[tc] Davvero Linux è più sicuro di Win?

Blackstorm hokey.pokey.knight a gmail.com
Ven 23 Mar 2007 02:51:46 CET 

Il 23/03/07, Linval Thompson<xstasi a gmail.com> ha scritto:
> On 3/23/07, Blackstorm <hokey.pokey.knight a gmail.com> wrote:
> > Secondo la Symantec (che, se non sono i primi della lista, non sono
> > nemmeno gli ultimi degli str... - citando elio :)), no...
> >
> > http://www.internetnews.com/security/article.php/3667201
> >
> > Surprise...
>
> Dunque,

Alè... comincia il divertimento =)

> partiamo col dire che gli advisory riguardanti Microsoft riguardano
> solo prodotti Microsoft,
> mentre quelli riguardanti "Linux" riguardano  tutto l'userspace, includendo
> quindi tutti i vari programmi e demoni in questione.

Come mi fa notare Paperino, prima di tutto nell'articolo si parla di
RHEL, non di un linux qualunque. Seconda cosa, un update di sicurezza
rimane tale sia che sia per campo minato, sia che sia per il kernel...

> Quindi, anche a parita' di bachi, e' chiaro che quelli microsoft sarebbero
> nettamente inferiori.

Scusami, perchè? Un sistema operativo non è solo il kernel. E win non
è fatto solo del kernel. Come non lo è RHEL...

> Seconda cosa: La stragrande maggioranza dei bachi di Linux inteso come
> kernel, sono DoS (leggi: nel peggiore dei casi crasha il sistema), e' ormai
> dai tempi del prctl che non si sente parlare di bug che ti permettano di
> ottenere una shell di root partendo da una shell come utente.

E quei simpatici programmilli che crittano tutto il contenuto
dell'home folder dell'utente?
Quanto ai Denial of Service: certo, alla peggio ti crasha il server
che ti tiene su la rete aziendale sulla quale stanno lavorando 200
dipendenti, facendoti perdere tutti i dati dall'ultimo salvataggio,
nonchè diversi soldi. Che vuoi che sia un DoS? Può non cambiare a te,
ma i virus e il malware non lo scrivono per colpire te. Lo scrivono
per colpire le aziende. A te non faranno mai un DoS sul tuo pc
casalingo, lo faranno sul server aziendale...

> E che io ricordi, sempre su Linux inteso come kernel, non sono mai stati
> trovati bug tali da permettere di ottenere una rootshell attaccando da
> remoto.
E a me attaccante, cosa mi interessa di entrarti nel kernel, se poi
una qualunque delle tua applicazioni mi permette di fare il privilege
excalation di cui parla skorpio?

> Naturalmente, la stessa cosa non si puo' dire dei "pochi" bug trovati su
> Windows, forse msblast/mydoom/sasser ti dicono qualcosa.

Lo sai che la MS ha rilasciato l'SP2, si?
Fra le altre cose risolveva esattamente quei problemi....

> Non mi ricordo neanche l'ultimo exploit pubblicato che fosse in grado di
> bucare installazioni "default" di Linux da remoto.

L'esecuzione di codice arbitrario ti basta?

http://www.frsirt.com/english/advisories/2005/1794

O vuoi anche un kernel panic?
http://secunia.com/advisories/24492/

> E, IMHO naturalmente, symantec e' l'ultima a cui dare ascolto per quanto
> riguarda la sicurezza informatica; dato che il loro antivirus e' ritenuto da
> tutta la gente che conosco e che un po' di computer ne capisce, il peggior
> antivirus che abbiano mai inventato.

E allora? L'osservatorio symantec è uno dei più seguiti, mi risulta.
Un conto è scrivere cattivo software, o non saperlo scrivere, un conto
è saperne di sicurezza. Io stesso so molto più di sicurezza di qnt sia
capace di scriver eun buon programma.

> Aggiungiamo che Symantec non penso che pubblicherebbe mai dati di
> statistiche che vadano a ledere la reputazione dei loro compagni di merende.

Si, proprio amiconi.
http://www.internetnews.com/ent-news/article.php/3607456

(tralasciando il fatto che gettando fango su MS, Symantec venderebbe
di più, e quindi avrebbe tutto da guadagnare)

> ....ma a parte questo, non ti pare un po' off topic?
>

Minimamente. Il TC fa della sicurezza il suo punto forte. E poi sono
notizie che van sempre riportate... C'è chi riporta la notizia che non
è stato Machiavelli a dire che il fine giustifica i mezzi, e io sono
ot perchè riporto uno studio di sicurezza?

Io sto riportando non un'opinione della symantec, ma una classifica.
Punto. Pensavo che potesse interessarvi.

Ah, per quanto riguarda la privilege excalation:
http://www.securityfocus.com/bid/18874/info
http://www.securityfocus.com/bid/18992

Fra l'altro, sempre il buon Paperino, mi fa notare che le PE
esisteranno sempre, a causa della complessità elevatissima delle
dipendenze...

-- 
---
Blackstorm

God does not care about our
mathematical difficulties.
He integrates empirically.

Maggiori informazioni sulla lista tc