Mitighescion
Ovvero per quale motivo al mondo il governo francese e quello tedesco hanno sconsigliato l’uso di Internet Explorer.
È semplice: il pianeta è pieno di malinformatici. Gente che, non conoscendo la differenza tra mitigazione ed eliminazione, pontifica a destra e sinistra su quale browser usare, quale sistema operativo usare, che marca di PC comprare.
La differenza per gentilezza la spiego io: si chiama defense in depth e parte dal presupposto che rilasciare prodotti perfetti è impossibile. Se il prodotto è “pericoloso” come lo è appunto un browser, significa perseguire una politica di limitazione del danno. E cioè se una pagina cattiva riesce a causare un odioso buffer over/underrun l’unica applicazione a sopperire è il browser stesso.
Nel caso del baco di cui si è tanto parlato in questi giorni è la stessa differenza che c’è tra un baco sfruttabile facilmente ed uno che potrebbe essere limitato solo al mondo teorico.
Ovviamente è altrettanto chiaro che se una persona si ostina ad usare e consigliare Mac perché è sicuro non può sapere né capire quanto l’effetto di qualche mitighescion può essere fondamentale quando OSX è l’unico sistema operativo al mondo che scompatta ed esegue automaticamente file zippati.
Ma questa è la vie nell’era dei malinformatici.
-quack
P.S. Google non sta raccontando tutto quello che sa. Ed il mondo dovrebbe aprirsi al principio di reciprocità: se il governo cinese usa malware per rubare dati, tutto il software prodotto in occidente ed esportato in Cina dovrebbe essere dotato di backdoor. Così la vedo io….
(manco a farlo apposta ecco un baco spettacolare; venghino siòre e siòri)
Potrebbero interessarti anche:
- Incominciamoooooooo (3.14 AM)
- Le migliori di Berlusconi: nono posto
- Sei sicuro di avere il controllo del tuo PC/OS? parte 3
- Ask The CEO
- Rendering
Pubblicato martedì 19 gennaio 2010 alle 5:57 AM
- Archiviato in:
Cazzate, Security.
Condividi su:
Facebook,
Wikio,
Segnalo.
martedì 19 gennaio 2010 alle 9:49 AM -
Il bug potenzialmente ha portate anche catastrofiche.
Ma per fortuna di tutti, eccetto che si usi quel cesso di IE6, da XP SP3 in poi l'exploit non va.
Se lo rifaranno in futuro aggirando il DEP non so, ma probabilmente Microsoft avrà già fixato.
Cosa, cosa?! Che significa sta storia?
Permalink
martedì 19 gennaio 2010 alle 9:56 AM -
Dimenticavo, grazie della falla di OS X, il blog di iWorm è molto felice di ospitarla
Permalink
martedì 19 gennaio 2010 alle 10:26 AM -
Cosa, cosa?! Che significa sta storia?
Su safari mi pare, se pigi un url che punta ad un zip, molto diligentemente (per risparmiarti ulteriori click, quindi evitare di consumare il tuo preziosissimo mouse
) scarica il zip, lo scompatta e se trova roba eseguibile, la esegue (dmg, iso, ecc).
Quando il Papero scoprì il bug dell'implementazione UDF, e mise la iso in un zip, bastava un solo click per mandare in kernel panic OSX
Permalink
martedì 19 gennaio 2010 alle 10:49 AM -
Che teeeenero!
Mazza che falla di sicurezza enorme (ed è enorme, perché anche se per ora ci sono poche minacce per OS X, una cosa del genere significa proprio non avere il culto della sicurezza)... Sento che a settembre mi divertirò un mondo...
Permalink
martedì 19 gennaio 2010 alle 12:01 PM -
@Paperino
Bellissimo l'articolo sul bug di OSX... non ci ho capito molto ma pare abbastanza "figo"... devo studiarlo x benino
Permalink
martedì 19 gennaio 2010 alle 12:39 PM -
Per sfruttare il baco su IE deve esserci l'Active Scripting attivo giusto?
Se e' cosi' come funziona l'exploit? La pagina web che si visita deve avere un oggetto ActiveX? Se cosi' fosse com'e' che Google avrebbe identificato l'attacco a specifiche mailbox di Gmail? Contenevano email con link a siti esterni o c'e' una bella falla in Gmail che permette di inviare active scripting al client semplicemente aprendo una email?
