25/02/2015 05:12 categoria: Segurança Digital publicado por: Bruno Oliveira Notario
Durante minha "peregrinação" pela internet na madrugada me deparo com a seguinte matéria no Gizmodo: Sistema operacional da Apple foi a plataforma mais vulnerável de 2014. Ao ler a matéria vi que foi um levantamento da GFI utilizando dados da National Vulnerability Database (NVD), mas como já dizia uma frase: estatística é o ato de torturar números até que eles digam o que deseja.
Antes de continuarmos veja abaixo a tabela feita pelo GFI sobre as vulnerabilidades. A tabela foi retirada de http://www.gfi.com/blog/most-vulnerable-operating-systems-and-applications-in-2014.
Observe que iOS, OS X e os sistemas baseados em núcleo Linux (Android, Ubuntu, Mandriva, Red Hat, CentOS, etc.) estão todos agrupados e apenas os sistemas Windows estão separados por versões.
Agora vamos pegar algumas informações nas estatísticas da NVD separando as versões destes sistemas. Todas as informações aqui relatadas são da atualização feita em 25/2/2015 às 4:34:39. Vamos começar pelo primeiro da lista, vamos pegar os dados da versão mais recente do OS X (não se usa mais o Mac no nome do sistema), o Yosemite, na versão 10.10.1. Caso queira ver clique aqui para acessar o link direto para esta pesquisa no NVD.
Observe que em 2014 foram 3 vulnerabilidades e em 2015 até o momento 34 (porém já existe a atualização 10.10.2 lançada este ano). Como esta versão do OS X foi lançada em 17/11/2014 e durou até 27/2/2015 (depois veio a 10.10.2 em vigor até a data deste artigo e sem registros ainda no NVD), vamos pegar a primeira versão do Yosemite (10.10.0), link direto para a fonte aqui.
Para nossa surpresa há menos vulnerabilidades ainda, somando as falhas de 2014 dá menos que o Windows e se somar 2014 e 2015 esta na média de 2014 com o Windows.
Mas, para ser justo, vamos pegar uma versão mais antiga do OS X, uma que esteve mais tempo presente em 2014, o OS X Mavericks 10.9 lançado em 22/10/2013 (com updates do 10.9.1 até 10.9.5). O Mavericks teve bastante vulnerabilidades (mais do que o esperado em sistemas com base UNIX), mas mesmo assim aceitável para um sistema que já não é o mais atual. Abaixo as vulnerabilidades do OS X Mavericks 10.9.0, as atualizações 10.9.1, 10.9.2, 10.9.3, 10.9.4 e 10.9.5 não irei colocar aqui para não estendermos mas fica a dica para verificarem.
São 62 vulnerabilidades! Segundo a Apple, corrigidas em updates e no Yosemite. Para efeito de comparação, o Windows 7, um dos mais usados no mundo teve, em 2011, 248 vulnerabilidades detectadas, 87 em 2012 e 167 em 2013, atualmente se estabilizou bem e em 2014 fechou com 36 e, até agora em 2015, tem 15 contabilizadas. Já a versão 8.1 (mais recente) tem 17 este ano e 38 em 2014 (parece que a equipe de programadores esta fazendo bem o serviço, apesar de ser um sistema de 2013 mantem-se com bons números). Link para as estatísticas do Windows 7 e 8.1 aqui e aqui.
Agora vamos para o mundo do kernel Linux? Achamos injusto colocar todos os kernels Linux num pacote único, se pesquisarmos simplesmente por Kernel Linux (sem especificar versões), retornam 149 vulnerabilidades em 2014. Mas como separar por versão?
Peguei como exemplo uma versão do kernel bastante usada nas distribuições mais recentes, a 3.14.
23 é um bom numero. Não satisfeito? Vamos pegar uma versão mais antiga e muito usada também, a 2.6.32.
Por ser mais antiga esta versão foi sendo aperfeiçoada pela comunidade e em 2014 foi muito ameaçada: 1 vez!
Antes que por isso você saia instalando o Linux loucamente, primeiramente temos de saber o que é um kernel. Em termos leigos e rápidos o kernel é o núcleo, centro do sistema operacional, ele serve de ponte entre aplicativos e o hardware (processador, HD, RAM, etc.), ou seja, ele é parte do sistema operacional (uma parte muito importante), não é todo o sistema operacional utilizável, usuários comuns sequer sabem que ele esta lá pois não aparece para ele, esta por de trás da interface. Por ser Open Source (código aberto) vários sistemas usam o kernel Linux em suas bases, talvez um dos mais populares atualmente seja o Android, que roda em vários smartphones pelo planeta. O projeto do sistema Android, este gerenciado pelo Google, tem várias versões também, vamos ver a 4.4.0 (KitKat), o link esta aqui.
Pouquíssimas, apenas 8!
O iOS 8 da Apple também teve 8 vulnerabilidades em sua versão inicial.
O sistema Linux da Canonical, o Ubuntu, uma das distribuições mais populares, na sua versão 14.04 teve 36 vulnerabilidades em 2014.
Conclusão (ou tentativa)
Podemos dizer que juntar todas as versões dos sistemas num bolo só de vulnerabilidades é um bocado injusto e não correspondente com os sistemas de fato. Vimos que os sistemas da Apple e os baseados em Linux, com fama de altamente seguros tem valores de vulnerabilidades mesmo destrinchando as versões, mas nada muito distante dos demais sistemas e geralmente as falhas estão nos softwares que os integram, ou seja, demais componentes do sistema.
Na nossa tabela abaixo listamos as vulnerabilidades (sem separação por nível de gravidade por questões de tempo) dos sistemas aqui levantados de maneira bem direta.
Sistema Operacional | (2014) |
---|---|
OS X Mavericks | 62 |
Windows 8.1 | 38 |
Windows 7 | 36 |
Ubuntu 14.04 | 36 |
Windows Vista | 34 |
Kernel Linux 3.14 | 23 |
OS X Yosemite | 10 |
Windows XP | 8 |
iOS 8 | 8 |
Android 4.4 | 8 |
Kernel Linux 2.6.32 | 1 |
Vale mencionar que a maioria das vulnerabilidades não estão no hardware ou no sistema operacional mas sim nos aplicativos, como no gráfico feito pela GFI com dados do NVD (este mais correto).
Também frisamos que ter uma vulnerabilidade listada/reportada não significa que a mesma foi explorada, algumas vulnerabilidades tem meios específicos para serem usadas, como a do USB 2.0 por exemplo, onde somente com acesso físico ao equipamente alguém conseguiria explorar a falha da mesma. Manter seus sistemas e aplicativos atualizados também é uma maneira de se proteger e diminuir estas brechas.
Fonte: NVD (National Vulnerability Database)