Europa, Italia condannata per il DTT

Re: Linux più diffuso
- Scritto da: Uau (TM)
- Scritto da: lol

spero non ci siano problemi con i diritti

d'autore.

Ci sono eccome!
Il (TM) del mio nick per cosa sta secondo te?peccato...

Re: Linux più diffuso
- Scritto da: Uau (TM)[...]
Io a dire il vero mi riferivo a IIS e non
"strettamente" a Windows.No. Stai invece cambiando il discorso adesso, per vedere se ti gira meglio. Ma non hai fortuna con me :-)
Considerando comunque
un buon Windows Server aggiornato,L'unico Windows buono è un Windows morto ;-)
come minimo
2003 R2 meglio ovviamente se 2008 R2 ti sfido a
dimostrare il contrario: è più vulnerabile di un
server con su RedHat? Hai delle fonti a tal
proposito?Prima cosa, io non ho mai detto che un OS è più vulnerabile di un altro in senso assoluto. Per dire che una cosa X è peggiore o migliore di una Y, ti serve come minimo un sistema di valutazione e di assegnazione di punteggi. Ovvero, se prima non quantifichi, non puoi contare.Nemmeno lo score di Secunia mi dice nulla, perché quella che può essere una vulnerabilità grave per loro, nella mia azienda può essere un problema marginale.Quello che ho detto è che ci sono sistemi più *proni* ad essere vulnerabili, e l'ho motivato. Uno dei (tanti) motivi è che non si possono riavviare server ogni settimana, e se non hai abitato su Marte negli ultimi anni sai che Microsoft rilascia l'infame "patch Tuesday" il che significa che dovrò praticamente riavviare Windows ogni settimana.Con un qualsiasi Linux non ho queste patch così frequenti né così gravi, ed in ogni caso raramente devo riavviarlo.Poi ci sono mille altri motivi, ma per la nostra discussione questo basta ed avanza.
Su questo non ci piove.
Fatto sta che ad oggi esistono vulnerabilità note
per Apache, per IIS no.LOL. A parte che è falso, anche se fosse? Non ci sono vulnerabilità non patchate per Apache, quindi? cosa cambia?Tu giudichi un software inferiore perché sono state scoperte più vulnerabilità per esso. Questo è il tipico modo di pensare da sprovveduto che sa ben poco di sicurezza (scusami).Stai paragonando un software open source - di cui tutti possono analizzare i sorgenti e proporre patch - con un software chiuso, che nessuno può analizzare.La mia esperienza è che il software chiuso contiene moltissimi bug, e gli exploit vengono rilasciati molto più tardi che nel caso dei software con sorgenti aperti.Prendi per esempio l'ultima clamorosa vulnerabilità del Microsoft Help Centre (CVE-2010-1885) - che è ancora senza patch ed attivamente sfruttata ed ha fatto persino alzare l'alertcon di ISS e di Symantec. È stata scoperta il 5 Giugno, i ricercatori l'hanno comunicata subito a Microsoft, e Microsoft ha rilasciato un comunicato ufficiale 5 giorni dopo (BTW, i computer sono esploitabili da remoto e stiamo ancora aspettando la patch da mamma Microsoft e siamo al 17 di Giugno...).Secondo te, se questi exploit sono scoperti da gente maliziosa (e questo avviene eccome) prima che li rilascino non ci si "divertono" oppure se li vendono? l'hacking dell'HQ di Google in Cina dovrebbe insegnare qualcosa: secondo me certa gente ha come minimo due o tre exploit nella manica e li centellinano a Microsoft quando non gli servono più.Molto diverso con i software open source. Se un bug è scoperto, il rumore è molto più clamoroso e la gente fa a gara a proporre la patch per prima, cosa che evidentemente con MS non può fare.Parlando solo del tuo caro IIS, l'attacco per la rinegoziazione TLS scoperto l'anno scorso (CVE-2009-3555)... va bene che è un problema del protocollo, ma Apache+OpenSSL hanno fornito un workaround dopo due giorni, mentre da Mamma MS stiamo ancora aspettando... non so se ti basta come problemino :-)
Che poi sia difficile sfruttarle è un altro paio
di maniche, ma direi che è una buona base di
partenza.Il TLS renegotiation è sfruttabilissimo, non ti preoccupare :-)Ci hanno persino attaccato Twitter[...]
Falso.
E' estremamente più facile trovare sistemi linux
non aggiornati;Lo dici tu dall'alto della tua vasta esperienza?
un paio di anni fa, ad esempio,
ho avuto modo di collaborare con un'azienda che
aveva web server su slackware non aggiornate da
4-5 anni (e ti assicuro che non era un'azienda
piccola).Mio cuggino una volta... si è rotto il casco si è aperta la testa...
Ricordo poi che all'Università il web server
(debian) con su il sito dei rappresentanti è
stato clamorosamente trapanato e la motivazione
era semplice: 2 anni senza ALCUN update.Una volta mio cuggino è stato a letto con una tipa e si è svegliato la mattina ed ha trovato scritto allo specchio: benvenuto nel mondo dell'AIDS.Ovvero: i tuoi aneddoti personali non costituiscono motivazione probatoria
Perchè mentre su Windows si è abituati ad
attacchi e le precauzioni vengono sempre prese su
linux non è altrettanto vero e spesso si viene
beccati con le braghe calate.Una madre ha due figli, uno brutto ed uno bello. Siccome quello brutto ne ha più bisogno, la madre lo veste meglio e lo lava di più. Risultato, adesso quello brutto è più accettabile di quello bello.Si sente lo sgrat sgrat da chilometri, facci il favore...
Ovviamente queste sono cose tipiche in Italia, un
po' meno per fortuna all'estero.Mettiamoci un po' di buoni luoghi comuni per condire (infatti tu avrai una vasta esperienza nazionale ed internazionale per dire questo...)

Per quanto mi riguarda personalmente... Ieri ho

giusto fatto il reboot dei miei server Windows,

avendo dovuto installare 24 (VENTIQUATTRO)

patch... LOL.

Erano TUTTE e 24 necessarie?Sì, perché erano parte delle 32 (TRENTADUE) rilasciate dal patch Tuesday di Microsoft. E comunqeu cosa cambia? anche se me ne fossero servite solo 10? o anche solo una? dovevo riavviare comunque :-)
Voglio dire, se quel sistema ha su SQL Server è
buona norma che sia assolutamente isolato da
internet!Ovviamente, ma cosa cambia? secondo te gli attacchi arrivano soltanto da Internet?
Quale di quelle 24 patch era DAVVERO
necessaria? Con una buona infrastruttura
probabilmente nessuna...Con la nostra OTTIMA infrastruttura (lo dico senza modestia) erano COMUNQUE necessarie. Tu lasceresti intere server farm senza patch perché tanto non sono raggiungibili da Internet? e chi te lo assicura che non lo siano? l'unico host non raggiungibile è quello col cavo di rete scollegato...
Io avrei preferito un bel cluster di macchine
Windows,Io invece preferisco risparmiarmi 50.000 di licenze. Se poi ti avanzano soldi, manda pure :-)
semplice semplice: risparmio e velocità
di migrazione assicurati. Downtime comunque
azzerati.Nessun problema di migrazione, e dopo che sarò passato a Linux/Oracle, stai certo che i downtime settimanali sono VERAMENTE azzerati.
Questione di scelte.Esatto, il bello è saperle fare senza i paraocchi, che quelli che hanno un avatar come il tuo hanno di sicuro.Cordiali saluti

Re: Ecco la realtà
- Scritto da: shevathas

Quando i pacchetti vengono scaricati il gestore

pacchetti fa un controllo MD5 sulla lista

locale, se il repositori e' stato violato il

pacchetto da' errore e non viene installato.
è un controllo. Ma se il cattivone fotte il
repository ufficiale e spacciasse il programma
come aggiornamento alla versione X.(Y+1)
inserendo anche un MD5 farlocco ?Dovresti gia' modificare 2 pacchetti, tra cui quello dell'installer stesso.

Ma neanche in questo caso, riprova...
purtroppo ha ragione lui, bisogna sempre tenere
gli occhi aperti. Serve ricordare il pasticcio
debian e openssh ?Ma e' ovvio ! Certo e' che alcuni sistemi sono maggiormente sicuri di altri.

Re: Ecco la realtà
- Scritto da: shevathas


è un controllo. Ma se il cattivone fotte il


repository ufficiale e spacciasse il programma


come aggiornamento alla versione X.(Y+1)


inserendo anche un MD5 farlocco



md5 e pacchetto stanno su server diversi..
devono

violare 2 macchine..


Forse basta violare il repository. Sono un poco
arrugginito su repository vari ma, parlando
sempre per ipotesi: pubblico sul repository il
software "pippo versione X.(Y+1) taroccato e lo
segno come aggiornamento, in sostituzione della
versione X.Y, ultima versione ufficiale.

Fottendo il server posso fargli firmare l'hash
del pacchetto e inviare l'md5 firmato al server
che contiene le firme. Per il packet manager
quello dovrebbe apparire come un aggiornamento
regolare di un pacchetto buono, e non la
sostituzione di un pacchetto buono con un
cattivo. con alcuni rep puo anche funzionare ma bisogna avere acXXXXX alle chiavi di pgp sia pubblica che privata.. per esempio su mandriva era possibile fino a poco tempo fa sto giochetto



non era un problema di md5 ma di codice


in ogni caso era un problema di software con bug
sfruttabili per "XXXXXXX" il sistema. I
repository possono proteggerti abbastanza da
software "falso genuino" ma sono inefficienti per
proteggerti da software genuino bacato, come il
server ssh di cui sopra; quindi occhi aperti
sempre.decisamente essere paranoici è la miglior sicurezza.. sono daccordissimo con te.. mai fidarsi è la prima regola

Re: Ecco la realtà
- Scritto da: Uau (TM)
- Scritto da: krane

Quando i pacchetti vengono scaricati il gestore

pacchetti fa un controllo MD5 sulla lista

locale, se il repositori e' stato violato il

pacchetto da' errore e non viene installato.
Ahhhhh ti riferisci al sicurissimo e
affidabilissimo sistema di repository
usato in linux? Una bomba di affidabilità:
http://digitizor.com/2009/12/10/ubuntu-malware-forWow !!!!Addirittura un caso nella storia !!Certo che tutto cio' lo rende ridicolo !
Se i repository non vengono trapanati
quotidianamente è solo per la diffusione
ridicola del, se così vogliamo
definirlo, "sistema operativo".E se e' cosi' facile per farci uno scherzone potresti trapanarlo tutti i giorni no ?


In questo caso, le accortezze e la


prevenzione da usare su sistemi linux


sono al pari di altri sistemi.

Ma neanche in questo caso, riprova...
Hai ragione è meglio se riprova, anzi faccio io:
"le accortezze e la prevenzione da usare su
sistemi linux sono superiori a
quelle di altri sistemi." e aggiungo
perchè è un sistema basato su concetti VECCHI di
40 anni e ciò che ne sta alla base è un
carrozzone pauroso e ormai ingestibile (la pensa
così il suo creatore pensa un po').E si, un sistema che e' nato per la rete e per la multiutenza ha concetti vecchi rispetto a quelli che non erano stati progettati per tale funzione... Gia...

Re: Ecco la realtà
mmm è dura spiegare ad un troll che è un troll vero? :Dsu su lascialo sguazzare nelle sue false certezze

Re: Ecco la realtà

più "crescono i repository" più sono i
programmatori che uppano codice (gli utenti non
fanno differenza se non x la banda) più però
saranno anche i revisori di detto
codice.e maggiore sarà il lavoro di coordinamento dei revisori e di inserimento e di integrazione del codice nel repository. E questo si traduce in maggior richiesta di $$$ per tenere in piedi la baracca e dirigere il traffico.
questo avviene solo nell'open.
adesso ti chiedo: come avviene questo proXXXXX
nel closed? il codice chi lo
revisiona?

http://www.repubblica.it/2006/05/gallerie/esteri/wdoh, anche lì gli sviluppatori di openSSH ?

Re: Ecco la realtà
- Scritto da: Uau (TM)
- Scritto da: lol

più "crescono i repository" più sono i

programmatori che uppano codice (gli utenti non

fanno differenza se non x la banda) più però

saranno anche i revisori di detto

codice.

questo avviene solo nell'open.
Questo è quello che credi tu ma poichè il sistema
fa acqua da tutte le parti con pochi milioni di
utenti figuriamoci cosa accadrebbe con qualche
miliardo: semplicemente INGESTIBILE.Perche' ? Cambia solo la necessita' di banda per il download.

adesso ti chiedo: come avviene questo proXXXXX

nel closed? il codice chi lo

revisiona?
Dipende dal progetto e dall'azienda. Se il
prodotto è serio lo revisionano dei
professionisti e viene testato da altrettanti
professionisti; il risultato è un livello di
qualità e affidabilità che il mondo open può solo
sognare.
http://www.repubblica.it/2006/05/gallerie/esteri/w
Le foto del tuo hobby non m'interessano.

Re: Ecco la realtà
- Scritto da: collione
mmm vedo che insisti
"...the attack doesn't exploit any vulnerability in IIS, but instead is an attack against third-party Web applications".Sei ridicolo.

Re: Ecco la realtà
- Scritto da: Uau (TM)
Grazie, tutto molto chiaro.
Quindi c'è comunque un bel "blocco" per poter
rendere questo sistema sicuro e questo è normale;
ed è proprio questo il punto, non potendo
inserire (ovviamente) "qualunque cosa" nei repo
ufficiali tocca ricorrere a repo ulteriori dove è
necessario fidarsi e sperare che sia tutto
ok...Decisione libera dell'utenza affidarsi a repo esterni.

Insufficienti in che senso?

Riallacciandomi al discorso sopra ti faccio un
esempio: qualche mese fa ho voluto provare
Cinelerra su Ubuntu. Non c'era sui repo ufficiali
e ho dovuto aggiungerne altri: sinceramente tempo
per controllare il codice non ce l'ho (poi quello
di Cinelerra è davvero complesso, gli ho dato
un'occhiata veloce). Quindi mi sono dovuto fidare
che "Heroine Virtual Ltd." (che nemmeno si sa chi
sia) non abbia messo qualche porcheria nel codice
sfuggita ad ogni
controllo...E' lo stesso rischio potenziale che corrono gli utenti Windows quando cercano software sul web.
E' ovvio che lo stesso problema c'è con il
closed, il punto è che nel momento in cui ho
delle esigenze che i repo ufficiali non ricoprono
"siamo sulla stessa barca". E con un'utenza di
miliardi di persone le esigenze sono davvero
tante!Quando un software aumenta il proprio numero di bacino utenze automaticamente sarà spostato sui repo ufficiali della distro.-----------------------------------------------------------Modificato dall' autore il 18 giugno 2010 12.32-----------------------------------------------------------

Re: Ecco la realtà

Ma lo e' gia', oltretutto facilmente compilabile
in un modo o in un altro a seconda di cosa vuoi
ottenere... Altre idee
?Non stai parlando dei moduli, vero?

Re: Ecco la realtà
e cosa significa kernel ibrido? che forse parte dei servizi di sistema girano in usermode?benissimo, linux ce l'ha da almeno 5 anni e si chiamano fuse, kms e compagniai kernel ibridi sono una XXXXXXX e infatti con svista ebbero una svista e dovettero ritornare sui loro passi con settetese proprio sono così grandi perchè non tirano fuori un bell'os microkernel fatto come l4?

Re: Ecco la realtà
su questo sono d'accordo :Dma almeno il linaro cantinaro non compra un quadcore per vedere film XXXXX in 1080p, si accontenta dell'ascii art