Neste artigo vou desmistificar algumas "lendas" que são impostas pela Microsoft com relação ao Pinguim. Este artigo é baseado em um texto da Novell, onde o principal objetivo é revelar a verdade em relação a alguns pontos da briga MS X Linux. Vale à pena gastar um pouco de seu tempo lendo este artigo.
Vamos analisar a segurança do Linux nos baseando em 3 pontos
que geram dúvidas e confusão:
A vulnerabilidade;
Gerenciamento de patches (atualizações);
Disponibilidade e distribuição das informações de segurança.
A Microsoft fez diversas declarações equivocadas sobre esta área do
Linux, tentando desviar a atenção dos relatórios e publicações que
apontavam falhas em seus sistemas.
Vulnerabilidade
AFIRMAÇÃO: O Linux e o OSS (Software Livre) são tão vulneráveis a
ataques e falhas de segurança quanto as plataformas proprietárias.
OS FATOS:
A Evans Data Summer realizou uma pesquisa sobre Linux em 2004, onde
ficou comprovado que 92% dos usuários que participaram da pesquisa,
nunca tiveram seu sistema Linux infectado por vírus. E mais! Menos
de 7% destes mesmos usuários Linux da pesquisa afirmaram nunca terem
sido vítimas de 3 ou mais invasões a seus sistemas. Apenas 22% dos
desenvolvedores Linux afirmaram que seus sistemas foram invadidos por
hackers, onde em 1/4 dos casos (23%) esta invasão foi realizada por
ex-funcionários que tinham acessos aos sistemas da empresa.
25% dos desenvolvedores concordam que o sistema Linux possui a melhor segurança entre os sistemas operacionais.
Uma outra pesquisa semelhante a da Evans, detectou que 60% dos usuários não-Linux afirmaram que foram vítimas ou tiveram problemas devido a falhas na segurança de seus sistemas e 32% foram afetados no mínimo 3 vezes por estes problemas.
O SuSE Linux Enterprise Server 9 contém todos os componentes necessários ao cumprimento do Common Criteria Evaluation CAPP/EAL 4+, melhorando a certificação alcançada na versão 8 do produto.
Gerenciamento de patches
AFIRMAÇÃO: O efeito do tempo de inatividade para gerenciamento de patches
não precisa ser considerado no cálculo do TCO (custo total de propriedade).
OS FATOS:
Nesta discussão sobre segurança, a Microsoft não leva em consideração que
um sistema para gerenciar os patches, demanda tempo, esforço e custos.
Conforme foi apontado no relatório "Linux, UNIX, Windows TCO Comparison", do
Yankee Group, disponível no site Get the Facts, da Microsoft:
Os administradores de redes Microsoft reclamam do tempo necessário para
administração de sua rede Windows e da necessidade de uma maior mão-de-obra
que deve ser empregada nas atividades de administração e gerenciamento destes
servidores Windows. E além disso, embora estes servidores Windows - principalmente
o Windows 2003 Server - raramente falhassem, estes mesmos administradores
afirmaram que era grande a necessidade de instalação de diversos patches de
segurança para remendar o sistema. Ou seja, você não tem falhas, mais tem
tempos de inatividade que são gerados pela aplicação destes patches, em sua
grande maioria críticos. Acima de tudo, o gerenciamento da segurança e de
patches era claramente o maior problema dos clientes corporativos da Microsoft.
Do ponto de vista dos clientes, o gerenciamento de segurança e de patches
constitui um evidente ponto franco do sistema Windows. Apenas 12% dos clientes
Windows 2000 afirmaram que a plataforma Microsoft oferecia ferramentas de
gerenciamento de segurança e de patches equivalentes às do Linux. Isso fez a
confiabilidade no Windows 2003 Server melhorar um pouco, com 18% dos clientes
afirmando que é comparável às do Linux, em termos de reinicializações desnecessárias.
De acordo com a Tech News World, "uma importante instituição financeira
precisava consultar seu conselho de diretores para aprovar um adicional de US 10
milhões para concluir o patch. Depois do MS Blast e dos custos envolvidos em
seu patch de correção, a consulta é muito maior, à medida que novas
vulnerabilidades são encontradas profundamente entranhadas nos sistemas
Microsoft". O artigo menciona também a situação delicada que uma outra
instituição financeira está passando e como isso forçou a esta instituição ter
que desativar seu sistema de TI durante 3 semanas para executar o patch de
correção nos servidores e desktops Windows.
