Linux e il pudore sulla sicurezza

Alan Cox, secondo in capo nello sviluppo del kernel Linux, ha cessato di pubblicare informazioni dettagliate sulle vulnerabilità. Un noto esponente dell'open source lo avverte: stai facendo il gioco dei nostri nemici


Roma – Scott Culp, il manager della sicurezza di Microsoft che lo scorso mese lanciò il suo anatema contro la pubblicazione sul Web dei cosiddetti “exploit” – codici di esempio utilizzabili per sfruttare le vulnerabilità di sicurezza – ha trovato in Alan Cox, luogotenente di Linus Torvalds nello sviluppo del kernel Linux, un inatteso alleato.

Secondo quanto ha scritto su SecurityFocus.com Jon Lasser, esponente della comunità open source e autore del libro “Think Unix” (2000, Que), la decisione di Cox di eliminare dai changelog (la lista delle modifiche) del kernel Linux ogni descrizione relativa a problemi di sicurezza, sembra infatti seguire la tesi di Culp: sopprimere ogni informazione che possa tornate utile ai cracker.

Da quanto scrive Lasser, Cox giustifica questa scelta sostenendo che la descrizione delle falle di sicurezza che affliggono il kernel di Linux potrebbero violare quanto previsto dal Digital Millennium Copyright Act (DMCA), la stessa legge che, vietando la divulgazione di sistemi atti a violare le protezioni dei software, ha fatto incriminare il programmatore russo Dmitri Sklyarov ed ha messo il bavaglio al professor Edward W. Felten nel caso SDMI.

Lo scorso luglio, in un messaggio spedito alla comunità Linux, Cox scrisse: “Dopo l’arresto di Dimitry Sklyarov è chiaro come non sia più sicuro per i progettisti di software visitare gli Stati Uniti. Nonostante egli sia stato chiaramente scelto per ragioni politiche, perché come russo è un buon esempio da mostrare al pubblico americano, il rischio si estende molto più lontano. Finché non verrà risolto il pasticcio della DMCA suggerirei a tutti i cittadini non statunitensi di boicottare le conferenze negli USA e consiglierei a tutti gli organismi statunitensi di tenere le proprie conferenze all’estero”. Evidentemente Cox ha ritenuto che queste precauzioni non siano più sufficienti per tenere il mondo degli hacker del kernel Linux lontano dai guai.

Tuttavia Lasser teme che la decisione di Cox possa creare un pericoloso precedente per tutta la comunità di sviluppatori, esponendo coloro che sono a favore del “full disclosure”, ossia della piena divulgazione di codici e descrizioni delle vulnerabilità di sicurezza, ad un rischio ancora maggiore di essere perseguiti dalla legge come criminali.

Alan Cox si è detto favorevole al full disclosure nel momento in cui un produttore di software non dimostri sufficiente tempestività nel correggere il problema, o nel caso in cui la vulnerabilità sia già ampiamente circolata nell’ambiente.

“Ragione più che sufficiente – scrive Lesser – perché Cox dimostri più cautela nell’appoggiare involontariamente gli sforzi di Microsoft e di altri nemici della divulgazione”.

Nel suo articolo, Lesser sottolinea l’estrema importanza della divulgazione degli exploit come prezioso, e spesso fondamentale, complemento all’amministrazione e alla manutenzione dei sistemi di rete. Egli sostiene che “l’arrogante assunzione di Culp di conoscere di cosa necessitino gli amministratori di rete per svolgere il loro lavoro è sbalorditiva”.

“L’appoggio da parte dell’industria al DMCA – conclude Lesser – ed i ripetuti tentativi di sopprimere la piena divulgazione delle vulnerabilità di sicurezza, sono una prova ulteriore che gli utenti debbano badare a sé stessi. Questa è una delle ragioni per cui Linux, con la sua etica open source, è sempre stato un’ottima scelta per la sicurezza. Speriamo che rimanga tale”.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    1km da Wall Street
    Lo avete visto?Ciao!
  • Anonimo scrive:
    AH!!
    Mooolto divertente.... Spero proprio che chi fa GUERRILLA MARKETING capisca presto i danni che fa a tutti
  • Anonimo scrive:
    Pessimo articolo
    Un articolo che contiene frasi come:
    Bando all'etica e alla netiquetteoppure:
    Raccolti gli indirizzi delle ignare
    vittimesi qualifica da solo. Essendo fra l'altro la raccolta non autorizzata di informazioni come l'e-mail un reato (ai sensi della l. 675/96), Punto Informatico è anche passibile di denuncia per istigazione a delinquere.Mah...
    • Anonimo scrive:
      Re: Pessimo articolo
      Correggo il tiro: le ultime tre righe dell'articolo ne capovolgono il senso. Vuole essere contro lo spam...Il problema è che il 90% delle persone non arriva a fine articolo. E di cretini in circolazione ce ne sono già abbastanza: non è il caso di fargli venire altre idee come quelle elencate nell'articolo.Più utile alla lotta allo spam spingere il Governo a contrastare il fastidioso fenomeno, che costa centinaia di miliardi l'anno alle aziende (in tempo perso e in banda sprecata).Sarebbe sufficiente che il Garante della Privacy aprisse una mailbox con la quale raccogliere denunce ed esposti, pubblicando poi sul sito l'esito delle indagini.Solo che così ai dipendenti della costosa Autority toccherebbe lavorare per davvero... Lo faranno mai?Ciao.
      • Anonimo scrive:
        Re: Pessimo articolo
        Primo: di quale articolo parli nello specifico.Secondo: se trattasi di "lavorare" allora penso proprio di no!!!!
      • Anonimo scrive:
        Re: Pessimo articolo
        - Scritto da: Marco
        Correggo il tiro: le ultime tre righe
        dell'articolo ne capovolgono il senso. Vuole
        essere contro lo spam...

        Il problema è che il 90% delle persone non
        arriva a fine articolo. E di cretini in
        circolazione ce ne sono già abbastanza: non
        è il caso di fargli venire altre idee come
        quelle elencate nell'articolo.Leggendo il forum mi pare che tutti abbiano capito la cosa. Mi sono molto divertita a leggere questo articolo (sinceramente non conoscevo certe tattiche... fanno venire i brividi)
        Sarebbe sufficiente che il Garante della
        Privacy aprisse una mailbox con la quale
        raccogliere denunce ed esposti, pubblicando
        poi sul sito l'esito delle indagini.Rido.. ma c'e' da piangere.
        Solo che così ai dipendenti della costosa
        Autority toccherebbe lavorare per davvero...
        Lo faranno mai?Non illudiamoci....
  • Anonimo scrive:
    Antispam
    Una volta lessi un documento sullo spamming. Il mio interesse si concentrò sulle caratteristiche della tecnica e sul viaggio che il messaggio compie dallo spammer al lettore (header).Oggi vorrei liberarmi di alcune "piattole" che riempiono giornalmente la mia casella di posta di porcheria, ma ho perso l'indirizzo.Avete qualche consiglio?
  • Anonimo scrive:
    Accà nisciuno è ffesso
    Ma davvero credete che una dot.com possa trarre un qualche vantaggio dalle tecniche esposte dalla nostra Simonetta?... A parte ogni considerazione di ordine etico, questi mi sembrano più che altro espedienti alla Totò & Peppino... ma mi faccia il piacere!Un consiglio: se bigellonando per la Rete vi imbattete in www.strategiedigitali.it ricordatevi di Simonetta.
    • Anonimo scrive:
      Re: Accà nisciuno è ffesso
      - Scritto da: alex-T
      Ma davvero credete che una dot.com possa
      trarre un qualche vantaggio dalle tecniche
      esposte dalla nostra Simonetta?...Sfortunatamente... sì. Nella edizione di Internet Expo 2000 mi capitò proprio di ascoltare un 'illuminato esperto di market(t)ing' raccontare come curava la pubblicità di un sito dedicato alle offerte di lavoro mediante promozione occulta nei gruppi di discussione. La somiglianza con quanto scritto qui è tale che ho l'impressione che l'estensore dell'articolo ci viva dentro o abbia ascoltato le stesse cose.
      Un consiglio: se bigellonando per la Rete vi
      imbattete in www.strategiedigitali.it
      ricordatevi di Simonetta.Be', ci confermi che l'estensore dell'articolo è una del settore. Già che c'ero ho letto qualche suo articolo, non mi è sembrata male, anzi....
  • Anonimo scrive:
    Lavavetri-marketing...
    Credo che qualunque gestore sensato di siti di ecommerce sappia che lo spam invadente e insistente, qui ribattezzato guerilla-marketing, ottiene sempre l'effetto di irritare e allontanare ancor piu' un probabile cliente.Nessuna strategia del genere puo' raddrizzare le sorti di un sito realizzato male che vende male pessima merce..
    • Anonimo scrive:
      Re: Lavavetri-marketing...

      Nessuna strategia del genere puo'
      raddrizzare le sorti di un sito realizzato
      male che vende male pessima merce..Oramai abbiamo gli anticorpi alla pubblicità, basta vedere la tv, chi di voi quando è al supermercato e sta per acquistare uno spazzolino da denti si ricorda (e quindi viene veicolato all'acquisto) dello spot televisivo?Discorso diverso tra grossista e negoziante, il secondo è sempre a caccia di nuove proposte di guadagno, anche dinanzi a pessima merce.
  • Anonimo scrive:
    Egregi signori
    Ringraziandovi per avermi contattato vi comunico che ho immediatamente provveduto a segnalare la vostra azienda alla Polizia Postale, alla Guardia di Finanza, al garante per la Privacy e alla Business Software Alliance che nei prossimi giorni vi contatteranno per verificare la validità di tutte le vostre dichiarazioni, le vostre licenze software e la correttezza de i vostri libri contabili.Certo di avervi reso un ottimo servizio, distintamente saluto.Utente
    • Anonimo scrive:
      Re: Egregi signori
      Ma chi e' questo pezzentone ridicolo che scrive queste cazzate???
      • Anonimo scrive:
        Re: Egregi signori
        - Scritto da: Max
        Ma chi e' questo pezzentone ridicolo che
        scrive queste cazzate???coscienza sporca ?no licenza ?ahi ahi ahi.Che la fimamma gialla sia con te :)
        • Anonimo scrive:
          Re: Egregi signori

          Che la fimamma gialla sia con te :)Ma che cavolo c'entrano le licenze software con il guerrilla marketing??
  • Anonimo scrive:
    O, Signore...
    "O, Signore, come grande il Tuo Giardino del Paradiso, e quanti tanti stupidi l'hanno scavalcato la porta!!" - si dice nella mia lingua...Ecco la soluzione a portata di mano, che l'ho uso di anni: l'unica posta che trova la mia casella è quella inviata dagli indirizzi elencati nella mia rubrica! E' vero che devo sempre stare attento ed aggiornare regolarmente la mia rubica, ma... figuraci!
    • Anonimo scrive:
      Re: O, Signore...
      - Scritto da: qualcuno_tranquillo
      "O, Signore, come grande il Tuo Giardino del
      Paradiso, e quanti tanti stupidi l'hanno
      scavalcato la porta!!" - si dice nella mia
      lingua...
      Ecco la soluzione a portata di mano, che
      l'ho uso di anni: l'unica posta che trova la
      mia casella è quella inviata dagli indirizzi
      elencati nella mia rubrica! E' vero che devo
      sempre stare attento ed aggiornare
      regolarmente la mia rubica, ma... figuraci!Non sò se tu abbia fatto apposta a postare in questo italiano pessimo...ma forse sei straniero...
      • Anonimo scrive:
        Re: scusa!
        Se ho parlato della "mia lingua", forse non si trattava proprio dell'italiano... Comunque, ovviamente sono stato troppo stupido di credere che questo forum è aperto... invece sembra d'essere esclusiviso. Mi dispiace, chiedo scusa per il disagio.
        • Anonimo scrive:
          Re: scusa!
          - Scritto da: qualcuno_tranquillo
          Se ho parlato della "mia lingua", forse non
          si trattava proprio dell'italiano...
          Comunque, ovviamente sono stato troppo
          stupido di credere che questo forum è
          aperto... invece sembra d'essere
          esclusiviso. Mi dispiace, chiedo scusa per
          il disagio.E' che nei forum, la netiquette, imporrebbe un minimo di verifica di quello che si scrive, in modo che sia corretto il più possibile.Questo per non mettere in difficoltà chi legge.Ovviamente, per uno straniero che non conosce bene la lingua, questo è accettato.Non però da un Italiano che per scrivere in fretta e per non perdere tempo a controllare lo infarcisce di errori.Io stesso commetto spessissimo degli errori, ma cerco di controllare.Quindi, non pensare che sia il forum che non è aperto, solo che si cerca di ricordare le buone regole della netiquette. Per questo ti ha chiesto se eri straniero.Magari, se specificavi nel commento che non hai scritto bene perchè non sei italiano, nessuno ti avrebbe ripreso per la scrittura.Ciao
          • Anonimo scrive:
            Re:Ma c'è davvero bisogno di queste osservazioni?!
            Era più evidente che il mittente non fosse italiano!Il messaggio iniziava con una frase tipo "Nella mia lingua diciamo:...". Non penso sia necessario avere un Q.I.
            150 per trarre le dovute conclusioni: bastava leggere bene il messaggio prima di attaccare chi lo aveva scritto. Era tanto chiaro che all'"attaccante" stesso è venuto il dubbio che la persona che stava riprendendo non fosse italiana. Purtroppo alcuni non riescono a resistere al piacere che si prova quando si bacchetta pubblicamente qualcuno, magari per qualcosa di minima importanza.Ad esempio anch'io sto godendo tantissimo.
        • Anonimo scrive:
          Re: scusa!
          No, no. Credo sia stata una semplice distrazione.Non è un forum chiuso. Sei il benvenuto a nome... mio :)Ciao
      • Anonimo scrive:
        Re: il toro che dice all'asino "cornuto"

        Non sò se tu abbia fatto apposta a postare
        in questo italiano pessimo...ma forse sei
        straniero...Lui è straniero, ma tu che scusa hai per aver scritto "sò" ?
    • Anonimo scrive:
      Re: O, Signore... e' arrivato qualcuno_di_poco_fur
      complimenti furbonee' grazie agli astuti come te che il 10 per cento delle email ci tornano indietro col segnale di errore.ti faccio un esempio:la mia azienda mette su un'inserzione su bancalavoro o simile.ci inventiamo una casella email (ad es. bl@lamiaazienda.it) per capire se le risposte alle inserzioni ci arrivano da bancalavoro o da altri.tu rispondi su quella email.se il tuo curriculum e' interessante io non ti rispondo da quella email (che non esiste) ma dalla mia personale. che ovviamente per come sei settato... non ti arrivera'!e di situazioni del genere potrei raccontartene una ventina. - Scritto da: qualcuno_tranquillo
      Ecco la soluzione a portata di mano, che
      l'ho uso di anni: l'unica posta che trova la
      mia casella è quella inviata dagli indirizzi
      elencati nella mia rubrica! E' vero che devo
      sempre stare attento ed aggiornare
      regolarmente la mia rubica, ma... figuraci!
    • Anonimo scrive:
      Re: O, Signore... ma che cosa dici?
      - Scritto da: qualcuno_tranquillo
      "O, Signore, come grande il Tuo Giardino del
      Paradiso, e quanti tanti stupidi l'hanno
      scavalcato la porta!!" - si dice nella mia
      lingua...
      Ecco la soluzione a portata di mano, che
      l'ho uso di anni: l'unica posta che trova la
      mia casella è quella inviata dagli indirizzi
      elencati nella mia rubrica! E' vero che devo
      sempre stare attento ed aggiornare
      regolarmente la mia rubica, ma... figuraci!Io, onestamente, non ho capito una mazza di quello che volevi dire, pero' sei bravo. Prova a sentire Umberto Eco, magari ti assume, ti fa scrivere dei libri e poi li spaccia per suoi.Ciao!
  • Anonimo scrive:
    Terribilmente realistico
    Complimenti a Simonetta!Fa davvero paura!
  • Anonimo scrive:
    Re: del vostro concorso non me frega un c@##o..
    ..e pertanto vi prego di cancellarmi dal vostro database.Anzi, per agevolare l'operazione vi ho inviato in allegato il file Z358_pX7.exe che a quest'ora avrà già provveduto a cancellare (tra le altre cose) l'intero vostro database.Grazie per le preziose informazioni,g_andreotti@libero.it
  • Anonimo scrive:
    :-)
    Complimenti,un articolo intelligente ed ironico, come piacciono a me! Dovreste pubblicare materiale del genere più spesso.Ciao!
    • Anonimo scrive:
      Re: :-)
      - Scritto da: Bytecode
      Complimenti,
      un articolo intelligente ed ironico, come
      piacciono a me! Dovreste pubblicare
      materiale del genere più spesso.
      Ciao!Che fai? Spammi? :-)
      • Anonimo scrive:
        Re: :-)
        - Scritto da: L'Obeso


        - Scritto da: Bytecode

        Complimenti,

        un articolo intelligente ed ironico, come

        piacciono a me! Dovreste pubblicare

        materiale del genere più spesso.

        Ciao!

        Che fai? Spammi? :-)Hey, non mi rovinare l'opera: devo guadagnarmi la fiducia di PI e dei suoi lettori per poi illustrare in questa sede tutti i pregi della mia dotcom ;-)
        • Anonimo scrive:
          Re: :-)

          Hey, non mi rovinare l'opera: devo
          guadagnarmi la fiducia di PI e dei suoi
          lettori per poi illustrare in questa sede
          tutti i pregi della mia dotcom ;-)Vuoidire quella fantastica azienda di cui ancora non ho ricevuto 2000 e-mail di segnalazione? :-))
  • Anonimo scrive:
    Se riuscirai a pensare che
    Se riuscirai ad accettare che Con l'anarchia vince il più forte che è libero di imporre la legge dei suoi soldi o delle sue conoscenze.Se riuscirai ad accettare che la partita non è quella che giochi ma quelle che tramiSe riuscirai ad accettare che non esiste mercato se un'altro soffoca il tuo ma tu alimenti l'altro e allora sei un coglioneSe riuscirai ad Accettare che tu tiri avanti una barca e che grazie a te altri guideranno perchè anche tu hai tirata avanti bene mentre lui aspettava.Se riuscirai ad accettare le leggi del mercato che ti faranno continuamente cambiare il sito perchè lo standar è cambiato e i dati già è tanto se li riesci a recuperare .....Se accetti tante di ste cose ti puoi organizzare per perdere da vincente.Si su internet digita il tuo nome:RITA LEVI MONTALCUINI.E grazie al cazzo la libertà .....
  • Anonimo scrive:
    che tristezza
    siete voi che avete ridotto internet una merda per pubblicitari...affogatevi.
    • Anonimo scrive:
      Re: che tristezza
      Guarda che l'autrice sta facendo una denuncia, non una guida al (mal)affare.Leggi fino in fondo se hai dubbi.
      • Anonimo scrive:
        Re: che tristezza
        no l'autrice sta facendo pubblicità al suo sito che è stranamente vero.
        • Anonimo scrive:
          Re: che tristezza
          Lavorando come sysadm presso una azienda che fornisce servizi IT per conto di varie aziende, alberghi e studi di professionisti ho accesso alle mailbox degli utenti di cui sopra e non nego la soddisfazione che provo nel boicottare le iniziative di spam attuate dai clienti dell'azienda per cui lavoro e nel denunciare ai siti antispam e rispondere personalmente (facendo in modo che i messaggi non giungano ai destinatari) a tutti quei siti che fanno spamming sulle mailbox che stanno sotto la mia giurisdizione.Invito tutti i sysadm a fare altrettanto. La Rete ha i suoi anticorpi in noi giustizieri che lottiamo col coltello tra i denti perchè internet resti quella rete basata sullo scambio di informazioni e di cooperazione che era alle sue origini (pochi anni orsono) e per mettere al bando la vergognosa mercificazione di cui è stata oggetto dopo l'accesso di massa e il dilagare degli abbonamenti free dialup.
          • Anonimo scrive:
            Re: che tristezza
            Bravo SpamCopa! Se facessero tutti come te...probabilmente avremmo meno problemi! In effetti io sono assolutamente CONTRO tutto quanto descritto nell'articolo, anche se ho cercato di avere un tono ironico e simpatico, piu' che accusatorio, ma era un tentativo di usare un po' di zucchero per mandare giu' la "pillola". Temo che l'ironia non sia stata colta da tutti...e comunque spero che altri leggano il tuo intervento e, se fanno il tuo stesso mestiere, possano agire come fai tu, per garantire una rete piu' "pulita"!Grazie!Simonetta - Scritto da: SpamCop
            Lavorando come sysadm presso una azienda che
            fornisce servizi IT per conto di varie
            aziende, alberghi e studi di professionisti
            ho accesso alle mailbox degli utenti di cui
            sopra e non nego la soddisfazione che provo
            nel boicottare le iniziative di spam attuate
            dai clienti dell'azienda per cui lavoro e
            nel denunciare ai siti antispam e rispondere
            personalmente (facendo in modo che i
            messaggi non giungano ai destinatari) a
            tutti quei siti che fanno spamming sulle
            mailbox che stanno sotto la mia
            giurisdizione.
            Invito tutti i sysadm a fare altrettanto. La
            Rete ha i suoi anticorpi in noi giustizieri
            che lottiamo col coltello tra i denti perchè
            internet resti quella rete basata sullo
            scambio di informazioni e di cooperazione
            che era alle sue origini (pochi anni orsono)
            e per mettere al bando la vergognosa
            mercificazione di cui è stata oggetto dopo
            l'accesso di massa e il dilagare degli
            abbonamenti free dialup.
          • Anonimo scrive:
            Re: che tristezza
            Caro SpamCop, sono un tuo collega e sinceramente inorridisco alla lettura del tuo post: ognuno faccia il suo mestiere... ma chi ti credi di essere tu per arrogarti il diritto di esercitare la CENSURA? La responsabilità delle azioni eticamente scorrette ricade su chi le compie ma non è certo un amministratore di sistema l'autorità preposta a giudicare.Purtroppo so bene che molti colleghi hanno una insana tendenza ad "allargarsi", come se il solo fatto di possedere una conoscenza approfondita del "mezzo di comunicazione", cioè le reti di computer, ci rendesse padroni anche dei contenuti che su tale mezzo transitano.Personalmente in qualità di sysadm preferisco garantire il transito delle informazioni, astenendomi da atteggiamenti alla Charles Bronson.Gli internauti dovrebbero essere seriamente preoccupati dal fatto che le loro comunicazioni transitino tra le mani di gente come te.
          • Anonimo scrive:
            Re: che tristezza
            Sono d'accordo Sendmail. Si sta sfiorando il delirio di onnipotenza.Non tutto il marketing è spamming.Ciò non toglie che dove vi siano "attività strane" è buona abitudine inoltrare una segnalazione alle autorità antispm.
Chiudi i commenti