Provocazione: ma ci fidiamo dei programmi che installiamo?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Johnn
Linux 0.x
Linux 0.x
Messaggi: 67
Iscritto il: sab 28 apr 2007, 18:53
Slackware: current
Kernel: 2.6.29.4
Desktop: kde 4.2.4

Messaggio da Johnn »

masalapianta ha scritto:
Johnn ha scritto: scherzi? a parte che se il firewall gira sulla medesima macchina da controllare e' perfettamente inutile (perche' se non puoi fidarti manco del kernel della macchina e' abbastanza semplice far credere al firewall tutto quello che vuoi), ma anche se tu mettessi la macchina in questione dietro un'altra che fa da firewall, comunque non avresti modo di accorgerti di alcunche', perche' non ti aspetterai mica che se un produttore di software infila in un suo prodotto del codice che manda informazioni su di te da qualche parte, lo faccia contattando ip sospetti e mandando tutte le informazioni in chiaro nel payload del pacchetto vero? e se utilizzasse pacchetti appartenenti a connessioni lecite (tipo windows update o qualsiasi altra cosa simile) steganografando le informazioni nel payload del pacchetto, oppure utilizzando flag non usate degli header tcp (per dirne due , ma aivoglia a modi)? come te ne accorgi?
Per quanto riguarda me, parlo sempre di sistemi desktop dietro router commerciali. Il firewall software che ho su win non lo considero inutile (attenzione non è il firewall di windows!!!). Mi avvisa di ogni connessione in uscita anche su porte ovviamente aperte, tipo la 80. Il firewall del mio router non è in grado di far ciò. Per il discorso che non mi fido del firewall, cosa molto paranoica :D , mi riferivo al fatto che lui fosse difficile da controllare.

Del Kernel di win non ci possiamo fidare perché chiuso, è vero. Sicuramente farà i comodi suoi, ma dopo quelli, non penso che "collabori" deliberatamente con gli scrittori di codice malevolo. Da quel punto di vista lo ritengo sicuro e mi fido. Anche perché quel kernel gira anche su molti server, per anni, e se ci fosse qualcosa di sospetto, penso si capirebbe ad un certo punto, anche con il sorgente chiuso.

Per iptables, interessante, mi documenterò.


Per slackaddict, bello Socklist!!! Appena provato ho visto che un paio di porte erano di nuovo aperte dopo gli ultimi aggiornamenti, tipo la 6000, per chi come me se ne fosse dimenticato.

Grazie a tutti per gli interventi!

Johnn
Linux 0.x
Linux 0.x
Messaggi: 67
Iscritto il: sab 28 apr 2007, 18:53
Slackware: current
Kernel: 2.6.29.4
Desktop: kde 4.2.4

Messaggio da Johnn »

Un'ultima cosa su firefox. cercando su google "firefox" escono ai primi posti diversi siti che da una parte sembrano ufficiali, da un altra ne sono troppi e diversi!!! Ma è normale?!

Avatar utente
albatros
Iper Master
Iper Master
Messaggi: 2093
Iscritto il: sab 4 feb 2006, 13:59
Kernel: 5.19.0
Desktop: gnome and lxqt
Distribuzione: ubuntu 22.04
Località: Darmstadt - Germania

Messaggio da albatros »

Può darsi che in alcuni casi siano dei mirror...
Io partirei comunque solo da siti fidati, es. quello ufficiale http://www.mozilla.org (partendo dal quale ho trovato: http://www.mozilla-europe.org/it/ ).

Per quanto riguarda il kernel di win, a parte il fatto che non sai di preciso che cosa comunichi alla microsoft quando si collega con la casa madre, sono d'accordo con te che la microsoft difficilmente sia in combutta con qualche "malintenzionato" , tuttavia ci può essere qualche baco di cui la microsoft non si è accorta o che ha indugiato a correggere, in un software a sorgente aperto è più probabile che i difetti gravi di sicurezza vengano individuati e corretti con maggiore anticipo.

E sei proprio sicuro che non siano state inserite delle backdoor apribili in caso di necessità da qualche parte ? O qualche spyware o magari un keylogger?
Altamente improbabile? Paranoico?
Sono d'accordo, però con il software chiuso il discorso non è tanto che ti puoi fidare, ma che ti devi fidare, perché non hai modo di controllare i sorgenti...
Magari non c'è nulla di malizioso, ma ci può essere codice scritto male...
Se io domani rilascio un software chiuso di protezione dei dati con un algoritmo inventato da me che è una specie di cifrario di Cesare e ti garantisco che il software non contiene codice malizioso, tu ti puoi anche fidare e puoi anche avere ragione a farlo, perché davvero io ti ho dato un programma che fa solo quello che ti dico, però il programma in sé resta una schifezza perché, anche se scritto onestamente, non è intrinsecamente sicuro anche se magari io che te l'ho venduto ingenuamente penso che lo sia.
Se avessi invece rilasciato il programma con codice aperto nel giro di poco qualcuno avrebbe segnalato l'inaffidabilità del programma.
E' chiaro che i programmatori della Microsoft non sono degli sprovveduti, ma nemmeno sono esenti da errori, così come gli sviluppatori che rilasciano con licenze libere, solo che più persone controllano e meglio è.
Senza contare il grande vantaggio che con il software libero i sorgenti li puoi modificare a tuo piacimento...

