La casa in campagna

Charlie Miller dixit:

Mac OS X is like living in a farmhouse in the country with no locks, and Windows is living in a house with bars on the windows in the bad part of town.

Per una volta non sono d’accordo, la metafora non è corretta. È una frase che Charlie ripete spesso ed è venuta alla ribalta in questi giorni. Perché detta così la casa in campagna sembrerebbe un’idea molto allettante di quanto lo sia in realtà che è ben più complessa della semplice metafora. E soprattutto non tiene conto di un semplice fatto: non si tratta del posto in cui viverci, ma soprattutto del modo in cui viverci. Se si decide di vivere in una casa col minimo indispensabile (qualche elettrodomestico, un cambio di biancheria, ecc.), dal punto di vista della sicurezza non ci sarebbe nessuna differenza; se invece l’intento di una casa è di viverci a medio-termine con tutto quello che ne CasaInCampagnaconsegue, si avrebbe bisogno di un posto sicuro in cui tenere roba di valore: qualche contante, un televisore decente, una botta di vita. La metafora inoltre non tiene conto di un altro elemento: Apple non vende una casa in campagna desolata; se fosse per Cupertino avremmo una casetta per ogni angolo a meno che non si considera il prezzo come forma di disincentivo.

Io avrei usato una metafora diversa e basata sull’appetibilità: Windows è come una Ferrari con tutti i sistemi di sicurezza pre-attivati; OSX è una Citroën Visa senza neanche una serratura funzionante. Molto più economicamente sensato cercare di impossessarsi di una Ferrari, tanto qualcuna con l’allarme spento, la porta aperta e le chiavi nel cruscotto la si trova sempre. All’equazione infatti va aggiunto il fatto che con la diffusione di Internet la percentuale di ganzi online è aumentata drasticamente ed in fin dei conti basta essere solo un po’ meno ganzo del vicino di casa per vivere tranquilli: la saggezza popolare dice che se non vedi altri polli intorno il pollo sei tu. Applicata alla metafora della casetta in campagna si potrebbe dedurre che chi sceglie questa soluzione non può essere mai certo di non fare la fine del pollo.

Il mondo purtroppo – per qualsiasi argomento – si divide in people who care e people who don’t care. Usare una metafora banale per cercare di convincere il secondo gruppo ad interessarsi alla questione è contro-producente. Se il dito del saggio indica la luna, lo sguardo del ganzo è fermo sul dito. E chi di metafora ferisce, di metafora morisce.

-quack

P.S.: una delle cose che mi avvilisce di più è che in Apple anche le regole più elementari di security testing sono palesemente ignorate. Bontà loro…

Potrebbero interessarti anche:
Commenti (167): [ Pagina 1 di 6  - più vecchi ]
138. Courtaud
mercoledì 24 marzo 2010 alle 4:51 PM - Opera 10.51 Windows 7
   

Il computer a differenza di altre cose si può resettare

Poi se uno sta solo con sua moglie il controllino può anche non farlo mai.

   
139. Gurzo2007
mercoledì 24 marzo 2010 alle 5:46 PM - IE 8.0 Windows XP
   

@emac700
appunto falle scoperte...e dato che win ha uno share di mercato di oltre il 90% è normale che ci sia più gente ed esperti che ne scoprano le falle...

ps bisogna anke poi vedere la gravità delle falle...e vedere se la falle sono del sistema in se o dei sw a corredo,dei driver/sw terze parti ecc...sparare solo numeri non porta da nessuna parte...

   
140. Scevra
mercoledì 24 marzo 2010 alle 6:04 PM - chrome 4.1.249.1036 Windows XP
   

Continui ad evitare di rispondere alla mia domanda... 

Allora inizio a chiederti scusa, magari mi hai frainteso, non volevo rispondere alla tua domanda (che tra l'altro non ho capito). La mia è solo una precisazione e si che mi sembra di averlo scritto.

Più di qualche volta mi è capitato di essere chiamato a sistemare il computer di amici (considerati utenti "normali") trovandoli impiantati da malware perchè si son trovati con la licenza scaduta dell'AV, che equivale a non averlo. Punto. Tutto qui.

