Provocazione: ma ci fidiamo dei programmi che installiamo?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Johnn
Linux 0.x
Linux 0.x
Messaggi: 67
Iscritto il: sab 28 apr 2007, 18:53
Slackware: current
Kernel: 2.6.29.4
Desktop: kde 4.2.4

Provocazione: ma ci fidiamo dei programmi che installiamo?

Messaggio da Johnn »

Una cosa che mi sono sempre domandato riguardo un aspetto della sicurezza del mondo gnu/linux (ma che può essere esteso al software in generale), è:

chi ci garantisce che un programma che mi scarico dalla rete non contenga qualcosa che non penso di installare (malware, keylogger, ecc)?

Molti mi risponderanno, che è possibile analizzare il sorgente.
Ok, ma non tutti hanno capacità/voglia/tempo.
Mi si può ribattere che ci sarà chi lo potrà fare per queste persone. E penso sia vero.
Per questo mi fido di programmi come Firefox, Thundebird, della Slackware di Patrick, ecc.

Infatti se mettessero software malevolo qualcuno sicuramente se ne accorgerebbe, e il danno derivato da ciò sarebbe enorme per chi scrive quel software.

Ma chi controlla repository non ufficiali, tipo quello di Slacky? O anche linuxpackages.net, per rimanere nel mondo slackware? Tra l'altro sono pacchetti che sono installabili da root, quindi superano facilmente la protezione offerta dai permessi.

In Windows e in molti programmi che ci girano, indubbiamente ci sono diversi problemi di questo tipo (anzi tutti i problemi derivanti da software chiuso), ma la difesa, almeno per me, è presente. Firewall e antivirus ben configurati, di software house diverse, affiancati da spazzini dell'hard-disk, almeno mi avvertono se qualcuno tenta di far uscire delle informazioni a mia insaputa.

In linux, nonostante sia un utente navigato, ho meno controllo sotto questo profilo, anche se so che teoricamente si possono raggiungere livelli di controllo anche superiori a win. Penso però che la stragrande maggioroanza di utenti, nei quali ci sono anche io, rassicurato dal fatto che non ci sono virus, che linux è sicuro, che si sono i permessi da sempre, ecc, faccia abbassare la guardia e alla fine ci si affidi alla fiducia di chi sta dall'altra parte del monitor. Questo per il 99% delle volte può andar bene. Ma non sempre, soprattutto quando si trattano informazioni sensibili o si è in ambiti lavorativi.

Che ne pensate?

P.S. Ovviamente non nutro dubbi sull'onestà di chi gestisce questo sito, nè finora su altri siti del mondo Gnu/Linux.

Avatar utente
linuxboy
Linux 0.x
Linux 0.x
Messaggi: 50
Iscritto il: gio 30 dic 2004, 0:00
Località: Pianeta Terra (SOL3), Via Lattea - UNIVERSO

Re: Provocazione: ma ci fidiamo dei programmi che installiam

Messaggio da linuxboy »

Johnn ha scritto:Una cosa che mi sono sempre domandato riguardo un aspetto della sicurezza del mondo gnu/linux (ma che può essere esteso al software in generale), è:
[\quote]

Paradossalmente, e' piu' facile infilare un malware in un programma di cui si hanno i sorgenti che in uno di cui non si hanno, tipo software per windows.


Avatar utente
Loris
Admin
Admin
Messaggi: 7730
Iscritto il: lun 31 mar 2003, 0:00
Nome Cognome: Loris Vincenzi
Località: Gradisca D'Isonzo
Contatta:

Messaggio da Loris »

Per Slacky funziona così... io e i miei collaboratori impostiamo lo SlackBuild che compila i sorgenti originali presi dal sito del progetto stesso, quando possibile verifico la chiave e una volta compilato il tutto pubblico il pacchetto con tanto di chiave, di solito aggiungo anche i relativi sorgenti della compilazione... più di così non so fare :D spero solo che i sorgenti non siano taroccati...
"Ho una testa piuttosto balzana e comunque non sono quello che credete" - Roger Keith Barrett

Avatar utente
albatros
Iper Master
Iper Master
Messaggi: 2093
Iscritto il: sab 4 feb 2006, 13:59
Kernel: 5.19.0
Desktop: gnome and lxqt
Distribuzione: ubuntu 22.04
Località: Darmstadt - Germania

Messaggio da albatros »

Beh, per i pacchetti di Slacky ti ha già risposto Loris...:D
Se pensi che qualcuno possa aver compromesso sorgenti o binari puoi controllare le firme digitali, io per alcuni programmi lo faccio...

Anche con Linux puoi controllare ciò che esce dal tuo pc...

In ambiti più delicati è chiaro che la sicurezza dovrebbe essere gestita con criteri diversi rispetto a quanto normalmente avviene entro le mura domestiche...

Per quanto riguarda windows ci sono state cause legali fra aziende produttrici di antivirus e altre software house che non volevano che alcuni loro programmi fossero catalogati come spyware... Già WGA, che fortunatamente conosco solo di nome, mi sembra piuttosto invasivo per i miei gusti...

Avatar utente
phobos3576
Staff
Staff
Messaggi: 2980
Iscritto il: dom 17 apr 2005, 0:00
Slackware: 13.1
Kernel: 2.6.37-smp
Desktop: KDE 4.5.3

Messaggio da phobos3576 »

Indipendentemente dal sistema operativo usato, scaricare software da siti sospetti (o non ufficiali) comporta in ogni caso seri rischi.
L'anno scorso ci fu il caso di quella versione non ufficiale di Mozilla Firefox scaricabile da un sito taiwanese; il software conteneva un virus capace di attaccare anche Linux!

Basterebbe quindi scaricare il software solo dai siti ufficiali, per ridurre praticamente a zero la percentuale di rischio; eventualmente, come ha ricordato anche Loris, è disponibile la chiave MD5 che fornisce un grado di sicurezza veramente elevato.

Avatar utente
StormyMonday
Linux 2.x
Linux 2.x
Messaggi: 395
Iscritto il: dom 8 mag 2005, 0:00
Slackware: Current
Kernel: 2.6.27.7
Desktop: xfce

Re: Provocazione: ma ci fidiamo dei programmi che installiam

Messaggio da StormyMonday »

Johnn ha scritto: In Windows e in molti programmi che ci girano, indubbiamente ci sono diversi problemi di questo tipo (anzi tutti i problemi derivanti da software chiuso), ma la difesa, almeno per me, è presente. Firewall e antivirus ben configurati, di software house diverse, affiancati da spazzini dell'hard-disk, almeno mi avvertono se qualcuno tenta di far uscire delle informazioni a mia insaputa.
Ma se non hai alcun modo di accedere al codice sorgente (a prescindere dalle conoscenze in materia o meno) come fai ad essere sicuro che non escono informazioni a tua insaputa?
Ti fidi sulla parola di Bill? o delle sofware house?
Col software libero perlomeno hai la possibilità di verificare

Avatar utente
navajo
Staff
Staff
Messaggi: 3884
Iscritto il: gio 8 gen 2004, 0:00
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)
Località: Roma

Messaggio da navajo »

io con la slackware uso solo pacchetti di slacky, a parte kde 3.5.6 preso da linuxpackages, perchè costrtto..
mentre su debian, uso solo le rep. ufficiali, oltretutto etch ha aggiunto una nuova funzione di controllo delle firme. alcuni programmi, come k3b 1.01 me li sono pacchettizzati da solo.
certo che se come dice Loris, i sorgenti contengono delle sorprese, a sto punto crolla tutto...

Avatar utente
gnubit
Linux 3.x
Linux 3.x
Messaggi: 751
Iscritto il: lun 17 apr 2006, 0:16
Località: Verona
Contatta:

Messaggio da gnubit »

Io compilo tutto da 0. Non tanto per paura di chissà quali rischi, per motivi didattici.

Avatar utente
Luci0
Staff
Staff
Messaggi: 3591
Iscritto il: lun 27 giu 2005, 0:00
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce
Località: Forte dei Marmi
Contatta:

Re: Provocazione: ma ci fidiamo dei programmi che installiam

Messaggio da Luci0 »

Credo che questo sia il passaggio più interessante ...
Johnn ha scritto: In Windows e in molti programmi che ci girano, indubbiamente ci sono diversi problemi di questo tipo (anzi tutti i problemi derivanti da software chiuso), ma la difesa, almeno per me, è presente. Firewall e antivirus ben configurati, di software house diverse, affiancati da spazzini dell'hard-disk, almeno mi avvertono se qualcuno tenta di far uscire delle informazioni a mia insaputa.
Vai tranquillo così ... con un bel Norton Internet Security ... o Microsoft Vista ... sei in una botte di ferro .... e non ci pensi più ....

Ciao .... :-)

P.S. .... a quando alla prossima formattazione ???

P:P.S. Re: Provocazione !!

Johnn
Linux 0.x
Linux 0.x
Messaggi: 67
Iscritto il: sab 28 apr 2007, 18:53
Slackware: current
Kernel: 2.6.29.4
Desktop: kde 4.2.4

Messaggio da Johnn »

Loris ha scritto:Per Slacky funziona così... io e i miei collaboratori impostiamo lo SlackBuild che compila i sorgenti originali presi dal sito del progetto stesso, quando possibile verifico la chiave e una volta compilato il tutto pubblico il pacchetto con tanto di chiave, di solito aggiungo anche i relativi sorgenti della compilazione... più di così non so fare :D spero solo che i sorgenti non siano taroccati...
Infatti ho apprezzato la directory src che mi pare non fosse presente da sempre quando si scarica qualche pacchetto.
phobos3576 ha scritto:Basterebbe quindi scaricare il software solo dai siti ufficiali, per ridurre praticamente a zero la percentuale di rischio; eventualmente, come ha ricordato anche Loris, è disponibile la chiave MD5 che fornisce un grado di sicurezza veramente elevato.
Ma la chiave md5 viene data dal produttore del software, o la genera chi pacchettizza? (E' proprio una domanda, perché non lo so :) ). In caso affermativo sarebbe un ottimo strumento di sicurezza.
StormyMonday ha scritto:Ma se non hai alcun modo di accedere al codice sorgente (a prescindere dalle conoscenze in materia o meno) come fai ad essere sicuro che non escono informazioni a tua insaputa?
Ti fidi sulla parola di Bill? o delle sofware house?
Col software libero perlomeno hai la possibilità di verificare
Vero.

Ma come ho già detto, almeno io personalmente sono riuscito quantomeno a capire quando il programma xyz esce a mia insaputa e bloccarlo. Viceversa penso però che l'anello debole dell'insieme dei miei software "guardiani" di win è imho il firewall: lui potrebbe far uscire delle informazioni senza che gli altri controllori se ne possano accorgere.

Può sembrare paranoica la cosa, e forse per noi utenti medi, lo sarà, ma da quando controllo queste cose sotto win, ho scoperto che basta attaccare il cavo di rete che il pc prende vita e vuole andarsi a fare un bel giretto in internet di nascosto... Una bella pulce nell'orecchio me l'ha messa anche Stallman, quando in un suo discorso disse che win si connette in remoto quando si fa una ricerca in locale su hard disk (e non solo, mi immagino win-update :x ).

Queste cose su linux, ripeto, sono facilmente controllabili per il codice aperto, ma le difese, almeno le mie sono basse.
Se non erro (ma probabilemente sbaglio) addirittura iptables, per quanto molto potente, non permette un controllo delle connessioni a livello di applicazione, e questo imho non è una bella cosa. A dire il vero ho letto di un progetto per sopperire a questa mancanza, ma deve essere fatta un'installazione ad hoc.
gnubit ha scritto:Io compilo tutto da 0. Non tanto per paura di chissà quali rischi, per motivi didattici.
Compilare da zero in maniera pulita per me è una delle cose su cui prossimamente lavorerò.

Un discorso simile, penso si possa fare sulle diffusissime estensioni di firefox, strumento molto versatile, comodo, ma imho molto pericoloso, almeno per come lo vedo gestito. Anche sul sito ufficiale, le estensioni (che addirittura sono in una pagina https), sono non certificate e praticamente sono come gli autori le hanno date. Ricordo che tempo fa per una estensione in particolare, tra i commenti, se ne sconsigliava l'uso perchè conteneva uno spyware!!!

