Repository 32bit  Forum
Repository 64bit  Wiki

Provocazione: ma ci fidiamo dei programmi che installiamo?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Messaggioda Johnn » mar mag 08, 2007 22:26

albatros ha scritto:Anch'io non credo che tutti quelli che aderiscono al software libero siano necessariamente buoni, però è il sistema che è poco adatto per ingannare gli utenti, è come mettersi nelle condizioni di un baro che gioca a poker nudo con una telecamera che lo riprende alle spalle...


Piccolo OT: tempo fa vidi su youtube o simile una prestigiatrice forse tedesca, la quale faceva una magia (tipo far sparire un fazzoletto o qualcosa per cui uno pensa: "Sarà nella manica...") ripentendola ogni volta che si toglieva qualche indumento. Alla fine è rimasta completamente nuda (ma proprio completamente!) e continuava a fare la magia!!! Peccato che non salvai il link... :D

L'md5 ti garantisce solo l'autenticità di un sorgente, non ti garantisce che il sorgente non contenga codice malevolo, però il sorgente lo puoi esaminare ed è a quel punto molto facile capire se ci siano secondi fini e di chi sia la responsabilità.

Forse tu proponi il caso di uno che scriva software a sorgenti aperti con codice malevolo magari non proprio evidente e che questo realizzi delle truffe, delle intrusioni o delle sottrazioni di dati prima che qualcuno si accorga della pericolosità del programma: può essere che qualcuno all'inizio ci caschi, ma sarebbero casi circoscritti, i programmi che vengono inseriti nelle distribuzioni serie vengono controllati, quindi potrebbe esserne colpito solo un numero limitato di persone. Una volta scoperto, poi, l'autore avrebbe pochi strumenti per difendersi, i sorgenti sarebbero la prova della sua colpevolezza.
La vita grama di chi scrive programmi maliziosi open source è confermata dalla scarsità di esempi da esibire, personalmente non ne conosco nessuno, magari ci saranno, ma il fatto che non ne abbia mai sentito parlare mi induce a pensare o che io sia un grande ignorante o che l'impatto di programmi a sorgente aperto malevoli sia sempre stato limitato.

Può darsi che, con la maggiore diffusione di linux, vi sia anche un numero maggiore di utenti disposti a installare da root il primo programma che trovano su un sito sconosciuto, ma è un problema loro, non del sistema in sé, è come se, col fatto che oggi le macchine sono più sicure che in passato, si ritenesse non necessaria la patente.

Il caso di un server compromesso l'abbiamo già visto e non lo riprenderò, firme e md5 sono una forma di tutela ragionevole ed efficace.

Si tratta ovviamente di una discutibile opinione, tuttavia personalmente ritengo potenzialmente peggiore la situazione del software chiuso, in particolare quando neanche il sistema operativo, che dovrebbe essere l'elemento più affidabile, sai come si comporti realmente.
Non discuto sulla necessità o meno di usare software chiuso, sulle questioni di gusto per l'interfaccia utente, sulle prestazioni, sui costi, sulle funzionalità offerte, eccetera, dipende da caso a caso, però, rifacendomi al tema del post, ovvero se ci possiamo fidare dei programmi che installiamo, mi pare che generalmente ci si possa fidare molto di più del software aperto che di quello chiuso. :)


Indubbiamente ci sono più garanzie sul software open. Non l'ho mai messo in dubbio.

Come hai detto bene tu il problema è nei comportamenti non corretti, e volevo sapere quali dei miei fossero sbagliati o quali controlli, magari banali non effettuassi, e penso che come me molti altri siano in condizioni simili o peggiore delle mie.

Ammetto candidamente che, anche intuendo la funzionalità dell'md5, link che ho spesso visto sotto il link del programma da scaricare, finora ho fatto il controllo forse una volta. Come ammetto anche che tra un precomilato ed un sorgente ho sempre preso il precompilato; installo i programmi sempre da root (anche perché non saprei fare altrimenti, a meno di compilazioni)...

Una delle poche cose che mi ha positivamente sorpreso di Kubuntu (e anche di Frugalware) è che è impossibile loggarsi come utente root. Dato il target a cui si rivolge la distro, penso sia stata una scelta lungimirante e opportuna, che testimonia anche il fatto di cercare di evitare errori commessi in passato da win. Magari poi sbaglio a pensarla così, perché ci sono elementi che non conosco, non so.

Inoltre penso che ci siamo avvicinati anche ad una "massa critica" di utenti gnu/linux (si vede da Dell, dalle iniziative nella pubblica amministrazione, non solo italiana, dalla diffusione di Ubuntu) per la quale il nostro sistema potrebbe avere per la prima volta un interesse particolare per chi scrive software malevolo, fino ad adesso impegnati in ambiente win.

Sapere i comportamenti corretti per usare il proprio pc, penso sia lecito.

albatros ha scritto:non importa cosa e' utopistico o meno, quel che importa e' che prima di are illazioni gratuite sull'onesta' altrui tu abbia in mano almeno solide prove; altrimenti e' meglio tacere

Quindi dire che alcuni politici di uno stato, ad esempio il nostro, sono sicuramente corrotti (esclusi quelli già scoperti) secondo te, senza avere le prove è una illazione gratuita? Sarebbe un'illazione se dicessi "tizio" e "caio" sono corrotti, senza che ne abbia le prove, ma mi pare sostanzialmente diverso.

Ritengo normale che in un gruppo di persone abbastanza grande ci sia una percentuale (tra l'altro questa deve essere per forza di cose limitata sotto un certo valore) di "furbi".

Se fosse come dici tu non sarebbe corretto dubitare dell'onestà di chi scrive software chiuso, fintanto che non se ne abbiano le prove.

(Per la cronaca la tua obiezione era spesso usata dai tifosi juventini, ma anche in molte altre faccende molto più serie, quando qualcuno sosteneva, nei discorsi da bar, che c'era qualcosa di non chiaro...)

e' campata in aria e te l'ho dimostrato piu' volte portando esempi circostanziati


Nel tuo secondo intevento:

che utilizzando repository non ufficialieffettivamente, anche avendo modo di verificare le firme gpg sugli hash md5, non hai grosse garanzie (a meno di non conoscere chi gestisce il repository e fidarti di lui, come nel caso della comunita' di slacky.it); mentre utilizzando distro che offrono un vasto parco software tramite repository ufficiali (debian ad esempio) hai maggiori garanzie controllando le firme gpg sugli hash md5 (chi conosce la burocrazia interna a debian sa di che parlo; chi volesse diventare sviluppatore debian solo per infilare nella distro un pacchetto con backdoor ha vita difficile, la trafila e' luuunga, devi avere un altro debian developer che "garantisca per te", ecc..). Certo poi esiste sempre la possibilita' che qualcuno entri in possesso della chiave privata d'uno sviluppatore ma fintanto che distribuisci via rete nessuno puo' darti garanzie al 100% sui precompilati che installi
Johnn
Linux 1.0
Linux 1.0
 
Messaggi: 67
Iscritto il: sab apr 28, 2007 17:53
Slackware: current
Kernel: 2.6.29.4
Desktop: kde 4.2.4

Messaggioda albatros » mer mag 09, 2007 0:13

Cito vari pezzi di Johnn:
Peccato che non salvai il link...

Eh, sì, peccato... Ero curioso di vedere l'abilità della prestigiatrice, soprattutto verso la fine dell'esibizione... :lol:
Una delle poche cose che mi ha positivamente sorpreso di Kubuntu (e anche di Frugalware) è che è impossibile loggarsi come utente root.

Non è impossibile, basta dare:
Codice: Seleziona tutto
sudo passwd root
e immettere la password per root, dopo ti potrai loggare anche come root ( a meno di cambi radicali nell'ultima release di kubuntu).
albatros ha scritto:

non importa cosa e' utopistico o meno, quel che importa e' che prima di are illazioni gratuite sull'onesta' altrui tu abbia in mano almeno solide prove; altrimenti e' meglio tacere

Non l'ho scritto io, l'ha scritto masalapianta... Mentre spesso, anche se non sempre, sono d'accordo con lui ed apprezzo il suo modo di ragionare, logico e documentato, a volte ineccepibile, con uno stile a tratti irriverente che sento diverso dal mio, ma che rispetto, in questo caso sono di parere diverso, non tanto perché pensi che fra le fila del software libero vi siano mele marce, di cui almeno finora non ho avuto notizia, quanto perché ipotizzare che, preso un numero sufficientemente alto di persone, vi sia una probabilità non nulla che qualcuno tradisca gli ideali del gruppo ed abbia comportamenti scorretti non mi pare offensivo.
Non mi è sembrato che Johnn avesse fatto illazioni, semplicemente, dato che in altri settori vi sono stati casi di persone che hanno agito male e in contrasto al comportamento dichiarato (vedi agenti delle forze dell'ordine che hanno commesso reati, educatori o ministri del culto pedofili, eccetera), uno può essere portato a pensare, e probabilmente molti psicologi sarebbero d'accordo, che un'attitudine a delinquere possa nascere e svilupparsi in qualunque essere umano; normalmente uno sarà onesto e corretto, ma ci potranno essere delle percentuali di probabilità, presa una persona a caso fra la popolazione, che questa sia un criminale, magari più bassa fino a essere quasi nulla se restringiamo la scelta fra i seguaci del software libero e molto più alta fra i nostri parlamentari, però, se si ipotizza, e l'ipotesi mi pare plausibile, che una probabilità del genere esista e sia finita, preso un campione sufficientemente vasto o atteso un tempo di indagine sufficientemente lungo, prima o poi si troverà un "brutto ceffo" anche nel free software.
L'importante è che non si dica che questo "brutto ceffo" è stato trovato senza indicare, se non il colpevole, almeno l'evento, la scena del delitto...
E' un po' come la caccia al bosone di Higgs: ci sono buoni motivi per ritenere che esista, ma nessuno ancora ne ha annunciato l'esistenza...
(mi è venuto in mente questo esempio, ma non è proprio calzante)

Per ora comunque la statistica mi pare sia a netto favore del software libero: per convinzione o per forza (perché è difficile riuscire nell'intento e farla franca, facendo così di necessità virtù), fatto sta che di casi di free software malevolo ce ne sono pochissimi, forse nessuno, a parte qualche proof of concept che però sono un altro discorso, mentre di casi di software chiuso malevolo ce ne sono diversi, e non sto parlando solo del virus scritto dal malintenzionato, ma di backdoor inserite deliberatamente da parte di aziende commerciali.
E se è vero che in ambito domestico forse linux non ha raggiunto la massa critica, non è così in altri ambiti, pensa solo a quanti server LAMP ci sono...

installo i programmi sempre da root

Dipende, per molti programmi non hai bisogno di essere root, sull'account dell'università ho tenuto versioni di firefox, openoffice e altri programmi nella mia home diverse da quelle di sistema, ma anche alcune librerie, basta giocare su LD_LIBRARY_PATH e qualche altra variabile d'ambiente. Un pacchetto lo puoi estrarre in loco con explodepkg o puoi usare installpkg -root.
Comunque anch'io a casa di solito installo come root se è qualcosa di cui mi fido, limitandomi a controllare, semmai, firma e md5.
Per un uso domestico non credo ci sia bisogno di conoscere molte cose, bastano le basi e un po' di accortezza... ;)
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04

Messaggioda masalapianta » mer mag 09, 2007 1:31

Johnn ha scritto:Inoltre penso che ci siamo avvicinati anche ad una "massa critica" di utenti gnu/linux (si vede da Dell, dalle iniziative nella pubblica amministrazione, non solo italiana, dalla diffusione di Ubuntu) per la quale il nostro sistema potrebbe avere per la prima volta un interesse particolare per chi scrive software malevolo, fino ad adesso impegnati in ambiente win.

Molti sostengono che il numero di malware esistente per un OS e' proporzionale alla sua diffusione, a questi rispondo che secondo statistiche ufficiali o meno GNU/Linux ha dal 1% al 5% del installato mondiale, per comodita' assumiamo che sia il 2,5%, ora si prenda la totalita' dei virus, e si guardi quant'e' il 2,5% e poi mi si dica perche' non si avvicina neanche lontanamente al numero di virus (2 proof of concept) e di worm (si contano sulle dita di due mani) che ha GNU/Linux (ma non era proporzionale alla diffusione?). Come si spiega cio'? non e' forse ragionevole pensare che chi scrive virus lo fa con lo scopo che si diffondano quanto piu' possibile e che quindi prenda di mira l'OS piu' diffuso? Certo! ma da qui a dire che e' la maggior causa e che se la piattafroma piu' diffusa fosse GNU/Linux tutti questi virus attecchirebbero ce ne passa. Chiariamo meglio il concetto: le principali cause di diffusione dei virus su piattaforma windows son 2:
1) mediamente i software piu' indicati a veicolare virus e worm (web-server, MUA, ecc..) su piattaforma microsoft hanno piu' bug della media
2) i software microsoft son scritto per rendere volutamente trasparente la maggior parte delle operazioni possibili al utente finale (in modo da sgravarlo dal dover studiare la documentazione del caso) quindi nel caso di un MUA avremo comportamenti di default quali esecuzione automatica di linguaggi di scripting, utilizzo di html nelle mail, ecc..; tutto cio' e' una delle maggiori cause di diffusione di malware

Come si puo' facilmente evincere le 2 cause appena esposte hanno molta meno incidenza su GNU/Linux e su i sistemi unix in generale in quanto:
1) il software dovendo essere a sorgente aperto e' scritto facendo piu' attenzione alla sicurezza, inoltre proprio perche' a sorgente aperto i bug vengono trovati e corretti prima che possano venire sfruttati per scopi malevoli
2) tali sistemi non cercano di sgravare l'utente dal dover capire cosa sta facendo e cosa comporta ogni azione che intraprende, quindi l'utente stesso potra' adottare dei comportamenti che lo mettano al riparo dalla maggior parte dei pericoli sopra esposti (impostare correttamente i programmi che usa, controllare gli hash md5 e le relative firme digitali dei programmi che installa, ecc..)
non importa cosa e' utopistico o meno, quel che importa e' che prima di are illazioni gratuite sull'onesta' altrui tu abbia in mano almeno solide prove; altrimenti e' meglio tacere

Quindi dire che alcuni politici di uno stato, ad esempio il nostro, sono sicuramente corrotti (esclusi quelli già scoperti) secondo te, senza avere le prove è una illazione gratuita?

se non hai prove o comunque almeno qualche indizio fondato si
Sarebbe un'illazione se dicessi "tizio" e "caio" sono corrotti, senza che ne abbia le prove, ma mi pare sostanzialmente diverso.

no questa si chiama diffamazione ed e' punita dalla legge italiana
Ritengo normale che in un gruppo di persone abbastanza grande ci sia una percentuale (tra l'altro questa deve essere per forza di cose limitata sotto un certo valore) di "furbi".

queste sono illazioni gratuite oltremodo gravi perche' mettono in dubbio l'onesta' altrui
Se fosse come dici tu non sarebbe corretto dubitare dell'onestà di chi scrive software chiuso, fintanto che non se ne abbiano le prove.

io infatti mica affermo che sicuramente c'e' qualcuno che fa il furbo, ma neanche lo nego, e nel dubbio (non potendo verificare) applico il principio di cautela; inoltre c'e' da precisare che non conosco casi di gente che, nell'ambito della comunita' del software libero, abbia infilato backdoor o cose simili nel software che distribuisce, mentre casi del genere nell'ambito del software proprietario si sprecano ( vedere il caso di interbase o ad esempio il seguente che riguarda microsoft http://www.s0ftpj.org/bfi/online/bfi10/BFi10-02.html ), quindi volendo ci sarebbero anche i precedenti per instillare un legittimo dubbio (cosa che nell'ambito del software libero non c'e', o se tu conosci qualche caso ti inviterei a rendercene partecipi)
(Per la cronaca la tua obiezione era spesso usata dai tifosi juventini, ma anche in molte altre faccende molto più serie, quando qualcuno sosteneva, nei discorsi da bar, che c'era qualcosa di non chiaro...)

abbi pazienza ma ho smesso di giocare con la palla che avevo circa 6 anni, quindi non ho idea di cosa tu stia parlando

Nel tuo secondo intevento:

che utilizzando repository non ufficialieffettivamente, anche avendo modo di verificare le firme gpg sugli hash md5, non hai grosse garanzie (a meno di non conoscere chi gestisce il repository e fidarti di lui, come nel caso della comunita' di slacky.it); mentre utilizzando distro che offrono un vasto parco software tramite repository ufficiali (debian ad esempio) hai maggiori garanzie controllando le firme gpg sugli hash md5 (chi conosce la burocrazia interna a debian sa di che parlo; chi volesse diventare sviluppatore debian solo per infilare nella distro un pacchetto con backdoor ha vita difficile, la trafila e' luuunga, devi avere un altro debian developer che "garantisca per te", ecc..). Certo poi esiste sempre la possibilita' che qualcuno entri in possesso della chiave privata d'uno sviluppatore ma fintanto che distribuisci via rete nessuno puo' darti garanzie al 100% sui precompilati che installi

appunto, campata in aria e te l'ho dimostrato, quindi?
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda albatros » mer mag 09, 2007 2:26

Cito masalapianta:
tali sistemi non cercano di sgravare l'utente dal dover capire cosa sta facendo e cosa comporta ogni azione che intraprende, quindi l'utente stesso potra' adottare dei comportamenti che lo mettano al riparo dalla maggior parte dei pericoli sopra esposti (impostare correttamente i programmi che usa, controllare gli hash md5 e le relative firme digitali dei programmi che installa, ecc..)

Sono d'accordissimo.
Non è qualcosa legato al fatto che i sorgenti siano aperti o chiusi (e infatti giustamente hai distinto il caso e correttamente ne hai parlato come altra caratteristica di gnu/linux e dei sistemi unix in genere, che non è detto siano liberi), però hai fatto benissimo a introdurre anche questa considerazione nel discorso.
Infatti disapprovo la tendenza che hanno alcune distribuzioni a fare e impostare troppe cose in automatico...
E da quel che leggo o che mi raccontano, quando è il sistema operativo che decide per l'utente, tramite un sistema di controllo delle firme digitali, che cosa sia buono o cattivo, per un po' di sicurezza (reale? :roll: ) in più si perde dieci volte tanto in libertà... :?
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04

Messaggioda Johnn » mer mag 09, 2007 14:09

albatros ha scritto:
Una delle poche cose che mi ha positivamente sorpreso di Kubuntu (e anche di Frugalware) è che è impossibile loggarsi come utente root.


Non è impossibile, basta dare...


Intendevo dire che di default l'utente root è disabilitato. L'ultima release non l'ho provata neanche io e non sono intenzionato a farlo. :D


Non l'ho scritto io, l'ha scritto masalapianta...


Scusa! Un copia incolla errato.

Dipende, per molti programmi non hai bisogno di essere root, sull'account dell'università ho tenuto versioni di firefox, openoffice e altri programmi nella mia home diverse da quelle di sistema, ma anche alcune librerie, basta giocare su LD_LIBRARY_PATH e qualche altra variabile d'ambiente. Un pacchetto lo puoi estrarre in loco con explodepkg o puoi usare installpkg -root.
Comunque anch'io a casa di solito installo come root se è qualcosa di cui mi fido, limitandomi a controllare, semmai, firma e md5.
Per un uso domestico non credo ci sia bisogno di conoscere molte cose, bastano le basi e un po' di accortezza... ;)


Alcune cose le sapevo, altre no.

Grazie!
Johnn
Linux 1.0
Linux 1.0
 
Messaggi: 67
Iscritto il: sab apr 28, 2007 17:53
Slackware: current
Kernel: 2.6.29.4
Desktop: kde 4.2.4

Precedente

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite