Alla fine, per chiarirmi con me stesso, mi son letto il post di Joanna (citato in precedenza) e mi sono sciroppato questa presentazione di Russinovich (che consiglio vivamente!).
Joanna afferma:
The fact that UAC implementation contains bug(s), like e.g. the bug I pointed out in my article, which allows a low integrity level process to send WM_KEYDOWN messages to a command prompt window running at high integrity level.
Mark dice l'esatto opposto, cioé che in realtà i low integrity level process non dovrebbero permetterlo. Armato di santa pazienza ho fatto la prova del nove.
ho installato una banale applicazione SendKey.exe e lanciata come utOnto normale
aperto notepad come utOnto normale e attivato sendkey. Tutto funziona come ci si aspettava
aperto notepad come admin e riattivato sendkey. Tutto NON funziona come ci si aspettava
Conclusione il baco non c'è e la security sussiste. Siccome sono le 8.18PM e sono ancora in ufficio me ne vado a casa felice e meno ignorante: ho anche capito cosa Russinovich intende per "security boundary" nella sua replica; ma purtroppo tale spiegazione non ci starebbe nei margini di questo post. Ne seguirà sicuramente un altro.
Parimenti: chi acchiappa le bufale di un'acchiappa bufale? Ci provo io. L'intervista delle iene, grazie a Gioxx, l'ho trovata qui.
Alcuni brani (in grassetto il mio commento):
[Vista è meglio di XP in] molte cose dal punto di vista della sicurezza. (Giusto, ma nonsolo) [Vista] è il sistema operativo microsoft più caro in assoluto. (Quasi-bufala-totale; edizioni equivalenti costano quanto XP; tra l'altro non capisco perché se Vista costa caro, Paolo suggerisca i Mac che costano di più(*)) [I vantaggi di Vista su XP sono] abbastanza limitati. (Contraddizione; se Vista è meglio di XP dal punto di vista della sicurezza e la sicurezza è importante, allora questa è una contraddizione) MacOS offre le stesse cose di Vista da più tempo. (Almeno opinabile; sulla sicurezza intanto MacOS è molto indietro... e per favore: basta con la storia che non ci sono virus per Mac, lo sappiamo perché) [Vista è] troppo caro (già dibattuto, alquanto opinabile), troppo lucchettato, contiene troppi sistemi anticopia (il supporto legale per DVD e HD è un lucchetto? Mi sembra il contrario; sarà un fissato?), troppo pesante, richiede un computer estremamente potente (Bufala! Ho afferreto! Paolo ha visto Vista in cartolina ), troppo tardi perché sistemi alternativi già offrono tutto quello che da pochi giorni offre Windows Vista (mmm.... incluso l'enorme parco software? Decisamente opinabile!) Grazie ai lucchetti digitali è molto difficile sviluppare schede video, schede audio che ne rispettino tutti gli standard (mmm... Tranne NVidia - in evidenti difficoltá a raggiungere la quality bar per i driver ma in maniera totalmente scorrelata con i lucchetti digitali - quasi tutti gli altri produttori non hanno avuto grossi problemi; ovviamente non mancano eccezioni. Bufala) [Uso un mac] perché funziona (Alquanto opinabile)
Da un giornalista informatico mi sarei aspettato una recensione basata sui fatti, al contrario di quanto visto finora. Peccato.
La mia stima per Paolo peró rimane immutata quando si limita a parlare di bufale o di sicurezza in generale (bella la frase "la sicurezza è un processo" non una feature).
Legge elettorale di cacca -> Elezioni 1996 -> Maggioranza risikata centro-sx, ricatti, Governi instabili -> Nuova legge elettorale -> Elezioni 2001 -> Maggioranza bulgara centro-dx, 2 Governi stabili -> Nuova legge elettorale, la peggiore -> Elezioni 2006 -> Maggioranza super-risikata centro-sx, Governo alla nitroglicerina ->
Elezioni 2008 -> Maggioranza bulgara di centro-dx, Goveri stabili -> Nuova legge elettorale, possibilmente peggio di quella del 2006 -> Elezioni 2013 (ecc. ecc.)
A questo punto la cosa migliore è fatece vota' con questa (del 2006) legge elettorale. Spetta anche a me godere uno spettacolo di ricatti incrociati.
