[tc] Davvero Linux è più sicuro di Win?

Blackstorm hokey.pokey.knight a gmail.com
Ven 23 Mar 2007 04:03:46 CET 

Sempre detto, io: adoro suicidarmi con stile.

Il 23/03/07, Linval Thompson<xstasi a gmail.com> ha scritto:
> On 3/23/07, Blackstorm <hokey.pokey.knight a gmail.com> wrote:
> > > partiamo col dire che gli advisory riguardanti Microsoft riguardano
> > > solo prodotti Microsoft,
> > > mentre quelli riguardanti "Linux" riguardano  tutto l'userspace,
> includendo
> > > quindi tutti i vari programmi e demoni in questione.
> >
> > Come mi fa notare Paperino, prima di tutto nell'articolo si parla di
> > RHEL, non di un linux qualunque. Seconda cosa, un update di sicurezza
> > rimane tale sia che sia per campo minato, sia che sia per il kernel...
>
> ...e allora chiedi se Red Hat, non linux, e' piu' sicura di windows :^)

Pignolo.
>
> > > Quindi, anche a parita' di bachi, e' chiaro che quelli microsoft
> sarebbero
> > > nettamente inferiori.
> >
> > Scusami, perchè? Un sistema operativo non è solo il kernel. E win non
> > è fatto solo del kernel. Come non lo è RHEL...
>
> Gia', ma magari symantec nella sua lista di advisory non include la vuln che
> pippocaio ha trovato su winutility 0.1, ma solo quelli che riguardano
> direttamente microsoft.

O forse solo quelle determinanti per la sicurezza.
>

>
> > Quanto ai Denial of Service: certo, alla peggio ti crasha il server
> > che ti tiene su la rete aziendale sulla quale stanno lavorando 200
> > dipendenti, facendoti perdere tutti i dati dall'ultimo salvataggio,
> > nonchè diversi soldi.
>
> Chiunque metta un server del genere accessibile dalla rete pubblica non
> dovrebbe di certo fare il sistemista.
Certo, ma c'è un sacco di gente che nonostante tutto fa il sistemista.

> E comunque, non mi pare sia una barzelletta  sfruttare uno di quei DoS,
> soprattutto da remoto.
Mica dico che sia facile. Dico che è possibile.

>
> > Che vuoi che sia un DoS? Può non cambiare a te,
> > ma i virus e il malware non lo scrivono per colpire te. Lo scrivono
> > per colpire le aziende.
>
> Questa e' buffa

Perchè?
Il danno primario avviene se riescono ad infettare le aziende, non i privati.
>
> > A te non faranno mai un DoS sul tuo pc
> > casalingo, lo faranno sul server aziendale...
>
> Se vogliono dossare il server aziendale, ci sono ben altri sistemi che non
> questi bug stupidi.
Beh, non sono un esperto, ma suppongo di si.

>
> > > Naturalmente, la stessa cosa non si puo' dire dei "pochi" bug trovati su
> > > Windows, forse msblast/mydoom/sasser ti dicono qualcosa.
> >
> > Lo sai che la MS ha rilasciato l'SP2, si?
> > Fra le altre cose risolveva esattamente quei problemi....
>
> Gia', e prima ancora ha rilasciato l'SP1 per correggere problemi identici.

Spiacente, qui ti devo contraddire. SP1 non risolveva il problema del
sasser, per esempio.
>
> > > Non mi ricordo neanche l'ultimo exploit pubblicato che fosse in grado di
> > > bucare installazioni "default" di Linux da remoto.
> >
> > L'esecuzione di codice arbitrario ti basta?
> >
> > http://www.frsirt.com/english/advisories/2005/1794
>
> ....ma non si parlava di server? TUTTI i server hanno un firefox che va
> automaticamente dove gli dici te, no? e soprattutto TUTTE le distribuzioni
> che installi su un server di default hanno firefox.
> Qualcosa da obiettare?

Si. Si parlava anche di server. E poi mi pare che un DoS ad un privato
gli faccia poco e nulla. Mentre l'esecuzione di codice arbitrario può
dare problemi anche a qlc privato, che dici?

>
> > > E, IMHO naturalmente, symantec e' l'ultima a cui dare ascolto per quanto
> > > riguarda la sicurezza informatica; dato che il loro antivirus e'
> ritenuto da
> > > tutta la gente che conosco e che un po' di computer ne capisce, il
> peggior
> > > antivirus che abbiano mai inventato.
> >
> > E allora? L'osservatorio symantec è uno dei più seguiti, mi risulta.
>
> Anche il TG4 e' uno dei piu' seguiti. ops.... ho fatto nomi? non volevo.

Scusa una cosa, ma allora a chi devi dar retta? All'osservatorio
antivirus di Pusterlengo Calabro, fondato da Giacomo&Filippo, i due
bambini prodigio che a 10 anni sanno già usare un pc?

>
> > Un conto è scrivere cattivo software, o non saperlo scrivere, un conto
> > è saperne di sicurezza.
>
> Se ne sai di sicurezza, e soprattutto se sei una mega aziendona, il minimo
> che puoi fare e' onorare le tue tanto ostentate sk1llz facendo software che
> non ti faccia prendere in giro da tutti.

Intanto, puoi dire peste e corna della Symantec, ma nonostante tutto
non è l'ultima arrivata... mi pare sia sul mercato da diversi anni,
ormai, o sbaglio?
>
> > Io stesso so molto più di sicurezza di qnt sia
> > capace di scriver eun buon programma.
>
> Allora fai come stai facendo e non lo scrivere. Se nonostante tu non ne sia
> capace lo scrivi comunque, hai dei problemi.

Io personalmente lo scrivo lo stesso perchè per imparare a programmare
ci vuole tanta sana pratica. Non credo che questo mi possa creare
problemi...

> > > Aggiungiamo che Symantec non penso che pubblicherebbe mai dati di
> > > statistiche che vadano a ledere la reputazione dei loro compagni di
> merende.
> >
> > Si, proprio amiconi.
> > http://www.internetnews.com/ent-news/article.php/3607456
> >
> > (tralasciando il fatto che gettando fango su MS, Symantec venderebbe
> > di più, e quindi avrebbe tutto da guadagnare)
>
> Questo e' decisamente tutto da vedere.

Anche il fatto che siano amiconi è da vedere.
>
> > > ....ma a parte questo, non ti pare un po' off topic?
> > Minimamente. Il TC fa della sicurezza il suo punto forte.
>
> Non mi pare sia questo l'argomento portante della lista..

Il TC? :P
>
> > E poi sono
> > notizie che van sempre riportate... C'è chi riporta la notizia che non
> > è stato Machiavelli a dire che il fine giustifica i mezzi, e io sono
> > ot perchè riporto uno studio di sicurezza?
>
> Probabilmente sono ot quanto te, ma visto che la questione mi interessava
> relativamente poco non ci ho messo il naso.

Beh, allora eviterò di commentare oltre, se da' così fastidio.
>
> > Io sto riportando non un'opinione della symantec, ma una classifica.
>
> ...naturalmente una classifica oggettiva.

Una classifica basata sui bug di sicurezza riscontrati.
>
> > Ah, per quanto riguarda la privilege excalation:
> > http://www.securityfocus.com/bid/18874/info
>
> ^^^^ "era dei tempi del prctl"
>
> > http://www.securityfocus.com/bid/18992
>
> ^^^^ l'h00lyshit di cui sopra, uscito qualche giorno dopo. Sempre di 2.6.17
> si parla, non mi sembra di aver letto niente riguardo al 2.6.20.

Eppure ero convinto di avere visto un 1 prima di quel 6... devo
smetterla con la mescalina.

>
> > Fra l'altro, sempre il buon Paperino, mi fa notare che le PE
> > esisteranno sempre, a causa della complessità elevatissima delle
> > dipendenze...
>
> Questo penso valga per qualunque sistema operativo, quindi e' decisamente
> poco influente ai fini della discussione.

Certo, ma era per dirti che non puoi escludere le PE...

-- 
---
Blackstorm

God does not care about our
mathematical difficulties.
He integrates empirically.

Maggiori informazioni sulla lista tc