Repository 32bit  Forum
Repository 64bit  Wiki

Provocazione: ma ci fidiamo dei programmi che installiamo?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Provocazione: ma ci fidiamo dei programmi che installiamo?

Messaggioda Johnn » lun apr 30, 2007 16:00

Una cosa che mi sono sempre domandato riguardo un aspetto della sicurezza del mondo gnu/linux (ma che può essere esteso al software in generale), è:

chi ci garantisce che un programma che mi scarico dalla rete non contenga qualcosa che non penso di installare (malware, keylogger, ecc)?

Molti mi risponderanno, che è possibile analizzare il sorgente.
Ok, ma non tutti hanno capacità/voglia/tempo.
Mi si può ribattere che ci sarà chi lo potrà fare per queste persone. E penso sia vero.
Per questo mi fido di programmi come Firefox, Thundebird, della Slackware di Patrick, ecc.

Infatti se mettessero software malevolo qualcuno sicuramente se ne accorgerebbe, e il danno derivato da ciò sarebbe enorme per chi scrive quel software.

Ma chi controlla repository non ufficiali, tipo quello di Slacky? O anche linuxpackages.net, per rimanere nel mondo slackware? Tra l'altro sono pacchetti che sono installabili da root, quindi superano facilmente la protezione offerta dai permessi.

In Windows e in molti programmi che ci girano, indubbiamente ci sono diversi problemi di questo tipo (anzi tutti i problemi derivanti da software chiuso), ma la difesa, almeno per me, è presente. Firewall e antivirus ben configurati, di software house diverse, affiancati da spazzini dell'hard-disk, almeno mi avvertono se qualcuno tenta di far uscire delle informazioni a mia insaputa.

In linux, nonostante sia un utente navigato, ho meno controllo sotto questo profilo, anche se so che teoricamente si possono raggiungere livelli di controllo anche superiori a win. Penso però che la stragrande maggioroanza di utenti, nei quali ci sono anche io, rassicurato dal fatto che non ci sono virus, che linux è sicuro, che si sono i permessi da sempre, ecc, faccia abbassare la guardia e alla fine ci si affidi alla fiducia di chi sta dall'altra parte del monitor. Questo per il 99% delle volte può andar bene. Ma non sempre, soprattutto quando si trattano informazioni sensibili o si è in ambiti lavorativi.

Che ne pensate?

P.S. Ovviamente non nutro dubbi sull'onestà di chi gestisce questo sito, nè finora su altri siti del mondo Gnu/Linux.
Johnn
Linux 1.0
Linux 1.0
 
Messaggi: 67
Iscritto il: sab apr 28, 2007 17:53
Slackware: current
Kernel: 2.6.29.4
Desktop: kde 4.2.4

Re: Provocazione: ma ci fidiamo dei programmi che installiam

Messaggioda linuxboy » lun apr 30, 2007 16:19

Johnn ha scritto:Una cosa che mi sono sempre domandato riguardo un aspetto della sicurezza del mondo gnu/linux (ma che può essere esteso al software in generale), è:
[\quote]

Paradossalmente, e' piu' facile infilare un malware in un programma di cui si hanno i sorgenti che in uno di cui non si hanno, tipo software per windows.


Avatar utente
linuxboy
Linux 1.0
Linux 1.0
 
Messaggi: 50
Iscritto il: gio dic 30, 2004 0:00
Località: Pianeta Terra (SOL3), Via Lattea - UNIVERSO

Messaggioda Loris » lun apr 30, 2007 16:34

Per Slacky funziona così... io e i miei collaboratori impostiamo lo SlackBuild che compila i sorgenti originali presi dal sito del progetto stesso, quando possibile verifico la chiave e una volta compilato il tutto pubblico il pacchetto con tanto di chiave, di solito aggiungo anche i relativi sorgenti della compilazione... più di così non so fare :D spero solo che i sorgenti non siano taroccati...
"Ho una testa piuttosto balzana e comunque non sono quello che credete" - Roger Keith Barrett
Avatar utente
Loris
Admin
Admin
 
Messaggi: 7583
Iscritto il: dom mar 30, 2003 23:00
Località: Gradisca D'Isonzo
Nome Cognome: Loris Vincenzi
Slackware: 14.1
Kernel: 3.10.17
Desktop: Kde 4.10.5

Messaggioda albatros » lun apr 30, 2007 16:52

Beh, per i pacchetti di Slacky ti ha già risposto Loris...:D
Se pensi che qualcuno possa aver compromesso sorgenti o binari puoi controllare le firme digitali, io per alcuni programmi lo faccio...

Anche con Linux puoi controllare ciò che esce dal tuo pc...

In ambiti più delicati è chiaro che la sicurezza dovrebbe essere gestita con criteri diversi rispetto a quanto normalmente avviene entro le mura domestiche...

Per quanto riguarda windows ci sono state cause legali fra aziende produttrici di antivirus e altre software house che non volevano che alcuni loro programmi fossero catalogati come spyware... Già WGA, che fortunatamente conosco solo di nome, mi sembra piuttosto invasivo per i miei gusti...
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04

Messaggioda phobos3576 » lun apr 30, 2007 18:06

Indipendentemente dal sistema operativo usato, scaricare software da siti sospetti (o non ufficiali) comporta in ogni caso seri rischi.
L'anno scorso ci fu il caso di quella versione non ufficiale di Mozilla Firefox scaricabile da un sito taiwanese; il software conteneva un virus capace di attaccare anche Linux!

Basterebbe quindi scaricare il software solo dai siti ufficiali, per ridurre praticamente a zero la percentuale di rischio; eventualmente, come ha ricordato anche Loris, è disponibile la chiave MD5 che fornisce un grado di sicurezza veramente elevato.
Avatar utente
phobos3576
Staff
Staff
 
Messaggi: 2980
Iscritto il: sab apr 16, 2005 23:00
Slackware: 13.1
Kernel: 2.6.37-smp
Desktop: KDE 4.5.3

Re: Provocazione: ma ci fidiamo dei programmi che installiam

Messaggioda StormyMonday » mar mag 01, 2007 1:07

Johnn ha scritto:In Windows e in molti programmi che ci girano, indubbiamente ci sono diversi problemi di questo tipo (anzi tutti i problemi derivanti da software chiuso), ma la difesa, almeno per me, è presente. Firewall e antivirus ben configurati, di software house diverse, affiancati da spazzini dell'hard-disk, almeno mi avvertono se qualcuno tenta di far uscire delle informazioni a mia insaputa.


Ma se non hai alcun modo di accedere al codice sorgente (a prescindere dalle conoscenze in materia o meno) come fai ad essere sicuro che non escono informazioni a tua insaputa?
Ti fidi sulla parola di Bill? o delle sofware house?
Col software libero perlomeno hai la possibilità di verificare
Avatar utente
StormyMonday
Linux 2.4
Linux 2.4
 
Messaggi: 391
Iscritto il: sab mag 07, 2005 23:00
Slackware: Current
Kernel: 2.6.27.7
Desktop: kde

Messaggioda navajo » mar mag 01, 2007 19:10

io con la slackware uso solo pacchetti di slacky, a parte kde 3.5.6 preso da linuxpackages, perchè costrtto..
mentre su debian, uso solo le rep. ufficiali, oltretutto etch ha aggiunto una nuova funzione di controllo delle firme. alcuni programmi, come k3b 1.01 me li sono pacchettizzati da solo.
certo che se come dice Loris, i sorgenti contengono delle sorprese, a sto punto crolla tutto...
Avatar utente
navajo
Staff
Staff
 
Messaggi: 3782
Iscritto il: gio gen 08, 2004 0:00
Località: Roma
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)

Messaggioda gnubit » mar mag 01, 2007 19:36

Io compilo tutto da 0. Non tanto per paura di chissà quali rischi, per motivi didattici.
Avatar utente
gnubit
Linux 2.6
Linux 2.6
 
Messaggi: 751
Iscritto il: dom apr 16, 2006 23:16
Località: Verona

Re: Provocazione: ma ci fidiamo dei programmi che installiam

Messaggioda Luci0 » mar mag 01, 2007 21:27

Credo che questo sia il passaggio più interessante ...

Johnn ha scritto:In Windows e in molti programmi che ci girano, indubbiamente ci sono diversi problemi di questo tipo (anzi tutti i problemi derivanti da software chiuso), ma la difesa, almeno per me, è presente. Firewall e antivirus ben configurati, di software house diverse, affiancati da spazzini dell'hard-disk, almeno mi avvertono se qualcuno tenta di far uscire delle informazioni a mia insaputa.


Vai tranquillo così ... con un bel Norton Internet Security ... o Microsoft Vista ... sei in una botte di ferro .... e non ci pensi più ....

Ciao .... :-)

P.S. .... a quando alla prossima formattazione ???

P:P.S. Re: Provocazione !!
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Messaggioda Johnn » mar mag 01, 2007 21:39

Loris ha scritto:Per Slacky funziona così... io e i miei collaboratori impostiamo lo SlackBuild che compila i sorgenti originali presi dal sito del progetto stesso, quando possibile verifico la chiave e una volta compilato il tutto pubblico il pacchetto con tanto di chiave, di solito aggiungo anche i relativi sorgenti della compilazione... più di così non so fare :D spero solo che i sorgenti non siano taroccati...


Infatti ho apprezzato la directory src che mi pare non fosse presente da sempre quando si scarica qualche pacchetto.

phobos3576 ha scritto:Basterebbe quindi scaricare il software solo dai siti ufficiali, per ridurre praticamente a zero la percentuale di rischio; eventualmente, come ha ricordato anche Loris, è disponibile la chiave MD5 che fornisce un grado di sicurezza veramente elevato.


Ma la chiave md5 viene data dal produttore del software, o la genera chi pacchettizza? (E' proprio una domanda, perché non lo so :) ). In caso affermativo sarebbe un ottimo strumento di sicurezza.

StormyMonday ha scritto:Ma se non hai alcun modo di accedere al codice sorgente (a prescindere dalle conoscenze in materia o meno) come fai ad essere sicuro che non escono informazioni a tua insaputa?
Ti fidi sulla parola di Bill? o delle sofware house?
Col software libero perlomeno hai la possibilità di verificare


Vero.

Ma come ho già detto, almeno io personalmente sono riuscito quantomeno a capire quando il programma xyz esce a mia insaputa e bloccarlo. Viceversa penso però che l'anello debole dell'insieme dei miei software "guardiani" di win è imho il firewall: lui potrebbe far uscire delle informazioni senza che gli altri controllori se ne possano accorgere.

Può sembrare paranoica la cosa, e forse per noi utenti medi, lo sarà, ma da quando controllo queste cose sotto win, ho scoperto che basta attaccare il cavo di rete che il pc prende vita e vuole andarsi a fare un bel giretto in internet di nascosto... Una bella pulce nell'orecchio me l'ha messa anche Stallman, quando in un suo discorso disse che win si connette in remoto quando si fa una ricerca in locale su hard disk (e non solo, mi immagino win-update :x ).

Queste cose su linux, ripeto, sono facilmente controllabili per il codice aperto, ma le difese, almeno le mie sono basse.
Se non erro (ma probabilemente sbaglio) addirittura iptables, per quanto molto potente, non permette un controllo delle connessioni a livello di applicazione, e questo imho non è una bella cosa. A dire il vero ho letto di un progetto per sopperire a questa mancanza, ma deve essere fatta un'installazione ad hoc.

gnubit ha scritto:Io compilo tutto da 0. Non tanto per paura di chissà quali rischi, per motivi didattici.


Compilare da zero in maniera pulita per me è una delle cose su cui prossimamente lavorerò.

Un discorso simile, penso si possa fare sulle diffusissime estensioni di firefox, strumento molto versatile, comodo, ma imho molto pericoloso, almeno per come lo vedo gestito. Anche sul sito ufficiale, le estensioni (che addirittura sono in una pagina https), sono non certificate e praticamente sono come gli autori le hanno date. Ricordo che tempo fa per una estensione in particolare, tra i commenti, se ne sconsigliava l'uso perchè conteneva uno spyware!!!

Per me sono problemi sottovalutati. E sarebbe un peccato far crollare la proverbiale robustezza linuxiana per queste cose.

Vai tranquillo così ... con un bel Norton Internet Security ... o Microsoft Vista ... sei in una botte di ferro .... e non ci pensi più ....

Ciao .... Smile

P.S. .... a quando alla prossima formattazione ???

P:P.S. Re: Provocazione !!


:lol:

La prossima formattazione di win sul mio note? Presto. Sarebbe ora, dopo 2,5 anni, di aprire il cd di ripristino... 8)

P.S. Tranquilli, sono ormai slackwarista quotidiano. :D
Johnn
Linux 1.0
Linux 1.0
 
Messaggi: 67
Iscritto il: sab apr 28, 2007 17:53
Slackware: current
Kernel: 2.6.29.4
Desktop: kde 4.2.4

Messaggioda Luci0 » mar mag 01, 2007 22:16

Ciao John ... a provocazione si risponde con provocazione ...

Comunque qui hai ragione

Johnn ha scritto:Un discorso simile, penso si possa fare sulle diffusissime estensioni di firefox, strumento molto versatile, comodo, ma imho molto pericoloso, almeno per come lo vedo gestito. Anche sul sito ufficiale, le estensioni (che addirittura sono in una pagina https), sono non certificate e praticamente sono come gli autori le hanno date. Ricordo che tempo fa per una estensione in particolare, tra i commenti, se ne sconsigliava l'uso perchè conteneva uno spyware!!!


Firefox per windows utilizzato a livello utente, può avere più problemi in quanto é noto che il sistema (non)opertivo più diffuso al mondo non riesce ad isolare perfettamente le utenze e qualche dll gira a livello Administrator. Con Linux nessuno si sognerebbe di andarsene a navigare cone utente root anche se per fare gli aggiornamenti Firefox prevede che si debba essere root per poter fare una cosa oscena del genere, cosa che ovviamente sconsiglio a tutti d fare ..... inutile fare delle patch di sicurezza se poi debbo espormi per poterle installare ... inoltre un conto é far aggiornare a mano slackware o debian con apt-get, un conto é farlo fare a Firefox che può avere montato delle estensioni non sicure ... !!!
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Messaggioda masalapianta » mar mag 01, 2007 22:16

Johnn ha scritto:
StormyMonday ha scritto:Ma se non hai alcun modo di accedere al codice sorgente (a prescindere dalle conoscenze in materia o meno) come fai ad essere sicuro che non escono informazioni a tua insaputa?
Ti fidi sulla parola di Bill? o delle sofware house?
Col software libero perlomeno hai la possibilità di verificare


Vero.

Ma come ho già detto, almeno io personalmente sono riuscito quantomeno a capire quando il programma xyz esce a mia insaputa e bloccarlo. Viceversa penso però che l'anello debole dell'insieme dei miei software "guardiani" di win è imho il firewall: lui potrebbe far uscire delle informazioni senza che gli altri controllori se ne possano accorgere.

scherzi? a parte che se il firewall gira sulla medesima macchina da controllare e' perfettamente inutile (perche' se non puoi fidarti manco del kernel della macchina e' abbastanza semplice far credere al firewall tutto quello che vuoi), ma anche se tu mettessi la macchina in questione dietro un'altra che fa da firewall, comunque non avresti modo di accorgerti di alcunche', perche' non ti aspetterai mica che se un produttore di software infila in un suo prodotto del codice che manda informazioni su di te da qualche parte, lo faccia contattando ip sospetti e mandando tutte le informazioni in chiaro nel payload del pacchetto vero? e se utilizzasse pacchetti appartenenti a connessioni lecite (tipo windows update o qualsiasi altra cosa simile) steganografando le informazioni nel payload del pacchetto, oppure utilizzando flag non usate degli header tcp (per dirne due , ma aivoglia a modi)? come te ne accorgi?
Queste cose su linux, ripeto, sono facilmente controllabili per il codice aperto, ma le difese, almeno le mie sono basse.

e' una tua scelta, invece con prodotti a codice chiuso questa scelta non ce l'hai
Se non erro (ma probabilemente sbaglio) addirittura iptables, per quanto molto potente, non permette un controllo delle connessioni a livello di applicazione, e questo imho non è una bella cosa.

fare content filter a layer 7 non dovrebbe esser compito d'un firewall (parlo di firewall veri, non di giocattoli per l'utenza desktop) se non in casi particolarissimi (e comunque la potenza di calcolo richiesta per fare questo tipo di controlli su troughput elevati non e' indifferente); btw su kernel recenti c'e' il modulo string di netfilter che fa esattamente quel che chiedi
Per me sono problemi sottovalutati. E sarebbe un peccato far crollare la proverbiale robustezza linuxiana per queste cose.

ripeto: non crolla nulla, e' comunque una scelta dell'utilizzatore, in base alle sue necessita', alla confidenzialita' dei dati da trattare e criticita' dei servizi da gestire
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda albatros » mar mag 01, 2007 23:54

Cito johnn:
Ma la chiave md5 viene data dal produttore del software, o la genera chi pacchettizza?

Fare il controllo dell'md5 ti garantisce con ragionevole sicurezza che quello che hai in mano non abbia subito variazioni rispetto alla copia di cui è stato fatto l'md5sum, però se il sito da cui scarichi insieme la tua copia e l'md5 è stato compromesso ed è stato sostituito sia il sorgente che il suo md5 rimani fregato...
Puoi controllare da altre parti oppure aspettare alcuni giorni e ripetere il controllo sul sito ufficiale, supponendo che qualcuno nel frattempo si sia accorto della manomissione...
Controllare la firma ti dà maggiori garanzie perché ci si aspetta che la chiave privata non si trovi sul sito compromesso, rimane semmai il problema che sono relativamente poche (ma non pochissime) le chiavi veramente fidate, forse perché il sistema viene poco usato e i key signing party sono piuttosto rari...

masalapianta, che ne pensi? ( ubi maior, minor cessat :) )
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04

Messaggioda masalapianta » mer mag 02, 2007 10:06

albatros ha scritto:masalapianta, che ne pensi?

che utilizzando repository non ufficiali effettivamente, anche avendo modo di verificare le firme gpg sugli hash md5, non hai grosse garanzie (a meno di non conoscere chi gestisce il repository e fidarti di lui, come nel caso della comunita' di slacky.it); mentre utilizzando distro che offrono un vasto parco software tramite repository ufficiali (debian ad esempio) hai maggiori garanzie controllando le firme gpg sugli hash md5 (chi conosce la burocrazia interna a debian sa di che parlo; chi volesse diventare sviluppatore debian solo per infilare nella distro un pacchetto con backdoor ha vita difficile, la trafila e' luuunga, devi avere un altro debian developer che "garantisca per te", ecc..). Certo poi esiste sempre la possibilita' che qualcuno entri in possesso della chiave privata d'uno sviluppatore ma fintanto che distribuisci via rete nessuno puo' darti garanzie al 100% sui precompilati che installi
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda slackaddict » mer mag 02, 2007 15:47

per quanto riguarda quello che esce quando mi sento paranoico uso socklist, un'utility che ho trovato di default solo con slack

SOCKLIST(8) Linux System Manual

NAME
socklist - display list of open sockets

SYNOPSIS
socklist

DESCRIPTION
socklist is a Perl script that gives you a list of all open sockets, enumerating types, port, inode,
uid, pid, fd and the program to which it belongs.

OPTIONS
None.


btw, ci sono anche strumenti per fare le pulci ai sorgenti, tipo

http://www.dwheeler.com/flawfinder/

(in fondo alla pagina ci sono un sacco di links a strumenti simili e documentazione...)
slackaddict
Linux 1.0
Linux 1.0
 
Messaggi: 27
Iscritto il: dom mag 02, 2004 23:00

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite