16
Jun
07

Microsoft’s Jeff Jones has released his “days of risk” comparison

“Microsoft’s Jeff Jones has released his “days of risk” comparison of security vulnerabilities fixed in the major workstation operating systems in an attempt to prove his controversial argument that Windows users are arguably safer than those using Linux, Mac OS X or Solaris.

I recently wrote about Jones’ presentation this year’s TechEd conference where he discussed the metrics and techniques used to keep track of OS vulnerabilities and offered an early glimpse at his ongoing 2007 report card.

On his CSO blog, Jones is providing more data, including this chart showing the average days-of-risk in 2006.

“We see in this first chart of the average Days-of-Risk that during 2006, Microsoft provided fixes for publicly disclosed vulnerabilities the quickest on average at about 29 days and Sun came in at the far end with the highest average DoR,” Jones writes.”

fonte

 

É quem nem me dei ao trabalho de traduzir… Creio que esta frase diz tudo:

“Microsoft’s Jeff Jones has released his “days of risk” comparison”

E estes sites ainda se dizem uma das maiores fontes de notícias de informática online… “Que bom pra vocês” digo eu…

 

 

Abraços…

Anúncios

18 Responses to “Microsoft’s Jeff Jones has released his “days of risk” comparison”


  1. 1 Francisco Costa
    16 de Junho de 2007 às 12:40

    Na minha pesquisa pelo secunia.com encontrei dados que contradizem o que este senhor diz, mas provavelmente não vale a pena tentar ilucidar o mamifero…

  2. 16 de Junho de 2007 às 13:02

    Este Sr é da Microsoft… O que esperávamos que fizesse?
    Que perdesse o emprego?
    Pah, enfim, nem merece comentários… Só é pena que ainda exista quem dê ouvidos a estes cromos.
    Sim, porque se eu fosse assim tão ingénuo, via e acreditava…

    Abraços…

  3. 3 Victor
    17 de Junho de 2007 às 08:04

    Francisco:
    “Na minha pesquisa pelo secunia.com encontrei dados que contradizem o que este senhor diz, mas provavelmente não vale a pena tentar ilucidar o mamifero…”

    Tens toda a razão, porque é ele quem te pode elucidar a ti sobre os dados sa Secunia… Acho que já agora não te faz mal leres, para ficares informado.

    http://blogs.technet.com/security/archive/2007/01/10/exposed-examining-secunia-unpatched-warnings-part-1.aspx

    http://blogs.technet.com/security/archive/2007/01/17/exposed-examining-secunia-unpatched-warnings-part-2.aspx

    http://blogs.technet.com/security/archive/2007/01/19/exposed-examining-secunia-unpatched-warnings-part-3.aspx

    Se leste, viste que os dados da Secunia estão longe de ser o resultado DEFINITIVO sobre o registo de segurança dos produtos, nomeadamente numa métrica como esta, que é muito interessante pois deixa o mundo da percepção e apresentas os factos, e aqui é que é a parte interessante as fontes são tipicamente os próprios fabricantes, e aos resultados a que ele chegou também tu se fizeres o mesmo trabalho lá chegas…

    Já agora a nota mais importante da secunia é esta, não vás estar convencido que os dados que lá encontras é tudo o que precisas saber…

    “Please Note: The statistics provided should not be used to compare the overall security of products against one another.”

    Mário:

    “Pah, enfim, nem merece comentários… Só é pena que ainda exista quem dê ouvidos a estes cromos.
    Sim, porque se eu fosse assim tão ingénuo, via e acreditava…”

    Eu pessoalmente acho que merece comentários sim senhor, especialmente se for para o contradizer…

    Não é aquestão de seres ou não seres ingénuo, e nem tão pouco necessitas de ler e acreditar… o senhor publica as fontes e a metodologia para lá chegar, pegas nessa informação fazes o mesmo trabalho (o que nem é dificil, porque uma boa parte da informação está numa base de dados que podes usar para construir a informação de que necessitas para esta análise e ele publicou essa informação), e dasd duas uma, ou chegas à mesma conclusão ou ele enganou-se e tens uma boa oportunidade de o fazeres cair no ridiculo, ou questionas os critérios utilizados…

    Como vês vale a pena, e como sei que é tão evidente que ele se enganou e nos está a enganar a todos, e ainda por cima é tão evidente, acho que lhe vais dar um resposta à altura, certo?

    Estes tipos pensam que a malta lê e acredita, e não contam com o facto de que tipos como tu fazem o trabalho de casa, tenho a certeza que ele vai ver a verdade dos números quando tu tiveres a oportunidade de lha mostrar (bem sei que não é o teu campo, mas o exercicio nem é muito complexo ;o) ), força, Mário está uma comunidade inteira a contar contigo, é simples é só mostrares aquilo que é tão evidente, ah e que na tua opinião nem vale a pena comentar, eu acho que vale… principalmente se fores capaz ;o)

  4. 17 de Junho de 2007 às 14:08

    Eu acho que não compreendeu o intuito do meu post. Eu acho o estudo daquele sr absolutamente ridículo… Não sei se compreendeu essa parte.