   
141. Gurzo2007
mercoledì 24 marzo 2010 alle 6:17 PM - IE 8.0 Windows XP
   

@emac700
ah che poi le falle( o meglio i secunia advisories) di mac os siano tutte patchate dove lo hai letto? di solito per ogni programma c'è scritto la percentuale di unpatched...per FF3.6.2 per esempio è 0%, per mac os ciò non è riporato

   
142. il nonno (is back!)
mercoledì 24 marzo 2010 alle 7:21 PM - IE 8.0 Windows 7
   

Mi pare quello che diceva "io pratico l'ammore libbero e senza guanto tanto ogni 6 mesi faccio un controllino per l'aids".

Divertente ma non calzante. Innanzi tutto devo ancora trovare un "virus" che non sia un rootkit (dai quali sono immune) che sia in grado di installarsi sul mio sistema senza che io me ne accorga. Cosi' tanto per dire... il primo virus che presi in vita mia fu nVir su Mac OS e lo individua e lo disassemblai e lo resi inerme a colpi di resedit!

Quindi si, ho la certezza matematica che nessun malware si sia installato sulla mia macchina... del resto per lavoro ho server che stanno da anni su internet e ne ho viste di tutti i colori... un filino "schillato" penso di esserlo per poter fare questo tipo di affermazioni

Sei sicuro di essere al sicuro nel momento in cui fai il controllo "ammesso" che l'antivirus riesca a trovare davvero tutto (su quello ci spero).

Quell'ammesso si applicherebbe ugualmente al caso di antivirus perennemente attivo... e si applicherebbe anche al Mac... sicuro che il tuo Mac non sia infestato da malware? Che strumenti hai per poter dire il contrario? Solo la statistica?

Nonno, sul Mac ce l'hai l'antivirus? Se si, quale?

No, ma l'uso che faccio del Mac e' tale per cui non ne ho bisogno, inoltre lo reinstallo da zero spesso, dato che la cosa gli fa molto bene

   
143. floo
mercoledì 24 marzo 2010 alle 7:53 PM - firefox 20100315 Windows 7
   

ma non è che da piccoli eravate allergici alle mele

Spiacente deluderti, da piccolo ero un fanboy Apple. Ho semplicemente aperto gli occhi e smesso di venerare qualsiasi azienda.

Come lo sai di non avere un virus se non hai l'antivirus?

Ci sono le scansioni online. Quando non avevo l'antivirus, usavo quella di Kaspersky.

   
144. il nonno (is back!)
mercoledì 24 marzo 2010 alle 7:56 PM - IE 8.0 Windows 7
   

Spiacente deluderti, da piccolo ero un fanboy Apple

Io ho persino lavorato per Apple Italia... e proprio perche' conosco la mela dal di dentro che penso certe cose...

   
145. floo
mercoledì 24 marzo 2010 alle 7:58 PM - firefox 20100315 Windows 7
   

Io ho persino lavorato per Apple Italia...

Wow, una testimonianza diretta, quindi

   
146. il nonno (is back!)
giovedì 25 marzo 2010 alle 12:17 AM - IE 8.0 Windows 7
   

Pare che la casa in campagna sia stata appena razziata dai banditi! LOL!

Ebbravo Vincenzo Iozzo

   
147. Paperino
giovedì 25 marzo 2010 alle 12:25 AM - firefox 3.6.2 Windows 7
   

Purtroppo ZDI ha smesso di rendere giustizia a come stanno le cose: http://twitter.com/thezdi/statuses/11003801960

Sarebbe più interessante capire quanto ci hanno messo a trovarle le vulnerabilità

   
148. Courtaud
giovedì 25 marzo 2010 alle 12:44 AM - Opera 10.51 Windows 7
   

Non ho mica capito il criterio. Capita quando si è stupidi

  • Il primo giorno Safari 4 su Snow Leopard, IE 8 Firefox e Chrome su Seven
  • Il secondo giorno Safari 4 sempre su Snow Leopard, IE 7, Firefox e Chrome su Vista
  • Il terzo giorno Safari 4 sempre su Snow Leopard, IE 7, firefox e Chrome su XP

E' una idea mia o qualcuno dovrebbe presentarsi sempre al meglio mentre agli altri cambiano il cavallo in corsa?

...e che ne fu di Opera...

 

   
149. il nonno (is back!)
giovedì 25 marzo 2010 alle 12:47 AM - IE 8.0 Windows 7
   

Bucato anche Firefox... zio crash... e' un'ecatombe!

   
150. Courtaud
giovedì 25 marzo 2010 alle 12:49 AM - Opera 10.51 Windows 7
   

dvlabs.tippingpoint.com/.../pwn2own-2010

Qui anche commenti interessanti. Pare che non abbiano incluso WinMo perché 'non interessa'. Perché non interessi Opera, che su smatphone è probabilmente il browser più diffuso, non si sa. Lost in the jungle tutto il mondo Linux, ovviamente. Anche quello, 'non interessa'.

Da dove seguite voi?

   
151. il nonno (is back!)
giovedì 25 marzo 2010 alle 12:58 AM - IE 8.0 Windows 7
   

Da dove seguite voi?

twitter

   
152. Courtaud
giovedì 25 marzo 2010 alle 1:01 AM - Opera 10.51 Windows 7
   

Da dove seguo io pare siano caduti tutti i browser desktop e l'iPhone. Chi resta?

   
153. Paperino
giovedì 25 marzo 2010 alle 1:02 AM - firefox 3.6.2 Windows 7
   

http://twitter.com/thezdi (via Dovella, il super inforNato).

Se non sbaglio negli anni passati ci fu poco interesse in Opera/Linux immagino che sia stata la ragione per escluderli definitivamente dal concorso. Infatti i titoli erano del tipo "Linux non è stato sconfitto, ecc. ecc.". Più leggo le regole di questo concorso più mi sembra un'idiozia con il risultato determinato dall'ordine di sorteggio. Se Miller non fosse stato il primo, probabilmente ce l'avrebbe fatta qualcun altro. Anche la gravità dell'exploit non è molto presa in considerazione: eseguire codice fuori da una sandbox è molto più grave che avere accesso in lettura ai file. Con il primo tipo di exploit si può tirare su una botnet.

   
154. Courtaud
giovedì 25 marzo 2010 alle 1:06 AM - Opera 10.51 Windows 7
   

E col secondo ricattare la vittima tutta la vita Almeno in un telefono che non cancella i messaggi cancellati...

Comunque anche IE su Seven 64 bit è andato giù bene...

   
155. sile
giovedì 25 marzo 2010 alle 11:56 AM - Opera 10.51 Windows XP
   

Ho letto su un sito che " Vreugdenhil ha sfruttato due vulnerabilità in IE8 con "un attacco a quattro parti che ha richiesto di bypassare la tecnologia ASLR (Address Space Layout Randomization) ed evitare la DEP (Data Execution Prevention)" ed anche "Nils ha sfruttato una vulnerabilità corruption memory e ha anch'esso aggirato ASLR e DEP per via della "debole" implementazione nel browser Mozilla"   Ma non sono tecnologie integrate in windows??

   
156. bahaha
giovedì 25 marzo 2010 alle 12:18 PM - firefox 3.6 Linux
   

Su Vista e Win7 64bit non ci sono rootkit rispetto quella sporca decina per osx e Linux solo perche' Win a 64 e' meno diffuso della meno diffusa distribuzione Linux.

   
157. floo
giovedì 25 marzo 2010 alle 2:33 PM - firefox 20100315 Windows 7
   

Internet Explorer, Firefox, Safari.

La vergogna fatta browser a livello di security. E tra i tre va detto che IE è potenzialmente il più sicuro. Immaginatevi in che situazione siamo, dunque.

Spero che con IE 9 e Firefox 4 si diano una sveglia. Per Safari non ci spero, considerata l'attitudine di Apple alla sicurezza.

Ma non sono tecnologie integrate in windows??

Sì, ma devono anche essere gestite dai software terzi. E' come se Windows dicesse al programma: "Qui ci sono DEP e ASLR, io ti fornisco una protezione di base, ma tu devi saperli sfruttare per completare la protezione." Per quanto riguarda IE, ci dev'essere qualche problema di comunicazione tra i team. Per quanto riguarda Firefox, è già da 2 versioni che è in calando di qualità: sbornia da successo?

Su Vista e Win7 64bit non ci sono rootkit rispetto quella sporca decina per osx e Linux solo perche' Win a 64 e' meno diffuso della meno diffusa distribuzione Linux.

Falsissimo. Anzi, con l'arrivo di 7 i sistemi a 64-bit stanno crescendo con un buon passo. Probabilmente ci sarà da aspettarsi anche lì l'arrivo di malware apposito, tuttavia ci sono delle tecnologie presenti solo nel kernel NT a 64-bit che rendono la cosa più difficile rispetto alla x86. Fermo restando che se un hacker/cracker è davvero bravo e professionista, e se magari c'è pure qualche programma terzo che è bacato e facilita le cose, non c'è protezione che possa durare all'infinito.

   
158. Daniele
giovedì 25 marzo 2010 alle 2:45 PM - firefox 3.5.8 Windows 7
   

Su Vista e Win7 64bit non ci sono rootkit rispetto quella sporca decina per osx e Linux solo perche' Win a 64 e' meno diffuso della meno diffusa distribuzione Linux.

Ragazzi sono arrivati i troll

   
159. floo
giovedì 25 marzo 2010 alle 2:59 PM - firefox 20100315 Windows 7
   

Ragazzi sono arrivati i troll

No, effettivamente fino a non molto tempo fa la situazione era come la descriveva. Le versioni a 64-bit di Windows erano meno diffuse anche di Ubuntu. Da almeno 1 anno a questa parte però stanno iniziando a prendersi una fetta di mercato più ampia, complice la crescente preinstallazione sui PC. Probabilmente non ha semplicemente seguito gli sviluppi più recenti di Windows. Certo, ci vorranno anni affinché le x64 arrivino ad una diffusione pari a quella delle x86, e secondo me infatti per tale motivo nemmeno Windows 8 potrà essere 64-bit only.

   
160. Courtaud
giovedì 25 marzo 2010 alle 3:40 PM - Opera 10.51 Windows 7
   

Che fine hanno fatto Nokia e Blackberry? Non erano in gara anche loro?

   
161. floo
giovedì 25 marzo 2010 alle 3:49 PM - firefox 20100315 Windows 7
   

Non mi pareva, non ho sentito nulla.

Ad ogni modo, non ho ben capito la storia dell'attacco a Firefox. Hanno usato calc.exe per innescare il bypass di DEP e ASLR, colpendo poi Firefox. Chi l'ha fatto ha detto che qualsiasi programma sarebbe però andato bene. A questo punto mi chiedo: chi è davvero quello buggato? Windows o Firefox? O entrambi? Come funziona la storia? Per favore, non troppi tecnicismi, grazie.

   
162. floo
giovedì 25 marzo 2010 alle 4:02 PM - firefox 20100315 Windows 7
   

Per quanto riguarda Chrome, ciò che ha detto Miller è davvero incredibile.

Il browser ha dei bug, sono noti, ma NON C'E' MODO di sfruttarli! Chrome va praticamente in una sandbox e sfrutta al meglio le protezioni di Windows, più di quanto non faccia IE.

Non c'è che dire. Sarà pure spiona, ma Google ha fatto un lavoro magistrale per quanto riguarda la sicurezza del suo browser.

Per quanto riguarda l'altro browser, continuo a pensare che ci siano mancanze di comunicazione tra i team, in questo caso quello di Windows e quello di IE. Spero che per IE 9 comunichino di più e applichino concetti alla Chrome.

   
163. il nonno (is back!)
giovedì 25 marzo 2010 alle 4:07 PM - IE 8.0 Windows 7
   

Su Vista e Win7 64bit non ci sono rootkit rispetto quella sporca decina per osx e Linux solo perche' Win a 64 e' meno diffuso della meno diffusa distribuzione Linux.

Su Steam, Win 7 x64 ha uno share doppio d Win7 x86... e basta andare in un qualunque centro commerciale per vedere che la x64 ha presenza almeno uguale alla x86.

   
164. floo
giovedì 25 marzo 2010 alle 4:17 PM - firefox 20100315 Windows 7
   

5 minuti, solo 5 vedrai!

E Safari e OS X tu bucherai!

   
165. NickelGreen
venerdì 26 marzo 2010 alle 11:13 PM - IE 8.0 Windows 7
   

Dunque... mumble mumble... percezioni e realtà.

"L'aereo è il mezzo più sicuro che esiste."
Questa affermazione è vera. Però è un fatto che gli aerei cadono, facendo spesso e volentieri parecchi morti in un colpo solo e spesso e volentieri ci vogliono anni di indagini per capire le complessissime dinamiche che portano sempre inesorabilmente, e lo si evince ad analisi concluse, al verificarsi dell'incidente (per chi volesse capire cosa sto dicendo e avesse curiosità e pazienza di vedersi tutti i video, cerchi, come esempio, su youtube, il documentario sull'incidente del DC-10 dell'American Airways, flight 191).
Non so se voi vi siete mai interessati/occupati di aviazione civile e di incidenti ma lo studio dei sistemi complessi porta necessariamente alla conclusione che è quasi impossibile prevenire incidenti/falle ma che i medesimi aiutano a prevenirne di simili.

Come mai ho fatto quest'esempio?
Perchè la progettazione e la costruzione di un aereo di linea è un'attività estremamente lunga e complessa che comporta parecchie discipline che si intersecano l'una con l'altra. La progettazione del Boeing 787 è cominciata circa 10 anni fa e solo ora si assiste ai primi voli di test dei due unici esemplari costruiti (di cui uno particolare per la All Nippon Airlines).
Nella progettazione di questi velivoli, ci si è messo tutto quello che si sapeva e che si sa anche dalle esperienze fallimentari del passato, step dopo step. E tuttavia non è detto che, in futuro (si spera di no ma la statistica forse ha qualcosa da ridire), non ci saranno incidenti seri con questo nuovo aereo di linea.

Allo stesso modo si può dire dei sistemi operativi.
Chi è spaventato dagli incidenti e ritiene, a torto, che volare non sia sicuro, non prenderà in considerazione nè le spiegazioni fisiche (ad esempio: l'aereo, aumentando la velocità, viene sostenuto dall'aria che diventa "dura" come il tavolo su cui sono posati i vostri pc, cosa empiricamente verificabile mettendo fuori una mano dal finestrino di un'auto mentre si accelera) e nemmeno quelle statistiche.
Cosa significa questo?
Questo significa che l'aereo è progettato per resistere a situazioni di sollecitazioni estreme, a perdite di un motore su 2, a perdita di pezzi, a trancio di cavi idraulici con entrata in funzione degli ausiliari, di sistemi di frenata ridonanti e sicure sui carrelli e via dicendo (e anche alla manomissione per varie cause dei sistemi elettronici che regolano ora ormai tutte le parti di avionica). Ciò nonostante gli incidenti succedono.

Non vi ricorda nulla quest'analogia?
E' come se, nel parallelo dei pc, noi avessimo dei mezzi che non hanno tutti questi sistemi di sicurezza ridondanti e ci si affidasse solo alla manutenzione ordinaria e personalizzata vista la scarsità degli esemplari. Una follia, vero?
Eppure vedo che si sta qui a discutere, dissertare.

Qui va semplicemente distaccata la passione personale dal fatto.
Windows, ormai, ha talmente tanti sistemi ridondanti che ricade nella situazione che ho esposto in ambito di aviazione.
Ma voi non pensate che se ci fosse un Charlie Miller dell'aviazione non sarebbe in grado di far cadere lo stesso il 787 in un volo di test? Certo che si.
Detto questo però, mi sento di poter dire che il fatto che si facciano questi contest che han più valore di immagine che di tecnica, sia una cosa molto utile perchè consente di vedere concretamente quanto regge la "cassaforte" che si è pensata e, se non regge, come aggirare il problema per renderla di nuovo sicura.
Tutto qui.
Chiaro che chi ha sempre deriso UN sistema operativo (in maniera mai circostanziata ma sempre e solo per via generale e approssimata) millantando la sicurezza di altri dovrebbe prendersi 5 minuti di pausa da propagandopoli, respirare e chiedersi cosa non vada in tutto questo e se non sta facendo, come dicono a roma, una figura cacina.
Non è una gara ma è semplicemente evoluzione.

Quindi, per riprendere il parallelo aereo, l'abbondanza di incidenti ha creato maggiore e migliore progettazione e più consapevolezza di utilizzo, altrove, "nulla" ha creato "nulla", e ormai si vede! E' così difficile rendersene conto?

   
166. NickelGreen
lunedì 29 marzo 2010 alle 12:18 PM - IE 8.0 Windows 7
   

Dopo di me, il deserto?

   
167. Snake
lunedì 29 marzo 2010 alle 2:42 PM - firefox 3.6.2 Windows 7
   

Dopo di me, il deserto?

Si, hai fatto cadere l'aereo

   
[ Pagina 1 di 6  - più vecchi ]
Lascia un commento:
Commento: (clicca su questo link per gli smiley supportati; regole di ingaggio per i commenti)
(opzionale, per il Gravatar)