Qual è il sistema operativo più sicuro?

Il sistema operativo è l’anima dei nostri computer e un possibile attacco di virus può danneggiarlo seriamente e a volte anche distruggerlo.

I sistemi operativi sono dei software composti da moltissime righe di codice che gestiscono l’esecuzione dei programmi, controllano la scrittura e la lettura dei dati e disegnano le finestre che apri tutti i giorni.

La loro importanza è tale che qualsiasi attacco informatico mira a debilitarne la struttura e a renderlo un ambiente di lavoro meno affidabile.

Che cosa intendiamo per sicurezza?

La sicurezza dei sistemi informatici riguarda tre principi fondamentali: la riservatezza, l’integrità e la disponibilità.

  • Privacy: il sistema deve garantire la segretezza del contenuto e impedire che degli utenti non autorizzati possano accedere a ciò che non è loro.
  • Integrità: i dati non possono essere modificati senza permesso e in modo occulto.
  • Disponibilità: i dati devono essere sempre disponibili e reperibili in maniera veloce e affidabile.

Il rispetto di questi tre principi è reso possibile grazie agli account utente, al file system (meccanismo che si occupa della gestione dei file), al sandbox (sistema che consente di eseguire i programmi in modo sicuro e separato), alla crittografia dei dati e così via.

Ma la sicurezza dipende anche da fattori esterni come la popolarità: il sistema più usato è di solito il pesce più facile da catturare.

Il sistema operativo più popolare e il bersaglio più colpito è Windows

Tuttavia, ci sono dei sistemi che riescono ad essere molto sicuri nonostante la grande popolarità. Ciò è possibile grazie a un’attenta progettazione e a una buona manutenzione.

Confronto tra SO: alla ricerca di oggettività

Per noi, la sicurezza non è nient’altro che la fiducia che riponiamo nel sistema per elaborare e custodire le nostre informazioni personali. Una fiducia che può essere danneggiata facilmente.

Se mettiamo da parte l’aspetto umano, ciò che rimane è il lato puramente tecnologico e, indipendentemente dalla loro reputazione, i sistemi operativi possono essere concepiti meglio o peggio in termini di sicurezza. Questo è abbastanza obiettivo.

Per questo confronto ho scelto quattro sistemi operativi, quelli dei computer più popolari.

  • Windows 7/8 (NT 6.x)
  • Windows XP (NT 5.x)
  • Ubuntu Linux
  • Mac OS X

Quale di questi sistemi cura di più la sicurezza? Per rispondere ho cercato una serie di indicatori oggettivi.

EAL, il criterio utilizzato dai governi

Nel 2000, dodici paesi, tra cui l’Italia e gli Stati Uniti, hanno creato degli standard con il fine di garantire che i prodotti tecnologici soddisfino determinati livelli di garanzia e protezione.
Il punteggio EAL, che va da 1 a 7, non dice quanto è sicuro un sistema, bensì il livello in cui la sicurezza è stata testata. Sono i produttori che richiedono queste analisi e che decidono il livello.

Il punteggio EAL1 è il più basso e significa che il programma si comporta come descritto nella documentazione. D’altra parte, pochissimi programmi e dispositivi raggiungono il livello massimo, cioè il 7.

Il sistema operativo z/OS IBM ha ottenuto un punteggio EAL5

La maggior parte dei sistemi operativi aspira a un EAL4, che garantisce un buon livello di sicurezza e una sufficiente flessibilità di sviluppo. Quando la protezione è maggiore, il punteggio è EAL4+.

Vediamo che voto hanno ottenuto i sistemi selezionati:

Windows 7 Windows XP Ubuntu Linux Mac OS X 10.6
EAL4+ EAL4+ (EAL4+) EAL3+

Come puoi vedere, il punteggio di Microsoft è abbastanza alto. Mac OS X, invece, ci ha stupiti un po’, ma è anche vero che il test è stato fatto qualche anno fa con la versione 10.6.

Per quanto riguarda Linux, ci sono versioni aziendali come Red Hat che hanno ottenuto lo stesso risultato di Windows: EAL4+. Perché Ubuntu non ha un punteggio EAL?

RHEL è un sistema Linux con certificazione EAL

Forse perché l’azienda non è interessata o non ha abbastanza fondi. Per la certificazione EAL, le aziende devono pagare un laboratorio autorizzato dal governo degli Stati Uniti. Quanto più alto è il livello EAL testato, tanto più alta sarà la spesa.

La certificazione EAL dichiara la competenza del sistema operativo in materia di sicurezza, almeno sulla carta, ma lascia fuori molti altri aspetti che sono altrettanto importanti. Per questo, dobbiamo ricorrere ad altri dati.

Vulnerabilità: il criterio quantitativo

Un altro modo per confrontare la sicurezza dei sistemi operativi è quello di osservare le loro vulnerabilità note e non corrette. Si tratta di buchi di sicurezza, di diversa gravità, che potrebbero essere usati per compromettere la protezione del sistema operativo.

Wikipedia raccoglie in una tabella le vulnerabilità scoperte negli ultimi anni da Secunia. Per comodità, le ho divise in due categorie: critiche e non critiche.

Windows 7 Windows XP Linux Mac OS X
Critiche 2 11 0 1
Non critiche 3 31 17 7

Windows 7 e Mac OS X hanno profili simili in termini di vulnerabilità mentre, per quanto riguarda la correzione dei buchi di sicurezza, Linux è il vincitore. XP, invece, sembra essere stato abbandonato a sé stesso.

I dati forniti da CVE details mostrano per il 2013 un numero abbastanza alto di vulnerabilità per Linux. Ma questo non implica che il sistema sia meno sicuro, può significare che viene controllato con maggior frequenza.

Windows 7 Windows XP Linux Mac OS X
2013 69 58 128 25

Nei sistemi molto sicuri, come OpenBSD, le vulnerabilità scoperte ogni anno non superano la dozzina. Questo si deve alla bassa frequenza di aggiornamento e alla grande attenzione riposta nella sicurezza.

In sintesi, questi numeri non sembrano sufficientemente concludenti per dare una preferenza a un sistema rispetto a un altro. Dobbiamo trovare la risposta in altri fattori esterni alla progettazione.

Fattori esterni: popolarità ed educazione

Dieci anni fa, la risposta alla domanda iniziale sarebbe stata: “il sistema più sicuro è Unix/Linux”. La sua architettura di sicurezza era superiore a quella di qualsiasi altro sistema operativo e, fin dall’inizio, la sua comunità di utenti era consapevole dell’importanza di questo aspetto.

Ora questo è cambiato. Windows e Linux hanno meccanismi di sicurezza simili e, per certi aspetti, Windows 7/8 è superiore. Da un punto di vista puramente tecnico è difficile trovare un vincitore, ma chiaramente non è Mac OS X. Tutti i principali sistemi operativi sono molto sicuri.

Mentre Windows è diventato più robusto, alcune versioni di Linux hanno ottenuto molta popolarità. Ubuntu, la distribuzione Linux più famosa, è ora utilizzato da utenti di tutti i livelli, molti dei quali spesso ignorano la complessa architettura di sicurezza che c’è dietro a questo sistema.

I permessi super user sono facili da ottenere e usare…

L’utente di Windows ha sempre avuto difficoltà a capire a cosa serve un firewall o cosa sono le autorizzazioni utente. Lo stesso vale per Linux, soprattutto quando viene usato da un principiante: ci sono degli utenti che usano i permessi superuser con eccessiva noncuranza e leggerezza.

Il focus della sicurezza si è spostato

Negli ultimi dieci anni, i sistemi operativi domestici sono diventati più sicuri e i software di protezione, come gli antivirus e i firewall, sono più sofisticati e in grado di soddisfare le carenze dei sistemi.

Tuttavia, al giorno d’oggi l’attenzione si è spostata sui browser e sulle applicazioni web. Il sistema operativo è improvvisamente diventato irrilevante. Ora i tuoi dati sono immagazzinati nel browser.

Chrome OS, una dimostrazione di come i tuoi dati sono memorizzati nel browser

Adesso, quando mi chiedono qual è il sistema operativo più sicuro, la mia risposta di solito è “il meno usato”. Il criterio di popolarità è importante: gli attacchi sono concentrati laddove ci sono più utenti, dati e denaro.

Ecco perché la questione riguardante la sicurezza del sistema operativo, sebbene non abbia perso rilevanza, è meno urgente rispetto a prima. A questo punto, ha più senso chiedersi qual è il browser più sicuro.

Morale: il sistema operativo più sicuro è quello che sai configurare…

Ci sono cose che renderanno l’impresa più o meno difficile, come il numero di vulnerabilità non corrette o la progettazione del sistema, ma la sicurezza di un Windows configurato correttamente può essere uguale o superiore a quella di Linux usato da un principiante che dà permessi root a tutto. Le misure di sicurezza integrate sono ormai molto simili, quello che cambia è l’utente.

Quale sistema operativo ritieni più sicuro?

[Adattamento di un articolo originale di Fabrizio Ferri-Benedetti di Softonic ES]

Visualizzazione commenti in corso...

Ultimi articoli