    Avante, o que eu quero dizer é: Um gajo da microsoft, a fazer um estudo que diz bem da microsoft não é nada que me faça levantar do banco. A si faz? Afinal de contas ía fazer o quê? Perder o emprego?

    Testes de segurança, sejam eles quais forem, são mesmo assim, no fundo que os faz também tem a sua preferência. Há uns tempos atrás andava por aí muito boa gente a fazer umas pequenas análises de segurança tendo em conta uns sites que faziam isso mesmo, testavam a segurança da nossa máquina e depois dava um resultado.

    Depois aperceberam-se que cada um desses sites dava um resultado diferente só não conseguíam perceber porquê! Eu chamo a isso “ser ingénuo”.

    Continuo a achar que o estudo desse Sr é completamente idiota. Ainda que aquilo que ele disse fosse verdade (que não é), ele tem que compreender que uma falha de segurança no windows é muito mais rapidamente explorada que uma falha de segurança num Sistema Linux. Depois ele inclui a Novel e a RedHat, mas se forem ao DistroWatch:

    1 Ubuntu
    2 PCLinuxOS
    3 openSUSE
    4 Fedora
    5 MEPIS
    6 Debian

    Se calhar fazia mais sentido fazer o comparativo com outras distribuições. Não sei, isto era eu… Mas se calhar escapa-me o pormenor do pessoal da microsoft não gostar muito de SO’s desse género, gostam mais daquilo que tenha alguma semelhança a si próprios.
    Mas até tenho a certeza que mesmo a Novel como a RedHat respondem muito mais rapidamente a uma vulnerabilidade, e nem preciso de analisar dados para isso, basta puxar pela cabeça, porque por um lado têm uma comunidade que avisa mais rápido e eficientemente do que qualquer utilizador windows (ou há dúvidas aqui? Daqui a nada estamos todos a achar que geeks e hackers adoram o windows). E porque eles não trabalham na solução sozinhos (orgulhosamente como a Microsoft), a ideia de comunidade aqui é linda. Onde é que é preciso ser muito capacitado para entender esta?

    Acho que cada cabeça sua sentença, aí está o mote. Neste coisas não se tem razão. Têm-se razões… Para mim esse estudo é desprovido de valor, aliás eu nunca gostei de comparações entre SO’s (na minha opinião é assunto completamente “pointless”), também não vai ser agora que vou gostar deste tipo de estudos sobre segurança em SO’s, ainda que saibamos que as opções não são as mesmas. Quanto mais estudos de pessoas que não podem, nem ninguém acredita que possam ser neutros.

    Sabe, no fundo não está em causa a questão da capacidade, no fundo, e quanto mais penso sobre o assunto, mais me convenço que a questão é a ingenuidade. Desculpe, mas se pensar como eu penso, é onde vai chegar. Mas óbvio está que não pensa como eu, está patente no seu post. Ainda bem que existe diversidade no mundo não é certo?

    Abraços.

  5. 5 Victor
    18 de Junho de 2007 às 07:47

    “Eu acho o estudo daquele sr absolutamente ridículo… Não sei se compreendeu essa parte.”

    Por ter compreendido é que respondi…

    “Um gajo da microsoft, a fazer um estudo que diz bem da microsoft não é nada que me faça levantar do banco.”

    Aqui temos uma grande diferença, a mim por omissão a cor do gajo é me indiferente, isto é, podia ser da IBM ou Red-Hat, e chegarem a resultados diferentes, mas o importante era a razoabilidade das suas argumentações e os factos que apresentassem. Assumir que está errado só porque pertence a uma empresa com a qual não simpatiza, não abona muito em favor da sua posição…

    “Testes de segurança, sejam eles quais forem, são mesmo assim, no fundo que os faz também tem a sua preferência. Há uns tempos atrás andava por aí muito boa gente a fazer umas pequenas análises de segurança tendo em conta uns sites que faziam isso mesmo, testavam a segurança da nossa máquina e depois dava um resultado.

    Depois aperceberam-se que cada um desses sites dava um resultado diferente só não conseguíam perceber porquê! Eu chamo a isso “ser ingénuo”.”

