Tecno4all

“Great spirits have always encountered opposition from mediocre minds.”
Albert Einstein

jueves, enero 05, 2006

Un clásico caso de FUD


FUD - Siglas de Fear, Uncertainty and Doubt ("Miedo, Incertidumbre y Dudas"). Se trata de una estrategia encaminada a sembrar noticias falsas o sesgadas con el objeto de perjudicar a un colectivo, empresa o país.



En el artículo
Linux/Unix Vulnerabilities Outnumber Microsoft Windows' 3 To 1 el autor trata de reportar que durante el año 2005 se reportaron tres veces más vulnerabilidades en sistemas Linux, Unix y Mac OS que en Windows. El "reporte" se basa en un listado de vulnerabilidades publicado por el United Stated Computer Emergency Readiness Team (US-CERT). El listado pueden revisarlo aquí:


Una de las primeras observaciones que podrá hacer es que muchas de las vulnerabilidades se repiten, por ejemplo


# Apache 'Mod_SSL SSLVerifyClient' Restriction Bypass
# Apache 'Mod_SSL SSLVerifyClient' Restriction Bypass (Updated)
# Apache 'Mod_SSL SSLVerifyClient' Restriction Bypass (Updated)
# Apache 'Mod_SSL SSLVerifyClient' Restriction Bypass (Updated)
# Apache 'Mod_SSL SSLVerifyClient' Restriction Bypass (Updated)
# Apache 'Mod_SSL SSLVerifyClient' Restriction Bypass (Updated)
# Apache 'Mod_SSL SSLVerifyClient' Restriction Bypass (Updated)
# Apache 'Mod_SSL SSLVerifyClient' Restriction Bypass (Updated)
# Apache 'Mod_SSL SSLVerifyClient' Restriction Bypass (Updated)


Las líneas se refieren exactamente al mismo problema, pero aún así se cuentan como problemas individuales. Esta repetición ocurre tanto para las vulnerabilidades de Windows como para las del agregado de Linux, Unix y Mac OS. Eso ya nos dice que el conteo está viciado.

Otra obvia falla lógica en este reporte es que se compara el total de vulnerabilidades de un solo sistema operativo (Windows) con el total para un agregado de sistemas operativos (Linux, Unix, FreeBSD y Mac OS). ¡Es como tratar de demostrar que somos los mejores en nuestro trabajo porque en el 2005 cometimos menos errores que el resto de los empleados juntos!

El artículo de InformationWeek comienza haciendo creer al lector que Windows es más seguro, pero termina admitiendo las fallas de tal razonamiento basándonos en el listado de US-CERT:

Although US-CERT didn't break out Mac vulnerabilities in a separate category, the Linux/Unix section listed more than 25 attributed to the Apple Computer operating system.

The end-of-year vulnerability score should be taken with a grain of salt, however, since US-CERT doesn't filter out updates (so one actual vulnerability can be counted numerous times) nor does it break out individual vulnerabilities from warnings that cover multiple bugs (as in the many Mac OS X vulnerability listings).
Como ven, el autor finaliza demostrando que su reporte no vale los bits que ocupa en el Web. Sin embargo, ya el daño está hecho porque cualquier usuario de computadoras promedio podría tomar por veraz la falsa conclusión del reporte.

Este artículo es discutido en SlashDot y allí los miembros han añadido otras objeciones a la interpretación del artículo del listado de US-CERT.

Termino recomendándoles la lectura de otra lista: 15 mitos sobre Linux