Em um outro estudo, de Robert Francis Group, disponibilizado em meados
de 2002, apontou-se que "as instalações do Windows exigem duas vezes mais
números de horas dos administradores de rede do que o tempo gasto em
gerenciamento de segurança e aplicação de patches em outros sistemas operacionais."
Em um artigo disponibilizado pelo Gartner em Fevereiro/2004 ("Prepare
for yet another critical Windows vulnerability"), o analista afirma que haverá
um crescimento exponencial no combate aos gastos com ferramentas de
gerenciamento de segurança e patches da Microsoft e que isso influenciará na
tomada de decisão das corporações e dos usuários finais no momento de decidirem em relação a qual sistema operacional usar.
Disponibilidade e distribuição das informações de segurança
AFIRMAÇÃO: A natureza distributiva do Linux e do OSS dificulta o
recebimento ou mesmo o conhecimento dos patches de segurança e vulnerabilidades.
OS FATOS:
A Microsoft não vai oferecer garantias para correções de falhas de
segurança para versões do Internet Explorer anteriores ao Windows XP. Segundo
Michael Cherry, que é analista de Directions on Microsoft in Redmond - Wash,
"Esse é um problema que as pessoas precisarão enfrentar em um upgrade total
de OS, para obter um browser seguro". Uma boa parte disso tudo tem como
principal objetivo incentivar/forçar o upgrade para o Windows XP.
A Microsoft oferece a empresas selecionadas o acesso a patches antes de outras:
"Com base no feedback do cliente, a Microsoft iniciou, em Novembro de 2003,
um programa de notificação de boletim de segurança de destaques com os
principais clientes e outros clientes representativos. O programa foi bem
recebido e o feedback dos clientes que participaram foi muito positivo; como
consequência, o programa foi expandido em Abril de 2004, para incluir os
clientes que assinarão um contrato apropriado de não divulgação", acrescentou a Microsoft.
Em um outro artigo da internetnews.com, o analista de segurança do Gartnet Group, John Pescatore, descreveu a pré-notificação das informações de segurança somente para um seleto grupo de clientes, como uma "prática extremamente perigosa".
"Eu sei que a Microsoft fornece algum aviso antecipado ao Department of
Homeland Security sobre questões que possam afetar a infra-estrutura básica.
Entretanto, nunca vi a Microsoft fornecer informações antecipadas somente a
clientes que pagam. Essa seria uma prática terrível", disse ele. "Isso só
deveria ser permitido quando o assunto se referisse a vulnerabilidades que
afetam a infra-estrutura básica. Não 'pague mais para saber antes'. É uma
prática muito nociva." O vice-presidente da Gartner afirmou que o aviso
poderia estar associado a um pesquisador independente ou a um hacker que ao
encontrar uma vulnerabilidade e compartilhar um patch antes de ele estar
disponível. "Se a Ford decidisse emitir notícias de recall por falhas em
seus veículos endereçadas somente as pessoas que pagaram uma garantia
estendida, isso não funcionaria! Esta seria uma prática horrível."
Um recente artigo da NetwrkWorkd Fusion, "as políticas de licenciamento e
as restrições legais da Microsoft que proíbem as escolas de distribuir patches
de software a muitos estudantes estão deixando os executivos de TI nas
universidades com milhares de estações de trabalho sem o mínimo gerenciamento,
o que constitui um risco sério de segurança!".