    Pois, não é o caso desta análise, no sentido que não são testes de segurança, e a leitura que ele faz é resultado da resposta de cada fabricante, na correcção das vulnerabilidades nos seus produtos, e a informação utilizada é a dos próprios fabricantes, não é a dele…

    “Continuo a achar que o estudo desse Sr é completamente idiota. Ainda que aquilo que ele disse fosse verdade (que não é)”

    Continuo sem perceber porque é que o que ele diz não é verdade, se o que ele diz foi o que a RED-HAT, a SUN, a APPLE e a NOVELL disseram em relação à correcção de vulnerabilidades nos seus próprios produtos. Acha então que estes fabricantes se andam (e nos andam) a enganar? Ah, e pior enganam-se gerando resultados menos positivos para si próprios, humm acho curiosa a certeza… deixe-me adivinhar nunca se engana e raramente tem dúvidas… mas o interessante é que se nega a confirmar, o que é bom para si porque assim pode manter essa posição de fé, sem ter de confirmar ou conluir que pode estar errado.

    “ele tem que compreender que uma falha de segurança no windows é muito mais rapidamente explorada que uma falha de segurança num Sistema Linux.”

    E você tem de compreender que sobre isso ele não disse absolutamente nada… e acredite que ele sabe-o melhor que você, disso não tenho eu dúvidas.

    “Depois ele inclui a Novel e a RedHat, mas se forem ao DistroWatch:

    1 Ubuntu
    2 PCLinuxOS
    3 openSUSE
    4 Fedora
    5 MEPIS
    6 Debian

    Se calhar fazia mais sentido fazer o comparativo com outras distribuições. Não sei, isto era eu… Mas se calhar escapa-me o pormenor do pessoal da microsoft não gostar muito de SO’s desse género, gostam mais daquilo que tenha alguma semelhança a si próprios.”

    De facto escapa-lhe muita coisa, o que é normal por não ser esta a sua área, mas se ler o estudo ele faz referência à escolha destas distribuições, porque o foco dele é o mercado empresarial, e de facto as distribuições que escolheu quer queira quer não são as mais significativas, como vê a razão existe e estava lá escrita, passou-lhe foi ao lado…

    “Mas até tenho a certeza que mesmo a Novel como a RedHat respondem muito mais rapidamente a uma vulnerabilidade, e nem preciso de analisar dados para isso, basta puxar pela cabeça”

    Pois é a sua percepção infalivel a funcionar, esquece-se é que nem mesmo a Novell nem a Red-Hat o conseguem ajudar, já que os dados publicados são os deles próprios, desconfio que teria de puxar muito pela cabeça para contradizer isto…

    “porque por um lado têm uma comunidade que avisa mais rápido e eficientemente do que qualquer utilizador windows (ou há dúvidas aqui? Daqui a nada estamos todos a achar que geeks e hackers adoram o windows). E porque eles não trabalham na solução sozinhos (orgulhosamente como a Microsoft), a ideia de comunidade aqui é linda. Onde é que é preciso ser muito capacitado para entender esta?”

    Pelos vistos a comunidade à luz dos resultados não chega, embora a discussão sobre a comunidade merecia por si só um comentário (pode ser que lá cheguemos). Não se esqueça que uma coisa é a correção de um problema que pode acontecer hoje, mas só chegará aos clientes destas distribuições, muitas vezes, bastante tempo depois. E para que nunca perca o contexto, no ambiente empresarial não é aceitável depender esclusivamente de uma comunidade onde a noção de responsabilidade não existe, que é o que distribuições como a Novell, e a Red-hat (mesmo beneficiando com a comunidade) dão aos seus clientes.

    E não se esqueça que a comunidade pode ser tudo como pode ser nada ;o), porque para si dá-lhe a sensação que a comunidade são recursos ilimitados a ajudar, mas olhe que não é bem assim, sabe que mais de 80% do código do kernel representa uma contribuição de aproximadamente 100 pessoas? Sabe porquê? porque no limite também é uma questão de capacidade, e esses recursos todos, com essa capcidade não existem. Por isso também projectos como o kernel continuam a ter vulnerabilidades, e vão continuar a ter (e obviamente não é um exclusivo do mesmo qq porduto destes vai ter vulnerabilidades), é uma coisa natural, tão natural como o aumento da base de código…

    “Desculpe, mas se pensar como eu penso, é onde vai chegar. Mas óbvio está que não pensa como eu, está patente no seu post. Ainda bem que existe diversidade no mundo não é certo?”

    Sem dúvida, mas também por isso somos seres inteligentes e devemos colocar a massa cinzenta a funcionar, e questionar, argumentar, analisar e concluir. É pouco razoável dizer que nem é preciso analisar e estudar porque é tão evidente… como argumentação, deve aceitar que deixa um pouco a desejar…

  6. 18 de Junho de 2007 às 14:25

    Para terminar a discussão, porque não nos leva a lado nenhum, a não ser ao insulto, só lhe digo isto: Quem acredita que Novel leva cerca de 73 dias para responder a um problema de segurança e ainda acredita que a red hat leva cerca de 107 dias é ingénuo… INGÉNUO. Não há mais palavras…

    Conhece os procedimentos de colmatarão de falhar de segurança?
    Vou-lhe explicar uma coisa que se calhar não lhe ocorre, porque nestas coisas não é só a informática que entra, mas muito mais conhecimento de variadas áreas. Existem falhas de segurança em determinado software proprietário que podem não ser resolvidas pelo simples facto de não serem rentáveis economicamente. Sabe quanto custa, por exemplo à Microsoft, ter dezenas de equipas a resolver dezenas de problemas mensalmente? No fundo, a rentabilidade de determinado investimento na segurança é o que mais pesa em software proprietário. Ao contrário, noutro tipo de comunidade, o gozo que dá a quem trabalha nesse sentido é o principal motivo para esse desenvolvimento.

    O WindowsXP era um verdadeira exemplo disso. Todos nós sabemos que a Microsoft libertava mensalmente dezenas de updates par ao WindowsXP, contudo, as principais falhas de segurança eram mantidas, em especial a da firewall que veio com o SP2, e as do Windows Media Player. E mesmo essas falhas transitaram para o novo Sistema Operativo. Há uma ferramenta interessante chamada de “xpy” que faz, nada mais, nada menos, do que colmatar as falhas de segurança das principais ferramentas do windows e que não convinha à Microsoft resolver… Deixo isto ao seu bom senso.

    E digo-lhe mais, esta pode não ser a minha área, o que me dá, mais do que a qualquer um, uma posição confortavelmente neutra…
    Parece-nos óbvio que esse Sr. está em melhor posição do que nós para fazer um comparativo daquele género. Tem todo a razão nisso. Não lhe vou dizer que não tem, porque tem. Mas também não sou ingénuo ao ponto de acreditar que ele simplesmente podia dizer o que bem entendesse, porque bem sabemos que não. No fundo ele trabalha para a Microsoft, acha mesmo que se os resultados fossem negativos para a sua empresa, que os publicava? E ainda para mais o facto de ir buscar opções empresariais soa um pouco estranho, no fundo, entra aqui aquilo que disse em cima: rentabilidade.

    Mas sabe Sr. Vítor, esta não é realmente a minha área. E a sua? é?
    Sabe qual é a minha área? É apanhar mentirosos… Acredite que sou muito bom nisso. E agora era suposto o quê? Ir à internet buscar estudos no sentido contrário? O google ajudaria imenso, mas para quê, se era óbvio que nem eu nem você ficávamos convencidos? Está a ver como o óbvio, é o que a palavra significa: óbvio!!!!???

    Abraços

  7. 7 Victor
    18 de Junho de 2007 às 22:23

    “Para terminar a discussão, porque não nos leva a lado nenhum, a não ser ao insulto”

    Eu acho que não insultei ninguém…

    “Quem acredita que Novell leva cerca de 73 dias para responder a um problema de segurança e ainda acredita que a red hat leva cerca de 107 dias é ingénuo… INGÉNUO. Não há mais palavras…”

    Se ler os documentos vai perceber que são valores médios, o que significa que tem muitos a demorar muito menos tempo, e alguns a demorar uma eternidade a resolver, por isso é que tem esses valores.

    Sabe porque é que eu acredito, porque são os próprios fabricantes a confirmá-lo, aliás era estúpido que não o fizessem sendo verdade, e para confirmar com os seus próprios olhos aquilo que foi o trabalho do Jeff Jones, aqui uma lista mantida pela Red Hat:

    http://people.redhat.com/mjc/summary-rhel4-all.html

    Afinal quem é o ingénuo? Mas espero que ainda lhe sobrem palavras para contestar isto… Continua a achar que não é possível? E se fizer o mesmo trabalho em relação à Novell, e SUN e Apple vai chegar aos resultados do Jeff Jones…

    “Conhece os procedimentos de colmatarão de falhar de segurança?”

    Conheço e bem.

    “No fundo, a rentabilidade de determinado investimento na segurança é o que mais pesa em software proprietário.”

    Se quiser é uma mudança de paradigma, se a segurança pensada desde o desenho, seguramente os custos serão menores. Para perceber o que estou a dizer, sugiro-lhe que leia um pouco a mudança da Microsoft neste dominio, se calhar não sabe mas é provavelmente das empresas com as melhores práticas nesta indústria nesse dominio (e pode juntar todos os projectos de SL que conhecer).

    http://msdn.microsoft.com/msdnmag/issues/05/11/SDL/default.aspx

    Não só modificaram a sua prática como partilham os seus processos, só que isto não é naturalmente uma corrida de 100 metros, não se deitam fora bases de código de milhões de linhas de código, por isso é que para eles isto é mais uma corrida de fundo, mas o engraçado é que de facto estão a observar-se melhorias significativas no registo de segurança dos produtos da MS, é uma tendência como disse observável e em todos os produtos.

    “Ao contrário, noutro tipo de comunidade, o gozo que dá a quem trabalha nesse sentido é o principal motivo para esse desenvolvimento.”

    Não se esqueça que quem mais contribui são recursos pagos por empresas… percebo o que quer dizer, mas já agora deixe-me dizer que nem dá assim tanto gozo, bug fixing é a cena menos sexy do mundo… e há muito menos malta com vontade de corrigir do que para criar, e pela experiência que tenho deixe-me dizer-lhe (deixando de fora as excepções que tb as há), que é quase uma caracteristica da natureza humana.

    “No fundo ele trabalha para a Microsoft, acha mesmo que se os resultados fossem negativos para a sua empresa, que os publicava? ”

    A sua argumentação é interessante, primeiro diz que não é verdade o que ele diz, e depois já aceita que é verdade, e que o Jeff Jones só os publica porque são favoráveis à MS… nisso estou de acordo consigo, se não fossem positivos ele não teria publicado nada, mas o interessante é que ainda à pouco você não acreditava que isso fosse possível, ele pelo menos diz-nos que devemos deixar o dominio da percepção e passar a falar dos factos, a mim parece-me bem.

    “E ainda para mais o facto de ir buscar opções empresariais soa um pouco estranho, no fundo, entra aqui aquilo que disse em cima: rentabilidade.”

    Naturalmente, o que acha que preocupa as empresas? Mesmo as que são clientes da Microsoft? Todas funcionam com os mesmo objectivos… A Novell, a SUN, a APPLE, a IBM, a RED-HAT a Oracle, é preciso continuar?

    “Mas sabe Sr. Vítor, esta não é realmente a minha área. E a sua? é?”

    É sim senhor, definitivamente não lhe estou a falar de cor.

    A sua última analogia não foi muito feliz porque com o que eu já disse acima, eu prefiro os factos à subjectividade, e se for correcto verá que lhe dei todas as fontes que necessita para deixar de acreditar no que lhe dizem e passar acreditar naquilo que vê…

    Espero que publique este comentário.

  8. 8 Victor
    18 de Junho de 2007 às 23:24

    http://people.redhat.com/mjc/summary-rhel4-all.html

    Sem comentários, mas dá que pensar em quem será afinal o ingénuo…

  9. 19 de Junho de 2007 às 01:14

    “816 issues with half of all issues (median) fixed within 14 days. Average of 54 days.”

    Ainda anda longe dos 106 dias, não anda? Deve ser impressão minha…

  10. 10 Victor
    19 de Junho de 2007 às 22:16

    Caro Mário Martins começo a ficar desapontado com as suas respostas, já que continua a recusar-se a ler a informação de que dispõe…

    “816 issues with half of all issues (median) fixed within 14 days. Average of 54 days.”

    Se reparar no mesmo sitio encontra:

    Starting date: 20050215
    Ending date: 20070618

    E a análise do Jeff Jones como ele próprio dizia no relatório era apenas do ano de 2006 completo (Jan a Dez).

    Mais o relatório que leu era de apenas um produto o RHEL4, e ele analisou as seguintes versões de forma agregada:

    Red Hat: Red Hat Enterprise Linux 2.1, Red Hat Enterprise Linux 3, and Red Hat Enterprise Linux 4

    E para não dizer que não faz sentido fez o mesmo em relação ao WIndows

    Microsoft: Windows 2000 (Professional and Server), and Windows XP, Windows Server 2003

    E para não dizer que ah e tal ele foi buscar 2006 porque se calhar em 2007 os resultados já são os que eu tenho a certeza que qq distribuição de Linux consegue obter, deixe-me só informá-lo que se lá for verificar o resultado para já até é pior…

    Como vê a sua leitura nunca é completa, por isso tem resultados tão diferentes…

    Para terminar, acho curiosa a sua argumentação de que os resultados obtidos e apresentados são ireais e não existem, mas noutro comentário a seguir já aceita que até podem ser verdadeiros e só por isso é que o pouco confiável e sacana Jeff Jones os publicou, esquecendo-se que afinal o mais importante era o facto de que afinal os factos andam muito longe da sua percepção de que tudo vai bem no dominio da segurança nos SOs não Windows…

  11. 19 de Junho de 2007 às 23:37

    Sr. Victor agora desiludiu-me, não deu a volta ao assunto tão bem como tem feito, aliás preferiu debruçar-se presunções em relação a mim e em relação às minhas leituras, pelo que peço encarecidamente que não o volte a fazer, porque eu ainda não o fiz em relação às suas… Mas no fundo deve ser por não ser a sua área: “leituras”…

    Eu compreendi muito bem a informação que forneceu, e compreendi ainda melhor que vai no sentido contrário daquilo que você pretendia. É como dizem, “atira as pedras, mas apanha com elas”, por isso agora não vale a pena dar a volta, ou tentar imaginar a minha seguinte argumentação, porque está bem à vista… Sabe, no fundo eu compreendo que se tenha sentido frustrado, mas continua a não conseguir provar absolutamente nada daquele gráfico a não ser que tem uma opinião diferente e que acredita…

    A info que forneceu refere-se a um só produto, e vem de 2005 para cá, se fizer a média do ano de 2006 enquadra-se perfeitamente na média geral (discrepância de ~10%), já fez as contas? O que não avalia tudo o resto, é certo, mas dá para ter uma ideia (se tiver mais info para tropeçar nela chute para aqui) , continua, no entanto, a estar muito longe dos 106…

    Portanto, se decidir mudar o discurso do “não é a sua área, mas é a minha” e o discurso do “as suas leituras…” e me conseguir convencer que aqueles valores correspondem à realidade, dou-lhe um saca rolhas. E se preferir voltar aos discursos em que não se critica no gozo eu também volto! Capisci???

    Abraços e cure essa frustração!!!

    Agora pus-me aqui a pensar: “O que é que ele ganha em continuar com isto?”

  12. 19 de Junho de 2007 às 23:52

    Por acaso agora até encontrei algo interessante
    Sample Reports
    Based on the above data sets and using daysofrisk.pl you can run sample reports. Here are some pre-generated examples:

    Distribution Dates Severity Metrics
    Red Hat Enterprise Linux 3 20031204-20070618 all dates
    Critical flaws

    ** 75 vulnerabilities
    ** Average is 3.9 days
    ** Median is 1 days
    ** 72% were within 1 day

    Red Hat Enterprise Linux 4 20050215-20070618 all dates
    For all flaws regardless of severity

    ** 816 vulnerabilities
    ** Average is 54 days
    ** Median is 14 days
    ** 28% were within 1 day

    Red Hat Enterprise Linux 4 20050303-20070618 all dates
    Critical flaws

    ** 72 vulnerabilities
    ** Average is 2.1 days
    ** Median is 0 days
    ** 77% were within 1 day

    Red Hat Enterprise Linux 5 20070313-20070618 all dates
    For all flaws regardless of severity

    ** 114 vulnerabilities
    ** Average is 14.7 days
    ** Median is 0 days
    ** 54% were within 1 day

    Red Hat Enterprise Linux 5 20070314-20070618 all dates
    Critical flaws

    ** 12 vulnerabilities
    ** Average is 0 days
    ** Median is 0 days
    ** 100% were within 1 day

    Quer dizer, se quiser até vá a este link: http://people.redhat.com/mjc/metrics.html

    Faça as contas e retrata-se…

    Se não quiser pode continuar a lutar por um saca rolhas…

  13. 20 de Junho de 2007 às 00:33

    Mas isto não se fica por aqui, o maior problema nem está no que ele diz, mas no que não diz…

    Vamos por partes, ele fez o estudo dele baseado num concreto ano que teve determinadas falhas de segurança… Onde está, para cada um dos casos, a prova de de quantas existiram (e a consequente confirmação das empresas em causa?), o seu nome e data em que foram comunicadas, o tempo que demoraram a ser resolvidos (individualmente), a forma como se começa a contar o prazo em cada uma das empresas, a forma como procedeu às médias… Epa, tudo isto são coisas que se resumem a factos (que você tanto gosta) mas não constam do seu estudo, que ainda que possam parecer óbvios nem por isso são…

    Vejamos:

    * Onde está a lista de todos as falhas de segurança da microsoft e de todas as outras empresas que ele analisou? E terão sido mesmo todas? Onde está a lista que lhe serviu de base para cada uma delas? É oficial? Foi confirmada?

    -Não diz, não refere a fonte nem tem provas de que realmente estão lá todas as falhas de segurança, nem ninguém, até agora, lhe deu razão. Quanto a discordar basta ir ao google que não é difícil encontrar…

    * Onde está (individualmente) o tempo que levou a resolver cada uma dessas falhas?
    -Não está! Ele prefere mandar em massa o resultado final.

    * Onde está, no seu estudo, a política de cada uma das empresas na contabilidade dos dias de risco? Sim, porque se há uma falha e esta é comunicada e a Novel (ou outra qualquer) começa logo a contar, e a microsoft, por seu torno, numa outra falha não começa logo a contar mas apenas quando começam a trabalhar nela, passam os dias, mas quantos contam? E isto vale para qualquer das empresas analisadas mutatis mutandis… Não só para a microsoft…

    http://blogs.zdnet.com/security/?p=306

    Podemos ver muitas das críticas apresentadas… Essa é uma delas…

    -Resposta: Não está! Provavelmente nem interessa estar…

    * E onde está a metodologia aplicada no procedimento de cálculo? Todos sabem calcular médias, não é preciso tirar um curso para isso, mas qual a metodologia por ele aplicada?

    -Resposta: Não está! Ele presume que todos sabemos a forma como ele procedeu…

    Isto é tudo muito bonito, mas o valor das coisas encontra-se em pequenos pormenores como estes!!! Não basta lançar os dados, dar uma pequena noção da forma como foram analisados e recolhidos e esperar que acreditem, ou achar que são válidos até que provem o contrário!!! Isto não funciona assim!

    Depois temos a questão de estar-mos a tentar medir isto à régua e esquadro, sempre foi a coisa mais estúpida que existiu nestas questões, mas continua-se a insistir nisso…

    Esse senhor tem um historial, continua na sua travessia solitária na esperança de provar o improvável, tem mérito pela persistência, não o tem pelo descuro dos resultados a que chega…

  14. 15 ArameFarpado
    21 de Junho de 2007 às 00:18

    Boas ppl.
    Estes relatórios fazem parte daquela campanha publicitária muito conhecida chamada “get the facts” para promover o Winserver 2003.
    Tá escarrado e cuspido que isto é Marketing.

    Todas as pessoas que conhecem windows e mais “outra coisa qualquer” sabe muito bem que a segurança do windows é anedota, sempre foi.

    Eu já afirmei várias vezes que a segurança a nivel de permissões do windows baseia-se na “boa vontade” dos programas que lá correm, isto porque sei de muitos programas que acabam por escrever onde não era suposto terem permissão para isso.
    E recentemente apareceu mais uma indicação disto mesmo:
    Toda a gente falou que o control parental do vista não funcionava se usassem o firefox… que bosta de firefox, é incompatível… blá blá blá… mas esperem lá, o control parental não é o vista que o faz? pelo menos pintam-no dessa maneira, então lá está, mais uma situação de “permissões” que só funcionam se o browser for bem comportado… o resultado disto é que afinal o vista não tem um control parental, quanto muito quem o tem é o IE. Supostamente o control parental deveria bloquear sites e apenas se leu que o paneleiro do firefox é incompativel e mostra tudo…
    Da mesma maneira que o administrador de sistemas da firma onde trabalho, programou tudo para que os users não tenham permissões de instalar nada e a seguir chega lá um gajo e instala dois jogos daqueles que até precisam de crack-no-cd.

    Senhores, limitem-se a falar de linux apenas se o conhecerem minimamente, e não tentem aprender piano em 10 minutos mesmo que dominem a guitarra à muitos anos.

  15. 16 Victor
    21 de Junho de 2007 às 08:17

    Caro arame ;o)

    “Eu já afirmei várias vezes que a segurança a nivel de permissões do windows baseia-se na “boa vontade” dos programas que lá correm, isto porque sei de muitos programas que acabam por escrever onde não era suposto terem permissão para isso.”

    E eu já lhe respondi que você ainda não percebeu o modelo se segurança do windows, e que não percebe que uma aplicação só o poderia fazer se explorar alguma vulnerabilidade de outra forma se não tiver permissões não o faz…

    “Toda a gente falou que o control parental do vista não funcionava se usassem o firefox… que bosta de firefox, é incompatível… blá blá blá… mas esperem lá, o control parental não é o vista que o faz? pelo menos pintam-no dessa maneira, então lá está, mais uma situação de “permissões” que só funcionam se o browser for bem comportado… o resultado disto é que afinal o vista não tem um control parental, quanto muito quem o tem é o IE.”

    Não digas mais uma vez asneiras, para isso tem de perceber a arquitectura do PC e nem tem de se esforçar muito pois está publicada . Já agora deixo-lhe aqui a secção das restrições para perceber o que o FF não faz, mas que devia fazer (e que por omissão é permitido).

    http://msdn2.microsoft.com/en-us/library/ms711710.aspx

    “Da mesma maneira que o administrador de sistemas da firma onde trabalho, programou tudo para que os users não tenham permissões de instalar nada e a seguir chega lá um gajo e instala dois jogos daqueles que até precisam de crack-no-cd.”

    Eu só falo daquilo que conheço, mas se ele o configurar de forma adequada o utilizador só mexe os olhinhos se ele quiser…

  16. 17 ArameFarpado
    21 de Junho de 2007 às 21:05

    “”Já agora deixo-lhe aqui a secção das restrições para perceber o que o FF não faz, mas que devia fazer (e que por omissão é permitido).””

    Vitor, não te esforces mais… eu conheço bem o windows, tanto a funcionar sem as restrições como com elas, os sistemas no meu trabalho não podem estar mais restritos ao que já estão, e mesmo assim estas coisas acontecem.
    tu próprio dizes: “o que o FF não faz, mas que devia fazer “, ora lá estás a dar-me total razão:
    o control parental é regulado no painel de control, onde o “pai” regula quais os adresses que o “filho” pode visitar… isto é regulado no sistema, o IE obedece mas o FF não, ok malvado FF, mas como é que o FF consegue ser desobidiente assim tão fácilmente? porque limita-se apenas a fazer o trabalho dele… porque não existe na realidade um sistema de permissões funcional.
    Tudo se baseia à semelhança dos sinais de trânsito de proibição, as proibições só funcionam se todos os condutores forem bem comportados, os mal comportados apenas podem ser perseguidos e banidos.
    É nisto que se baseia as permissões do windows… cada vez que um sistema de proibição não funciona apontam as culpas ao programa desobidiente. Tem sido sempre assim e só assim se explica coisas que não chegáste a explicar como a situação daquele virus que altera a password do administrador.

    O link que me deste para ler espalha-se ao comprido com esta frase no inicio e nem preciso ler tudo:
    “# Filters all HTTP traffic when enabled, returns custom formatted page using error code 450 if blocked. Allows acceptable functionality with all major browsers. By monitoring all HTTP Get and Post requests for a page, allows individual web page parts to be blocked.”
    Say what? Filtra o HTTP onde? Se realmente fizesse o que está aqui escrito, o FF não tinha hipótese de abrir nada não autorizado. E o “Allows acceptable functionality with all major browsers.” além de dár-lhes a desculpa que precisam, prova que é um sistema mal feito.
    Assim como estas permissões são uma fachada para inglês ver, também as permissões de escrita no disco o são… e provo-to. tras-me o teu pc afinado à tua maneira e vais ver se eu não te instalo montes de programas e depois mando o sistema todo abaixo.

    E escusas de me dar mais manuais da microsoft para ler porque há muitos anos que deixei de acreditar nas mentiras que lá vêm… os manuais descrevem como a MS gostaria que as coisas funcionassem, não como funcionam.
    O próprio windows é um mentiroso:
    Eu lido com disquetes de Unix no meu trabalho e o windows diz que elas “não estão formatadas” quando deveria ser humilde e dizer que “não as consegue ler”; é comum vermos aquelas mensagens arrogantes “o windows está a analizar o seu hardware e a configurá-lo” e depois diz que temos uma “microsoft sound system” a funcionar correctamente quando não temos som e afinal o que temos é uma yamaha opl3; há manuais que dizem que utilização de dois discos em raid em cópia clone só se consegue com windows xp quando essas coisas são reguladas na bios e executadas pelos próprios controladores raid e além disso funciona em qualquer outro sistema;
    quando se usa desktop em web, acontece às vezes a seguir a um reboot aparecer uma mensagem em lugar do wallpaper, em que diz que as defenições do desktop perderam-se e apresenta um botão para “repor as defenições do desktop”… clicando nesse botão reaparece tudo como estava e nem precisamos defenir onde tinhamos os icones, qual o wallpaper, nada… então qual o objectivo daquela mensagem? para mostrar ao utilizador que fez porcaria e agora o sistema que é muita bom vai ter que corrigir a trampa que ele fez, as pessoas acham que é bacano ter um sistema que se regenera sozinho, mas nunca se perguntam para que raio foi aquela mensagem se nem precisei arrumar os meus icones, ficou tudo tal e qual como estava apenas com um clique. É apenas a microsoft a armar-se em boa, mais nada.
    E eu podia estar aqui a escrever situações destas eternamente até esgotar a capacidade deste blog, mas tenho coisas mais interessantes para fazer 😉

    Abraços

  17. 18 Nícolas Wildner
    2 de Julho de 2007 às 16:59

    Claro..
    eles contaram os Erros de SQUID, MySQL e outros pacotes que vem DEFAULT nas distros como RED HAT…

    Se é assim, vamos contar erros de todos os programas que forem instalados no Windows.

    E outra, tu acha que REALMENTE todas as falhas e “pequenos bugs” que são consertados no Windows são publicados assim, para o “povão” ver…

    …isso prá mim cheira a mais uma armação de um funcionário idiota da Microsoft


Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s


Ubuntu 10.04

Ubuntu: For Desktops, Servers, Netbooks and in the cloud
Junho 2007
S T Q Q S S D
    Jul »
 123
45678910
11121314151617
18192021222324
252627282930  

Petição contra o Novo Acordo Ortográfico

manifestodefesalinguapoug5

Plágio!

Page copy protected against web site content infringement by Copyscape

Visitas

  • 430,267 visitantes

%d bloggers like this: