- Feeds completos
- Feeds dos comentários
- Feeds do fórum
- Receba o Meio Bit via e-mail
0 assinantes
Fórum
Últimos tópicos no fórumÚltimas respostas no fórum
- Maaais uma do Google
- Windows XP e HD SATA
- Dúvida em Curso
- Yahoo! Tomou no... de vez
- GMail com temas.
- Meio Bit no Flickr
- Ajuda com anti-virus
- Quem comprou Left 4 Dead ?
- Microsoft com novo anti-vÃrus
- Meio Bit Fotografia? Meio Bit Mobile? WTF
- Microsoft libera ferramentas para desenvolvimento de forma gratuita para estudantes
- Appletard japonês não tem mais o que inventar
Newsletter
Mantenha-se informado sobre as nossas novidades com nosso newsletter semanal, todas as segundas-feiras
Apple e Joomla chutam Microsoft para o 3o lugar
Enviado por Carlos Cardoso
em 9 Agosto, 2008 - 19:51
Não adianta chorar, Tio Fester Steve Ballmer. A época da Microsoft ser número 1 já era. Abram espaço para a nova campeã, a Apple de Steve Jobs.
Ao menos se é para comemorar a posição de empresa que mais divulgou vulnerabilidades de segurança em seus sistemas.
Os dados vem da IBM, no relatório IBM Internet Security Systems X-Force® 2008 Mid-Year Trend Statistics, onde a Apple é campeã com 3,2% das falhas divulgadas. Vejam os 10 primeiros:
| ranking | Empresa | % de vulnerabilidades |
| 1 | Apple | 3,2% |
| 2 | Joomla! | 2,7% |
| 3 | Microsoft | 2,5% |
| 4 | IBM | 2,3% |
| 5 | Sun | 1,9% |
| 6 | Oracle | 1,4% |
| 7 | Cisco | 1,4% |
| 8 | Drupal | 1,2% |
| 9 | WordPress | 1,1% |
| 10 | Linux | 1,0% |
O Linux como sempre não sai de 1%, mas acho até que os freetards não vão reclamar dessa vez.
O relatório mostra que 51% das vulnerabilidades e ataques envolve aplicações web, o sistema operacional se mostra menos importante, já os servidores e navegadores são os alvos primários.
No campo dos navegadores, outra surpresa: Na primeira metade de 2008 o Internet Explorer teve 6 falhas crÃticas de segurança, contra 8 do Firefox.
A Microsoft só volta ao 1o Lugar quando listamos a quantidade de exploits disponÃveis por empresa. Em segundo vem a HP, em terceiro a Apple.
Segurança, definitivamente é uma questão de percepção psicológica. Os Appletards sequer imaginamos que poderÃamos aparecer em uma lista dessas, que dirá em 3o lugar.
O estudo também trata de spam, e ai o Brasil brilha. Veja os maiores produtores de spam no mundo:
Na parte de malware e estelionatos digitais, a seleção canarinho vai a 7,3%.
Há muitos outros dados interessantes, mas o mais chocante é uma análise do conteúdo da Web. Vejam vocês mesmos:
COMO ASSIM? Somente 7,4% da Internet é sacanagem?
OK, ESSES dados eu questiono. O resto do relatório, que é muito bom, pode ser visto neste PDF aqui.
Fonte: PC World
- Ueba
- Rec6
- Blog do Carlos Cardoso
- entre com seu usuário e senha ou registre-se no site para enviar comentários
Notícias relacionadas
Entrar
Mais comentados
- Microsoft demora 7 anos para corrigir um bug (123)
- Linux, uma história, uma paixão (99)
- Que linguagem de programação aprender. (84)
- Vidro fumê no compiz (70)
- TJ impede que Google mencione nome de adestrador de cães de MG no orkut (69)
- E agora para algo completamente diferente (66)
- Meio Bit entre os blogs imperdÃveis da Época (65)
- O e-mail Corporativo - Breves Considerações (65)
Eu até acredito. A internet mudou muito, aqueles sites de sacanagem que pedem cartão de credito ou cobram na conta de telefone praticamente foram extintos. E as dificuldades de colocar um adsense da vida nesses sites também deve ter alguma influencia nesse resultado.
Hoje os sites porn oferecem fotos e videos Free.