Algumas notícias sobre o assunto, que saíram na Internet:
[2] Comentário enviado por andrens em 24/05/2005 - 12:30h
Achei o artigo extremamente parcial, e focado muito mais em incentivar o uso do Linux do que "mostrar a verdade" como diz sua apresentação. Prova disso temos logo em seu começo, quando uma pesquisa do Evans é utilizada para destacar a confiança dos usuários em seu sistema, e para destacar os problemas do Windows, é utilizada "uma pesquisa semelhante ao do Evans" sem citar fonte, data, ou qualquer dado que transpareça um mínimo de confiança. Alem disso, alguns comparativos se mostram meio absurdos, como destacar como ponto de confiança de interoperabilidade no Linux o apoio da Novell, que em seu próprio site oficial, mostra o ExteNd como compatível apenas com duas distribuições (RedHat e SuSe, proprietária). Isto porque a Novell é o pilar que sustenta a defesa do Linux em interoperabilidade, segundo o comparativo. Alias, ainda sobre o ExteNd, apesar de conhecer as maravilhas que um serviço de diretório da Novell é capaz, creio que me desestimulo ao ver os preços em que ele é comercializado, considerando que sua função é oferecer os serviços básicos que um Windows com Active Directory possui, e com muito mais facilidade de instalação e integração. Também acho pouco imparcial a atitude de acusar a Microsoft de não participar de grandes projetos livres como o Eclipse, incitando má vontade da empresa, sem considerar que o eclipse é um projeto que visa copiar a idéia do .Net Framework, que a Microsoft comercializa. Não odeio Linux, nem quero desestimular seu uso; trabalho com as duas plataformas. Porém, creio que o artigo que se diz detentor da "verdade", deve no mínimo ser imparcial, coisa que passou longe deste apresentado. Creio que todos temos noção das vantagens e desvantagens do uso do Windows e do Linux, e precisamos de discernimento ao ler um artigo como este.
[3] Comentário enviado por shocker em 24/05/2005 - 12:38h
O verdadeiro objetivo deste artigo é mostrar a verdade em relação a acusações que a Microsoft fez em relação ao Linux e a comunidade Software Livre.
Eu também trabalho com os dois sistemas operacionais, e sei que o Linux é melhor em algumas coisas, e o Windows em outras. Eu acho que não existe o melhor. Tudo irá depender da aplicabilidade.
[4] Comentário enviado por thebugs1 em 24/05/2005 - 13:30h
Alan Seguinte, concordo com o que o andré falou e ainda mais, vc diz que a microsoft faz criticas ao linux mas vc tb não parou para olhar as criticas de grandes distribuições de linux como a had hat por exemplo faz ao windows, acho tb que este artigo publicado é de fontes duvidosas e ainda muito parciais não podendo assim ser levado em considerção como um artigo sério que possa ser usado para tal comparativo, e outra comparativos??? A que estamos comparando???? Sabemos muito bem qual são as falhas do windows mas assim como o windows o linux tb tem falhas o unico erro que as pessoas fazem é apontar o windows e vangloriar o linux o que no meu ponto de vista é extremamente errado pois ambos os sistemas são bons e ambos tem seus problemas, eu por exemplo retirei plataformas linux que trabalhavam com o serviço de diretório da minha empresa e simplesmente pq ele não trabalhava direito com este serviço em multiplas plataformas clientes, caso que acontece totalmente ao contrario com o windows, mas mantive o linux como nosso firewall interno e de dmz pois até hoje é a melhor opção.
Acho alan, que ao publicar um artigo desses deveria primeiro analizar o teor do mesmo e ver se realmente ele é imparcial e de fontes confiaveis ao inves de sair publicando tudo o que ve pela frente e muito menos sem saber exatamente se isso é confiável.
Abraços,
Jonas Almeida.
PS.: Acho que ninguem impõe nada a ninguem existe o livre arbitrio, e se pelo menos mais da metada das empresas usam windows e dessas metades 95% não pretende migrar a plataforma é pq algo com o seu artigo está errado não????
[5] Comentário enviado por eduac em 24/05/2005 - 13:37h
Caro André Santos,
Esta na cara que vc é um win user. Vc só se cadastrou no VOL para falar mal do linux.
Parcial é vc que fala mal do ExteNd, que é um produto excelente (eu mesmo já teste e aprovei). E o que dizer do seu comentário pifio do Eclipse? ridiculo...quem já usou o Eclipse sabe mt bem que ele em nada se assemelha ao Visual Studio da M$ (que alias não é gratuito, como tudo que a M$ cria).
Se não gosta do Linux, por favor, reserve-se no direito de não visitar mais este site e de mt menos colocar os seus argumentos falacianos para cima de nós.
O exteNd não é um serviço de diretórios. Ele é uma suíte de produtos voltados para o desenvolvimento web (portais), e para EAI (Enterprise Application Integration). O serviço de diretórios da Novell, antigamente chamado de NDS, e atualmente batizado de eDirectory, é o mais antigo e melhor sistema de diretórios que já existe. O Active Directory, como vocês citaram, é uma tentativa da Microsoft de clonar o eDirectory da Novell, porém sem sucesso algum. O AD não oferece soluções básicas, como poder criar objetos de nomes iguais dentro da base. No eDirectory isso é possível, e no conceito de diretórios isto tem que ser possível. Foi apenas uma das comparações. Quem quiser saber mais sobre as comparações do eDirectory da Novell e o Active Directory da Microsoft, basta acessar: http://www.novell.com/collateral/4621396/4621396.pdf
O intuito deste artigo, como eu já disse, é mencionar relatos feitos pela Microsoft, e mostrar o que é e o que não é verdade. Posso assegurar que todas estas fontes são confiáveis. Agora se o leitor já começa e olhar o artigo sendo parcial a um ou a outro sistema operacional, infelizmente isso é algo extremamente individual.
Sei que existem pessoas que cultuam o Linux como se fosse uma religião, porém eu não sou uma delas, e este artigo é voltado para toda a comunidade de tecnologia.
[8] Comentário enviado por gtcesar em 24/05/2005 - 16:11h
Na verdade temos que levar em conta que os usuarios não querem saber se isso ou aquilo é melhor, é questão de cultura; vc compra o pc com windows instalados (90%) então devemos nos preocupar com o processo do linux no dia a dia, ou seja seremos escravos da M$ ou estamos presos ao sistema por falta de aplicativos de peso como é o caso de alguns clientes meus. ex: Um cliente x gosta da ideia do software livre mas não pode migrar porque não existe alternativas para o imbativel Corel Draw, pessoalmente eu atualmente estou usando o Debian mas e o advogado da esquina que comprou um itautec com windowsxp e ms office, ele não esta nem ai com virus e pragas ou segurança em si ele quer saber se o Oficio vai ser entregue ou não, então devemos nos preocupar com a portabilidade e integração para usuarios leigos, divulgando o linux com distros faceis e funcionais e não distros avançadas, uma boa alternativa é o Kurumin facil de usar e instalar detecta tudo e muito simples na rede...
devemos nos preocupar em resolver os problemas do usuario e deixar o Kernel para os avançados.
[10] Comentário enviado por removido em 25/05/2005 - 00:41h
Este tipo de artigo está ficando batido demais no universo opensource o mas como se diz "Agua mole pedra dura tanto bate até que fura." o difícil é convencer os preguiçosos a trocar os cliques pela digitação e o pensamento lógico das coisas, a M$ se preocupa em usar nos instinto competitivo a favor dela e enquanto brigamos para ver quem é o melhor lado o tempo vai passando e a M$ vai ficando mais U$$$$$$$$!, e artigos como este são malhados por pessoas que querem defender seu lado ou simplesmente querem continuar clicando, mas digo por que ao invés de malhar não oferecem o melhor dos dois mundos acredito que os dois lados sem ganhando não acham?
PS: E a clássica desculpa de estar dando o ponto de vista não cola, basta dar uma olhada no que se escreve para ver que tem um pouco de competição grosseira nas palavras, isto dá direto ao autor ser grosseiro se encontrar um artigo de quem o criticou, temos é que dar soluções e não a malhação.
[11] Comentário enviado por gtcesar em 25/05/2005 - 01:19h
Acho que deveriamos preocupar com o quesito adaptação, pois o Advogado da esquina não quer saber se o sistema é Linux ou Windows, ele quer saber se o Oficio vai ser entregue na hora certa, o usuario da lan não quer saber se o sistema é vulneravel a falhas ou se o sistema é estavel, ele só quer saber se funciona; acho que deveriamos nos preocupar em apresentar o linux a esses usuarios da forma pratica e funcional e não fazendo comparações idiotas pois ambos os sistemas tem seus aspectos positivos, e tambem não devemos apresentar distros com a cara do XP ou com programas for windows como algumas por ai, devemos apresentar o linux na sua forma original com o KDE ou GNOME editores como Open Office e outros, temos que ser Linux, ser originais nada de bagunça, um exemplo disso é o Kurumin, um sistema lindo e bem fiel com aparencia modesta e sem imitações.
Desculpem por fugir do assunto, é que sou entusiasta em se tratando de linux.
[12] Comentário enviado por shocker em 25/05/2005 - 09:34h
Concordo com o gtcesar!
Como profissionais de tecnologia, nós devemos estar antenados na tecnologia. Seja ela open source, Microsoft, Novell, Hp, etc. Temos que nos focar nos usuários finais.
Como o gtcesar disse, o advogado da esquina não está interessado em que versão do kernel é estável, ou sobre falhas de segurança no IE. Ele quer enviar o e-mail, navegar, fazer aquele texto importante. E é aí que nós, da área de TI, entramos. Como o Linux pode ajudar, e suprir todas as necessidades de um usuário final, levando em consideração que ele não tem conhecimentos profundos em sistema operacional? Este é o X da questão! Como abituar as pessoas a usar e gostar do Linux? Eis o grande desafio.
Eu mesmo vou confessar, até hoje eu encontro dificuldades em usar o Linux como desktop, por precisar de uma infinidade de sofwarewa que só existem para Windows, pois a grande maioria dos usuários ainda usa Windows, e nós não podemos ignorar isso. Como gerar esta interoperabilidade?
Bom, este é o intuito do debate, e com certeza pode até dar um tese de mestrado! hehheheh! :)
[13] Comentário enviado por Bique em 26/05/2005 - 07:01h
Bom não deixa de ser um artigo interessante mas um pouco parcial da sua parte Alan sem com isso não deixar de considerar as inumeras vantagens a que o linux nos proporcionou. Quero salientar que também li num dos sites .br que testes feitos por peritos em linux consideraram o windows 2003 muito mais seguro que o linux enterprise 3 e ficaram no espanto. Agora tenho de concordar com o Shocker quando ele aborda a questão do X...Isso sim e um problemão...
[14] Comentário enviado por sandromt em 28/05/2005 - 08:48h
Parabéns Shoker, seu artigo ficou muito otimo. Possue otimas respostas a duvidas de como o Linux é muito mais vantajoso que o Windows. Trabalho com Servidores Linux, mas com estações Windows que direto dão problemas (virus, spy, etc.). Mas os Servidores ate o momento funcionam sem problemas. Em uma das empresa que prestamos serviços, estamos trocando as estações por Linux, é um processo demorado, mais devido a falta de programas para Linux que rodam exclusivamente em Windows (como de orgãos publicos e outros), mas vamos dando um jeitinho. Espero com a ação do governo em adotar o Software Livre, isso possa mudar. Nesses ultimos anos tem crescido e muito o uso do Linux, espero que continue assim, mas sem perder sua identidade.
Até mais...valeu pela materia..
[15] Comentário enviado por variedades em 17/01/2007 - 17:17h
O problema que as vantagens do Linux são diluidas quando há problemas com o sistema. A hora de um técnico bem entendido em Lixux custa caro e ainda é muito escassa. Tive que substituir (na marra) um servidor lixux no escritório de advogacia onde trabalho por um windows 2003 server. A manutenção passou a ser bem espaçada (de fato a 2 anos o 2003 server não é sequer reinicializado) e a manutenção pode ser feita por qualquer mortal. Em 2 anos o custo de aquisição do sistema Windows seria gasto somente em despesas com a manutenção do Linux em mão de obra especializada.
O grande problema do linux é que para empresas pequenas, como a minha (9 CPUs) o Linux ao longo dos anos é mais caro. Pelo menos em cidades que não são capitais, como é meu caso. É de se pensar sériamente nisso. EM quase todas as discussões sobre Linux não se comenta o custo de sua manutenção, somente que é mais seguro, estável etc. Isso quem usou os dois sistemas quase sempre concorca, mas a grana para manter o bicho rodando?
Gostaria de ter uma ferrari, mas o bolso permite somente eu ter o Windows 2003 server. Para mim (e outras dezenas de colegas de pequenas empresas) o custo do W2003 Server ainda é melhor que o do Linux, especialmente no interior.