Una delle affermazioni più ricorrenti nei commenti di questo blog, soprattutto quando 'sparo cazzate' sulla sicurezza è:
Linux è open source e quindi più sicuro.
Da cui deduco che chi lo scrive intende che l'open source sia più sicuro. Ma è davvero così?
Circa un anno fa un esperto di sicurezza - tale Luca Ercoli - ha trovato una backdoor in un CMS open source. Già l'idea di una backdoor mi fa venire i brividi... in un prodotto open source mi fa leggermente balzare dalla sedia. Un brano significativo dell'intervista:
Punto Informatico: Cosa ti ha portato a scoprire questa falla in Etomite? Luca Ercoli: Stavo effettuando alcune operazioni sui server di SEEWEB e con i colleghi avevamo notato che c'era un notevole aumento dei tentativi di scalata dei privilegi. Così siamo andati ad analizzare i log effettuati dagli strumenti di registrazione, ma è stato solo analizzando con più precisione i log del server web, che abbiamo capito che i tentativi di intrusione venivano effettuati sfruttando una vulnerabilità del CMS Etomite.
La vulnerabilità non è stata scoperta leggendo il codice (sono dell'opinione che sono davvero pochissimi gli esseri umani in grado di farlo, tra cui includo Michael Howard), ma guardando i log. Poi, codice alla mano, si è arrivati alla root cause. Mmm. Lo stesso Luca però (a mio parere contraddicendosi) trae conclusioni diverse da quelle che trarrei io:
[...] programmi per Windows che vengono distribuiti in codice binario già pronto per essere utilizzato e la cui correttezza purtroppo non è verificabile come per i programmi distribuiti con licenza GPL
Apro una parentesi ed espongo la mia opinione (non so i fatti ma utilizzo il rasoio di Occam). Secondo me la backdoor è stata introdotta direttamente nel codice (la backdoor era codificata in Base64) in quanto è sopravissuta un paio di versioni: trovo alquanto singolare che non sia stato possibile risalire all'autore della backdoor. Le fonti ufficiali sono state molto vaghe a riguardo e mi pare di aver letto un paio di versioni discordanti in giro (hackeraggio del sito di dowload e sostituzione dei file; hackeraggio del CVS e checkin diretto della backdoor).
Luca dice che il codice binario non è [facilmente] verificabile (giusto); ma il fatto che il codice aperto sia verificabile non garantisce che sia verificato (come nel caso di Etomite). Lui stesso ha trovato la falla guardando i log e non il codice sorgente.
Secondo me - anzi - in alcuni casi l'open source viene usato per instillare un falso senso di sicurezza. Un altro esempio: questo articolo. L'autore dice:
So despite the conventional wisdom, the fact that many eyeballs are looking at a piece of software is not likely to make it more secure. It is likely, however, to make people believe that it is secure. The result is an open source community that is probably far too trusting when it comes to security.
[...]
The many eyeballs approach clearly failed for Mailman. And as open source programs are increasingly packaged and sold as products, users -- particularly those who are not familiar with the open source world -- may well assume that the vendor they are buying the product from has done some sort of security check on it.
Ma chi è l'autore? Un windows fanboy? Uno che scrive sw packettizzato closed source? No:
John Viega is a research associate at Reliable Software Technologies, in Sterling, Va. He holds an M.S. in Computer Science from the University of Virginia. He developed and maintains Mailman, the Gnu mailing list manager. His research interests include software assurance, programming languages, and object-oriented systems.
Nientepopodimenoche l'autore di mailman.
Nella trappola dell'open source è più sicuro ci sono cascato anche io quando - prima del SP2 di XP - stanco dei vari attacchi al browser (che poi ho scoperto molto spesso basati su componenti di terze parti tra cui in larga parte la JVM di Sun) ho installato anche sul mio PC firefox perché "più sicuro" (era la prima parte del loro motto: safer, faster, better(*)). Poi ho letto questo e mi è venuto seriamente da piangere: questa vulnerabilità è secondo me la peggiore di tutto il software umanamente scritto dopo Slammer e CodeRed (ma solamente perché per essere sfruttata bisogna cliccare un link). Peccato che ai quei tempi - se ben ricordo - in Firefox non c'era neanche l'autoupdate.