E desses 92%, acho que uns 70% são lixo, tipo vários blogs com o mesmo material (copia & cola), site do zé da silva com as fotos dele no ônibus, algum anúncio no mercadolivre de 2005, etc...
Lógicamente existe coisa útil também.
You must defeat me to stand a chance
Ao menos se é para comemorar a posição de empresa que mais divulgou vulnerabilidades de segurança em seus sistemas.
Aà é que está. Não há razão para *tards discutirem a não ser o quesito de transparência da empresa, que não é assim tão relevante...
---------
Usa ou gosta do Ubuntu? Ajude-nos a promover idéias: http://brainstorm.ubuntu.com/
Cardoso, esses dados são sobre as vulnerabilidades divulgadas pelas empresas mesmo, só?
Então não é motivo de desespero. Se a empresa tem divulgado alertas de segurança ela mesma, mostra uma preocupação com segurança, e não necessariamente falha dela.
Não dá pra saber a partir da pesquisa, mas é possÃvel que empresas que estejam abaixo no ranking só estejam lá por negligência.
O Linux mesmo (e falo com meu direito divino de freetard de xingar meu próprio sistema) tem várias falhas (de segurança não tanto no kernel), mas o Linus escreveu esses tempos na lista do Kernel-devel contra a publicação de notas especiais sobre alertas de segurança. Segundo ele, bugs são bugs, não importa que de segurança ou não.
Isso não significa que o Linux (ou qualquer outra empresa / organização / grupo de estudantes numa garagem) esteja escondendo o jogo, só mostra como os resultados podem ser duvidosos.
Mas que o Joomla é uma peneira, isso é.
www.ppvanzella.com
E eu sinto uma terrÃvel dor nos meus diodos esquerdos.
Cardoso, tem alguma coisa sobre o tempo medio de resolução de falhas crÃticas?
se nao me engano ano passado li algo sobre a Apple ter o maior tempo medio de atualização de falhas critias, substancialmente maior que a Microsoft inclusive.
Sobre existir somente 7,4% de conteúdo adulto, é só fazer uma pequena pesquisa no google fight e colocar as duas palavras de três letras (sex x ibm) para ver que isso é falso.
Falando sério agora, é muito interessante esse relatório. Já comentei anteriormente que os sistemas da MS melhoraram muito em termos de segurança e estabilidade.
O maior perigo em segurança atualmente são salsinhas na Internet.
PS: Sobre Fester, além do "Doc" também foi interpretado pelo garoto.
Acho preocupante que uma empresa com um marketshare tão pequeno como a Apple tenha um número de falhas maior que o da Microsoft.
--
Fly-By-Wire: Viagens e trabalho
Dicas, histórias e reflexões na sala de embarque
Realmente isso tem ocorrido, mas acho que é temporário e devido à mudança no SO e que com o tempo os problemas tenderão a diminuir. Segurança sempre foi uma das propagandas da Apple (contra a concorrência).
Falou como um verdadeiro Appletard.
merece ganhar um iPod imaginário do MeioBit.
Ganheeeeei! Meu primeiro ipod.
WinTards ganham Zunes ?
Não, Wintards ganham o que Luzia ganhou na capoeira.
(Brincadeirinha!)
--
Fly-By-Wire: Viagens e trabalho
Dicas, histórias e reflexões na sala de embarque
Aqui dizemos "O que a Luzia ganhou atrás da horta".
Deve ser a mesma coisa, acredito eu. Só mesmo a Luzia para ganhar essas coisas em várias ocasiões.
--
Fly-By-Wire: Viagens e trabalho
Dicas, histórias e reflexões na sala de embarque
Correção.
A Apple divulgou mais falhas, não quer dizer que tenha mais falhas. No máximo a Apple pode ser acusada de ser mais transparente.
Peguem as tochas, foices e acendam as fogueiras!
A atualização de seu software de DNS (aquele envenenamento de cache tão divulgado) muito atrasada em relação aos demais. Pode até ser um caso 'a parte, mas causa má impressão.
--
Erro ao acessar a FAT. Tento acessar a magrela? (Y/N)
Claro, afinal temos que levar em conta as falhas que a Microsoft PODERIA ter conhecimento e PODERIA não ter divulgado. Bill Gates também PODERIA dormir com garotinhos, e o Ballmer PODERIA fazer torta com gatinhos.
A Apple divulgou mais falhas, não quer dizer que tenha mais falhas.