Permalink
martedì 19 gennaio 2010 alle 1:16 PM -
[Momento di Acido] Chi usa IE6 merita la "distruzione" del proprio sistema. Amen. [/Momento di Acido]
Questione che si può aggirare facilmente, dipende da dove arrivano questi file zip. Per quanto riguarda il link al baco... beh, vuoi farmi tornare a tutti costi a Windows?
Permalink
martedì 19 gennaio 2010 alle 1:26 PM -
Si aggira con il buonsenso... E con un antimalware.
Io sarei a favore di mettere un antivirus in esecuzione su OS X. Non la vedrei come una vergogna, piuttosto come una sicurezza aggiuntiva. Vista e considerata, appunto, questa "security flaw".
Permalink
martedì 19 gennaio 2010 alle 1:39 PM -
Vik, OS X e' un colabrodo, basta confrontare i dati di Secunia per capirlo, quindi evita di fare a gara a chi ce l'ha piu' lungo che ne esci con le ossa rotte
http://secunia.com/advisories/product/96/
Permalink
martedì 19 gennaio 2010 alle 2:38 PM -
@Snake:
A me scarica il file zip, ma non lo scompatta e di conseguenza non apre il dmg. Sarà che ho disabilitato l'apposita opzione?
Si, poi possiamo discutere sul fatto che questa opzione sia attiva di default o meno.
P.S.: Notare che l'attributo Safe è tra virgolette...
Permalink
martedì 19 gennaio 2010 alle 3:09 PM -
Già cambia un po' il discorso, è comunque un atteggiamento modificabile.
Una scelta sbagliatissima, come lo sono, d'altra parte, l'UAC medio-alto di default e all'utente amministratore in fase di setup di Windows. Ognuno ha i suoi pianti.
Permalink
martedì 19 gennaio 2010 alle 5:01 PM -
@il nonno:
il baco è in mshtml, quindi proprio nel core di IE e l'unica protezione funzionante è il DEP attivo su IE8.
@Vik:
non è questione a chi ce l'ha più lungo. L'attacco a Google è stato fatto con un "drive by": clicca questo link e vedrai le conigliette nude danzanti. L'atteggiamento di sconsigliare un browser per un altro, un SO per un altro, ecc. non fa altro che creare un senso di falsa sicurezza. Ci sono attacchi "drive by" sofisticati che sono indipendenti dal browser: Flash, PDF, ecc.
Quando la smetteremo di malinformare la gente sarà troppo tardi, visto che FF3.x non è ancora dotato di misure sofisticate come Chrome/IE8 appunto. Sarà un caso che il governo americano, dopo aver fatto la stessa cosa di quello tedesco/francese, è tornato sui propri passi e impone l'uso di IE8? (fonte: un mio amico che lavora per lo stato).
Permalink
martedì 19 gennaio 2010 alle 7:31 PM -
Eh, ma l'hai disattivato tu di tua spontanea volontà, conoscendo l'esistenza di tale comportamento e l'opzione ad esso associata, ma il n00b di turno?
Intanto è attivo per default, quindi in ogni macchina venduta con su OSX, il suddetto n00b si sente "irragionevolmente" al sicuro senza conoscere una feature potenzialmente dannosa come questa.
Permalink
martedì 19 gennaio 2010 alle 10:27 PM -
Ho testato il bug di osx su snow leopard 10.6.2 e posso dire dopo un pò di debug che non è affetto!
Comunque per quando uno può essere di parte, internet explorer è sempre stato il browser meno sicuro in assoluto, forse per quel brutto vizio degli activeX.... spero vivamente che continuino a migliorarlo, già ie8 è stato una vera rivoluzione rispetto al passato!
Permalink
martedì 19 gennaio 2010 alle 10:34 PM -
A ragazzi sapete se il pulmino è già passato o meno?
Permalink
martedì 19 gennaio 2010 alle 10:36 PM -
Grazie, usi Chrome
Comunque non è un bug, piuttosto un comportamento errato di default.