Tralascio poi il discorso dei cacciatori di zero-day vulnerabilities: col codice alla mano dovrebbero fare più in fretta.
Infine non ho dati su quale sia il processo di sviluppo di un sw opensource come Linux o Firefox; essendo su base volontaria non so quanto si possa cercare di forzare un processo di qualità come quello di Vista (tratto da qui):
In sintesi: l'opensource è dal punto di vista strettamente teorico più sicuro, a patto che chi lo _usa_ si guardi _tutto_ il codice per davvero. Io non ho ne il tempo, ne la voglia di guardare nel mio tempo libero il codice degli altri (soprattutto quando - come nel caso di Etomite - non servirebbe a niente perché la vulnerabilità è nascosta anche ad una lettura più approfondita). Voi?
-quack
(*) in realtà Firefox non è ne safer (Fonte), ne faster (Opera is the fastest Graphical Web Browser in Windows. - Fonte; Internet Explorer 7 is clearly faster than Firefox 2.x in 4 out of 7 measures of performance, stessa fonte). Per induzione 'induco' neanche better.
Mi voglio togliere un sassolino dalla scarpa una volta per tutte. Una delle diatribe dell'informatica è la questione "il sistema operativo XYZ" è più sicuro perché non ci sono virus (*). Stessa conclusione a cui è giunto l'esperto di trusted computing (**) di punto informatico.
Sostengo da sempre che tale affermazione è una cazzata e proverò a fare un esempio di quando statisticamente più sicuro non basta.
Attraversare la strada a Redmond è più sicuro che attraversare la strada a Bari (dato di fatto). Se questo fosse sufficiente, attraverserei la strada a Redmond anche bendato. È chiaro che se lo facessi in maniera consistente tutti i giorni mi porterebbero in manicomio.
Tempo fa avevo parlato di quante nuove tecnologie di sicurezza fossero presenti in Vista in confronto con quelle ad esempio di MacOS 10.4 (che a parere dell'esperto di cui sopra è più sicuro di Vista).
Accolgo la figura sopra, tratta da questo blog (a sua volta tratta da questo power point, ma anche questo non è male), con immenso gaudio perché riassume benissimo quanto avevo cercato di spiegare in precedenza a parole (x windrago: se allora mi hai fatto i complimenti, ora voglio la standing ovation ).
Morale della favola? Anche se Steve Jobs si sforza di mostrare che MacOS è sicuro in quanto basato su BSD, dallo schemino affianco si capisce quanto la realtà sia ben lontana dalla sua fantasia. Spaventosa la differenza tra OpenBSD e MacOS. Quanto siano importanti tali misure di sicurezza è dimostrato dal fatto che i tre worm più letali di tutti i tempi (Nimda, CodeRed e Slammer) non avrebbero funzionato su Vista soprattutto a causa dell'ASLR (EXE Randomization e DLL randomization di cui sopra). Per gli scettici basta dare un'occhiata alla pagina "the Month of Apple Bugs" per rendersi conto che la stragrande maggioranza dei bachi (tra cui il peggiore) è basata su Stack Overflow ed Apple ha ancora molto da lavorare. Mi auguro che la prossima versione del loro OS guadagni almeno qualche pallino blu o grigio piuttosto che sfoderare nuove features esistenti dai tempi di Windows XP (time machine, ma mi faccia il piacere... )
Ognuno tragga le sue considerazione dopo aver valutato attentamente i fatti.
Più esattamente, dal punto di vista della sicurezza, il nuovo Windows equivale alla situazione che si poteva ottenere con il vecchio Windows 95 dopo aver installato ZoneAlarm (il più diffuso firewall personale gratuito) e AdAware (il più diffuso sistema antiadware e antispyware gratuito).
Scusate la ripetizione, ma questa affermazione mi fa troppo ridere; meglio di una freddura di Woody Allen.
)
Attraversare la strada a Redmond è più sicuro che attraversare la strada a Bari (dato di fatto). Se questo fosse sufficiente, attraverserei la strada a Redmond anche bendato. È chiaro che se lo facessi in maniera consistente tutti i giorni mi porterebbero in manicomio.
).