Hoy se ha escrito una entrada en uno de los blogs de ZDNet haciendo cálculos sobre las vulnerabilidades descubiertas en 2007 en Windows (XP y Vista) y en MacOS X (Tiger y Leopard). Ha levantado bastante polvareda porque según sus cuentas el Sistema Operativo de Apple tiene más de 5 veces más vulnerabilidades que los de Microsoft juntos: en total 243 frente a 44.
Como os imaginais, es una absoluta patraña propagandística de ZDNet, que no hay por dónde pillarlo, per se entiende si leemos su lema: Where Technology means Business, o en cristiano: dónde la tecnología significa negocio. No quiero ser abogado del diablo, pero es que esos números cantan mucho. Además, en el artículo se menciona y enlaza a Secunia como fuente de recopilación de vulnerabilidades, por lo que comprobar estos números va a ser muy sencillo:
Para empezar, en 2007 "MacOS X":http://secunia.com/product/96/?task=advisories_2007 (todas las versiones) y hasta la fecha, han aparecido 26 vulnerabilidades, de las cuales hoy 6 siguen sin parche (no sé si en la actualización de esta semana se arregla algo de esto, creo que no), siendo la más crítica puntuada como _Moderadamente crítica_. Bien empezamos, quién haya escrito el artículo solamente se ha pasado por un orden de magnitud.
Por su lado, "Windows XP Profesional":http://secunia.com/product/22/?task=advisories_2007 ha registrado 30 vulnerabilidades, (Home un poco menos, unas 27), de las cuales 2 están sin parche, siendo la más crítica una _Moderadamente crítica_
Para acabar, "Windows Vista":http://secunia.com/product/13223/?task=advisories_2007 tiene 17 vulnerabilidades, una sola sin parchear y es no crítica.
Haciendo un recuento rápido MacOS acaba con 26 y Windows con 47 solapados, sin solapar no lo calculo que sinceramente no me interesa mucho hacerlo, pero en ningún caso es menor de 30. Los datos no mienten, y a mí me dicen que los dos sistemas han tenido más o menos las mismas vulnerabilidades, teniendo Windows unos pocos más pero con menos fallos públicos sin parchear.
Por lo menos a mí me entra curiosidad por saber cómo ZDNet ha podido hacer esa lista tan detallada de cosas imaginarias, y he aquí las respuestas:
Para empezar, recoge fallos desde 2004, mientras que en la entrada pone claramente que solo se limita a 2007.
Incluye fallos de programas externos a Apple. Pero muy externos: con unos pocos clicks he encontrado que ha colocado por lo menos 3 de "SquirrelMail":http://secunia.com/cve_reference/CVE-2006-3174/, de "las utilidades de GNU":http://secunia.com/cve_reference/CVE-2007-4131/, muchas de librerías "como la de Perl":http://secunia.com/cve_reference/CVE-2007-4768/, varios de "la JDK de Java":http://secunia.com/cve_reference/CVE-2007-5232/ y hasta del reproductor "Flash SWF de Adobe":http://secunia.com/cve_reference/CVE-2007-3456/, todos ellos fallos de la aplicación correspondiente y que ni siquiera son específicos de MacOS sino que están presentes en todas las plataformas. Para los que penséis: _claro, pero es que Apple incluye de serie este software..._ Yo solo he recogido los datos de Secunia sobre el sistema en general, igual que de Windows. Para que os hagáis una idea, las vulnerabilidades descubiertas en Internet Explorer no están metidas en el conteo de Windows, y eso que son _inseparables_.
Ha metido fallos que "ni siquiera existen en Secunia":http://secunia.com/cve_reference/CVE-2007-5856/ o que "están duplicados":http://secunia.com/cve_reference/CVE-2007-3004/.
Y un montón más de artimañas para inflar la lista exactamente hasta donde quería, es decir, hasta donde quería su jefe.
Estos datos, como la propia Secunia dice, no deberían valer para afirmar que un producto es mejor que otro, y, esto lo añado yo, en el caso de que así quisiéramos, lo importante no es el número de fallos sino la rapidez de resolución y la seguridad de que se van a resolver. Eso sería la seguridad teórica, para la seguridad práctica habría que contar las vulnerabilidades explotadas, que al fin y al cabo son las que afectan a los usuarios y que tienden a cero para cualquier sistema distinto a Windows.
Para compararlos con un Sistema Operativo seguro de verdad vamos a coger Ubuntu, y eso que no es la distro que más fama tiene dentro de Linux en seguridad. Haciendo una suma de todas las vulnerabilidades descubiertas en todas las versiones (desde la 4.10 hasta la actual 7.10) han aparecido en 2007 un total de 420 vulnerabilidades (seguro que hay muchas solapadas, en realidad de la última versión solo hay 25). ¿Cuántas están a día de hoy abiertas sin parchear? Exactamente cero.
Vía (no follow, por supuesto) | Blog de ZDNet sobre seguridad Seconia | "MacOS X":http://secunia.com/product/96/?task=advisories_2007 | "XP":http://secunia.com/product/22/?task=advisories_2007 | "Vista":http://secunia.com/product/13223/?task=advisories_2007 | "Ubuntu":http://secunia.com/search/?search=ubuntu
Ver 14 comentarios