Quer sim dizer que tenha mais falhas. A não ser que você demonstre que as outras empresas citadas escondam falhas de segurança.
"A grande diferença é o que se chama de total disclosure: falhas descobertas em SL em geral são divulgadas integralmente assim que são encontradas, o que agiliza as medidas de segurança. A MS adota uma polÃtica contrária, de manter escondidas as falhas até que ela mesma possa providenciar um patch - o que pode demorar, já que com o código fechado ela é a única que pode fazê-lo. É esse lag entre a descoberta das falhas e o patch que favorece o aparecimento de worms, criando um cÃrculo vicioso.
O que a equipe de segurança da MS tem a dizer sobre esse assunto? Existe algum projeto para a adoção do total disclosure por parte da MS?"
Fernando Cima responde:
O compromisso principal da Microsoft é com a segurança dos seus usuários, e assim adotamos como princÃpio não divulgar informações que coloquem nossos usuários em risco, especialmente se uma correção ainda não está disponÃvel. Esta é a prática não só da Microsoft, mas de diversos projetos de código-fonte livre, como Firefox e Apache, bem como das principais distribuições Linux.
http://br-linux.org/linux/respostas-da-microsoft-p...
fcima e Fernando Cima tem algo a ver ?
E eu nem notei. E ainda li Fernada Cima.
É o login dele no br-linux, que criou para responder à perguntas dos leitores.
*edit*
Ops! Você estava falando sobre o login daqui!
É o mesmo camarada, de qualquer forma.
DSousa,
Exatamente. Ninguém divulga informações sobre uma falha que ainda não tenha correção. E ninguém esconde uma falha depois que ela é corrigida.
A citação acima não é nova pra mim. Eu li quando da publicação. E não discordo dessa polÃtica.
Resta saber se a existência da falha fica em segredo até que haja uma correção. Existência != Descrição.
Resta saber se a existência da falha fica em segredo até que haja uma correção.
Exato, a menos é claro que o descobridor da falha resolva por conta própria fazer a divulgação antes que uma correção esteja disponÃvel.
Existência != Descrição
O correto seria Existência -> Correção -> Divulgação. Por isso quem divulga mais falhas é também em geral quem tem mais falhas.
Na verdade não, pelo visto agora, na próxima versão do OS X a Apple vai primar pela segurança e desempenho. Quanto a todos esses dados, eu meio que duvido de todos eles, já que quase toda semana a microsoft solta um pack de correções para suas aplicações.
Nota-se que as falhas relacionadas à web são as que de longe apresentam maior número de falhas de segurança. Some todos os aplicativos da MS e compare com Apple ou Joomla. Mesmo tendo um número muuuito maior de aplicativos ficou em terceiro lugar.
A Apple deve investir muito em segurança, principalmente em relação ao Safari.
Números divulgados de falhas não são números totais de falhas.
Acho que o pessoal daqui tem que ter aulas de interpretação de textos.
Peguem as tochas, foices e acendam as fogueiras!
Creio que aqui o povo trabalhe com fatos, não hipóteses.
Se há falhas que a Microsoft ou outras empresas não divulgaram, para efeitos práticos elas não existem.
Pode-se até discutir a metodologia de divulgação ou não, mas, o fato é de que, em falhas divulgadas (as que sabemos) a Apple está na frente.
Se ela é uma péssima mentirosa é problema dela. Contra fatos não há argumentos, e suposições de que fulano pode ter feito aquilo ou não não valem muito em discussões: A argumentação fica comprometida.
Eu não acredito no que não conheço.
[teoria da conspiração ON]O melhor mesmo é mascarar as falhas e lançar patch de baixo dos panos (atualizações automáticas) como algumas distribuições linux estão fazendo ai [teoria da conspiração OFF]
Que estranho a lista: Apple, Joomla!, Microsoft, Beterrabas...
Tipo, englobaram "Apple" como um todo... ficou estranha a lista, pq cita aplicações, e empresas e sei lá!
___
Um slime, dois slimes, três slimes, quatro slimes... um King Slime
hehe
Essa foi de propósito, num foi?
Só não gostei de 92% da Web ser "Others" .... 92% Outros... não é algo muito considerável classificá-lo?
----
.\o>
. |
. \\
Justamente, esse OTHER pode ser tantas outras coisas que daria pra separá-las em grupos.
21horas
barbaridade
Os dados vem da IBM, no relatório IBM Internet Security Systems X-Force® 2008 Mid-Year Trend Statistics, onde a Apple é campeã com 3,2% das falhas divulgadas. Vejam os 10 primeiros:
Pelo que está escrito acima podemos escrever sem medo de errar a seguinte frase.
A Apple foi a empresa que mais divulgou vulnerabilidades de segurança em seus sistemas.
Vamos definir o verbo divulgar.
divulgar
di.vul.gar
(lat divulgare) vtd 1 Fazer conhecido, tornar público; apregoar, difundir: Divulgar os progressos da Ciência. Daà a divulgaram por todo o mundo. vpr 2 Tornar-se conhecido ou público; propagar-se: "Divulgou-se em Lisboa a notÃcia" (Camilo Castelo Branco).
Agora vamos reescrever a frase acima de acordo com essa definição.
1 - A Apple foi a empresa que mais fez conhecer vulnerabilidades de segurança em seus sistemas.
2 - A Apple foi a empresa que mais apregoou vulnerabilidades de segurança em seus sistemas.
3 - A Apple foi a empresa que mais difundiu vulnerabilidades de segurança em seus sistemas.
4 - A Apple foi a empresa que mais tornou conhecidas vulnerabilidades de segurança em seus sistemas.
5 - A Apple foi a empresa que mais tornou públicas vulnerabilidades de segurança em seus sistemas.
6 - A Apple foi a empresa que mais propagou vulnerabilidades de segurança em seus sistemas.
Dessas frases as de número 3 e 6 podem ser tomadas com a possÃvel interpretação de:
A Apple foi a empresa que mais ativamente distribuiu vulnerabilidades de segurança em seus sistemas.
Mas essa é uma interpretação no mÃnimo distorcida do texto.
Curiosamente nenhuma das acepções leva à seguinte frase, que é insinuada nestes comentários.
A Apple foi a empresa que mais teve vulnerabilidades de segurança em seus sistemas.
Peguem as tochas, foices e acendam as fogueiras!
Eu posso estar errado, mas nesse momento deve haver muito mais gente no mundo procurando falhas em sistemas Linux e Microsoft do que em sistemas Apple. Além disso, a chance de uma falha no Linux ser descoberta e não ser divulgada é menor do que mÃnima.
Lembra da falha do Firefox, que o descobridor só deixou pra divulgar algumas horas depois do lançamento do navegador pra ganhar a devida publicidade? No Linux, como no Firefox, nunca houve a intenção de esconder a existência de bugs ou falhas de segurança.
A polÃtica da Microsoft de esconder as falhas até que haja uma correção é conhecida, mas eu duvido muito que eles deixem uma falha conhecida (ainda que somente por eles) se perpetuar sem correção. E assim que é liberada a correção, a falha é automaticamente divulgada.
Isso me leva a crer que o número de falhas divulgadas é proporcional ao números de falhas descobertas. Não exatamente numa proporcionalidade perfeita, mas é proporcional. E a porcentagem de falhas descobertas sobre o total de falhas existentes é provavelmente maior nos sistemas do Tio Bill, já que certamente tem muito mais gente usando, testando, buscando falhas neles do que em Macs.
A estatÃstica disso daà é um pouco complexa.
Primeiro, que falamos, por exemplo, em "Microsoft" e "Apple". "Microsoft" engloba Windows, WMP, Office, IE, e etcéteras. Apple engloba OSX, IWork, Quicktime, e etcéteras. Linux não engloba nada, é só um Kernel.
Uma taxa de 1% pro Linux é muito mais expressiva em termos quantitativos do que os 2,5% da Microsoft, por exemplo. Pra um estamos falando de apenas uma aplicação, pros demais, várias. Por isso não acho a posição da Apple tão ruim assim.
A questão é bem outra: Appletard acha esquisito que a empresa figure em relatórios como estes. Bug em produto Apple é lenda, segundo alguns.
Mas não dá pra duvidar do relatório, é só olhar os fatos: Outro dia tinhamos "trojan" pra Mac. Não foram poucas as notÃcias de buracos no QuickTime, e houve bastante problemas no Safari. Não precisava nem de pesquisa pra ver que a Apple está passando por um perÃodo, digamos, "diferente".
Lembra do "Think Different"? Então. O povo da apple vai ter de começar a pensar diferente do tradicional "não há perigo de segurança usando um Mac", ou vai passar vergonha em breve.
Agora... não vou discutir números porque não enxergo estas estatÃsticas como competição, e sim vejo o resultado como um alerta.
Tá, mas essa "aplicação" é um SO e de longe muito mais complexo, e portanto com maior possibilidade de falhas, que qualquer dos outros aplicativos da Microsoft ou Apple, exceto pelos seus respectivos sistemas operacionais.
Considerando que os produtos da Microsoft são muito mais testados que os demais, ela está até bem na terceira posição. Mas não podemos esquecer que uma parcela considerável dos ataques contra seus sistemas ocorre por meio de malwares e não por meio de falhas de segurança. Portanto, um número maior de falhas de segurança não necessariamente significa um sistema menos seguro que os demais.
Há ainda outros fatores a considerar, como a velocidade de correção dessas falhas. Mesmo considerando que a Microsoft as mantêm em segredo até que haja uma correção, ela não é reponsável por todas as descobertas e não controla a divulgação de dercobertas feitas por terceiros. Por isso a velocidade de correção pesa bastante na hora de analisar qual o sistema é mais seguro.
Primeiro eu queria saber o que é considerado Linux nesse relatório.
Segundo, parece que o pessoal do Linux também esconde suas falhas, para minha surpresa, é só ver o post do ppvanzella no inÃcio desta discussão.
Terceiro, várias falhas de projetos Open Source contam como falhas Apple, por exemplo, o último security update tinha falhas relacionados ao BIND, OpenLDAP, OpenSSL, PHP e rsync.
Na verdade ninguém sabe o número de falhas de cada SO, só quem conserta mais.
Peguem as tochas, foices e acendam as fogueiras!
Eu também queria. Dei uma olhada rápida no PDF postado pelo Cardoso, mas não achei nada. Deve estar lá.
O post citado contém uma informação errada.
Fonte: http://www.linuxmagazine.com.br/noticia/controvers...
Ele não esconde as falhas se segurança, somente não acha que deve tratá-las de maneira especial, como se fossem diferente de qualquer outro bug.
Mesmo tendo essa visão, as falhas do kernel são sim corrigidas rapidamente. Basta esperar aparecer a próxima e contar o tempo que leva até a correção. Isso já aconteceu outras vezes e quem acompanha sites como o BR-Linux, que noticia falhas e correções, sabe que o delay entre a primeira e a segunda é mÃnimo.
Além disso, como é tudo open source e o número de colaboradores é imenso, não é necessário esperar que o Linus corrija pessoalmente a falha. E ele corrige. Houve uma recente corrigida rapidamente por ele. Tentei achar o link no BR-Linux, mas não encontrei.
Deve ser por conta que boa parte do material "onanistÃco" é trocada entre pessoas fora do ramo de entretenimento adulto. Se você baixa um vÃdeo do site ****, é contabilizado como conteúdo adulto. Se você recebe um arquivo ZIP com senha de uma lista de e-mails underground, é contabilizado como "other" no gráfico. Se você baixa via Torrent ou outros P2P também, pois não há uma tag que identifique o fluxo como conteúdo adulto.
Mas o que eu queria comentar também é que boa parte do conteúdo trocado via TCP-IP é inútil. Arquivos não compactados, informações inúteis sendo trocadas (cada "oi" em MSN carrega consigo um cabeçalho enorme que não interessa ao usuário e cada folha de estilos tem que ser baixa again and again and again), downloads inflados (já vi baixarem um determinado jogo de um giga só por causa do crack de 30 kb), anti-vÃrus procurando atualizações, etc.
P.S.: Eu sei que foi pergunta retórica.
Rapaz...
Não sei se vocês sabem mas o orkut é considerado como material adulto.
Ou estou errado?
"Tendo lógica, você programa até uma pedra"
http://meiobit.pop.com.br/relatoacuterios-de-segur...
---------
Usa ou gosta do Ubuntu? Ajude-nos a promover idéias: http://brainstorm.ubuntu.com/
Isso não é muit verdade, existe uma falha de segurança no windows, onde se pode invadir o sistema por meio da porta firewire, e parece que até agora a microsoft não fez nada a respeiot por considerar insignificante.
Ah! Bons tempos aqueles em que 98,5% dos sites eram de sacanagem, e os 1,5% restantes eram sites que tinham links para sites de sacanagem, e como era desesperador navegar naqueles sites com um modem de 14.400...