Per me sono problemi sottovalutati. E sarebbe un peccato far crollare la proverbiale robustezza linuxiana per queste cose.
Vai tranquillo così ... con un bel Norton Internet Security ... o Microsoft Vista ... sei in una botte di ferro .... e non ci pensi più ....

Ciao .... Smile

P.S. .... a quando alla prossima formattazione ???

P:P.S. Re: Provocazione !!
:lol:

La prossima formattazione di win sul mio note? Presto. Sarebbe ora, dopo 2,5 anni, di aprire il cd di ripristino... 8)

P.S. Tranquilli, sono ormai slackwarista quotidiano. :D

Avatar utente
Luci0
Staff
Staff
Messaggi: 3591
Iscritto il: lun 27 giu 2005, 0:00
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce
Località: Forte dei Marmi
Contatta:

Messaggio da Luci0 »

Ciao John ... a provocazione si risponde con provocazione ...

Comunque qui hai ragione
Johnn ha scritto: Un discorso simile, penso si possa fare sulle diffusissime estensioni di firefox, strumento molto versatile, comodo, ma imho molto pericoloso, almeno per come lo vedo gestito. Anche sul sito ufficiale, le estensioni (che addirittura sono in una pagina https), sono non certificate e praticamente sono come gli autori le hanno date. Ricordo che tempo fa per una estensione in particolare, tra i commenti, se ne sconsigliava l'uso perchè conteneva uno spyware!!!
Firefox per windows utilizzato a livello utente, può avere più problemi in quanto é noto che il sistema (non)opertivo più diffuso al mondo non riesce ad isolare perfettamente le utenze e qualche dll gira a livello Administrator. Con Linux nessuno si sognerebbe di andarsene a navigare cone utente root anche se per fare gli aggiornamenti Firefox prevede che si debba essere root per poter fare una cosa oscena del genere, cosa che ovviamente sconsiglio a tutti d fare ..... inutile fare delle patch di sicurezza se poi debbo espormi per poterle installare ... inoltre un conto é far aggiornare a mano slackware o debian con apt-get, un conto é farlo fare a Firefox che può avere montato delle estensioni non sicure ... !!!

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Messaggio da masalapianta »

Johnn ha scritto:
StormyMonday ha scritto:Ma se non hai alcun modo di accedere al codice sorgente (a prescindere dalle conoscenze in materia o meno) come fai ad essere sicuro che non escono informazioni a tua insaputa?
Ti fidi sulla parola di Bill? o delle sofware house?
Col software libero perlomeno hai la possibilità di verificare
Vero.

Ma come ho già detto, almeno io personalmente sono riuscito quantomeno a capire quando il programma xyz esce a mia insaputa e bloccarlo. Viceversa penso però che l'anello debole dell'insieme dei miei software "guardiani" di win è imho il firewall: lui potrebbe far uscire delle informazioni senza che gli altri controllori se ne possano accorgere.
scherzi? a parte che se il firewall gira sulla medesima macchina da controllare e' perfettamente inutile (perche' se non puoi fidarti manco del kernel della macchina e' abbastanza semplice far credere al firewall tutto quello che vuoi), ma anche se tu mettessi la macchina in questione dietro un'altra che fa da firewall, comunque non avresti modo di accorgerti di alcunche', perche' non ti aspetterai mica che se un produttore di software infila in un suo prodotto del codice che manda informazioni su di te da qualche parte, lo faccia contattando ip sospetti e mandando tutte le informazioni in chiaro nel payload del pacchetto vero? e se utilizzasse pacchetti appartenenti a connessioni lecite (tipo windows update o qualsiasi altra cosa simile) steganografando le informazioni nel payload del pacchetto, oppure utilizzando flag non usate degli header tcp (per dirne due , ma aivoglia a modi)? come te ne accorgi?
Queste cose su linux, ripeto, sono facilmente controllabili per il codice aperto, ma le difese, almeno le mie sono basse.
e' una tua scelta, invece con prodotti a codice chiuso questa scelta non ce l'hai
Se non erro (ma probabilemente sbaglio) addirittura iptables, per quanto molto potente, non permette un controllo delle connessioni a livello di applicazione, e questo imho non è una bella cosa.
fare content filter a layer 7 non dovrebbe esser compito d'un firewall (parlo di firewall veri, non di giocattoli per l'utenza desktop) se non in casi particolarissimi (e comunque la potenza di calcolo richiesta per fare questo tipo di controlli su troughput elevati non e' indifferente); btw su kernel recenti c'e' il modulo string di netfilter che fa esattamente quel che chiedi
Per me sono problemi sottovalutati. E sarebbe un peccato far crollare la proverbiale robustezza linuxiana per queste cose.
ripeto: non crolla nulla, e' comunque una scelta dell'utilizzatore, in base alle sue necessita', alla confidenzialita' dei dati da trattare e criticita' dei servizi da gestire

Avatar utente
albatros
Iper Master
Iper Master
Messaggi: 2093
Iscritto il: sab 4 feb 2006, 13:59
Kernel: 5.19.0
Desktop: gnome and lxqt
Distribuzione: ubuntu 22.04
Località: Darmstadt - Germania

Messaggio da albatros »

Cito johnn:
Ma la chiave md5 viene data dal produttore del software, o la genera chi pacchettizza?
Fare il controllo dell'md5 ti garantisce con ragionevole sicurezza che quello che hai in mano non abbia subito variazioni rispetto alla copia di cui è stato fatto l'md5sum, però se il sito da cui scarichi insieme la tua copia e l'md5 è stato compromesso ed è stato sostituito sia il sorgente che il suo md5 rimani fregato...
Puoi controllare da altre parti oppure aspettare alcuni giorni e ripetere il controllo sul sito ufficiale, supponendo che qualcuno nel frattempo si sia accorto della manomissione...
Controllare la firma ti dà maggiori garanzie perché ci si aspetta che la chiave privata non si trovi sul sito compromesso, rimane semmai il problema che sono relativamente poche (ma non pochissime) le chiavi veramente fidate, forse perché il sistema viene poco usato e i key signing party sono piuttosto rari...

masalapianta, che ne pensi? ( ubi maior, minor cessat :) )

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Messaggio da masalapianta »

albatros ha scritto: masalapianta, che ne pensi?
che utilizzando repository non ufficiali effettivamente, anche avendo modo di verificare le firme gpg sugli hash md5, non hai grosse garanzie (a meno di non conoscere chi gestisce il repository e fidarti di lui, come nel caso della comunita' di slacky.it); mentre utilizzando distro che offrono un vasto parco software tramite repository ufficiali (debian ad esempio) hai maggiori garanzie controllando le firme gpg sugli hash md5 (chi conosce la burocrazia interna a debian sa di che parlo; chi volesse diventare sviluppatore debian solo per infilare nella distro un pacchetto con backdoor ha vita difficile, la trafila e' luuunga, devi avere un altro debian developer che "garantisca per te", ecc..). Certo poi esiste sempre la possibilita' che qualcuno entri in possesso della chiave privata d'uno sviluppatore ma fintanto che distribuisci via rete nessuno puo' darti garanzie al 100% sui precompilati che installi

slackaddict
Linux 0.x
Linux 0.x
Messaggi: 27
Iscritto il: lun 3 mag 2004, 0:00

Messaggio da slackaddict »

per quanto riguarda quello che esce quando mi sento paranoico uso socklist, un'utility che ho trovato di default solo con slack
SOCKLIST(8) Linux System Manual

NAME
socklist - display list of open sockets

SYNOPSIS
socklist

DESCRIPTION
socklist is a Perl script that gives you a list of all open sockets, enumerating types, port, inode,
uid, pid, fd and the program to which it belongs.

OPTIONS
None.
btw, ci sono anche strumenti per fare le pulci ai sorgenti, tipo

http://www.dwheeler.com/flawfinder/

(in fondo alla pagina ci sono un sacco di links a strumenti simili e documentazione...)

Rispondi