Por isso eu acredito que é um verdadeiro atestado de ignorância alguém dizer de forma genérica que "sistema x é mais seguro que o sistema y". E talvez seja por isso que em geral essa afirmação venha sempre acompanhada de outras bobagens ("sistema x não tem virus", blah blah blah). Nem eu nem a Microsoft fazemos afirmações deste tipo, ainda mais com base no número de vulnerabilidades encontradas em um sistema.

O problema de comparar estes números com os de outros sistemas operacionais é que nestes outros simplesmente não existe um processo de desenvolvimento seguro. Nenhum esforço é feito sistematicamente para entregar um software com menos vulnerabilidades para o usuário. A abordagem usada tem sido a de lançar o software de qualquer maneira, e depois tentar corrigir o mais rápido possível as vulnerabilidades que forem encontradas (e o grande número de vulnerabilidades torna o processo de correção mais lento). Como não existe um processo não existe como aprender com os erros, não existe chance de uma melhoria gradual, e principalmente não faz sentido falar em métricas.

A verdadeira pergunta que deve ser feita a luz deste relatório não é portanto qual é o sistema operacional mais seguro, e sim o que o fornecedor do sistema operacional está fazendo para reduzir o número de vulnerabilidades encontradas. A Microsoft está fazendo isso. Ao invés de tentar desqualificar os números, me diga o que o fornecedor do seu sistema operacional preferido está fazendo.

Leia o artigo na íntegra, tem mais: "Segurança na Microsoft"

ps: será que se contradizem?

Quanta apelação


[]s,
ceth

---

the human power is its own end.. Karl Marx

Onde o Fernando Cima (autor deste blog) esteve nos últimos 10 anos?

A impressão que eu tenho é que ele está descrevendo o cenário exato de pouco tempo atrás, só que do lado oposto. Muita gente disse exatamente o que ele está dizendo agora, só que dirigido aos sistemas da Microsoft, principalmente o Windows.

Nenhum outro sistema se preocupa com a segurança, só o Windows? Francamente...

Hahaha... esse artigo é digno de se pendurar na parede. Eu cansei de ler (e de escrever) exatamente estas palavras quando dizia que a MS "cagava" para a segurança. Ora bolas, mesmo um garoto de hoje consegue lembrar das incansáveis críticas sobre a prática de lançar sistemas de qualquer jeito seguido de uma carreira de "services packs" para remendar os problemas de segurança (entre outros).

Será que agora vão tentar nos fazer esquecer da campanha Trustworthy Computing, sobre a qual jogaram muitas fichas para tentar reverter a imagem de insegurança? (e tentar parar de perder mercado, óbvio)

Isso está lá no site da própria MS: Antes dessa campanha (que completou 5 anos), como era o cenário de desenvolvimento do Windows? Agora vem com essa de que é o único que se preocupa com segurança? Que viagem...

[]s, MM

---

Olá Marcos,

Em muitos lugares. Só não tinha estado antes aqui no forum do ISTF (é incrível o que eu descubro vendo os meus referrals).

O cenário do desenvolvimento do Windows 5 anos atrás era mais ou menos como os dos sistemas citados (RHAT, Suse, OS X) são hoje.



Abracos e sucesso no site,

- Fernando Cima

Concordo plenamente com todos os pontos colocados por você MM, só não comentei ontem porque realmente estava cansado pra comentar um artigo tão desestimulante e sem sentido.

Embora tenha lido a resposta anterior a essa, minha única dúvida ainda é: "Where's Wally?" opa, "Where's Fernando Cima?"

Não sei o que se passa na cabeça de certos seres.


[]s,
ceth

---

the human power is its own end.. Karl Marx

Olá Fernando,

Prazer te ver por aqui comentando o tópico!

Não encontrei referência a nenhum desses no artigo. O que li é que "nenhum outro SO além do Windows se preocupa com segurança", pelo menos em termos gerais.

http://www.openbsd.org/security.html

Eu acredito mesmo que as coisas tenham melhorado muito na MS, até porque chegou a um ponto em que era melhorar ou morrer. E isso só mudou quando a segurança passou a ser um "diferencial de marketing" e começou a afetar a "imagem" do sistema.

Muito tempo antes da mudança já se falava que o assunto era tratado com grande irresponsabilidade por parte da MS, e não estou falando por parte dos desenvolvedores, mas por parte da estratégia de mercado.

Eu não sei se você realmente acredita no que está escrito no artigo ou se isso faz parte de mais uma campanha de evangelização. Tenho conhecidos que foram trabalhar na MS e realmente mudaram de opinião com relação a muitos pontos que costumavam malhar. Pode ser que o marketing da MS não seja assim tão bom, ou então o endomarketing seja sensacional.

[]s, MM

---

Oi Marcos,

Você tem razão. É que este meu post na verdade é um adendo a um outro anterior, que fala de uma comparação do número de vulnerabilidades entre Windows Vista, Windows XP, Red Hat, Ubuntu, Suse e OS X. Quando eu escrevi isso estava me referindo somente aos sistemas desta lista, e não a outros sistemas como OpenBSD.

Eu alterei o post para deixar isso mais claro, e obrigado por apontar o erro.

Abracos,

- Fernando Cima

Fernando Cima,

Ainda acho que tem algumas partes em extrema contradição:

Assim como você, eu também acredito que seria de extrema ignorância alguém dizer de forma genérica "ou não muitas vezes", que sistema X é mais seguro que Y, ou ainda vir com outras suposições muitas vezes infundáveis. Porém "defender" a Microsoft como você fez no artigo, é algo fora de cogitação, levando em conta que você não escreve para crianças do primário, e sim para profissionais da área.

Outro ponto que não posso deixar de comentar, porque realmente achei engraçado, é a forma como o seguinte parágrafo aparece no texto:

Repare como termina o parágrafo que citei primeiramente, e como começa o lógo em seguida. Será que estou vendo coisa, ou mais uma contradição?


Ponto pra você, e espero que melhore ainda mais!


Me perdoe mesmo, mas essa foi muito baixa, só faltou mesmo dizer, use Windows, largue seu Unix

Outros é bem amplo, e você já viu que as vezes pensar assim pode dar problema, poderia citar nomes aqui também, se não for pender pra nenhum lado é claro


[]s,
ceth

---

the human power is its own end.. Karl Marx

Caro Ceth,

Não existe nenhuma contradição. Primeiro eu falo de um sistema ser seguro, e em seguida de um sistema ser desenvolvido de forma segura.

Dizer se é seguro ou não dependem de quais riscos de segurança você precisa controlar, e isso só pode ser visto em um contexto específico. Somente pelo número de vulnerabilidades não é possível dizer se um sistema é mais ou menos seguro que um outro.

Por exemplo, vamos supor que você precise implementar uma autoridade certificadora na sua empresa, e esteja em dúvidas entre usar Linux ou OpenBSD. Você avalia os riscos e chega a conclusão que o Linux é a opção mais segura, porque tem recursos de clusterização, porque o patch management é mais eficiente usando RPM, porque os recurso de criptografia de disco são melhores, porque existe treinamento de segurança de Linux disponível, etc.

O número de vulnerabilidades é no entanto uma excelente indicador para avaliar o quanto segurança fez parte do processo de desenvolvimento. Se o OpenBSD teve 5 vulnerabilidades e o Linux 80, isso mostra que a equipe do OpenBSD tem uma preocupação maior em produzir software sem vulnerabilidades que o Linux. Indica que o OpenBSD faz revisão de código e o Linux não. Que o OpenBSD tem padrões de codificação segura e o Linux não. Que o OpenBSD fazem testes sistemáticos de segurança e o Linux não. E por aí vai.

Não, nada disso. O que eu estou dizendo é que o número alto de vulnerabilidades encontrados nos outros sistemas é porque eles não consideram segurança no processo de desenvolvimento.

E é muito fácil me convencer do contrário. É só dizer "Cima seu vendido, você está errado porque o sistema X faz isso, isso e mais isso durante o desenvolvimento". Eu não tenho problema nenhum admitir um erro. É só me apontar onde.

Abracos, - Fernando Cima

Senhores,

Sinceramente acredito que muito do que foi debatido aqui até o momento poderia ter evitado se além das avaliações técnicas e ditas contraditórias todos (para não deixar ninguém de fora porque existem os leitores que não postaram) se detivessem um pouco mais na interpretação do seguinte texto de Fernando Cima, constante na mesma fonte citada no início:

Será que só eu percebo o leque que é posto diante de meus olhos ao ler o parágrafo acima? Não posso acreditar nisso com pessoas inteligentíssimas que encontrei aqui no ISTF. Mas se for e eu estiver errado, desculpem minha ignorância!

Abraços.

O que conta é o resultado final, não? Porque falar é fácil, eu posso dizer que ando fazendo de tudo para melhorar meu software e por outro lado não fazer nada, o que vai dar crédito as minhas palavras, é o resultado final.

Concordo! Porém o pessoal da Microsoft mesmo assim, quando favorável, usufrui dos comparativos .

Me pergunto porque não aparece o projeto do OpenBSD no mesmo comparativo, afinal se falando de segurança, é a principal referência, não? E a Microsoft que o diga, afinal copiou descaradamente grande maioria dos mecanismos de segurança "inovadores" do Windows Vista.


Comparar o OpenBSD com o GNU/Linux ainda engloba uma realidade, imagina comparar o OpenBSD com outros sistemas por ai, no que ia dar

Finalizando, só tenho a dizer que respeito seu ponto de vista, indiferente de qual sejá, mas nesse caso, você falou por "muitos", e todos conhecemos a Microsoft.

Abraços!


[]s,
ceth

---

the human power is its own end.. Karl Marx

Ao que eu saiba porque somente foram incluidos sistemas voltados para uso como cliente e não como servidor, como o XP e o Vista. Por este motivo está o RHEL Workstation e não o Server, o Ubuntu e não o Debian, o OS X e não o Solaris.

Será que sou o único a utilizar o OpenBSD no desktop? Acredito que não amigo, e deixemos essa escolha para o usuário.

O que mais posso querer?


[]s,
ceth

---

the human power is its own end.. Karl Marx

Caro Ceth, eu simpatizo com o seu ponto de vista. Para mim a comparação das vulnerabilidades encontradas no OpenBSD e no Windows é até a única que faz sentido, porque os outros sistemas como vimos não se preocupam em desenvolver código seguro.

Porém quando a Microsoft faz estes estudos ela prioriza os sistemas que tem uso mais significativo no mercado. O OpenBSD não está nem perto de ter o número de usuários destes outros sistemas, especialmente no desktop.

Mas eu tenho uma idéia: porque você não faz esta estatística? Você contabiliza os bugs de segurança encontrados no OpenBSD (incluindo alguns bugs de "reliability" que são na verdade de segurança também), usa a CVSS para identificar a criticidade de cada um, e compara com os números do Vista. Eu prometo abrir espaço no meu blog para o seu relatório.

De quebra você pode até comparar com outros sistemas, e mostrar o quão grande é o gap entre quem usa práticas de desenvolvimento seguro, e quem não está nem aí e acha normal ter 50 , 70 bugs críticos de segurança por semestre.

Não penso que sejam os únicos não, só pra deixar claro, mas pra mim o OpenBSD, como dito anteriormente, é realmente a referência.

Adoraria mesmo, porém ando aterefado o suficiente com meu trabalho e meus estudos, mas quem sabe outra hora, obrigado mesmo assim!


[]s,
ceth

---

the human power is its own end.. Karl Marx

Nossa! No relatório original do Jeff Jones mostra que no final de 6 meses o Vista tinha metade das falhas de segurança SEM correção disponível! Tá lá na página 10... (estatística é assim mesmo, a gente enxerga o que quiser)

Por isso eu comecei a, ao invés de discutir a opinião de quem leu o relatório, dar uma lida por conta própria para saber se as conclusões estavam corretas. Encontrei uma série de barbaridades (as mesmas de sempre da comparação do Windows com sistemas abertos).

Para poupar tempo, vou linkar um post que dá uma passada geral no relatório. Aconselho a darem uma lida ao invés de assumirem esses dados como verdade divina:
http://seclists.org/fulldisclosure/2007/Jun/0528.html

Uma outra "fonte de pontos de vista" (sem trocadilhos, por favor), é o thread discutido no Slashdot:
http://it.slashdot.org/article.pl?sid=07/06/27/024204

Bon apetit!

[]s, MM

---