Facebook, Work in progress

Re: ma linux non era sicuro?
- Scritto da: Uno qualunque
Quindi NON sono ancora attive di default,
potrebbero esserlo SE ci si collega ad un dominio
e SE qualcuno le ha attivate nel
dominio.Esattamente, ad oggi sono ancora così.
Anche nel caso in cui l'amministratore fosse in
gamba tanto uno se la porta da casa via USB,
visto che a casa queste protezioni non le
hai.Non farebbe danni comunque, perché la chiavetta USB NON sarebbe un percorso abilitato. Per esempio, di base sappiamo bene che i programmi in Windows vengono installati nei percorsi tipo "C:Program files" (variabile %ROGRAMFILES%) e "C:Program files(x86)" (variabile %PROGRAMFILES(X86)%); nelle SRP pertanto di base autorizzerò questi percorsi. Se l'utonto si porta una chiavetta da casa (ammesso che non abbia disattivato le USB in azienda), la chiavetta avrà un percorso diverso (es. E:), e pertanto l'eseguibile non andrà in esecuzione comunque, non essendo E: un percorso autorizzato.Se viceversa devo abilitare una applicazione che può avere percorsi differenti posso abilitarla mediante Hash o firma digitale.
Non esiste che si richieda all'utente di fare
tuning post attivazione
!
Se l'utente è capace, come già detto, sa già cosa
fare, il grosso problema di windows rispetto agli
altri SO è che di default è più debole anche a
causa di questo, Sasser e Blaster non hanno
insegnato nulla ? Utilizzavano porte aperte di
default praticamente inutili se non usato in
azienda, tanti utenti casalinghi sarebbero stati
immuni ai suddetti se avessero avuto le porte
inutili chiuse di
default.Il problema è a chi si rivolge: un sistema come Windows è sicuramente utilizzabile da chiunque non abbia la minima infarinatura informatica. In Windows se un utonto vuole installare un applicazione, una stampante o che altro, lo può fare senza bisogno di collegare prima il cervello della stampante. E' questo il vero problema. Ma cosa fare? Bloccare di default certe cose? Poi diventa difficile far usare il pc agli utonti, renderlo "accessibile"...Per me la soluzione sarebbe fare un proXXXXX di installazione più "smart", con quantomeno una installazione "di base" per utenti (l'attuale), ed una installazione "Avanzata" per utenti esperti, dove già impostare taluni blocchi e restrizioni, attivare o disattivare servizi ecc. Vero anche che in azienda questo un po' si limita, perché di norma non si fa mai una installazione "vergine", ma si parte da "template" preconfezionati, customizzati nelle impostazioni e nei software già installati, di cui si fa il deploy. Pertanto il tuning non è una operazione così frequente.E teniamo presente che anche un grosso problema è il fatto che siccome la maggior parte delle copie di Windows installate (a casa, ma non solo) sono "non regolari" la gente NON aggiorna il sistema, e si tiene falle scoperte da tempo. Spesso i virus (e Sasser ne è un esempio) sfruttano falle note, pubblicate da bollettini pubblici, ma siccome si sa bene che la maggior parte degli utenti casalinghi (e NON solo) NON aggiorna il sistema si va sul sicuro che la falla sarà utilizzabile, anche molto tempo dopo la sua scoperta (e risoluzione).
Ed eliminare i processi inutili, che si attivino
solo SE li richiamo... Perchè il sistema deve
fare il discovering della stampanti di retee
tenere le porte di stampa aperte come fossi un
server di stampa SE NON HO NEANCHE UNA stampante
in casa
????Siamo sempre li, e poi l'utonto come fa ad usare il pc? come fa ad andare al MondoMedio, comprare la stampante, arrivare a casa, attaccarla e vedere che senza fare nulla funziona? Tu ce lo vedi a smanettare nei servizi di sistema, ad attivare/disattivare servizi inutili?Presumo che tutti abbiamo amici, che non sono "del settore", col pc a casa; quanti di loro sanno cosa stanno facendo? Quanti di loro, per esempio, hanno preso il virus della Polizia Postale o CryptoLocker? ;)

Re: ma linux non era sicuro?
- Scritto da: Uno qualunque
Ti racconto un segreto: quando installi un driver
di stampa su linux (su mac non so) il sistema
apre le porte necessarie leggendo le istruzioni
dell'installer.
Probabilmente sei rimasto a XP.Questo viene fatto anche in Windows da anni, da quando è "di serie" Windows Firewall in versione Vista e successivi. Se una applicazione necessita di porte specifiche aperte il setup provvede a caricare le eccezioni del firewall, e a codificare i relativi servizi necessari.E quando installi Windows il firewall è attivo di default, e blocca di default praticamente tutte le connessioni in ingresso. Se poi l'utente lo disattiva...In ogni caso le infezioni non avvengono per intrusione, stile Codice Swordfish. Le bootnet non entrano "così ", per magia nei servizi attivi, ma mediante agent che si installano (spesso contenuti nei crack di applicazioni, barre di explorer ecc) e si eseguono sul pc. È pertanto l'utente che le installa, più o meno consapevolmente.Il problema vero non è bloccare il traffico in uscita, ma bloccare le infezioni, perché tali malware possono anche non uscire, ma se ne ho la macchina piena sarà lenta come un cadavere. Ed Impedire l'escalation di diritti, e fare in modo che se anche un utente per errore dovesse lanciare qualche file il sistema lo impedisca.

Ci vuole un core minimale bello blindato e poi se
all'utente servono servizi e programmi se li
installa.Come sopra, in parte la cosa è cosi, molti servizi anche di sistema si attivano se evocati. Il problema è che se l'utente fa infettare la macchina e quel malware necessita di servizi per funzionare, li attiva automaticamente. Ogni sistema, anche il più blindato, se messo in mano a chi non sa cosa fa, lo espone a vulnerabilità o attacchi, punto. Non esiste il sistema inattaccabile, ma solo un sistema ben configurato. Ovvio poi per architettura propria un sistema può essere di base più vulnerabile di un altro, ma non esiste un sistema sicuro in assoluto, che prescinda da una corretta configurazione.Per esempio, oggi in Windows non è necessario usare un utente amministratore (e difatti Administrator viene disabilitato di default), basterebbe uno user semplice, ed usare un amministratore solo per operazioni amministrative appunto. Ma chi lo fa a casa? Chi si mette li ogni volta che deve installare un programma a cambiare utente? O elevare i privilegi con user e password? Il vero problema è l'abitudine al vecchio, a come funzionava Windows fino a XP, e cambiare le abitudini è difficile.Quanto al preinstallato e originalità, vero ma siccome un pc può durare ben più dei 3 anni che spesso vanno da una versione ad un altra, fino a prima di Windows 8 per passare alla nuova versione si pagava. E se uno a casa non vuole pagare aggiorna il suo pc preinstallato con una copia non originale della nuova versione, che ovviamente deve cracckare. Ed ecco il problema. Per non parlare di chi lo assembla, o compra assemblati...

Re: ma linux non era sicuro?
- Scritto da: Uno qualunque
Hai fatto il port scan ?
Windows ha il servizio di rilevazione stampanti,
le cartelle condivise e 6 porte per l'assistenza
remota e 8 per individuazione di servizi di rete
!Certo, ma se il firewall è attivo e blocca le connessioni in ingresso su quelle porte, ed abilita solo il traffico in uscita, che danno possono fare? Eventualmente mangiare risorse inutilmente, ma sicuramente non mi entrano da quelle porte, essendo chiuse dal firewall.
Dipende dall'infezione, tante volte sono stati
usati questi servizi attivi di default: blaster e
sasser sono un
esempio.Sasser e Blaster sono esempi che non c'entrano con quello che esiste oggi, perché primo si riferiscono a XP e Windows 2000, dove il firewall non esisteva proprio (2000) o era disattivato di default (XP), oltre al fatto che considerarlo un firewall (almeno la prima versione del firewall) è un eufemismo.Secondo perché è noto che sono stati creati DOPO la pubblicazione della vulnerabilità e NON prima, pertanto andiamo sempre nel caso degli aggiornamenti: chi aveva aggiornato il sistema appena uscita la fix era immune ai due malware. Solo che ovviamente chi ha creato i malware sapeva benissimo che la maggior parte della gente NON avrebbe aggiornato i sistemi, e pertanto andava a colpo sicuro sull'infezione. E infatti si diffusero tantissimo.
In un qualsiasi altro SO ce ne sono un quarto,
contali.Ma non ne dubito, come ho detto questo fa risparmiare risorse e basta, è il cosiddetto "small footprint". Il lato sicurezza è principalmente coinvolto dal fatto che avendo più componenti installati di default è maggiormente importante installare le fix, perché sicuramente avrò l'esposizione ad una falla scoperta. Se, viceversa, non ho installato il componente non avrò nemmeno la vulnerabilità. Ma anche in caso di installazione non minimale, se faccio una seria policy di update ed installo le fix appena escono, avrò pochi (zero?) rischi di subire attacchi che sfruttano le varie falle.Ma attenzione, lo small footprint ha il suo perché, ma non è sempre sinonimo di "bene"; faccio un esempio tra due realtà simili, ma opposte a livello di "concetto", ossia VMWare e Hyper-V, nel campo della virtualizzazione, piattaforme che usiamo entrambe in azienda. Il primo, fa dello small footprint una bandiera, avendo un OS Linux Based che (volendo) sta su una chiavetta USB da 4GB. Ok va bene (anche se poi vorrei capirne il vantaggio oggi, quando un disco fisso SAS ha tagli minimi di centinaia di GB), ma peccato che poi per gestire vari servizi o funzionalità, anche di terze parti, che man mano al crescere dell'infrastruttura di virtualizzazione può essere necessario attivare, si inizia a creare una struttura di Appliance virtuali di servizio (vere e proprie virtual machine di gestione del particolare servizio da attivare) che diventano (quasi) di più dei server di "produzione" tenuti in piedi dall'hypervisor. Questo genera annessi e connessi problemi di risorse mangiate (non indifferenti tra GB di RAM, proXXXXXri, spazio disco e I/O disco), gestione, backup, alta affidabilità ecc. Hyper-V è diametralmente opposto, ossia ha un footprint "importante", circa 30GB, ma così rende semplici molte delle operazioni che in VMWare diventano complesse al crescere dell'infrastruttura, come per esempio una cosa banale come installare gli aggiornamenti "a caldo": in VMWare non è così banale installarli, servono una VM per la gestione dell'infrastruttura (il vCenter Server) e una VM per gli aggiornamenti (vCenter Update Manager, il WSUS di VMWare); in Hyper-V è il normalissimo Windows Update integrato nell'Hypervisor, come un qualunque Windows Server. Ovvio, Hyper-V ha componenti installati che possono essere "inutili", ma se uno aggiorna l'hypervisor con regolarità non ha grosse problematiche di sicurezza, ed ha un notevole risparmio in termini di tempi di gestione e mantenimento, ed a conti fatti di risorse "mangiate" dall'hypervisor.
Ma è quello che dicevo io, windows di default è
configurato nel modo peggiore rispetto agli alti
SO che si vedono in giro, poi ovvio che un bravo
utente può anche riscriversi o sostituire metà SO
per renderlo decente, ma non si sta più parlando
di SO in quel caso, ma di abilità
personale.Vedi sopra, per lo small footprint o il big footprint, e come ti dicevo forse sei rimasto a XP; nessuno nega che, almeno fino a pre-Vista, Windows fosse molto "fragile", i blue screen si sprecavano, gli attacchi pure, ma da Vista (o meglio ancora, da Seven) in poi la musica è profondamente cambiata, sia per la fragilità che per la sicurezza. Oggi abbiamo ancora tante infezioni attive perché esistono una miriade di XP e 2003 ancora funzionanti, OS che hanno oltre 10 anni di vita e ben più di "progetto", nati quando Internet non era minimamente quella di oggi, e quando le tecniche di attacco non erano così evolute. E forse erano anche partiti da un idea errata, cambiata poi nel corso degli anni.In più credo che non ci sia una configurazione "di base" in assoluto migliore o peggiore, sono sempre "medie ponderate" fatte da chi progetta il sistema, e come tali mediano tra funzionalità, prestazioni, gestione e sicurezza. Ovvio, ci sono filosofie molto differenti, con differenti pro e contro; la loro utilità e versatilità dipendono (anche) dall'uso che se ne fa. Ripeto, una installazione minimale, cosiddetta "core", a mio parere ha senso se le risorse sono limitate, e quindi si cerca di sprecare il minor numero di risorse possibili. Oggi, salvo rari casi, non c'è più così tanto questa esigenza. Per esempio, se ho un server da 2 proXXXXXri e 24 core logici, con 128GB ram, ha così senso fare una installazione di Hyper-V "core", ossia senza shell grafica, per risparmiare risorse, e incasinarmi a lavorare solo da riga comandi o Server manager remoto? Non credo proprio...

Re: ma linux non era sicuro?
- Scritto da: Max
- Scritto da: Uno qualunque
Sasser e Blaster sono esempi che non c'entrano
con quello che esiste oggi, perché primo si
riferiscono a XP e Windows 2000, dove il firewall
non esisteva proprio (2000) o era disattivato di
default (XP), oltre al fatto che considerarlo un
firewall (almeno la prima versione del firewall)
è un eufemismo.E di che dovremmo parlare ? Dei bachi che usciranno domani ? Non si può, non li conosciamo ancora, io sto parlando di potenziali rischi e debolezze che forse un domani potrebbero essere sfruttati, se tu puoi parlare dei problemi di domani non perdere tempo e tira fuori i numeri del lotto o una schedina del totocalcio piuttosto.

Re: ma linux non era sicuro?
Il problema della PA è che non c'è NESSUNO che se ne occupa. Non è previsto, non ci sono i soldi, e sono tutti XXXXX tuoi.Io lavoro nella scuola NON ho le competenze da sistemista NON voglio fare il sistemista NON sono pagato come un sistemista NON ho il potere impositivo che dovrebbe avere un sistemista. Sono un tecnico pagato per far funzionare i pc nei laboratori... se fossi un tecnico di laboratorio di chimica laverei le provette, se lo fossi di meccanica pulirei i banconi e affilerei gli utensili del tornio ... ma siccome sono un elettronico mi devo occupare di rete di dominio di policy di sicurezza ... perchè? perchè è così, perchè non ci sono i soldi ne per pagare me ne per pagare qualcun'altro e dunque continuiamo a tagliare i fondi, continuiamo a licenziare persone, e continuiamo a lamentarci per la sicurezza.In un posto con 400 macchine e circa 1000 utenti di cui 870 cambiano gruppo e appartenenza tutti gli anni.