Johnn
Linux 0.x
Linux 0.x
Messaggi: 67
Iscritto il: sab 28 apr 2007, 18:53
Slackware: current
Kernel: 2.6.29.4
Desktop: kde 4.2.4

Messaggio da Johnn »

Non ho mai messo in dubbio o criticato i vantaggi del software libero! :icon_smile:

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Messaggio da masalapianta »

Johnn ha scritto: Del Kernel di win non ci possiamo fidare perché chiuso, è vero. Sicuramente farà i comodi suoi, ma dopo quelli, non penso che "collabori" deliberatamente con gli scrittori di codice malevolo.
"scrittori di codice malevolo"? scusa ma che c'entra? a me non interessa con chi collabori, mi basta sapere che non so cosa faccia e che quindi potrebbe fare qualsiasi cosa, il resto son chiacchiere
Da quel punto di vista lo ritengo sicuro e mi fido. Anche perché quel kernel gira anche su molti server, per anni, e se ci fosse qualcosa di sospetto, penso si capirebbe ad un certo punto, anche con il sorgente chiuso.
quale parte di
"anche se tu mettessi la macchina in questione dietro un'altra che fa da firewall, comunque non avresti modo di accorgerti di alcunche', perche' non ti aspetterai mica che se un produttore di software infila in un suo prodotto del codice che manda informazioni su di te da qualche parte, lo faccia contattando ip sospetti e mandando tutte le informazioni in chiaro nel payload del pacchetto vero? e se utilizzasse pacchetti appartenenti a connessioni lecite (tipo windows update o qualsiasi altra cosa simile) steganografando le informazioni nel payload del pacchetto, oppure utilizzando flag non usate degli header tcp (per dirne due , ma aivoglia a modi)? come te ne accorgi?"
non hai capito?
per portare un esempio pratico di cio che ti dico tieni conto che la backdoor in interbase e' uscita fuori solo nel momento in cui son stati pubblicati i sorgenti, prima non se ne era accorto nessuno, fai te...

Johnn
Linux 0.x
Linux 0.x
Messaggi: 67
Iscritto il: sab 28 apr 2007, 18:53
Slackware: current
Kernel: 2.6.29.4
Desktop: kde 4.2.4

Messaggio da Johnn »

masalapianta ha scritto:
Johnn ha scritto: Del Kernel di win non ci possiamo fidare perché chiuso, è vero. Sicuramente farà i comodi suoi, ma dopo quelli, non penso che "collabori" deliberatamente con gli scrittori di codice malevolo.
"scrittori di codice malevolo"? scusa ma che c'entra? a me non interessa con chi collabori, mi basta sapere che non so cosa faccia e che quindi potrebbe fare qualsiasi cosa, il resto son chiacchiere
Da quel punto di vista lo ritengo sicuro e mi fido. Anche perché quel kernel gira anche su molti server, per anni, e se ci fosse qualcosa di sospetto, penso si capirebbe ad un certo punto, anche con il sorgente chiuso.
quale parte di
"anche se tu mettessi la macchina in questione dietro un'altra che fa da firewall, comunque non avresti modo di accorgerti di alcunche', perche' non ti aspetterai mica che se un produttore di software infila in un suo prodotto del codice che manda informazioni su di te da qualche parte, lo faccia contattando ip sospetti e mandando tutte le informazioni in chiaro nel payload del pacchetto vero? e se utilizzasse pacchetti appartenenti a connessioni lecite (tipo windows update o qualsiasi altra cosa simile) steganografando le informazioni nel payload del pacchetto, oppure utilizzando flag non usate degli header tcp (per dirne due , ma aivoglia a modi)? come te ne accorgi?"
non hai capito?
per portare un esempio pratico di cio che ti dico tieni conto che la backdoor in interbase e' uscita fuori solo nel momento in cui son stati pubblicati i sorgenti, prima non se ne era accorto nessuno, fai te...
Allora, ho capito che se il kernel vuole uscire può farlo e non ci sono metodi per fermarlo, nè per accorgersene.

Ho capito anche che se un programma, il quale normalmente ha bisogno della rete per il suo normale funzionamento, include in qualche modo codice malevolo, non si può fermarlo con un firewall.

Ma in ambito domestico, dove i pericoli maggiori vangono da virus, trojan, keylogger, frutto di attacchi non mirati, io sotto win mi sento ragionevolmente sicuro. Se qualche programma si installa a mia insaputa e tenta di uscire mi viene segnalato. Se qualsiasi programma richiede una connessione su una certa porta mi viene segnalato.

Non contesto il fatto che tecnicamente sia impossibile comunicare delle informazioni all'esterno ad insaputa dell'utente.

Il mio quesito iniziale mirava ad approfondire la situazione sotto gnu/linux. Non mi pare che si possa vivere con l'unica certezza:

"Il software è libero, vedo i sorgenti allora sto tranquillo."

Si potrebbe rivelare un boomerang.
Perché con comportamenti neanche troppo sconsiderati, nel proprio sistema può entrare di tutto ugualmente: l'installare programmi pacchettizzati è una cosa molto diffusa, di nuovo, le estensioni, ecc. Per questo le difese devono comunque essere alte anche con il pinguino e mi pare di avere avuto conferma di ciò.

Sinceramente mi pare anche troppo facile inserire un keylogger in un programma "goloso" già pronto da installare, magari per distribuzioni di massa dove l'utenza media è inesperta e a cui gli è stato detto:

"Tranquillo! Sotto linux l'antivirus non serve e il firewall è nel kernel!" (Cose vere, ma fuorvianti e incomplete, a questo punto).

E neanche si può pensare che tutto il mondo gnu/linux sia fatto da persone oneste, e i cattivi sono solo a Seattle e dintorni...

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Messaggio da masalapianta »

Johnn ha scritto: Ma in ambito domestico, dove i pericoli maggiori vangono da virus, trojan, keylogger, frutto di attacchi non mirati, io sotto win mi sento ragionevolmente sicuro.
ma chi l'ha detto che "i pericoli maggiori vengono ecc.."? proprio perche' essendo tutto chiuso non puoi sapere con sicurezza cosa entra e cosa esce, le uniche cose che si vedono son quelle che citi, ma di tutto il resto non sai nulla e quindi non puoi sapere quanto e in che misura i tuoi dati siano al sicuro
Se qualche programma si installa a mia insaputa e tenta di uscire mi viene segnalato. Se qualsiasi programma richiede una connessione su una certa porta mi viene segnalato.
ripeto: presumi che il problema sia nel malware da te elencato ma non e' detto che sia cosi'
Il mio quesito iniziale mirava ad approfondire la situazione sotto gnu/linux. Non mi pare che si possa vivere con l'unica certezza:

"Il software è libero, vedo i sorgenti allora sto tranquillo."
non capisco cosa intendi con "vivere con l'unica certezza"; il fatto che il codice sia aperto ti permette non solo di fare auditing e patching ma anche di verificare che non ci siano backdoor
Si potrebbe rivelare un boomerang.
cioe' poter verificare il codice e' un problema per la sicurezza?
Perché con comportamenti neanche troppo sconsiderati, nel proprio sistema può entrare di tutto ugualmente: l'installare programmi pacchettizzati è una cosa molto diffusa, di nuovo, le estensioni, ecc. Per questo le difese devono comunque essere alte anche con il pinguino e mi pare di avere avuto conferma di ciò.
e questo che c'entra con il fatto che il codice e' aperto?? questi son problemi che ci possono essere a prescindere dal fatto che il codice sia aperto o chiuso, son problemi che hai indifferentemente su qualunque OS, quindi ai fini del discorso che c'entra?
Sinceramente mi pare anche troppo facile inserire un keylogger in un programma "goloso" già pronto da installare, magari per distribuzioni di massa dove l'utenza media è inesperta e a cui gli è stato detto:

"Tranquillo! Sotto linux l'antivirus non serve e il firewall è nel kernel!" (Cose vere, ma fuorvianti e incomplete, a questo punto).
e' molto raro che qualcuno si installi precompilati che non siano quelli della propria distro o alla peggio di un repository non ufficiale ma fidato (tipo slacky.it); quindi questo su gnu/linux e' un problema quasi irrilevante; inoltre, potendo fidarmi del mio kernel space, ho la certezza di essere in grado di beccare un programma che va a leggere dati che non deve leggere, posso fidarmi di quel che vedo mettendolo sotto ptrace o con qualsiasi altra tecnica d'analisi; su un sistema chiuso no, quello che so e' quello che il kernel decide che posso sapere (che non e' detto coincida con la realta' o che sia tutta la realta')
E neanche si può pensare che tutto il mondo gnu/linux sia fatto da persone oneste, e i cattivi sono solo a Seattle e dintorni...
ok, puoi farmi esempi di quanto affermi o parliamo d'aria fritta? le volte che son successe cose simili si contano sulle dita d'una mano, quando qualche cracker e' riuscito a entrare nel repository ufficiale d'un qualche software (uno degli ultimi casi mi pare coinvolse sendmail) e sostituirlo con una versione con backdoor, ma in tutti i casi la cosa e' durata massimo qualche giorno o poche ore (quindi all'atto pratico un non problema), mentre con roba chiusa te ne puoi accorgere anche dopo anni o non accorgertene affatto (vedi esempio precedente su interbase)

Avatar utente
albatros
Iper Master
Iper Master
Messaggi: 2093
Iscritto il: sab 4 feb 2006, 13:59
Kernel: 5.19.0
Desktop: gnome and lxqt
Distribuzione: ubuntu 22.04
Località: Darmstadt - Germania

Messaggio da albatros »

Se qualche programma si installa a mia insaputa e tenta di uscire mi viene segnalato. Se qualsiasi programma richiede una connessione su una certa porta mi viene segnalato.
Beh, queste sono cose che puoi fare anche con linux e in maniera forse anche più raffinata. Comunque è piuttosto difficile che un programma si installi a tua insaputa, soprattutto con le distribuzioni poco automatizzate e se non accedi come root...

Sul fatto che usare linux non ti metta automaticamente al riparo da qualsiasi pericolo sono d'accordo... Nel momento in cui puoi amministrare il computer i rischi ci sono senz'altro, è come andare a giro in una macchina con abs, gomme speciali, cinture, airbag e tutto il resto per la sicurezza e pretendere di non farsi nulla anche sfondando a 200 all'ora un guard-rail sull'autostrada e volando sotto a un viadotto... Se uno installa senza un minimo di senso critico tutto quello che trova in rete è chiaro che può compromettere irrimediabilmente la sicurezza, potrebbe benissimo installare anche un kernel deliberatamente compromesso... La maggiore libertà che hai può allora rivelarsi un grande pericolo... Ma è l'atteggiamento dell'utente allora che non va, non il sistema in sé... E' come scegliere una chiave a 4096 bit per cifrare un documento che non vuoi far vedere ai colleghi, metterla in un dischetto e abbandonare il tutto sulla scrivania: è chiaro che a quel punto è meglio una chiave anche solo di 16bit ma tenuta nascosta, tanto nel primo caso è come se non avessi cifrato il documento...
Il fatto di avere i sorgenti è un notevolissimo vantaggio per la sicurezza, ma lo è se li guardi o ti assicuri che la copia che hai sia uguale a quella che qualcun altro ha verificato per te, altrimenti è come se non sfruttassi affatto questo vantaggio.
Però se questo vantaggio viene sfruttato, resto del parere che sia preferibile un sistema libero piuttosto che uno chiuso.

Non è che sia contrario all'uso di software closed in ogni circostanza: laddove non ci siano problemi di sicurezza o di affidabilità verificabile dei risultati posso preferire un software con prestazioni migliori o più rispondente alle mie esigenze, anche se non è libero, come Maple per visualizzare l'andamento di qualche eq. differenziale o i driver Nvidia per l'accelerazione della scheda video. Nel primo caso è comunque un software che gira in user-space, per i driver Nvidia si tratta di un modulo del kernel, ma ho considerato che i rischi, nel mio caso, siano ragionevolmente inferiori ai benefici, considerato che hanno un fine ben preciso, che non ho documenti riservati nel pc e che il sistema rimane comunque controllabile nel complesso, certo non li userei su server di rete...

Avatar utente
albatros
Iper Master
Iper Master
Messaggi: 2093
Iscritto il: sab 4 feb 2006, 13:59
Kernel: 5.19.0
Desktop: gnome and lxqt
Distribuzione: ubuntu 22.04
Località: Darmstadt - Germania

Messaggio da albatros »

E neanche si può pensare che tutto il mondo gnu/linux sia fatto da persone oneste, e i cattivi sono solo a Seattle e dintorni...
Non ho l'esperienza e le conoscenze sufficienti per dare una risposta autorevole e adeguatamente documentata, facciamo pure l'ipotesi neutrale che "i cattivi" siano al 50% dall'una e dall'altra parte...
Però, se dovessi fissare un appuntamento con una persona che potrebbe volermi uccidere, preferirei farlo non nel bar più frequentato e rinomato della città, ma in una spiaggia di nudisti, dove è molto più facile vedere se qualcuno va a giro armato oppure no... ;)

Johnn
Linux 0.x
Linux 0.x
Messaggi: 67
Iscritto il: sab 28 apr 2007, 18:53
Slackware: current
Kernel: 2.6.29.4
Desktop: kde 4.2.4