A parte gli ActiveX, che ormai non sono più eseguiti automaticamente e grazie alla modalità protetta vengono mitigati, qui c'è un dato piuttosto interessante:
www.tomshw.it/.../1.html
Ora, ognuno potrà tirare acqua al suo mulino, ma mi sembra che IE, per quanto possa non essere all'altezza dei concorrenti per altri settori, in sicurezza non se la cava affatto male.
Permalink
martedì 19 gennaio 2010 alle 11:17 PM -
Io mi devo anche sorbire tutti i miei saccenti colleghi che parlano di Mac OSX senza averlo mai usato come prima parlavano di Linux senza averlo mai installato.
Gli stessi a cui ho dovuto forzare l'aggiornamento delle patch...
Non è fatica lo chiacchiara' si dice dalle mie parti..
Permalink
martedì 19 gennaio 2010 alle 11:34 PM -
@Thebitstreamer
LOOOL
Permalink
mercoledì 20 gennaio 2010 alle 7:29 PM -
@Snake:
A dire il vero l'ho disattivato perché è piuttosto fastidioso. Spesso e volentieri scarico tanti files di seguito che non voglio aprire subito, ma in seguito. Con quell'opzione attiva si aprono tutti.
Permalink
mercoledì 20 gennaio 2010 alle 7:41 PM -
Fatto bene.
Permalink
mercoledì 20 gennaio 2010 alle 7:59 PM -
Quindi te fai una cosa che l'Unica Mente Stiiv non ha previsto ed approvato ?
Osi criticare pure il Suo operato ?
nooooo.... i droni borg stanno arrivando per te...
Permalink
mercoledì 20 gennaio 2010 alle 8:00 PM -
Uhh caspio ho appena salvato il mio picci da un terribile bug zampettante che cercava di entrare dalla bocchetta del dissipatore
Permalink
mercoledì 20 gennaio 2010 alle 10:22 PM -
@Paperino
Sono d'accordo su diverse delle cose che dici, però dai, di esempi di insicurezza spacciata per comodità ne avevi tanti anche senza scomodare OSX.
Tipo automount (e autorun) dei dispositivi rimovibili, settaggi di default di AUC, uso dell'account di Administrator per il login (anche sui server) ecc ecc.
Sono cose che si imparano con il tempo.
Una volta che ti bucano, diventi prudente con i settaggi di default e insegni ai tuoi utenti che è più conveniente alla lunga fare la fatica di aprire la serratura della porta ogni volta che si entra che non lasciare la porta aperta.
@Thebitstreamer
Non capisco onestamente cosa c'entri con il post, non si parla di sistemi operativi.
Detto questo, i browser sono oggetti complessi perciò bug come questi vengono trovati abbastanza spesso in molti browser, nessuno escluso.
Solo che non sempre ci sono exploit così clamorosi.
E il security advisor di MS è sembrato ad alcuni un po' troppo minimizzante. "Ci risultano solo limitati attacchi contro IE6" è un po' riduttivo visto la presenza di un exploit e i soggetti colpiti.
Non mi pare comunque una tragedia usare un altro browser fino a quando questo bug non sarà sistemato. Stessa regola di prudenza che applicherei a tutti.
P.S. Valutare la sicurezza di un browser dal numero di bug rilevati e corretti non è una metrica troppo buona. Se ne ha tanti, può voler dire che ci sono molti bug o che gli sviluppatori fanno bene i test.
Più interessante è vedere quanti ce ne sono non patchati, se il produttore è sincero o ammette problemi solo quando è costretto o quanto velocemente reagisce alle segnalazioni.
Permalink
mercoledì 20 gennaio 2010 alle 10:37 PM -
@Gabriele:
automount di un dispositivo USB (e quindi con accesso fisico) ed automount/auto-unzip di un'immagine scaricata da Internet sono due cose diverse, mi sembra estremamente chiaro.
Il discorso invece semmai è sui "falsi" predicatori, quelli che usano Mac perché è più sicuro. Un attacco drive-by lo è indipendentemente dal browser o dalla piattaforma: dire cambiate browser e cliccate quello che volete è un messaggio sbagliato. Il messaggio corretto è fate attenzione a cosa cliccate ed usate quello che volete. Il primo messaggio è ancora più sbagliato se il prodotto che consiglia in sostituzione è ancora più suscettibile ai click maldestri (OSX in primis).
Per questo parlavo di mala informazione.
Piuttosto, qualche commento sul principio di reciprocità? Altro esempio di come applicarlo:
Se un cittadino occidentale negli Emirati Arabi può essere arrestato per qualche microgrammo di seme di papavero ad uso alimentare ritrovato sui suoi abiti (fonte: www.timesonline.co.uk/.../article3333905.ece ), non sarebbe giusto mettere qualche legge idiota che punisca in maniera aleatoria i cittadini di quel paese in visita dai nostri?
Permalink
mercoledì 20 gennaio 2010 alle 11:01 PM -
Hai fatto bene a non usare Ubuntu per questo messaggio, credimi.
Altrimenti sarebbe stato meglio non scriverlo, visto che proprio Ubuntu ha comportamenti piuttosto simili
Alla fine il nocciolo della questione è che se c'è il DEP attivo e c'è un browser da IE 7 in poi, l'exploit in circolazione va a farsi friggere. E' riduttivo in termini di portata, perché IE 6 è ancora troppo diffuso. Non in termini di tecnologia, perché può essere evitato.
Esce domani sera. Fine della storia.
Permalink
giovedì 21 gennaio 2010 alle 12:10 AM -
@floo
Lo user agent propagato da Google Chrome non aiuta, ma in effetti sto usando Ubuntu, anzi Kubuntu.
E, no, è il DE che decide. Gnome o KDE o quello che usi. E sono sempre configurabili e possibilmente con dei valori di default ragionevolmente sicuri.
L'automount è un discorso. L'autorun di un eseguibile sul supporto un altro. Anche se, va detto, se un file lo scarichi normalmente lo vuoi aprire.
Comunque era un esempio di compromesso comodità/sicurezza spesso risolto a favore della prima.
Ed è un atteggiamento pericoloso specie se abbinato al marketing martellante "il nostro è un prodotto sicuro(tm)", "la versione più sicura mai realizzata(tm)", "ancora più sicuro della versione precedente (tm)".
Glielo spieghi male al cliente che sono frasi quasi vere, ma che lui è incappato nel quasi. Rischi, come appunto è successo con IE, che la gente abbia reazioni irrazionali "da innamorato tradito".
Definitivamente la complessità non si sposa bene con il marketing.
@Paperino
Sono d'accordo.
Che cosa vuoi dire esattamente?
Permalink
giovedì 21 gennaio 2010 alle 12:32 AM -
Son sempre i cinesi ad attaccare (informaticamente) gli occidentali. È un paradosso dovuto alle differenze di cultura/legislazione/paese. Se per la Cina questo tipo di attacco è per lo meno tollerato, mica si offendono se sono lo a subirlo, giusto?
Permalink
giovedì 21 gennaio 2010 alle 2:55 AM -
Io me ne ricordo una spettacolare.
Font: Myriad Pro
Dimensione: circa 90 px
Colori: sfumata di grigini
Testo: 64 Bit
Quando ci penso rido ancora adesso
Permalink
giovedì 21 gennaio 2010 alle 11:57 AM -
Nel mio caso, parlavo di Ubuntu, 8.10 e 9.04, con GNOME. Al contrario delle altre distribuzioni provate, non c'era il root, l'elevazione di privilegi avveniva mettendo la mia password utente. Il che non mi pare una grandissima sicurezza. Certo, che sia un poco meglio dell'UAC che manco la chiede in presenza di account amministratore, son d'accordo.
Parlavo dell'automount, infatti. Anche Linux lo fa, e non è peccato mortale. L'autorun non lo fa, nulla da dire. Ma anche Windows, da XP in poi, l'autorun lo fa solo ad esecuzione dell'utente, e da 7 (e anche su Vista SP2 con apposito aggiornamento) in poi l'autorun è disabilitato di default sulle chiavette USB.
Vero, infatti mi imbestialisce il fatto che per quattro che non capivano l'utilità dell'UAC, l'hanno presa in quel posto tutti. Fortunatamente, almeno l'hanno tenuto a livelli, cosicché chi non ci tiene a far parte di una Botnet lo alza al massimo.
Oh, beh, se l'amore era IE6, poveri loro...
Permalink