuma relação direta com a segurança de um sistema operacional: sem sombra de dúvida, a falha de segurança na manipulação de imagens WMF no Windows é MUITO mais crítica do que o problema de segurança do BZIP2 no Linux, citado acima.
Vamos ficar de olho...
Rafael Peregrino da Silva
Linux Magazine
O relatório mostra que a segurança de sistemas Linux É fantástica!
Mas, se é assim, por que há 4 vezes mais problemas de segurança no Linux e no Unix do que no Windows(R)? Afinal, não é isso que o relatório está dizendo?
Olhando o relatório mais de perto, podemos entender o que quero dizer. Praticamente CADA UMA DAS FALHAS DE SEGURANÇA aparece listada múltiplas vezes para o Linux e o Unix, com a indicação Updated. Para falhas de segurança do Windows isso também acontece, mas muito mais raramente.
O que significa isso? Vou dar um exemplo, dentre os vários existentes para o Linux/Unix:
BZip2 File Permission Modification
A listagem da falha está indicada como segue:
BZip2 File Permission Modification
BZip2 File Permission Modification (Updated)
BZip2 File Permission Modification (Updated)
BZip2 File Permission Modification (Updated)
BZip2 File Permission Modification (Updated)
BZip2 File Permission Modification (Updated)
BZip2 File Permission Modification (Updated)
BZip2 File Permission Modification (Updated)
BZip2 File Permission Modification (Updated)
BZip2 File Permission Modification (Updated)
E é contada DEZ VEZES. Muito bonito, não?
Agora a coisa fica ainda mais interessante, se a gente olhar página por página, entrando nos links de cada uma das falhas de segurança:
No original
http://www.us-cert.gov/cas/bulletins/SB05-096.html#bzip2
Apenas a falha de segurança está sendo citada - nenhuma distribuição.
1ª Update
http://www.us-cert.gov/cas/bulletins/SB05-138.html#bzip2
Agora está indicada um atualização da indicação da falha de segurança, onde consta sua presença no Ubuntu.
2ª Update
http://www.us-cert.gov/cas/bulletins/SB05-145.html#bzip2
Ubuntu e Mandriva estão listados agora.
3ª Update
http://www.us-cert.gov/cas/bulletins/SB05-142.html#bzip2
Agora estão listados Ubuntu, Mandriva & Debian
4ª Update (adivinhem...)
http://www.us-cert.gov/cas/bulletins/SB05-159.html#bzip2
Ubuntu, Mandriva, Debian & TurboLinux
5ª Update
http://www.us-cert.gov/cas/bulletins/SB05-166.html#bzip2
Ubuntu, Mandriva, Debian, TurboLinux & OpenPKG
6ª Update
http://www.us-cert.gov/cas/bulletins/SB05-173.html#bzip2
Ubuntu, Mandriva, Debian, TurboLinux & OpenPKG
Vou pular as próximas atualizações e vou direto para a última:
9ª Update
http://www.us-cert.gov/cas/bulletins/SB05-320.html#bzip2
Ubuntu, Mandriva, Debian, TurboLinux, OpenPKG, RedHat, FreeBSD,
Conectiva, SGI, FedoraLegacy.
Percebam: é a MESMA falha de segurança (eu fiz questão de escolher uma sem a observação "No Exploit has been reported", senão a coisa toda iria soar de maneira muito positiva ;-)
Sendo irônico, só posso dizer que, seguindo o raciocínio do CERT, deveríamos estar felizes que não há ainda mais distribuições Linux, senão o sistema seria ainda mais "inseguro"...
A gente vê cada coisa... FUDnites States of America?
De mais a mais - e apesar do exposto acima - a comparação direta entre os núcleos dos sistemas operacionais mostra um panorama totalmente diferente na distribuição de problemas de segurança: foram registrado MAIS problemas de segurança para o Windows (mais de 70) e MUITO menos para o Linux (apenas 23). Além disso, os números, da maneira como foram representados no relatório, não têm nenhuma relação direta com a segurança de um sistema operacional: sem sombra de dúvida, a falha de segurança na manipulação de imagens WMF no Windows é MUITO mais crítica do que o problema de segurança do BZIP2 no Linux, citado acima.
Vamos ficar de olho...
Rafael Peregrino da Silva
Linux Magazine
Comentário de Thiago Prado
07/01/06 0:01
ponte de vista do alto: Vejo de um ponto de vista mais alto, em vez de ficar indignado com algo assim como a maioria fico feliz, motivo? Calma não precisam querer me matar, e simples a comunidade linux trabalha mais unida, varias pessoas verificam o sistema operacional todos os dias varias não centenas a milhares não posso dizer, e a microsoft tem quantas pessoas para verificar falhas d sistema? umas 50, não sei não trabalho la, então como ter certeza que tudo isto e falhas reais? Impossivel vejo que quanto mais falhas encontradas significa mais falhas corrigidas e mais segurança para os usuários, pois sabemos que acharam e corrigiram o windows fez o mesmo com as suas 800 falhas? Complicado, complicado...Então olhem os numeros e fiquem felizes pois quanto mais falhas encontradas maior sera a segurança pelas correções, outra coisa e que na logica nada e perfeito, mas se tenta chegar ao máximo de melhorias que o raciocinio humano pode criar.
Comentário de anderson333
07/01/06 13:52 - usuário registrado #4155
Parabéns pelo comentário lu: Parabéns pelo comentário lucido, coerente e direto. São de respostas assim que a comunidade open-source precisa para responder a altura do software proprietário. Radicalismo e agressão sistêmica apenas alimentam o software proprietário. Valeu Rafael.
Anderson.
http://www.zlinux.com.br
http://www.smsystems.com.br
Anderson.
http://www.zlinux.com.br
http://www.smsystems.com.br
Comentário de Copernico Vespucio
09/01/06 12:44 - usuário registrado #4868
Legal!: Dá gosto de ver a competência da comunidade. Parabéns pessoal.
Comentário de lokinet
10/01/06 18:02
Tem como alguem postar o ende: Tem como alguem postar o endereço para ver esse relatório completo?