Messaggio da Johnn »

masalapianta ha scritto: non capisco cosa intendi con "vivere con l'unica certezza"; il fatto che il codice sia aperto ti permette non solo di fare auditing e patching ma anche di verificare che non ci siano backdoor
cioe' poter verificare il codice e' un problema per la sicurezza?
e questo che c'entra con il fatto che il codice e' aperto?? questi son problemi che ci possono essere a prescindere dal fatto che il codice sia aperto o chiuso, son problemi che hai indifferentemente su qualunque OS, quindi ai fini del discorso che c'entra?
L'errore secondo me è nel ragionamento:

"il codice è aperto lo controllo sono sicuro di quello che fa" (lo ritengo vero e qui non ci sono problemi)
questo implica
"scarico il programma come pacchetto o in qualche altra forma già pronta (cioè l'utente NON compila codice sorgente)"
"non corro rischi perchè ho visto il sorgente ed è ok!"

E chi garantisce che il pacchetto non differisca per un paio di righe di codice? Nessuno (a parte l'md5, ma aggirabile)!!! Solo la fiducia che si nutre nei confronti di chi pacchettizza! Di nuovo si torna su un piano di "fiducia" come per il software chiuso, con la differenza, almeno per me, che con quest'ultimo sto sempre all'erta (che non significa necessariamente difendersi o accorgersi di qualcosa e siamo d'accordo), mentre con il primo non mi ponevo il problema (ma penso che sia una cosa comune a molti utenti, certo non a tutti).
e' molto raro che qualcuno si installi precompilati che non siano quelli della propria distro o alla peggio di un repository non ufficiale ma fidato (tipo slacky.it); quindi questo su gnu/linux e' un problema quasi irrilevante;
Non sono d'accordo. Penso che capiti molto più che "raramente".
inoltre, potendo fidarmi del mio kernel space, ho la certezza di essere in grado di beccare un programma che va a leggere dati che non deve leggere, posso fidarmi di quel che vedo mettendolo sotto ptrace o con qualsiasi altra tecnica d'analisi; su un sistema chiuso no, quello che so e' quello che il kernel decide che posso sapere (che non e' detto coincida con la realta' o che sia tutta la realta')
Su questo sono perfettamente d'accordo ed è il punto a cui volevo arrivare.
ok, puoi farmi esempi di quanto affermi o parliamo d'aria fritta? le volte che son successe cose simili si contano sulle dita d'una mano, quando qualche cracker e' riuscito a entrare nel repository ufficiale d'un qualche software (uno degli ultimi casi mi pare coinvolse sendmail) e sostituirlo con una versione con backdoor, ma in tutti i casi la cosa e' durata massimo qualche giorno o poche ore (quindi all'atto pratico un non problema), mentre con roba chiusa te ne puoi accorgere anche dopo anni o non accorgertene affatto (vedi esempio precedente su interbase)
Quindi pensi che tutte le persone che girano intorno al software libero siano oneste e senza cattivi propositi? Tra queste non c'è neanche uno a cui gli è venuto in mente, o gli verrà in mente, di rubare i numeri di carte di credito? Sarebbe la prima comunità di persone di una certa dimensione costituita da solo onesti nella storia dell'uomo!!! Esempi sinceramente non ne conosco, come ho già detto, ma non significa niente.
albatros ha scritto: Sul fatto che usare linux non ti metta automaticamente al riparo da qualsiasi pericolo sono d'accordo... Nel momento in cui puoi amministrare il computer i rischi ci sono senz'altro, è come andare a giro in una macchina con abs, gomme speciali, cinture, airbag e tutto il resto per la sicurezza e pretendere di non farsi nulla anche sfondando a 200 all'ora un guard-rail sull'autostrada e volando sotto a un viadotto... Se uno installa senza un minimo di senso critico tutto quello che trova in rete è chiaro che può compromettere irrimediabilmente la sicurezza, potrebbe benissimo installare anche un kernel deliberatamente compromesso... La maggiore libertà che hai può allora rivelarsi un grande pericolo... Ma è l'atteggiamento dell'utente allora che non va, non il sistema in sé... E' come scegliere una chiave a 4096 bit per cifrare un documento che non vuoi far vedere ai colleghi, metterla in un dischetto e abbandonare il tutto sulla scrivania: è chiaro che a quel punto è meglio una chiave anche solo di 16bit ma tenuta nascosta, tanto nel primo caso è come se non avessi cifrato il documento...
Il fatto di avere i sorgenti è un notevolissimo vantaggio per la sicurezza, ma lo è se li guardi o ti assicuri che la copia che hai sia uguale a quella che qualcun altro ha verificato per te, altrimenti è come se non sfruttassi affatto questo vantaggio.
Però se questo vantaggio viene sfruttato, resto del parere che sia preferibile un sistema libero piuttosto che uno chiuso.
Sono perfettamente d'accordo quasi su tutto!!! Come spessimo accade le falle di sicurezza sono nelle persone e nei loro comportamenti. Ho sollevato il problema perché nel corso del tempo ho avuto l'impressione che troppa gente si sentisse immortale solo per l'abs e le cinture allacciate!!!

L'unica cosa su cui sono perplesso è che penso che per rischiare non si debba per forza scaricare loghi e suonerie da un sito .tw da root. Basta molto meno.

Avatar utente
albatros
Iper Master
Iper Master
Messaggi: 2093
Iscritto il: sab 4 feb 2006, 13:59
Kernel: 5.19.0
Desktop: gnome and lxqt
Distribuzione: ubuntu 22.04
Località: Darmstadt - Germania

Messaggio da albatros »

Cito johnn:
Citazione:

e' molto raro che qualcuno si installi precompilati che non siano quelli della propria distro o alla peggio di un repository non ufficiale ma fidato (tipo slacky.it); quindi questo su gnu/linux e' un problema quasi irrilevante;

Non sono d'accordo. Penso che capiti molto più che "raramente".
Non ho cifre in mano e non posso fare statistiche, solo supposizioni che lasciano il tempo che trovano.
Mi preme solo sottolineare che la sicurezza è un processo, non un prodotto (come ha detto prima di me Bruce Schneier), se uno si comporta in maniera irresponsabile anche le migliori misure di sicurezza possono venire meno...
Se tu accetti di installare software dalle fonti più disparate e inaffidabili il sistema non ti può proteggere...
Ogni sistema ha delle modalità di utilizzo, i vantaggi che si hanno nell'usare un sistema aperto possono rapidamente venire meno se lo si fa in maniera inappropriata, ma il difetto è nell'uso, non nel sistema in sé.

Se tu verifichi la firma digitale di chi ti ha fornito il sorgente e verifichi regolarmente gli md5
puoi essere abbastanza tranquillo di non avere software contraffatto. E' vero che chi ti fornisce il software potrebbe inserire codice malevolo, tipo una backdoor, ma nel giro di poco qualcuno se ne accorgerebbe e l'autore verrebbe scoperto.
Se non ti fidi dei pacchettizzatori puoi controllare lo slackbuild e ricompilartelo da solo.
E' chiaro che di qualcuno alla fine ti devi fidare, non fossero altro che i produttori di hardware integrato, ma più persone hanno la possibilità di controllare, più sono numerosi gli strumenti di controllo a disposizione, più è difficile che siano tutti concordi nel fare "qualcosa di cattivo" e che perdipiù riescano a farlo senza essere scoperti in tempi brevi da altri ancora.

masalapianta evidenziava poi come il problema possa sorgere ancora prima, perché le stesse grandi aziende di software chiuso possono portare avanti pratiche poco corrette senza che uno lo sappia, cosa che non avviene con linux dove parti con un sistema di base affidabile e controllabile.
Esempio il caso di sony bmg:
http://punto-informatico.it/p.aspx?i=56151
http://www.interlex.it/copyright/esposto.htm

Se mi dici che ci può essere un problema di falsa sicurezza dovuta ad un approccio sbagliato per motivi psicologici o di ignoranza sono d'accordo, ma allora è come andare a giro in moto col casco slacciato...
Senza contare che di default una distribuzione ben controllata senza nessun pacchetto esterno aggiunto come debian stable sai che cosa fa o puoi esaminarla tu pezzo a pezzo , windows vista no.
L'unica cosa su cui sono perplesso è che penso che per rischiare non si debba per forza scaricare loghi e suonerie da un sito .tw da root. Basta molto meno.
In larga parte mi sembra che siamo d'accordo, ma secondo me tu sovrastimi di qualche ordine di grandezza i rischi connessi nell'installare software aperto di cui conosci ed hai verificato l'origine.

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Messaggio da masalapianta »

Johnn ha scritto: L'errore secondo me è nel ragionamento:

"il codice è aperto lo controllo sono sicuro di quello che fa" (lo ritengo vero e qui non ci sono problemi)
questo implica
"scarico il programma come pacchetto o in qualche altra forma già pronta (cioè l'utente NON compila codice sorgente)"
"non corro rischi perchè ho visto il sorgente ed è ok!"

E chi garantisce che il pacchetto non differisca per un paio di righe di codice? Nessuno (a parte l'md5, ma aggirabile)!!! Solo la fiducia che si nutre nei confronti di chi pacchettizza! Di nuovo si torna su un piano di "fiducia" come per il software chiuso
no e' molto differente, se qualche distributore inserisce backdoor in un precompilato non e' cosi' difficile sgamarlo (compili i sorgenti con le stesse librerie, lo stesso compilatore, ecc.. e poi confronti i binari), mentre con software chiuso e' difficilissimo sgamare una backdoor
con la differenza, almeno per me, che con quest'ultimo sto sempre all'erta
ma che significa stare all'erta? ripeto che e' difficilissimo scovare una backdoor in un software chiuso e ancor piu' difficile avere un sistema sicuro se non puoi fidarti del tuo kernel space
(che non significa necessariamente difendersi o accorgersi di qualcosa e siamo d'accordo)
e allora se siamo daccordo evita di puntualizzare che "stai all'erta" visto che non ha senso in questo contesto
e' molto raro che qualcuno si installi precompilati che non siano quelli della propria distro o alla peggio di un repository non ufficiale ma fidato (tipo slacky.it); quindi questo su gnu/linux e' un problema quasi irrilevante;
Non sono d'accordo. Penso che capiti molto più che "raramente".
puoi fare degli esempi di pacchetti precompilati non provenienti dal distributore ufficiale ne da uno fidato, e che vengono installati dagli utenti in maniera diffusa (quindi non raramente)? oppure continuiamo a parlare d'aria fritta?
ok, puoi farmi esempi di quanto affermi o parliamo d'aria fritta? le volte che son successe cose simili si contano sulle dita d'una mano, quando qualche cracker e' riuscito a entrare nel repository ufficiale d'un qualche software (uno degli ultimi casi mi pare coinvolse sendmail) e sostituirlo con una versione con backdoor, ma in tutti i casi la cosa e' durata massimo qualche giorno o poche ore (quindi all'atto pratico un non problema), mentre con roba chiusa te ne puoi accorgere anche dopo anni o non accorgertene affatto (vedi esempio precedente su interbase)
Quindi pensi che tutte le persone che girano intorno al software libero siano oneste e senza cattivi propositi? Tra queste non c'è neanche uno a cui gli è venuto in mente, o gli verrà in mente, di rubare i numeri di carte di credito? Sarebbe la prima comunità di persone di una certa dimensione costituita da solo onesti nella storia dell'uomo!!! Esempi sinceramente non ne conosco, come ho già detto, ma non significa niente.
ROTFL! :lol: :lol: :lol: , quello che affermi e' abbastanza grave, fai illazioni gratuite e generiche sull'onesta' di alcune persone che sviluppano software libero e non ti degni neanche di portare esempi? Se hai degli esempi, fuori i nomi, altrimenti evita di spalare fango gratuitamente (e continuando a parlare d'aria fritta)
L'unica cosa su cui sono perplesso è che penso che per rischiare non si debba per forza scaricare loghi e suonerie da un sito .tw da root. Basta molto meno.
si ma di cosa parliamo? porta esempi, perche' dall'inizio del thread non hai portato neanche una che sia una argomentazione supportata da fatti concreti

Johnn
Linux 0.x
Linux 0.x
Messaggi: 67
Iscritto il: sab 28 apr 2007, 18:53
Slackware: current
Kernel: 2.6.29.4
Desktop: kde 4.2.4

Messaggio da Johnn »

masalapianta ha scritto: ROTFL! :lol: :lol: :lol: , quello che affermi e' abbastanza grave, fai illazioni gratuite e generiche sull'onesta' di alcune persone che sviluppano software libero e non ti degni neanche di portare esempi? Se hai degli esempi, fuori i nomi, altrimenti evita di spalare fango gratuitamente (e continuando a parlare d'aria fritta)
si ma di cosa parliamo? porta esempi, perche' dall'inizio del thread non hai portato neanche una che sia una argomentazione supportata da fatti concreti
Ripeto, esempi non ne ho: l'ho detto fin dal primo post. Non ho spalato fango su nessuno.

Mi pare però utopistico pensare che tutte, ma proprio tutte, le persone che in qualche modo trattano software libero siano tutte rette e senza tentazioni. Poi ognuno è libero di pensarla come vuole ed agire di conseguenza.

La mia domanda iniziale non la trovo campata in aria, anche perché se ci sono, come ci sono, degli strumenti di sicurezza (es. l'md5) forse un potenziale problema ci potrebbe essere, poi mi sbaglierò. Nella discussione penso ci siano sufficienti elementi per farsi un'idea.

Comunque non era e non è mia intenzione scatenare flame.

Avatar utente
albatros
Iper Master
Iper Master
Messaggi: 2093
Iscritto il: sab 4 feb 2006, 13:59
Kernel: 5.19.0
Desktop: gnome and lxqt
Distribuzione: ubuntu 22.04
Località: Darmstadt - Germania

Messaggio da albatros »

Comunque non era e non è mia intenzione scatenare flame.
Per carità, le fiamme lasciamole fare ora che ci avviciniamo all'estate e al caldo! :D

La discussione è interessante, sarebbe un peccato che si sciupasse, anche se credo che parecchie cose ormai siano già state dette...

Anch'io non credo che tutti quelli che aderiscono al software libero siano necessariamente buoni, però è il sistema che è poco adatto per ingannare gli utenti, è come mettersi nelle condizioni di un baro che gioca a poker nudo con una telecamera che lo riprende alle spalle...
L'md5 ti garantisce solo l'autenticità di un sorgente, non ti garantisce che il sorgente non contenga codice malevolo, però il sorgente lo puoi esaminare ed è a quel punto molto facile capire se ci siano secondi fini e di chi sia la responsabilità.

Forse tu proponi il caso di uno che scriva software a sorgenti aperti con codice malevolo magari non proprio evidente e che questo realizzi delle truffe, delle intrusioni o delle sottrazioni di dati prima che qualcuno si accorga della pericolosità del programma: può essere che qualcuno all'inizio ci caschi, ma sarebbero casi circoscritti, i programmi che vengono inseriti nelle distribuzioni serie vengono controllati, quindi potrebbe esserne colpito solo un numero limitato di persone. Una volta scoperto, poi, l'autore avrebbe pochi strumenti per difendersi, i sorgenti sarebbero la prova della sua colpevolezza.
La vita grama di chi scrive programmi maliziosi open source è confermata dalla scarsità di esempi da esibire, personalmente non ne conosco nessuno, magari ci saranno, ma il fatto che non ne abbia mai sentito parlare mi induce a pensare o che io sia un grande ignorante o che l'impatto di programmi a sorgente aperto malevoli sia sempre stato limitato.

Può darsi che, con la maggiore diffusione di linux, vi sia anche un numero maggiore di utenti disposti a installare da root il primo programma che trovano su un sito sconosciuto, ma è un problema loro, non del sistema in sé, è come se, col fatto che oggi le macchine sono più sicure che in passato, si ritenesse non necessaria la patente.

Il caso di un server compromesso l'abbiamo già visto e non lo riprenderò, firme e md5 sono una forma di tutela ragionevole ed efficace.

Si tratta ovviamente di una discutibile opinione, tuttavia personalmente ritengo potenzialmente peggiore la situazione del software chiuso, in particolare quando neanche il sistema operativo, che dovrebbe essere l'elemento più affidabile, sai come si comporti realmente.
Non discuto sulla necessità o meno di usare software chiuso, sulle questioni di gusto per l'interfaccia utente, sulle prestazioni, sui costi, sulle funzionalità offerte, eccetera, dipende da caso a caso, però, rifacendomi al tema del post, ovvero se ci possiamo fidare dei programmi che installiamo, mi pare che generalmente ci si possa fidare molto di più del software aperto che di quello chiuso. :)

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Messaggio da masalapianta »

Johnn ha scritto: Ripeto, esempi non ne ho: l'ho detto fin dal primo post.
abbi pazienza ma allora di cosa stiamo parlando? non chiedo prove ma almeno qualche esempio di quel che affermi, altrimenti parli davvero dell'aria fritta
Non ho spalato fango su nessuno.
ti cito: "Quindi pensi che tutte le persone che girano intorno al software libero siano oneste e senza cattivi propositi? Tra queste non c'è neanche uno a cui gli è venuto in mente, o gli verrà in mente, di rubare i numeri di carte di credito? Sarebbe la prima comunità di persone di una certa dimensione costituita da solo onesti nella storia dell'uomo!!!"
questo a casa mia si chiama spalare fango facendo illazioni gratuite (e non circostanziate) sull'onesta' di persone appartenenti ad un dato gruppo
Mi pare però utopistico pensare che tutte, ma proprio tutte, le persone che in qualche modo trattano software libero siano tutte rette e senza tentazioni. Poi ognuno è libero di pensarla come vuole ed agire di conseguenza.
non importa cosa e' utopistico o meno, quel che importa e' che prima di are illazioni gratuite sull'onesta' altrui tu abbia in mano almeno solide prove; altrimenti e' meglio tacere
La mia domanda iniziale non la trovo campata in aria
e' campata in aria e te l'ho dimostrato piu' volte portando esempi circostanziati
, anche perché se ci sono, come ci sono, degli strumenti di sicurezza (es. l'md5) forse un potenziale problema ci potrebbe essere, poi mi sbaglierò. Nella discussione penso ci siano sufficienti elementi per farsi un'idea.
strumenti come l'md5 e le firme digitali sui file md5 ci sono per accorgersi facilmente di un'eventuale compromissione (e sostituzione dei pacchetti) di qualche repository; ma come ti ho gia spiegato queste eventualita' anche se si verificano sono quasi irrilevanti in quanto ci si accorge subito della cosa
Comunque non era e non è mia intenzione scatenare flame.
bhe la prossima volta che non vuoi scatenare flame un ottimo sistema e' evitare di far illazioni gratuite sull'onesta' altrui (non so perche' ma solitamente questo tipo di cose generano flame, strano eh?)

Rispondi