Info:

twitter

Ultimi commenti: Comment feed

Tags:

Sponsor:

Archivio 2018:

Gen

Archivio 2017:

Dic Nov Ott Mag Apr Mar Feb Gen

Archivio 2016:

Dic Nov Ott Ago Mag Mar Feb Gen

Archivio 2015:

Nov Ott Set Mar Gen

Archivio 2014:

Dic Nov Ott Set Lug Giu Mag Apr Gen

Archivio 2013:

Dic Nov Set Ago Lug Giu Mag Apr Feb Gen

Archivio 2012:

Dic Nov Ott Set Ago Giu Mag Apr Mar Feb Gen

Archivio 2011:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2010:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2009:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2008:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2007:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2006:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Security by 'open source'

Una delle affermazioni più ricorrenti nei commenti di questo blog, soprattutto quando 'sparo cazzate' sulla sicurezza è:

Linux è open source e quindi più sicuro.

Da cui deduco che chi lo scrive intende che l'open source sia più sicuro. Ma è davvero così?

Circa un anno fa un esperto di sicurezza - tale Luca Ercoli - ha trovato una backdoor in un CMS open source. Già l'idea di una backdoor mi fa venire i brividi... in un prodotto open source mi fa leggermente balzare dalla sedia. Un brano significativo dell'intervista:

Punto Informatico: Cosa ti ha portato a scoprire questa falla in Etomite?
Luca Ercoli: Stavo effettuando alcune operazioni sui server di SEEWEB e con i colleghi avevamo notato che c'era un notevole aumento dei tentativi di scalata dei privilegi. Così siamo andati ad analizzare i log effettuati dagli strumenti di registrazione, ma è stato solo analizzando con più precisione i log del server web, che abbiamo capito che i tentativi di intrusione venivano effettuati sfruttando una vulnerabilità del CMS Etomite.

La vulnerabilità non è stata scoperta leggendo il codice (sono dell'opinione che sono davvero pochissimi gli esseri umani in grado di farlo, tra cui includo Michael Howard), ma guardando i log. Poi, codice alla mano, si è arrivati alla root cause. Mmm. Lo stesso Luca però (a mio parere contraddicendosi) trae conclusioni diverse da quelle che trarrei io:

[...] programmi per Windows che vengono distribuiti in codice binario già pronto per essere utilizzato e la cui correttezza purtroppo non è verificabile come per i programmi distribuiti con licenza GPL

Apro una parentesi ed espongo la mia opinione (non so i fatti ma utilizzo il rasoio di Occam). Secondo me la backdoor è stata introdotta direttamente nel codice (la backdoor era codificata in Base64) in quanto è sopravissuta un paio di versioni: trovo alquanto singolare che non sia stato possibile risalire all'autore della backdoor. Le fonti ufficiali sono state molto vaghe a riguardo e mi pare di aver letto un paio di versioni discordanti in giro (hackeraggio del sito di dowload e sostituzione dei file; hackeraggio del CVS e checkin diretto della backdoor).

Luca dice che il codice binario non è [facilmente] verificabile (giusto); ma il fatto che il codice aperto sia verificabile non garantisce che sia verificato (come nel caso di Etomite). Lui stesso ha trovato la falla guardando i log e non il codice sorgente.

Secondo me - anzi - in alcuni casi l'open source viene usato per instillare un falso senso di sicurezza. Un altro esempio: questo articolo. L'autore dice:

So despite the conventional wisdom, the fact that many eyeballs are looking at a piece of software is not likely to make it more secure. It is likely, however, to make people believe that it is secure. The result is an open source community that is probably far too trusting when it comes to security.

[...]

The many eyeballs approach clearly failed for Mailman. And as open source programs are increasingly packaged and sold as products, users -- particularly those who are not familiar with the open source world -- may well assume that the vendor they are buying the product from has done some sort of security check on it.

Ma chi è l'autore? Un windows fanboy? Uno che scrive sw packettizzato closed source? No:

John Viega is a research associate at Reliable Software Technologies, in Sterling, Va. He holds an M.S. in Computer Science from the University of Virginia. He developed and maintains Mailman, the Gnu mailing list manager. His research interests include software assurance, programming languages, and object-oriented systems.

Nientepopodimenoche l'autore di mailman.

Nella trappola dell'open source è più sicuro ci sono cascato anche io quando - prima del SP2 di XP - stanco dei vari attacchi al browser (che poi ho scoperto molto spesso basati su componenti di terze parti tra cui in larga parte la JVM di Sun) ho installato anche sul mio PC firefox perché "più sicuro" (era la prima parte del loro motto: safer, faster, better(*)). Poi ho letto questo e mi è venuto seriamente da piangere: questa vulnerabilità è secondo me la peggiore di tutto il software umanamente scritto dopo Slammer e CodeRed (ma solamente perché per essere sfruttata bisogna cliccare un link). Peccato che ai quei tempi - se ben ricordo - in Firefox non c'era neanche l'autoupdate.

Tralascio poi il discorso dei cacciatori di zero-day vulnerabilities: col codice alla mano dovrebbero fare più in fretta.

Infine non ho dati su quale sia il processo di sviluppo di un sw opensource come Linux o Firefox; essendo su base volontaria non so quanto si possa cercare di forzare un processo di qualità come quello di Vista (tratto da qui):

In sintesi: l'opensource è dal punto di vista strettamente teorico più sicuro, a patto che chi lo _usa_ si guardi _tutto_ il codice per davvero. Io non ho ne il tempo, ne la voglia di guardare nel mio tempo libero il codice degli altri (soprattutto quando - come nel caso di Etomite - non servirebbe a niente perché la vulnerabilità è nascosta anche ad una lettura più approfondita). Voi?

-quack

(*) in realtà Firefox non è ne safer (Fonte), ne faster (Opera is the fastest Graphical Web Browser in Windows. - Fonte; Internet Explorer 7 is clearly faster than Firefox 2.x in 4 out of 7 measures of performance, stessa fonte). Per induzione 'induco' neanche better.

Technorati tags: ,

Potrebbero interessarti anche:
Commenti (8):
1. Dario Solera
martedì 27 febbraio 2007 alle 12:35 PM - unknown unknown unknown
   

Ormai sei il mio idolo!

Finalmente qualcuno che fa discorsi seri in questa rete di gente non informata (per non dire di peggio).

Io stesso sviluppo un'applicazione rilasciata sotto GPL, ormai ha anche un certo numero di utenti, ma solo in un paio di casi qualcuno è andato realmente a vedere il codice per risolvere un problema.

Anzi, ultimamente credo di aver addirittura perso un utente che "non si fidava" di un'applicazione non commerciale. Io gli ho anche suggerito di andarsi a vedere il codice, sapendo benissimo che non l'avrebbe mai fatto...

E' umanamente impossibile leggersi tutto il codice di un'applicazione minimanente complessa. Al massimo qualcuno scopre un bug o un errore, fa un po' debug e trova il problema nel codice, ma tutto finisce lì.

   
2. Paperino
martedì 27 febbraio 2007 alle 7:12 PM - unknown unknown unknown
   

Grazie Dario! Qualcuno ha in passato suggerito che mi commento da solo... Big Smile

   
3. Gio
lunedì 30 luglio 2007 alle 5:24 PM - unknown unknown unknown
   

Ciao a tutti.

Brevemente...evitando particolari "tecnici"...

1) QUANTI e QUALI virus pericolosi/letali per windows possono provocare danni reali ad una qualunque distribuzione Linux (senza Wine)?

2) Windows in generale e Vista in particolare ha richieste hardware enormi, spesso per Vista è necessario acquistare un NUOVO PC. Linux gira meravigliosamente su pc x86 con 256 Mb di Ram, con effetti grafici cha fanno impallidire Vista (vedi Compiz-Beryl,il famoso cubo molti vorrebbero anche su win) e veloce come una scheggia...provate con Vista o XP sulla stessa configurazione...

3) Crash di sistema, riavvii forzati etc. sono un'eventualità estremamente rara in qualunque distro del pinguino che può restare accesa per giorni senza risentirne mimimamente, non a caso, è utilizzata in molti campi cosidetti "mission-critical"

4) Con linux, volendo, è possibile modificare ogni minimo dettaglio a piacimento, l'intero sistema è sotto il completo controllo dell'utente che volendo può anche fregarsene ed usarlo solo per lavorare...

5) Decine di migliaia di software utilizzabili legalmente e gratuitamente!!

6) L'installazione e l'utilizzo "normale" sono ormai estremamente semplici ed alla portata di tutti (Ubuntu si installa in 15 minuti), la curva di apprendimento si è notevolmente ridotta.

7) tuttavia il tempo speso per imparare ad utilizzare linux dona all'utente, come valore aggiunto, maggiori conoscenze di informatica, reti etc. utilizzabili ovunque mentre quello speso per windows porta al limite alla conoscenza superficiale di un singolo sistema di una singola azienda e delle sue soluzioni ai problemi, dato che questa non permette legalmente di entrare nei particolari veri neanche volendo.      

E questa è solo una piccola parte dei vantaggi...volendo possiamo entrare nei particolari.

Ho installato sia WinXP che Linux sul portatile...ma sinceramente da quando uso un sistema veloce, stabile, sicuro, e inoltre didatticamente valido sto dimenticando di avere l'altra partizione, semplicemente perchè non ne ho bisogno per nessun utilizzo...indovinate quale?

Provare per credere!

P.s. qualche link interessante.

1) Paolo Attivissimo intervistato so Vista

www.video.mediaset.it/video.html

2)Cose che posso fare con Linux e non con windows

pollycoke.wordpress.com/.../cose-che-posso-fare-con-linux-e-non-con-windows

Ciao

   
4. Marco
lunedì 30 luglio 2007 alle 9:06 PM - unknown unknown unknown
   

Giusto una mia risposta al post di cui sopra^^

1) Virus di windows penso nessuno....ma se mai Linux arriverà a prendere piede diventerà appetibile a chi programma virus e spyware, per ora il rischio è direi nullo ma in quel caso avresti i soliti problemi di windows vista: necessità di antivirus e antispyware con credo l'aggravante di avere un parco utenti abituato a sentirsi immune da tali pericoli e quindi per questo meno propenso a proteggersi.

comunque al moneto, oggettivamente problemi simili esistono piu a livello teorico  che pratico ma ricorda, l'unico motivo per cui linux non è affetto da virus è perche non vengono creati non perche sia piu sicuro di un windows vista

2)alla fin fine vorrei sapere quanti utenti desktop usano linux su un pc con configurazioni minime, praticamente ogni pc venduto negli ultimi anni ha specifiche molto superiori a quelle indicate per linux e onestamente se hai 2 gb di ram non usarla è francamente uno spreco..se poi usi linux su pc di 4 anni fa per risparmiare bè nulla da obiettare ;-)

3)Personalmente uso da molti anni windows xp e vista dall'uscita, gli unici crash di win xp (post sp2 lo ammetto) sono stati dati o da periferiche hw o da driver fallati , per Vista ho avuto problemi solo con dei dannati driver nvidia, l'instabilità di windows ormai è sempre piu una favole, almeno per me

P.S. usando linux ogni tanto son riuscito a piantarlo...sfiga o magari prova che è un software come altri non una cosa magica?

4)Nulla da eccepire anche se onestamente è una cosa che viene utile a poche persone , comunque si linux è piu configurabiule di windows

5)Pure per windows esistono programmi freeware, opensource o meno, moltissimi programmi linux hanno un clone win..e viceversa, in realtà se cerchi penso che siano pochi i programmi gratuiti che hai su linux e che non hanno un corrispettivo in windows...sempre gratuito ovviamente

6)qui ancora ti do ragione ma...bè ce ne vuole per arrivare a livello pure del veccho xp..prova ad esempio a far vedere l'organizzazione delle directory di linux ad un neofita e poi fammi sapere ;-)

Per l'installazione se sono 15 minuti tanto di cappello (con vista ne occorrono 25), solo siamo sicuri che poi non mi servano altri 20 per scaricare ulteriori pacchetti da internet?

7)Se ti addentri di piu nel sistema windows penso che troverai come conoscerlo a fondo donni le stesse conoscenze (pur in maiera diversa) che linux...semplicemente impari a configurare, settare e ragionare con un SO diverso, non penso che molti si mettano a riscrivere il codice dei programmi per linux che in fondo è uno dei vantaggi che detiene su un SO chiuso come windows.

Bè questi son alcuni miei pensieri, possono essere errati o meno ma sono basati anche sulla mia esperienza di tutti i giorni , uso varie versioni di Windows e alcune distro di Linux (piu che altro lo ammetto in virtual machines) e ancora penso che Linux debba maturare per poter competere come SO desktop con windows.

   
5. Blackstorm
martedì 31 luglio 2007 alle 12:05 AM - unknown unknown unknown
   

Mentre che ci sono rispondo anche io Smile

1)Domanda senza senso: le architetture di Win e Linux sono diverse. O hai un virus in grado di riconoscere su che sistema gira e di agire di conseguenza, o ciccia.

2)www.winhistory.de/.../xpmini_eng.htm

Per quanto riguarda vista, io non ho cambiato pc, e mi gira.

3) non ho crash di sistema da tempi immemori. Mai avuti da qnd ho vista, e sotto xp c'era un periodo che crashava spesso, ma era perchè la scheda madre stava partendo...

4)certo... solo che ragionando in termini di utente medio, non sempre la completa configurabilità è adatta (attenzione, non dico che non sia una buona cosa, ma un utente medio potrebbe perdercisi)

5) Ci sono anche per windows. Quando alla legalità... Beh, non sempre.

6) A me ci ha messo più o meno lo stesso tempo di vista, sullo stesso sistema.

7) la curva di apprendimento può essersi ridotta, ma rimane alta. E a molti non interessa di avere un background informatico. La casalinga di Voghera vuole leggere le mail e navigare su internet, punto, non glie ne frega niente di niente di sapere come funziona una inode list o di sapere che cosa c'è nel kde.conf...

Riguardo al ps:

1) Attivissimo dice un sacco di cose che non sono vere. E te lo assicuro perchè ho visto l'intervista e vedo come mi sta girando vista.

2)Beh, sempre su pollycoke ci sono anche delle cose simpatiche come l'aggiornamento a Feisty che ha fatto perdere un sacco di dati a molti utenti, e l'aggiornamento successivo che mandava in crash l'interfaccia grafica. Oppure uno degli ultimi kernel che non riconosce il mouse PS/2 - credo addirittura la porta ps/2 del tutto - (e se sei un amministratore di sistema con una soluzione ibrida linux-win, e usi uno switch per cambiare sistema... beh, lo switch va in ps/2...)

   
6. Marco
martedì 31 luglio 2007 alle 5:18 AM - unknown unknown unknown
   

Comunque rispetto al punto 2....bè a parte le configurazioni minime di installazione penso che la cosa importante sia la configurazione minima che permette al SO di funzionare a dovere.

Personalmente processore a parte (che pure su Vista non pare avere un grande impatto) direi che per windows xp dai 256 mb di ram in su il sistema giri bene (512 mb sono piu adatti se usi molte applicazioni ovviamente) , per Vista almeno un giga serve (e funziona egregiamente anche su pc di 3 anni fa, per mia esperienza) ma ripeto, per me non è un problema, semplicemnte sono sistemi operativi che sfruttano l'ardware presente sul mercato, non puntati a essere usati per l'installazione su macchine molto vecchie, semplicemente quindi una filosofia diversa da linux su questo ambito.

   
7. Whitenoise
sabato 5 gennaio 2008 alle 9:22 AM - unknown unknown unknown
   

Quoto! ;-)

IMHO:

E' vero che bisogna avere i log per scoprire un bug, ma è anche vero che una volta capito che c'è un problema, per capire dove sia, i sorgenti diventano utili anche senza leggerseli tutti.

D'altro canto è anche vero che solo il 10% delle persone che usa un programma è in grado di contribuire ;-)

bye

Luca

   
8. Paperino
sabato 5 gennaio 2008 alle 7:37 PM - unknown unknown unknown
   

Parto dal presupposto che la maggior parte dei bachi, sul codice che ho scritto _IO_, mi richiede una quantità non indifferente di tempo e il rischio che possa introdurre una regressione rimane comunque alto.

La tua stima mi sembra molto gonfiata Smile

Sei sicuro che il 10% degli utenti di Windows sarebbe in grado di individuare un baco (es. quello della copia lenta dei file) e sistemarlo?

Alcune misure di sicurezza (tipo le banned API) sono molto più utili di avere il codice sorgente a disposizione.

   
Lascia un commento:
Commento: (clicca su questo link per gli smiley supportati; regole di ingaggio per i commenti)
(opzionale, per il Gravatar)