Lo spot che s'infila tra utente e computer

Flussi di click monitorati, navigazione sotto controllo, analisi personalizzata dei comportamenti online. Ai cittadini della rete appassionati di golosità alimentari viene inspiegabilmente recapitata pubblicità dei più appetitosi banchetti: è così che coloro che vivono di gingilli tecnologici verranno tentati con gadget e corbellerie hi-tech. Il raccordo sono gli ISP: sempre più spesso ritengono che i netizen gradiscano fruire di “un'esperienza online aumentata”, sempre più spesso non esitano a vendere al marketing informazioni sui propri utenti.

È questo il caso di Charter, ISP statunitense interessato a ingabbiare i propri utenti in miglioramenti e esperienze di navigazione personalizzata . Li ha avvertiti con una email : presto implementerà i servigi di un'azienda che pratica la deep packet inspection per fare in modo che navigare sul web diventi come “sfogliare la propria rivista preferita”.

Al pari del discusso Phorm , quell'azienda, che si ritiene possa essere NebuAD , occhieggia costantemente sulla vita online dei netizen: vigila con la deep packet inspection, assembla e confronta i dati raccolti e li trasforma in informazioni a favore degli uomini del marketing, mirino per puntare sul target dei propri annunci pubblicitari online. Il perno del meccanismo sono gli ISP: implementano i sistemi e tentano di farli digerire ai propri utenti. Li ingolosiscono con la promessa di un'esperienza di navigazione succulenta e appetitosa e li trasformano in bocconi da dare in pasto agli inserzionisti .

Protagonista di queste pratiche di dissimulazione è anche Charter: l'operatore non ammette in alcun modo di voler implementare un sistema che trasforma i propri utenti in profittevoli bersagli, li rassicura riguardo al fatto che nessuno verrà in possesso delle informazioni estratte dai comportamenti di navigazione di ciascuno e del fatto che i profili non saranno nominativi ma saranno semplicemente profili di anonimi consumatori . Non tenta di convincerli barattando l'adesione con banda aggiuntiva, né tenta di incuriosirli presentando il sistema come una sperimentazione. Propone semplicemente al pubblico un miglioramento al quale sono sottoposti di default : saranno tracciati, verrà recapitata loro pubblicità personalizzata attraverso i siti parte del network con cui Charter ha stretto accordi. Fino al momento in cui non decideranno di svincolarsi dall'esperienza di navigazione aumentata.

E qualora scegliessero l' opt-out gli si pareranno di fronte una serie di complicazioni : verrà loro consegnato un preziosissimo cookie che impedirà il tracciamento. Un cookie per ogni browser utilizzato, un cookie per ogni computer utilizzato, un cookie che non dovrà in alcun modo essere rimosso. In quel caso, la procedura di opt-out sarà inesorabilmente da ripetere. Ma a Charter sono convinti che la pubblicità personalizzata piacerà: a dimostrarlo ci sono studi condotti dall'azienda e indagini ad ampio raggio .

Non sono però d'accordo pilastri del Web come Tim Berners Lee , non sono d'accordo le associazioni che tutelano i diritti dei cittadini . L'attivista Lauren Weinstein chiama in causa le istituzioni: “È il momento che chiariscano che gli ISP devono semplicemente garantire la capacità di comunicare, non devono spiare, tracciare e intervenire sulle comunicazioni dei consumatori per trarre dei vantaggi”.

Gaia Bottà

Domanda per i linari
Ma se Linux è opensource, per capire come decifrare qualsiasi cosa non basta analizzare il codice degli algoritmi crittografici? (newbie)

Gold Partner

Rispondi
Re: Domanda per i linari
- Scritto da: Gold Partner> Ma se Linux è opensource, per capire come> decifrare qualsiasi cosa non basta analizzare il> codice degli algoritmi crittografici?> (newbie)Ecco un altro allocco che viene dalla Val Brembana.

Gnurant

Quote
Re: Domanda per i linari
No.Gli algoritmi di cifratura è da mo' che sono pubblici, sia che vengano usati da windows, linux, ecc. Ciò che cambia è il codice dei generatori di numeri random... e come i programmi usano questi generatori (è il caso di questa vulnerabilità).Comunque conoscere l'algoritmo di cifratura non ti porta ad averlo rotto.

supernaicol

Quote
Re: Domanda per i linari
Se tu non avessi fatto 10 di post di trollaggio ti avrei anche risposto.

eaman1

Quote
Re: Domanda per i linari
Spesso in matematica da una ipotesi puoi costruire una tesi ma dalla stessa tesi non puoi tornare all'ipotesi che l'ha generata.Puoi stare certo che i moderni sistemi di criptatura si guardano bene dal permetterti di ricostruire il percorso inverso solo guadando un algoritmo.

0verture

Quote
Re: Domanda per i linari
@overturese non c'è reciprocità di ricostruzione tesi <---> ipotesi non si tratta di processi biunivoci, ma allora non è il nostro caso (la crittografia deve essere necessariamente biunivoca, cioè da stringa A devo ricavare stringa B codificata secondo chiave K, e solo quella, e da stringa B devo ricavare stringa A originaria decodificata secondo stessa chiave K, e solo quella). Un'algoritmo di crittografia è necessariamente composto di due parti, ambedue rese pubbliche: la codifica e la decodifica, non ci piove: se esamini solo uno dei due sottoalgoritmi componenti hai tutte le tue difficoltà a ricavare quello inverso, ma non è il nostro caso, perchè li ha disponibili e noti ambedue. Allora devo ritenere che ti riferivi ad una cosa molto più fine: processo "diretto": data una chiave K, ed un processo operatore di codifica C e di decodifica D noti, è determinabile la conversione della stringa nota A nella stringa B mediante operatore C su chiave K, così come è determinabile la conversione di stringa B in stringa A mediante operatore D su chiave K; processo "inverso": dato un processo operatore di codifica C e di decodifica D noti e il risultato della trasposizione di A in B noti con operatore C secondo chiave K ignota, ovvero di B in A con operatore D secondo chiave K ignota, ben difficilmente e non necessariamente è determinabile questo K, essendo non necessariamente biunivoca la reversibilità del processo (ossia più di una chiave potrebbe dare luogo allo stesso tipo di conversione, ed in tal caso la sua ricerca sarebbe indeterminabile se non euristicamente). Ovviamente questo tipo di reversibilità non biunivoca dimuisce l'efficienza dell'algoritmo stesso.Bye.

rockroll

Quote
Re: Domanda per i linari
Il DES non è biunivoco e viene ormai utilizzato in tantissimi campi... Ad esempio le schede satellitari, dove a meno di bachi che permettano di fare un dump della rom, nel software della smart card, non si fa una mazza.La chiave di codifica di un flusso di dati è diversa da quella di decodifica, da una non si ricava l'altra in quanto entrambe sono risultato di un algoritmo che non può essere invertito. Poi questo algoritmo sovente non viene implementato puro, ma con giochi di chiavi che lo rendono praticamente impossibile da violare anche con brute force.Il problema non sono gli algoritmi di codifica, ma le persone che li implementano male. (Come era successo ai tempi di Canal+, penso volontariamente, per sfruttare la pirateria come pubblicità, visto quanto erano palesi alcuni bachi)

xbomber

Quote
Re: Domanda per i linari
per niente. Non si tratta dello stesso algoritmo letto da due posizioni opposte ma di due algoritmi specifici: uno per criptare e l'altro per decriptare.Non per niente il grosso dei sistemi informatici criptati viene fatto saltare mescolando forza bruta, social engineering e attacchi "concettuali" (come intercettare la trasmissione in chiaro della chiave tra i due comunicanti o freezando la ram).Un algoritmo di criptatura biunivoco è il cifrario di cesare ma sfido io a trovare qualcuno più sveglio di un bambino delle elementari che lo usa per proteggere i propri dati

0verture

Quote
Re: Domanda per i linari
- Scritto da: rockroll> @overture> > se non c'è reciprocità di ricostruzione> tesi <---> ipotesi non si tratta di processi> biunivoci, ma allora non è il nostro caso (la> crittografia deve essere necessariamente> biunivoca, cioè da stringa A devo ricavare> stringa B codificata secondo chiave K, e solo> quella, e da stringa B devo ricavare stringa A> originaria decodificata secondo stessa chiave K,> e solo quella).>Mai sentito parlare di crittografia a chiave pubblica?

x4b

Quote
Re: Domanda per i linari
Dagli altri post è emerso che sei un troll.Ora, con questo post si prospettano due possibilità:- sei ignorante come un tavolino- oppure sei un troll altamente raffinatonel primo caso, condoglianze, nel secondo, bravo.

Gusbertone

Quote
Re: Domanda per i linari
"one way" ti dice nulla?--http://www.freshnet.org

Andy

Quote
Re: Domanda per i linari
Hanno usato un generatore di idioti per concepirti?

Ricco in canna

Quote
Re: Domanda per i linari
- Scritto da: Gold Partner> Ma se Linux è opensource, per capire come> decifrare qualsiasi cosa non basta analizzare il> codice degli algoritmi crittografici?> (newbie)NO. La forza della crittografia sta nella qualità dell'algoritmo stesso, non nella conoscenza di quale sia l'algoritmo implementato. Nascondere l'algoritmo non ha senso. Ha senso solo se quest'ultimo fa schifo, ma in questo caso è comunque facile "bucarlo".

Nifft

Quote
Re: Domanda per i linari
eh beata ignoranza!http://it.wikipedia.org/wiki/RSA

gino

Quote
Re: Domanda per i linari
Guarda te la metto facile, tu hai la piantina di fort knox, vedi che hanno le mura spesse 20 metri, un portone di acciaio da 2 mt, 20.000 guardie, mo' sai piu' o meno tutto vai li' e fregati un po' di lingotti.Viceversa tu non hai la piantina della banca sotto casa, pero' guardando da fuori vedi che c'e' una telecamera, a occhio il muro sara' 80 cm ... Piu' vicina stazione di polizia/carabinieri a 20 Km, credo tu abbia qualche possibilita' ...Insomma un algoritmo di crittografia pubblicato e' una piantina che tutti possono vedere ma e' bello massiccio e lo e' proprio perche' tutti lo possono vedere, non tutti sono lazzeroni, qualcuno vede la piantina e nota un buco lo segnala e "i buoni" sistemano la piantina (o mettono i lingotti in un edificio con caratteristiche costruttive del tutto diverse).

ArmiPari

Quote
Casualità? Forse si, forse no...
Si è speso molto tempo (a ragione) a criticare la generazione casuale di windows, il problema NSA, ecc. Questa è la esatta trasposizione del problema su Ubuntu, che stà prendendo sempre più piede sul mercato consumer. Ora, con tutta la comprensione possibile, non credo che uno sbiluppatore vada a "commentare" per caso proprio la parte della generazione casuale delle key... Sembra tanto una agressione, o comunque una backdoor voluta.Che sia stata governativa :)?

TheSandman

Rispondi
Re: Casualità? Forse si, forse no...
- Scritto da: TheSandman> Che sia stata governativa :)?Sì, certo ce l' hanno infilata apposta....come la supposta che ti infili te sempre la sera al parco.

Zacchete

Quote
Re: Casualità? Forse si, forse no...
Mi fà piacere sentire che a te la spiegazione "uno sviluppatore incauto ha casualmente commentato delle righe di codice" sia sufficiente. Io dovrò anche stare attento alla supposta, ma tu non ti curi della trave... e non quella davanti al tuo occhio.

TheSandman

Quote
Re: Casualità? Forse si, forse no...
Volendo puoi passare su slashdot, nei commenti del post linkato vi è la ricostruzione dei fatti. Il packager ha commentato delle righe di codice che un programma di sicurezza ha individuato come pericolose e, probabilmente per somiglianza ma comunque erroneamente, altre che aumentavano sensibilmente la randomizzazione delle chiavi

Nome e cognome

Quote
Re: Casualità? Forse si, forse no...
- Scritto da: TheSandman> Si è speso molto tempo (a ragione) a criticare la> generazione casuale di windows, il problema NSA,> ecc.> > Questa è la esatta trasposizione del problema su> Ubuntu, che stà prendendo sempre più piede sul> mercato consumer. > > Ora, con tutta la comprensione possibile, non> credo che uno sbiluppatore vada a "commentare"> per caso proprio la parte della generazione> casuale delle key... Sembra tanto una> agressione, o comunque una backdoor> voluta.> Che sia stata governativa :)?una backdoor? infilata apposta in un codice sorgente libero, aperto, pubblico, a cui tutti hanno accesso???è vero che qualcuno ci ha anche provato (BK2CVS problem) ma sai com'è... GNU/Linux ha codice sorgente libero... e la cosa salta fuori...altri s.o. invece (uno a caso, anzi due: WindowS e Ma) hanno codice non-libero... chi le va a cercare, trovare ed eliminare le backdoor? stanne certo: ne sono pieni zeppi (NSA Problem, appunto, ecc. ecc.)ciao

A reloaded

Quote
Re: Casualità? Forse si, forse no...
contenuto non disponibile

unaDuraLezione

Quote
Re: Casualità? Forse si, forse no...
- Scritto da: unaDuraLezione> - Scritto da: A reloaded> > una backdoor? infilata apposta in un codice> > sorgente libero, aperto, pubblico, a cui tutti> > hanno> > accesso???> > perchè no?> perchè dura poco?> Se ne mettessero un po' qua e là e continuassero> ad aggiungerne per 'sbadatezza', si avrebbe> comunque sempre una backdoor virtuale (fatta> dall'alternarsi di quelle> reali)> L'ho scirtto in passato e lo ripeto.> Credere di essere al sicuro, solo perchè è> "scritto tutto lì" è la cosa più folle che si> possa pensare e il vero buco di sicurezza del> software OS è l'utente talebano che crede> ciecamente alle cose.Nessuno dice che e' il sistema perfetto !Semplicemente e' piu' sicuro avere la possibilita' di controllare (o di farseli controllare da qualcuno) che non averla.

krane

Quote
Re: Casualità? Forse si, forse no...
La sicurezza non e' un prodotto ma un processo, non si e' mai sicuri, del tutto.La sicurezza e' il prodotto dell'ingegno umano, chi ha un interesse contrario al tuo usa lo stesso ingegno di cui disponi tu per fregarti e quello che magari e' buono oggi, dato che il lazzarone ha avuto tempo di pensarci, non e' buono domani.Poter leggere il codice, a mio parere, aiuta nel processo sicurezza, in quella partita a scacchi buoni contro cattivi se vuoi, se poi i cattivi vincono vuol dire che se lo meritavano perche' hanno piu' cervello della tua squadra.Ma hai certamente ragione, al sicuro non si e' mai e pensare di esserlo e' un pessimo approccio, il primo requisito di un buon addetto alla sicurezza informatica e' la paranoia.

ArmiPari

Quote
Re: Casualità? Forse si, forse no...
- Scritto da: unaDuraLezione> - Scritto da: A reloaded> > > una backdoor? infilata apposta in un codice> > sorgente libero, aperto, pubblico, a cui tutti> > hanno> > accesso???> > perchè no?> perchè dura poco?> Se ne mettessero un po' qua e là e continuassero> ad aggiungerne per 'sbadatezza', si avrebbe> comunque sempre una backdoor virtuale (fatta> dall'alternarsi di quelle> reali)non ho mica detto il contrario> L'ho scirtto in passato e lo ripeto.> Credere di essere al sicuro, solo perchè è> "scritto tutto lì" è la cosa più folle che si> possa pensare e il vero buco di sicurezza del> software OS è l'utente talebano che crede> ciecamente alle> cose.concordo...se rileggi il post vedrai che non ho detto questo... si tratta di una tua interpretazione estensima... ma non di quello che ho scritto o penso io...:-)

A reloaded

Quote
Re: Casualità? Forse si, forse no...
- Scritto da: TheSandman... Sembra tanto una> agressione, o comunque una backdoor> voluta.> Che sia stata governativa :)? del governo delle banane
visto che hanno infilato un backdoor tramite un commento visibile a TUTTI....ma per favore, leggi meno riviste di ufo

Incredibile

Quote
Re: Casualità? Forse si, forse no...
contenuto non disponibile

unaDuraLezione

Quote
Re: Casualità? Forse si, forse no...
- Scritto da: unaDuraLezione> > scusa eh, la vulnerabilita è lì da due anni,> quindi se fosse stata fatta di proposito sarebbe> stato un successo> epico.sì ma nel ramo unstable.al massimo bucavano me o te, sai che robachi vuol stare al sicuro non mette certo unstable

merlino

Quote
lo hanno già risolto?
non so se è questo, ma a me lo ha aggiornato automaticamente. sul forum ubuntu ancora c'è l'annuncio della vurlnerabilità.Commit Log for Wed May 14 23:24:07 2008I seguenti pacchetti sono stati aggiornati:openssl-blacklist (0.1-0ubuntu0.8.04.1) to 0.1-0ubuntu0.8.04.2

suonala ancora sam

Rispondi
Re: lo hanno già risolto?
si è stata risolta poche ore dopo.http://forum.ubuntu-it.org/index.php/topic,187240.0.html

gnulinux86

Quote
Re: lo hanno già risolto?
Io avevo fatto un aggiornamento in mattinata, ma vedo che ora ci sono anche:openssh-client openssh-server openssh-blacklistSu debian stable.Maggiori info su: http://lwn.net/Articles/282287/Ricordatevi di rigenerare le chiavi se sono riconosciute da ssh-vulnkey, l'upgrade non basta, le chiavi deboli le avevate gia' generate con i vecchi pacchetti.-----------------------------------------------------------Modificato dall' autore il 15 maggio 2008 01.01-----------------------------------------------------------

eaman1

Quote
Re: lo hanno già risolto?
i pacchetti sono già stati aggiornati.l'unico pacco è che se hai generato delle chiavi utilizzando i pacchetti vecchi, potresti trovarti con delle chiavi deboli (relativamente facili da compromettere, indipendentemente dalla lunghezza).quindi il consiglio per chi ha generato chiavi con pacchetti vulnerabili è di sbatterle via e generarne di nuove.

MircoM

Quote
Re: lo hanno già risolto?
dopo 2 anni si sono decisi di risolverlo:The result of this is that for the last two years (from Debians Etch release until now), anyone doing pretty much any crypto on Debian (and hence Ubuntu) has been using easily guessable keys. This includes SSH keys, SSL keys and OpenVPN keys. (fonte)http://www.links.org/?p=327

gennaro

Quote
Re: lo hanno già risolto?
si, sono passati solo due anni....

blasetti

Quote
Ma chiunque puo' modificare il codice?
Come funziona il discorso?Se uno si sveglia e decide di commentare qualche riga,può farlo?

MAH

Rispondi
Re: Ma chiunque puo' modificare il codice?
fin che ti avvali dei repo pubblici per scaricare e/o aggiornare il software del tuo bel pc ... direi di si ... ma non ci trovo nulla di male, è grazie a loro che linux E' quello che E' in questi ultimi anni: Un rivoluzionario sitema operativo 100k volte meglio di winzozzo.

deepred

Quote
Re: Ma chiunque puo' modificare il codice?
No,una volta che il team di sviluppo rilascia un software un packager NON deve modificarne il codice, altrimenti di fatto ne fai un fork perché le patch del team di sviluppo non sono più applicabili- Scritto da: deepred> fin che ti avvali dei repo pubblici per scaricare> e/o aggiornare il software del tuo bel pc ...> direi di si ... ma non ci trovo nulla di male, è> grazie a loro che linux E' quello che E' in> questi ultimi anni: Un rivoluzionario sitema> operativo 100k volte meglio di> winzozzo.

davide73

Quote
Re: Ma chiunque puo' modificare il codice?
mi spiace deluderti ma la falla è stata patchata poche ore dopo.http://forum.ubuntu-it.org/index.php/topic,187240.0.html

gnulinux86

Quote
Re: Ma chiunque puo' modificare il codice?
- Scritto da: MAH> Come funziona il discorso?> > Se uno si sveglia e decide di commentare qualche> riga,> può farlo?Ma ti pare?Troppa fatica andare sui siti ufficiali delle cose su cui si discute?Per poter modificare il codice che viene distribuito devi essere uno sviluppatore ufficiale, e per diventarlo non basta iscriversi al sito del progetto come per i forum...http://www.debian.org/devel/join/newmaint

scardola delmo

Quote
Re: Ma chiunque puo' modificare il codice?
- Scritto da: scardola delmo> - Scritto da: MAH> > Come funziona il discorso?> > > > Se uno si sveglia e decide di commentare qualche> > riga,> > può farlo?> > Ma ti pare?> > Troppa fatica andare sui siti ufficiali delle> cose su cui si> discute?> > Per poter modificare il codice che viene> distribuito devi essere uno sviluppatore> ufficiale, e per diventarlo non basta iscriversi> al sito del progetto come per i> forum...> > http://www.debian.org/devel/join/newmaintnon capisco perchè rispondere con questi toni ad una domanda posta educamtamente e legittimamente.... se non ti va non rispondi. punto.

Petengy

Quote
Re: Ma chiunque puo' modificare il codice?
- Scritto da: Petengy> - Scritto da: scardola delmo> > - Scritto da: MAH> > > Come funziona il discorso?> > > > > > Se uno si sveglia e decide di commentare> qualche> > > riga,> > > può farlo?> > > > Ma ti pare?> > > > Troppa fatica andare sui siti ufficiali delle> > cose su cui si> > discute?> > > > Per poter modificare il codice che viene> > distribuito devi essere uno sviluppatore> > ufficiale, e per diventarlo non basta iscriversi> > al sito del progetto come per i> > forum...> > > > http://www.debian.org/devel/join/newmaint> > non capisco perchè rispondere con questi toni ad> una domanda posta educamtamente e> legittimamente.... se non ti va non rispondi.> punto.Ti ha solo detto RTFM

krane

Quote
Re: Ma chiunque puo' modificare il codice?
contenuto non disponibile

unaDuraLezione

Quote
Re: Ma chiunque puo' modificare il codice?
- Scritto da: unaDuraLezione> - Scritto da: scardola delmo> > > Per poter modificare il codice che viene> > distribuito devi essere uno sviluppatore> > ufficiale, e per diventarlo non basta iscriversi> > al sito del progetto come per i> > forum...> > E' una cosa che un esperto informatico della NSA> o dei servizi segreti cinesi o russi o di> uqlasiasi organizzazione statale o criminale non> è in grado di> fare?> > Nello spionaggio reale, infiltrarsi è cosa assai> comune, non vedo perchè così non debba essere in> quello informatico.E' talmente normale che lo sanno anche loro, per quello ci sono tanti controlli incrociati anche tra distribuzioni diverse.

krane

Quote
Re: Ma chiunque puo' modificare il codice?
- Scritto da: MAH> Come funziona il discorso?> > Se uno si sveglia e decide di commentare qualche> riga,> può farlo?Magari fosse successo questo.Purtroppo invece c'è stato una discussione tra sviluppatori che ha portato alla puttanata cosmica di commentare la rigahttp://bugs.debian.org/cgi-bin/bugreport.cgi?bug=363516E ognuno tragga le proprie conclusioni.

innominato

Quote
Re: Ma chiunque puo' modificare il codice?
Ti svegli e modifichi (a rampazzo?) il codice di Linux, si, ma resta solo per te e per quelli che vogliono copiaarlo privatamente da te; però per diventare modifica ufficiale e parte integrante del Kernel occorre ben altro, diciamo che deve essere necessariamente vagliata e accettata in qualche modo (non so bene quale) dalla comunità, e di conseguenza resa pubblica.

rockroll

Quote
Re: Ma chiunque puo' modificare il codice?
Premesso che linux (o meglio una distribuzione linux non è solo il kernel) Il problema è che questa volta in tanti hanno dormito! Può capitare, l'importante è che si sia corretto il tutto in pochi minuti.Mi interessa poi sapere come si sono mossi quelli di ubuntu. Hanno reso la patch disponibile x tutti i sistemi debian-based? prima dell'annuncio ufficiale hanno comunicato al team debian la situazione?

barra78

Quote
Re: Ma chiunque puo' modificare il codice?
- Scritto da: MAH> Come funziona il discorso?> > Se uno si sveglia e decide di commentare qualche> riga,> può farlo?Chiedilo a tua sorella come fa a far quadrare il magro bilancio della paghetta settimanale. Altri...commenti sono superflui.

La voce della veriras

Quote
Re: Ma chiunque puo' modificare il codice?
Non vedo cosa ci sia di male nel chiedere chiarimenti sul come funziona la gestione dei sorgenti.Anche io ho molti dubbi sui passaggi che ci sono prima dell'approvazione di modifiche in progetti come il kernel

barra78

Quote
Re: Ma chiunque puo' modificare il codice?
Vi vedo troppo nervosi,capisco che un bug gravissimo in debianpossa fare questo effetto.

MAH

Quote
Re: Ma chiunque puo' modificare il codice?
- Scritto da: MAH> Come funziona il discorso?> > Se uno si sveglia e decide di commentare qualche> riga,> può farlo?no,mettiamo le cose in chiaro:openssl e' gestito da un X persone e solo queste X persone hanno accesso in scrittura al codice.Lo stesso codice viene poi preso dal debian mantainer responsabile di openssl che poi lo trasforma in un pacchetto per debian e ubuntu.Solo lui ha il diritto di modificare il pacchetto (salvo casi rari in cui intervengono altre persone ma sempre all'interno di debian).In questo caso la responsabilita' e' del debian mantainer che - credo - al momento sia stato appeso a testa in giu' e frustrato con cavi ethernet coassiali (piu' grossi quindi fanno + male).

samu

Quote
Re: Ma chiunque puo' modificare il codice?
OK, grazie della spiegazione.

MAH

Quote
Vulnerabilita risolta poche ore dopo.
la vulnerabilità è stata risolta poche ore dopo averla scoperta, i programmatori opensource sono rapidissimi:http://forum.ubuntu-it.org/index.php/topic,187240.0.htmlnon siamo mica su windows che per patchare una falla a volte passano mesi o anni.

gnulinux86

Rispondi
Re: Vulnerabilita risolta poche ore dopo.
Guarda il lato positivo: per creare una simile falla su windows non bastava un ragazzino che gioca con i rem

uff

Quote
Re: Vulnerabilita risolta poche ore dopo.
Hai ragione, basta molto meno :P

Paggio

Quote
Re: Vulnerabilita risolta poche ore dopo.
- Scritto da: uff> Guarda il lato positivo: per creare una simile> falla su windows non bastava un ragazzino che> gioca con i> remHai ragione, su windows occorrono ingegneri plurilaureati. E infatti le falle sono di una spanna avanti.

OverMe

Quote
Re: Vulnerabilita risolta poche ore dopo.
c'e' poco da far gli spiritosi. Ogni tanto c'e' da rabbrividire a quanti danni si possono fare intenzionalmente.Almeno M$ li fa per sbaglio/nsa...

sabbiolina

Quote
Re: Vulnerabilita risolta poche ore dopo.
FALSO. La vulnerabilità è stata risolta solo dopo 2 ANNI:The result of this is that for the last two years (from Debians Etch release until now), anyone doing pretty much any crypto on Debian (and hence Ubuntu) has been using easily guessable keys. This includes SSH keys, SSL keys and OpenVPN keys. (fonte)

gennaro

Quote
Re: Vulnerabilita risolta poche ore dopo.
- Scritto da: gnulinux86> la vulnerabilità è stata risolta poche ore dopo> averla scoperta, i programmatori opensource sono> rapidissimi:> > http://forum.ubuntu-it.org/index.php/topic,187240.> > non siamo mica su windows che per patchare una> falla a volte passano mesi o> anni.Non dire cosi!Ora che anche i nostri politici stanno lavorando assieme senza scannarsi,guai a divulgare la verità!sei pazzo?rischi di far saltare il clima sereno di dialogo tra le parti!Vuoi esserne responsabile?Fai come la nostra classe giornalistica!autocensurati!non creare flames,lascia che i comandanti possano decidere in totale rilassatezza senza che qulcuno debba giudicarne l'operato!La vita politica insegna,e vale anche per l'ambito informatico!

Franco

Quote
Re: Vulnerabilita risolta poche ore dopo.
- Scritto da: gnulinux86> la vulnerabilità è stata risolta poche ore dopo> averla scoperta, i programmatori opensource sono> rapidissimi:In effetti è miracoloso come i programmatori opensource siano riusciti a togliere i commenti da una riga in solo poche ore!!Considerando che per decidersi a commentarla ci avevano messo ben 25 giorni la cosa stupisce davvero.Meno male che l'opensource c'è!

innominato

Quote
Re: Vulnerabilita risolta poche ore dopo.
A volte decommentare pezzi di codice, vuol dire modificarne poi altri, per farlo funzionare. In un sorgente da 100.000 righe di codice(Ed è nella norma che ce ne siano almeno tante, visto che nei mie stupidi applicativi in C++ che ne sono da 3.000 a 25.000, e sono applicativi veramente stupidi), può darsi che un umano come qualunque programmatore si dimentichi di avere messo un commento provvisorio per fare funzionare un applicativo, per poi dedicarsi dopo alla correzione di un'errore e magari poi dimenticarsene. Questo come detto più volte capita in tutti i tipi di software. Anche il closed è fatto da umani e scritto come sorgente.

xbomber

Quote
Re: Vulnerabilita risolta poche ore dopo.
- Scritto da: gnulinux86> la vulnerabilità è stata risolta poche ore dopo> averla scoperta, i programmatori opensource sono> rapidissimi:> > http://forum.ubuntu-it.org/index.php/topic,187240.> > non siamo mica su windows che per patchare una> falla a volte passano mesi o> anni.guarda però che M$ a ficcar dentro Window$ delle backdoor fa velocissima... (e non solo lei: anche Apple sui suoi sistemi, ecc...)e chissà quante di nuove ad ogni service pack o bug-fix o aggiornamento... "di sicurezza"...basta che l'NSA chieda... o l'FBI... o la CIA... o qualche altro servizio segreto di qualche paese amico...

A reloaded

Quote
Re: Vulnerabilita risolta poche ore dopo.
Grazie,ero preoccupato che non fosse ancora apparso un commento tipo questo... giuro che se nessun cantinaro l'avesse scritto l'avrei fatto io al posto loro!- Scritto da: gnulinux86> la vulnerabilità è stata risolta poche ore dopo> averla scoperta, i programmatori opensource sono> rapidissimi:> > http://forum.ubuntu-it.org/index.php/topic,187240.> > non siamo mica su windows che per patchare una> falla a volte passano mesi o> anni.

davide73

Quote
Re: Vulnerabilita risolta poche ore dopo.
- Scritto da: gnulinux86> la vulnerabilità è stata risolta poche ore dopo> averla scopertasogna... sogna...ci hanno messo 2 anni per fixarla!The result of this is that for the last two years (from Debians Etch release until now), anyone doing pretty much any crypto on Debian (and hence Ubuntu) has been using easily guessable keys. This includes SSH keys, SSL keys and OpenVPN keys. (fonte)http://www.links.org/?p=327

gennaro

Quote
Re: Vulnerabilita risolta poche ore dopo.
- Scritto da: gennaro> - Scritto da: gnulinux86> > la vulnerabilità è stata risolta poche ore dopo> > averla scoperta> > sogna... sogna...> ci hanno messo 2 anni per fixarla!> The result of this is that for the last two years> (from Debians Etch release until now), anyone> doing pretty much any crypto on Debian (and hence> Ubuntu) has been using easily guessable keys.> This includes SSH keys, SSL keys and OpenVPN> keys.> (fonte)> http://www.links.org/?p=327Caro Gennaro, innanzitutto complimenti. Penso che tu sia il maggior copia-incollatore del sito, visto che questo tuo commento e' ovunque. Comunque per nome farti concorrenza ti rispondo solo qua ( ho usato il mio random perfettamente funzionante per decidere, visto che sono ben lontano dall'essere un debianista con il random-tarocco me lo posso permettere).La differenza tra quello che dici tu e la verita' e' immensa. Il fatto che ci siano delle falle in TUTTI i sistemi ( open e closed ) e' normalissimo. Il punto e'... dopo che scopro una falla quanto ci metto a sistemarla. Alla Microsoft una falla resta li' 2 anni, poi la scoprono e dopo due anni la fixano. Qui la falla e' rimasta li' 2 anni, l'hanno scoperta e dopo 2 ore era a posto.Il tempo di FIX non e' il tempo che intercorre da quando viene pubblicato il software buggato a quando lo fixano, ma da quando viene scoperto il bug a quando lo fixano. Quindi tieniti pure i tuoi troll-commenti tutti uguali, se non sai neanche di che stai parlando.

HoX

Quote
Re: Vulnerabilita risolta poche ore dopo.
- Scritto da: gnulinux86> la vulnerabilità è stata risolta poche ore dopo> averla scoperta, i programmatori opensource sono> rapidissimi:> > http://forum.ubuntu-it.org/index.php/topic,187240.> > non siamo mica su windows che per patchare una> falla a volte passano mesi o> anni.Ma LOL poche ore, come al solito voi linari vi fate abbindolare. La falla è stata introdotta nel 2006, scoperta chissà quando e loggata come minimo a Gennaio del 2008, poi secretata da debian come dimostra il log su Mitre."Candidate assigned on 20080109 and proposed on N/A"

nome e cognome

Quote
Re: Vulnerabilita risolta poche ore dopo.
LEGGI BENE!Sono passati due anni, è dal settenbre 2006 che è buggato!

blasetti

Quote
Re: Come volevasi dimostrare...
è stata risolta poche ore dopo.http://forum.ubuntu-it.org/index.php/topic,187240.0.htmlnon siamo su windows che per patchare una falla passano mesi o anni.-----------------------------------------------------------Modificato dall' autore il 15 maggio 2008 00.38-----------------------------------------------------------

gnulinux86

Rispondi
Re: Come volevasi dimostrare...
- Scritto da: gnulinux86> è stata risolta poche ore dopo.FALSO! E' stata risolta dopo 2 anni!!!!The result of this is that for the last two years (from Debians Etch release until now), anyone doing pretty much any crypto on Debian (and hence Ubuntu) has been using easily guessable keys. This includes SSH keys, SSL keys and OpenVPN keys. (fonte)http://www.links.org/?p=327

gennaro

Quote
Re: Come volevasi dimostrare...
Genio, è stata risolta poche ore dopo che è stata SCOPERTA.Se tu ragionassi nello stesso modo per Windows, le patch che escono oggi allora sarebbero relative a bug immessi nel primissimo kernel, cioè quello di NT, altrochè 2 anni, lì siamo sui 10 anni ^___^Quando si calcola la velocità nel patchare, si calcola dalla scoperta, non dalla presunta comparsa del bug, genio che non sei altro.

Senbee

Quote
Re: Come volevasi dimostrare...
COSA C'ENTRA!!!E da due anni che gira il pacchetto buggato, chissa quante persone se ne sono acorte e hanno sfruttao la falla!Altro che OpenSource sicuro eprche tutti controllano il codice, la era da anni che nessuno lo controllava.Vergogna....

blasetti

Quote
Re: Come volevasi dimostrare...
caspita ... che inglese!

deepred

Rispondi
Re: Come volevasi dimostrare...
Pollo, la security trhu obscurity e' il contrario ovvero "sono sicuro che nessuno mi cracca perche' non sanno che algoritmo uso", e se tu avessi studiato crittografia sapresti che l'unica cosa che deve essere segreta e' la password, non l'algoritmo. La STO e' applicata dagli incapaci.Oh, e per tua informazione, la falla e' stata trovata su debian UNSTABLE, ti suggerisce niente?Pollo.

Andrea

Rispondi
Re: Come volevasi dimostrare...
- Scritto da: Andrea> Oh, e per tua informazione, la falla e' stata> trovata su debian UNSTABLE, ti suggerisce> niente?A me suggerisce che non ha idea di ciò di cui si sta parlando.Il bug affligge etch, che è stata rilasciata l'8 aprile 2007.Ovvero il bug si è fatto 13 mesi di release stabile.E a parte questo davvero non capisco la mania di rispondere seriamente a quello che è un troll, tra l'altro abbastanza preparato da dire tutto il contrario di ciò che un informatico con un po' di cervello direbbe.Farsi 4 risate no?

innominato

Quote
Re: Come volevasi dimostrare...
Non è vero, era presente da due anni e il pacchetto era finito pure su debia etch. Da DUE anni!

blasetti

Quote
Win backdoor
ok... su debian e derivate c'era una vulnerabilità...dopo poche ore è stata risolta e i sistemi possono essere aggiornati e sicurizzati...ce ne sono altre? molto molto molto difficile... e nel dubbio chiunque può prendersi il codice e cercare, trovare, verificare, correggere...bravi winari, vi siete sfogati, avete criticato e trollato in abbondanza...qualcuno di voi mi sa dire (dati certi alla mano, fatti e non parole) se, quali e quante vulnerabilità e backdoor ci sono nel s.o. window$ che state usando (molti di voi probabilmente in modo illegale senza aver pagato la licenza)???rispondo io per voi: NO! e se anche voleste NON potete: il codice non è libero e zio Bill a voi non lo fa di certo vedere...di sicuro invece quel codice lo vedono e ci mettono mano tanti altri e per tanti scopi... magari anche diciamo "discutibili"...ciaops: w echelon!

A reloaded

Rispondi
Re: Win backdoor
- Scritto da: A reloaded> qualcuno di voi mi sa dire (dati certi alla mano,> fatti e non parole) se, quali e quante> vulnerabilità e backdoor ci sono nel s.o. window$> che state usando (molti di voi probabilmente in> modo illegale senza aver pagato la> licenza)???> > rispondo io per voi: NO! Ma veramente tu avevi già risposto per "noi" altrove>stanne certo: ne sono pieni zeppi (NSA Problem, appunto, ecc. ecc.)>guarda però che M$ a ficcar dentro Window$ delle backdoor fa velocissima... (e non solo lei: anche Apple sui suoi sistemi, ecc...)...basta che l'NSA chieda... o l'FBI... o la CIA... o qualche altro servizio segreto di qualche paese amico...Dato che è evidente la tua sicurezza vuol dire che il codice lo hai visto e lo hai controllato, fai prima a rendere pubbliche le backdoor così Microsoft ed Apple sono costrette a toglierle.Non ti pare?Ovviamente se così non è sei solo un trollazzo che farebbe meglio ad andare a nascondersi.

innominato

Quote
Re: Win backdoor
- Scritto da: innominato> - Scritto da: A reloaded> > qualcuno di voi mi sa dire (dati certi alla> mano,> > fatti e non parole) se, quali e quante> > vulnerabilità e backdoor ci sono nel s.o.> window$> > che state usando (molti di voi probabilmente in> > modo illegale senza aver pagato la> > licenza)???> > > > rispondo io per voi: NO! > > Ma veramente tu avevi già risposto per "noi"> altrove> > >stanne certo: ne sono pieni zeppi (NSA Problem,> appunto, ecc.> ecc.)> > >guarda però che M$ a ficcar dentro Window$ delle> backdoor fa velocissima... (e non solo lei: anche> Apple sui suoi sistemi,> ecc...)> ...> basta che l'NSA chieda... o l'FBI... o la CIA...> o qualche altro servizio segreto di qualche paese> amico...> > Dato che è evidente la tua sicurezza vuol dire> che il codice lo hai visto e lo hai controllato,> fai prima a rendere pubbliche le backdoor così> Microsoft ed Apple sono costrette a> toglierle.> Non ti pare?> > Ovviamente se così non è sei solo un trollazzo> che farebbe meglio ad andare a> nascondersi.http://www.schneier.com/blog/archives/2007/01/nsa_helps_micro_1.htmlciao trollazzo

A reloaded

Quote
Re: Win backdoor
- Scritto da: A reloaded> http://www.schneier.com/blog/archives/2007/01/nsa_> ciao trollazzoProbabilmente ti è ignoto il significato di dimostrazione.Le chiacchiere in un discorso serio hanno valore 0.

innominato

Quote
Re: Win backdoor
Ce ne saranno sicuramente altre. L'importante è che appena verranno scoperte vengano tappate in poche ore come questa.

xbomber

Quote
Re: Win backdoor
contenuto non disponibile

unaDuraLezione

Quote
Re: Win backdoor
- Scritto da: unaDuraLezione> > è importante che vengano tappate odpo poche ore,> ma, se sono lì da due anniper due anni nel ramo unstable,ovvero "installa a tuo rischio e pericolo"

merlino

Quote
Re: Win backdoor
- Scritto da: A reloaded> ok... su debian e derivate c'era una> vulnerabilità...> dopo poche ore è stata risolta e i sistemi> possono essere aggiornati e> sicurizzati...veramente è stata risolta dopo 7 mesi, leggi la news, non fermarti al titolo

fall

Quote
Vulnerabilità risolta solo dopo 2 anni..
The result of this is that for the last two years (from Debians Etch release until now), anyone doing pretty much any crypto on Debian (and hence Ubuntu) has been using easily guessable keys. This includes SSH keys, SSL keys and OpenVPN keys. (fonte)http://www.links.org/?p=327

gennaro

Rispondi
Re: Vulnerabilità risolta solo dopo 2 anni..
Letta così è decisamente falsa l'informazione. Il codice è stato modificato 2 anni fa ma non penso proprio che non sia mai stato usato x fare dei casini.Non puoi paragone questo a quanto succede nel mondo microsoft dove ricordo che x tappare la falla che permetteva la propagazione in rete di virus come sasser e worm.blast microsoft ci ha messo mesi e nel frattempo bisognava provvedere installando firewall esterni (non esisteva ancora sp2). Non sono nenanche certo che quella falla sia mai stata corretta, avevo letto che con sp2 non avevano fatto altro che mettere un firewall che bloccava le porte usate da questi virus ma che il codice bacato non era stato riscritto.

barra78

Quote
Re: Vulnerabilità risolta solo dopo 2 anni..
- Scritto da: barra78> Letta così è decisamente falsa l'informazione. non è falsa informazione, ma è la triste e pura verità. Siete stati "open" per ben 2 anni!!!>Il> codice è stato modificato 2 anni fa ma non penso> proprio che non sia mai stato usato x fare dei> casini.Chiunque potesse leggere i sorgenti poteva accorgersi della falla, quindi usarla per attaccare i sistemi linux a vostra insaputa!

tenente

Quote
Re: Vulnerabilità risolta solo dopo 2 anni..
nessuno lo ha fatto altrimenti ci si sarebbe accorti prima del problema. Se un hacker avesse scoperto la falla ci sarebbero stati massicci attacchi a sistemi debian-based con la stessa tecnica e ci si sarebbe accorti prima della maialata.Le differenza tra linux e il mondo microsoft è proprio quella. Hai mai letto i rapporti sulla sicurezza microsoft? Vista ha bug che erano presenti anche in windows 2000 e sono stati corretti solo recentemente con patch.

barra78

Quote
Re: Come volevasi dimostrare...
Bah... A me due giorni prima della comparsa di questo articolo ha scaricato in automatico gli aggiornamenti di ssh e openssl... Nessun software è esente da bachi (Anche gravi), closed ed open non sono differenti in questo, l'importante è che bachi e falle vengano risolti in modo celere. A me hanno dimostrato di risolverli in modo molto celere.L'unico vantaggio che può avere l'open è che essendo i sorgenti sotto gli occhi di chi vuole controllarli, si accorge in fretta di cose come:... Citazione ...Secondo quanto spiegato in questo post di geekinfosecurity.blogspot.com, l'errore sarebbe stato introdotto da "un solerte packager del gruppo Debian, che ha commentato delle righe di codice necessarie per la generazione casuale dei numeri di OpenSSL".... Fine citazione ...

xbomber

Rispondi
Re: Come volevasi dimostrare...
- Scritto da: xbomber> L'unico vantaggio che può avere l'open è che> essendo i sorgenti sotto gli occhi di chi vuole> controllarli, si accorge in fretta di coseROTFL.Erano così tanto sotto gli occhi di tutti... che se ne sono accorti dopo ben 2 anni!!!!The result of this is that for the last two years (from Debian’s “Etch” release until now), anyone doing pretty much any crypto on Debian (and hence Ubuntu) has been using easily guessable keys. This includes SSH keys, SSL keys and OpenVPN keys. (fonte)http://www.links.org/?p=327

tenente

Quote
Re: Come volevasi dimostrare...
Se ne sono accorti quando si è presentato il problema... In due ore è stato poi risolto.

xbomber

Quote
Re: Come volevasi dimostrare...
Pensa che su Windows si accorgono adesso di falle di 15 anni fa.

Senbee

Quote
Re: Come volevasi dimostrare...
>"security thorouhgt obscauritys"non voglio conoscere la tua insegnante di inglese...falle i miei auguri più vivi

claudio

Quote
Re: Come volevasi dimostrare...
- Scritto da: xbomber....> L'unico vantaggio che può avere l'open è che> essendo i sorgenti sotto gli occhi di chi vuole> controllarli, si accorge in fretta di cose....Ma questo non è detto, per esempio prendi questo post ... è sotto gli occhi di tutti che l'autore è un TROLL eppure ha già 18 risposte e relative discussioni.

il gelato che uccide

Quote
la fama crea gossip
Non sapete quanto piacere mi faccia una notizia come questa, perchè lo scalpore che suscita una falla nella sicurezza, anche se subito risolta, in un sistema open osurce fino a "ieri" relativamente poco considerato, ne dimostra la sua crescente fama e la diffusione sempre più capillare.La "fama" porta anche a questo, e perchè no? ci sta dentro.....

Petengy

Rispondi
Re: la fama crea gossip
- Scritto da: Petengy> Non sapete quanto piacere mi faccia una notizia> come questa, perchè lo scalpore che suscita una> falla nella sicurezza, anche se subito risolta,> in un sistema open osurce fino a "ieri"> relativamente poco considerato, ne dimostra la> sua crescente fama e la diffusione sempre più> capillare.> > La "fama" porta anche a questo, e perchè no? ci> sta> dentro..... Mah guarda, il "gossip" c'è sempre stato intorno al mondo open source, che si basa abbunto sulla condivisione delle conoscenze. Appena qualcuno trova un problema, lo sanno rapidamente tutti quanti.

Nifft

Quote
Re: la fama crea gossip
quello non è gossip, ma collaborazione, grazie al signore è una cosa ben diversa :) ...

Petengy

Quote
Re: la fama crea gossip
- Scritto da: Petengy> Non sapete quanto piacere mi faccia una notizia> come questa, perchè lo scalpore che suscita una> falla nella sicurezza, anche se subito risolta,> in un sistema open osurce fino a "ieri"> relativamente poco considerato, ne dimostra la> sua crescente fama e la diffusione sempre più> capillare.> > La "fama" porta anche a questo, e perchè no? ci> sta> dentro.....non conosco nessuno che usi linux, per cui immagino che la sua diffusione sia appena dello 0.01%non mi pare quindi il caso di fare ipotesi come la tuaa limite potevi dire quello che con molta arroganza la vostra elite freesoftware non vuole ammettere (forse per ignoranza): non esiste software senza bug

yumy

Quote
Re: la fama crea gossip
- Scritto da: yumy> non conosco nessuno che usi linux, per cui> immagino che la sua diffusione sia appena dello> 0.01%Non conosco nessuno che fuma le canne quindi immagino che la diffusione della cannabis sia inferiore allo 0.00001%.> non mi pare quindi il caso di fare ipotesi come> la> tuanon è un ipotesi.. l'articolo su punto informatico lo dimostra come certezza.> a limite potevi dire quello che con molta> arroganza la vostra elite freesoftware non vuole> ammettere (forse per ignoranza): non esiste> software senza> bugno non volevo dire quello, volevo dire che il fatto che se ne parli anche qui (PI) implica che è un OS noto e consciuto (tranne che da te ovviamente).ammetto tranquillamente l'esistenza di bug ovunque possa essere ammissibile la probabilità che ce ne siano ...

Incredibile

Quote
Re: la fama crea gossip
- Scritto da: yumy> > non conosco nessuno che usi linux, per cui> immagino che la sua diffusione sia appena dello> 0.01%> Anche io non conosco nessun musulmano, quindi la diffusione dell'islam sarà dello 0.01%? (newbie)

AtariLover

Quote
Re: la fama crea gossip
Io non conosco nessuno che abbia mai visto l'ossigeno nell'aria quindi immagino sia diffuso meno dello 0.00001%

Aria

Quote
Re: la fama crea gossip
- Scritto da: yumy> non conosco nessuno che usi linux, per cui> immagino che la sua diffusione sia appena dello> 0.01%Io non conosco nessun cinese quindi immagino che i cinesi non esistano... (rotfl)(rotfl)(rotfl) > non mi pare quindi il caso di fare ipotesi come> la> tua> > a limite potevi dire quello che con molta> arroganza la vostra elite freesoftware non vuole> ammettere (forse per ignoranza): non esiste> software senza> bugChe dici mai? i software senza bug li fa solo la M$! E lo sai perché? perché è spesso difficile distinguere se certe caratteristica sono dei bug o sono proprio volute......"defective by design"

Nifft

Quote
Microsoft sistema 6 FALLE
Giusto per calmierare i toni ricordate che, sempre di oggi, c'è la news delle 6 falle tappate da M$.ParCondicio

ParCondicio

Rispondi
Re: Microsoft sistema 6 FALLE
iscrivity a una security bulletin su Linux e vedi che la i bug escono a nastro, 6 al giorno non sono nientee in confronto.te lo dicoio che con linux sono costretto a lavorarci, e le falle sono dappertutto. se sembra sicuro è solo eprche nessuno lo attacca da quanto poco diffuso è. se si diffonde un alro po pero vedi che macello viene fuori.

blasetti

Quote
Ubuntu stamattina si è aggiornato
Automaticamente.Bug-fixing efficiente come in winzoz, o no?

Ricco in canna

Rispondi
Re: Ubuntu stamattina si è aggiornato
Veramente a me è successo ieri sera! :)

Severissimus

Quote
Re: Ubuntu stamattina si è aggiornato
- Scritto da: Severissimus> Veramente a me è successo ieri sera! :)a me è da due giorni che mi si aggiornano gli ubuntu e visto che ho dei server debian etch ho fatto l'upgrade pure di quello.Risultato ?Poiché avevo un sacco di connessioni openssh senza login ( per i sync del codice ) ho dovuto andare a sostituire le varie authorized_keys ... due OO.Vabbè, comunque anche per Linux vale : "Il tempo che perdete, non è tempo perso" ... soprattutto quando in una mattinata risolvi i problemi senza telefonare o reinstallare e ti pagano.Anzi devo dire che è una vera manna ... pensa ti arriva la telefonata ... quel sistema non funziona ... tu vai li password di root, sftp scarichi la chiave e dopo 5 minuti ... PRONTO ! E il cliente pensa ... caspita questo si che è bravo ... e sgancia ! :D.

il gelato che uccide

Quote
Re: Ubuntu stamattina si è aggiornato
- Scritto da: il gelato che uccide> > Vabbè, comunque anche per Linux vale : "Il tempo> che perdete, non è tempo perso" ... soprattutto> quando in una mattinata risolvi i problemi senza> telefonare o reinstallare e ti> pagano.> > Anzi devo dire che è una vera manna ... pensa ti> arriva la telefonata ... quel sistema non> funziona ... tu vai li password di root, sftp> scarichi la chiave e dopo 5 minuti ... PRONTO ! E> il cliente pensa ... caspita questo si che è> bravo ... e sgancia !> :D.E poi dicono che l'open source non paga!!!!!

roberto di

Quote
Re: Ubuntu stamattina si è aggiornato
gia, dopo solo due anni che il pacchetto buggato è in giro...chissa quanti l'hanno sfruttao per entrare su deiu sistemi senza autorizzazione. Anche se lo fanno non si nota mica, risulta come un normale accesso.non usero mai piu debian e ubuntu.

blasetti

Quote
Re: Ubuntu stamattina si è aggiornato
A parte il "chissenefrega" quanto meno doveroso, mi pare che l'efficenza nel sistemare le cose sia sempre e comunque ben superiore della concorrenza, visto che la patch è uscita il giorno prima che le riviste specializzate scrivessero articoli sul bug, mentre con altri SO di solito si deve aspettare mesi anche per falle 0-Day.

Severissimus

Quote
Re: Ubuntu stamattina si è aggiornato
Sì ma il problema, cioè le chiavi già generate, rimane.

Toshiro Mifune

Quote
Re: Ubuntu stamattina si è aggiornato
- Scritto da: Toshiro Mifune> Sì ma il problema, cioè le chiavi già generate,> rimane.Scusate, quali chiavi sono da considerare compromesse, a parte quelle dei servizi elencate nell'articolo?Quelle gpg e per l'accesso al sistema non dovrebbero essere toccate dalla falla, giusto?Grazie.

devnull

Quote
Re: Ubuntu stamattina si è aggiornato
sia in debian e ubuntu installando l'aggiornamento di openssh-server viene installato anche "ssh-vulnkey" che è utile per scoprire se le chiavi analizzate sono pericolosele chiavi gpg non sono fallate

monossido

Quote
Re: Ubuntu stamattina si è aggiornato
- Scritto da: Ricco in canna> Automaticamente.> > Bug-fixing efficiente come in winzoz, o no?Io l'ho fatto ieri mattina... ma è lo stesso aggiornamento?

Nifft

Quote
Re: Ubuntu stamattina si è aggiornato
- Scritto da: Ricco in canna> Automaticamente.si però la falla era nota al pubblico da novembre 2007> > Bug-fixing efficiente come in winzoz, o no?decisamente no

zonax

Quote
Re: Ubuntu stamattina si è aggiornato
gia, dopo solo due anni che il pacchetto buggato è in giro...

blasetti

Quote
È solo un errore di comunicazione ...
Gli hanno chiesto di fare qualcosa comparabile ai prodotti commerciali e loro lo hanno applicato troppo alla lettera.Comunque bisogna avere una bella fantasia nell'andare a pasticciare col codice delle OpenSSL ... non so se credere fino in fondo che un "packager" con estrema leggerezza abbia modificato un generatore di numeri casuali all'interno del codice crittografico, mi sembra un po` azzardato.Un'altra cosa che non mi spiego è che esiste in Linux un tale /dev/random che utilizza un generatore hardware interno al kernel (che si basa sui tempi di accesso ai vari hardware) e che pensavo fosse utilizzato almeno nell'implementazione nativa, come seed.Invece ora scopro che tutto si basa su /dev/urandom e un buffer che non è riempito ?Mah ...

il gelato che uccide

Rispondi
La sicurezza sui sistemi OpenSource.
Questo articolo su Punto-Informatico è la dimostrazione, che nessun Sistema Operativo è esente da falle, ma dimostra sopratutto che il mondo OpenSource più è sicuro, analizziamo i fatti, questa vulnerabilità di cu si parla nell'articolo, è stata patchata 2 ore dopo la sua scoperta, una rapidità incredibile, pensate che stiamo parlando di sistemi poco diffusi come Debian & Ubuntu. Mi domomando facendo riferimento ad un altra notizia riporta da Punto-Informatico quella del patcht-day di maggio2008 di Windows, come sapete Microsoft il primo martedi di ogni mese prende un numero ristretto delle migliaia vulnerabilità che affligono Windows e ne rilascia le patch, lo so che non sono in grado di patchare tutte le falle scoperte altrimenti non si chiamerebbe più Windows, ma è davvero spaventoso, sapere che la falla di gestione dei database Microsoft Jet, era presente dal 2000 ed stata patchata a maggio del 2008, una falla con il grado di pericolosità critico, meno male che Windows è il Sistema più diffuso al mondo, lasciare una falla aperta 8 anni che mette a rischio miliardi di pc è vergognoso(putroppo c'è ne stann altre ma Windows è closedsource, quindi possono prendersi tutto il tempo che si vuole)comincio a pensare che su Windows la sicurezza sia un optional.

gnulinux86

Rispondi
Re: La sicurezza sui sistemi OpenSource.
credo anche io che Su Windows la sicurezza sia un optional come scrivi tu, la cosa che mi fa più incazzare è questo come si spiega che su ubuntu, una falla grave si rsolva dopo 2 ore, nonostonte sia poco diffuso, e su Windows usato da miliardi di persone passano 8 anni mah....

Massimo Ponticini

Quote
Re: La sicurezza sui sistemi OpenSource.
Non ha scritto tutto, hai dimeticato di parlare della poca trasparenza di Microsoft, la falla di cui parli, è stata scoperta 8 anni fa, però Microsoft la resa pubblica ai suoi utenti solo a marzo 2008, che senso ha tenere nascoste le falle hai propi utenti.

federicoz

Quote
Re: La sicurezza sui sistemi OpenSource.
tenerle nascoste anche a chi conduce gli attacchi nella speranza che non scoprano le falle...invece che eliminarle mi sembra molto intelligente come cosa -.-

gino

Quote
Re: La sicurezza sui sistemi OpenSource.
io ero uno di quelle tante persone che ha sempre comprato tutto, windows office, perchè credevo di essere tutelato, ma adesso ho capito come ragionano quelli delle microsoft, pensanso solo a a fare i soldi sulle nostre spalle, io non ci sto più ad essere preso per il culo, sono passato da poco ad ubuntu e sepotessi frei causa a microsoft, per come ci trattano la farei, microsoft mi sembra una mafia.

federicoz

Quote
Re: La sicurezza sui sistemi OpenSource.
ho appena letto entrambe le notizie, e mi sento un fesso, come si può ancore usare windows, non lo so, possibile che tengano così poco alla sicurezza di noi utenti, come è possibile, e pure noi la licenza la paghiamo, a questo punto preferisco impare questo ubuntu che rimanere su windows.

mikele

Quote
Re: La sicurezza sui sistemi OpenSource.
bravi parole sante, ma io me le prenderi pure con quei grandi...... dei negozianti che vendono pc con windows installato, certo sono tutti d'accordo per fare soldi, e noi come gli stupidi non facciamo nulla, adesso basta non ci sto più a pagare le tasse alla microsoft visto che ci tratta così, mi compro un macintosh, e sul pc installo ubuntu ne sento parlare sempre bene.

incazzato

Quote
Re: La sicurezza sui sistemi OpenSource.
bravo bravissimo anzi, paghi un 40% in più l'hardware (perchè griffato MAC) ma risparmi sull'OS.OTTIMA MOSSA.

Incredibile

Quote
Re: La sicurezza sui sistemi OpenSource.
grazie allo schifo di windows ho scoperto che esistono altri sistemi, sul pc installerò ubuntu, il mac lo compro perchè nessuno mi costringe, lo voglio comprare io, oltrettutto anche se si paga, non c'è lo schifo che trovi su windows.

incazzato

Quote
Re: La sicurezza sui sistemi OpenSource.
questo post trasude di luoghi comuni su apple...

Sgabbio

Quote
Re: La sicurezza sui sistemi OpenSource.
ben detto su microsoft trattano la sicurezza com eun optional, io ho scoperto ubuntu leggendo puntoinformatico, peccato che prima ho acquistato un acer con vista, ma appena scoperto ubuntu, ho tolto vista, ed ho fatto la richiesta per il rimborso, ho chiesto consiglio al mio negoziate che è stato sicero e mi ha parlato dell'aduc, ed ho compilato il modulo online per ottenere il rimborso, ancora non mi è arrivato niete però.

tardivo

Quote
Re: La sicurezza sui sistemi OpenSource.
Non dovevi accendere il pc e accettare l'EULA. Se l'hai fatto, il rimborso non ti spetta più...

AtariLover

Quote
Re: La sicurezza sui sistemi OpenSource.
scusa l'gnoranza ma EULA sarebbe a licenza con cui viene imposto windows??? madonna mia ma che cosè windows una trappola, quindi mi vuoi dire che mi hann fregato??

tardivo

Quote
Re: La sicurezza sui sistemi OpenSource.
sono a scuola nella sala d'informatica, leggendo queste notizie sui bachi trovati su windows e ubuntu, ho appena avuto la conferma che windows è qualcosa di spaventosamente insicuro, non volevo cambiare sistema, ma visti tutti questi rischi oggi viene un mio compagno e mi installa ubuntu, lui già lo usa.

studente

Quote
Re: La sicurezza sui sistemi OpenSource.
Occhio che non si è MAI sicuri al 100%... Anche i sistemi open hanno bachi, anche se per progetto sono più sicuri ;)Per il resto, in bocca al lupo per l'installazione di Ubuntu, spero che non incontriate problemi e che tu sia soddisfatto :)Ciao!(atari)

AtariLover

Quote
Re: La sicurezza sui sistemi OpenSource.
grazie per l'augurio.

studente

Quote
Re: La sicurezza sui sistemi OpenSource.
- Scritto da: gnulinux86> Questo articolo su Punto-Informatico è la> dimostrazione, che nessun Sistema Operativo è> esente da falle, ma dimostra sopratutto che il> mondo OpenSource più è sicuro, analizziamo i> fatti, questa vulnerabilità di cu si parla> nell'articolo, è stata patchata 2 ore dopo la sua> scoperta, una rapidità incredibile, pensate che> stiamo parlando di sistemi poco diffusi come> Debian & Ubuntu. Mi domomando facendo riferimento> ad un altra notizia riporta da Punto-Informatico> quella del patcht-day di maggio2008 di Windows,> come sapete Microsoft il primo martedi di ogni> mese prende un numero ristretto delle migliaia> vulnerabilità che affligono Windows e ne rilascia> le patch, lo so che non sono in grado di patchare> tutte le falle scoperte altrimenti non si> chiamerebbe più Windows, ma è davvero spaventoso,> sapere che la falla di gestione dei database> Microsoft Jet, era presente dal 2000 ed stata> patchata a maggio del 2008, una falla con il> grado di pericolosità critico, meno male che> Windows è il Sistema più diffuso al mondo,> lasciare una falla aperta 8 anni che mette a> rischio miliardi di pc è vergognoso(putroppo c'è> ne stann altre ma Windows è closedsource, quindi> possono prendersi tutto il tempo che si> vuole)comincio a pensare che su Windows la> sicurezza sia un> optional.perdonami, ma se tu usi linux, di che ti preoccupi?non sarai mica un testimone di geov... ehm... di linux?

golo

Quote
Re: La sicurezza sui sistemi OpenSource.
io uso linux si, ma non vedo il perchè non dovrei dire le cose come stanno, ho fatto un semplice paragone a livello di sicurezza tra Ubuntu/Debian che sono OpenSource e Windows che è ClosedSource prendendo 2 notizie di Punto-Informatico, dalle notizie sono emersi alcuni fatti eclatanti.Non vedo cosa centrino i testimoni di geova mah....

gnulinux86

Quote
Veramente ho già fixato ieri pomeriggio.
Come sempre, esce la news e la patch era già disponibile il giorno prima!Mi puzza di notizia per fare accessi al sito...Cmq... ora che sapete che Linux è ancora più sicuro, potete tornare a sbattere la testa sui problemissimi del SP3 di XP..Buon Lavoro!PS: Al posto di dire: E' colpa di HP... no di AMD.... fare qualcosa? ah già ma M$ sa solo copiare codice, altrimenti risolverebbe velocemente!

Real_Enneci

Rispondi
Re: Veramente ho già fixato ieri pomeriggio.
Solo nella tua mente.

enneci

Quote
Re: Veramente ho già fixato ieri pomeriggio.
mi corrego hai ragione anzi no, è stato fixato mi pare due ore dopo che il problema è stato scoperto.http://forum.ubuntu-it.org/index.php/topic,187240.0.htmlazz che tempestività.

enneci

Quote
Re: Veramente ho già fixato ieri pomeriggio.
- Scritto da: Real_Enneci> Come sempre, esce la news e la patch era già> disponibile il giorno> prima!ma hai letto la notizia?la vulnerabilità è stata scoperta a novembrepraticamente sei stato vulnerabile per 7 mesila tua non è passione informatica, ma religione :)hai tolto il cristianesimo sostituendolo con l'open source, il problema è che non ve ne accorgerete mai

somin

Quote
Re: Veramente ho già fixato ieri pomeriggio.
Non vorrei alimentare inutili flame, ma prima di dire str****** è bene leggere:Una vulnerabilità apparentemente simile fu scoperta lo scorso novembre nel generatore di numeri pseudo-casuali di Windows.Si parla di windows non di Debian :)

lufo88

Quote
Re: Veramente ho già fixato ieri pomeriggio.
Guarda che tutte le chiavi generate dal settembre 2006 sono vulnerabili, solo perche se ne sono accorti ieri non vuol dire che altri possano aver scoperto il bug prima e l'abbiano gia sfruttato che craccare i sistemi.

blasetti

Quote
Re: Come volevasi dimostrare...
- Scritto da: Funz> - Scritto da: si_Ballmer> > E' tornato è tornato!Ma non è il mitico :)

devnull

Rispondi
Re: Come volevasi dimostrare...
quelli che scivono 'meditate gente, meditate' mi stanno sul cazzo by default.

ilmassi

Rispondi
Re: Come volevasi dimostrare...
DON'T FEED THE TROLL. Ragazzi :)

lufo88

Rispondi
ma qualcuno ha letto..
l'url http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=363516 prima di accapigliarsi ?si puo riassumere con la frase (..)The annoyance of a pile of purify and valgrind errors being reportedagainst OpenSSL from other packages and applications which use it without a clean way of disabling the tools by noting that the usage is safe is unfortunate.una sfortunata combinazione di eventi insomma, aggiunto a un packager poco zelante ( Move the modified rand/md_rand.c file to the right place ).La rogna risultante e' seria ma a) non ha niente a che vedere con il problema che menziona P.I. riguardo il generatore di n.casuali di win2000. Quello era mal fatto, questo funzionava (e funziona), solo che durante il review, per prevenire un potenziale problema, se ne e' limitata la qualita' intruducendo una debolezza grave.b) avere chiavi deboli e' un problema (minor resistenza ai brute force), ma e' di svariati ordini di grandezza MENO grave di un RTF in allegato che, letto anche solo in preview, con outlook 2007, ti exploita la macchina! (solo per prendere uno degli innumerevoli gravi bachi che ogni settimana M$ ci delizia)

bubba

Rispondi
Re: ma qualcuno ha letto..
- Scritto da: bubba> una sfortunata combinazione di eventi insomma,> aggiunto a un packager poco zelante ( Move the> modified rand/md_rand.c file to the right place> ).Sfortunata un par di ciufoli. Il packager di Debian si è spaventato perché Valgrind lamentava l'uso di un buffer non inizializzato ed ha pensato bene di NON postare una richiesta circostanziata di chiarimenti agli sviluppatori di openssl (ha mandato una mail senza neppure qualificarsi, chiedendo, genericamente, se poteva eliminare due righe di codice non ben definite per far contento Valgrind) ed ha poi agito di testa sua. Così facendo ha eliminato l'uso del buffer *potenzialmente* non inizializzato ma ha anche eliminato la chiamata di routine che si occupava del vero seeding del pool dei numeri casuali.

lorenzodes

Quote
Re: ma qualcuno ha letto..
- Scritto da: lorenzodes> - Scritto da: bubba> > > una sfortunata combinazione di eventi insomma,> > aggiunto a un packager poco zelante ( Move the> > modified rand/md_rand.c file to the right place> > ).> > Sfortunata un par di ciufoli. Il packager di> Debian si è spaventato perché Valgrind lamentava> l'uso di un buffer non inizializzato ed ha> pensato bene di NON postare una richiesta> circostanziata di chiarimenti agli sviluppatori> di openssl (ha mandato una mail senza neppure> qualificarsi, chiedendo, genericamente, se poteva> eliminare due righe di codice non ben definite> per far contento Valgrind) ed ha poi agito di> testa sua. Così facendo ha eliminato l'uso del> buffer *potenzialmente* non inizializzato ma ha> anche eliminato la chiamata di routine che si> occupava del vero seeding del pool dei numeri> casuali.Direi che errare è comunque umano... La cosa importante è cheè stata chiarita la situazione.

Nifft

Quote
Re: ma qualcuno ha letto..
- Scritto da: Nifft> > Direi che errare è comunque umano... La cosa> importante è> che> è stata chiarita la situazione.Bah, date un'occhiata qui:http://metasploit.com/users/hdm/tools/debian-openssl/E ora venitemi a dire che si risolve semplicemente patchando il SO.

lorenzodes

Quote
Accipicchiolina, i certificati...
Come direbbe Flanders "accipicchiolina, tutti i certificati rilasciati da una nota CA mondiale negli ultimi due anni sono craccabili.....".

Bill Gates & Linus Torvald

Rispondi
E da due anni che c'è!
tutte le chiavi generate da settembre 2006 sono vulnerabili, non se vi rendete contoAltro che Open Source sicuro perche tutti vedono il codice, là non lo controllava nessuno da anni!Sul PC di casa si risolve velocemente, ma su unazienda grossa dove ci sono migliaia di certificati da sistemare è un lavoro enorme.E poi, credete che sia il primo che se nè accorto? Chissa quanti altri prima hanno scoperto questo bug e lhanno sfruttato per craccare certificati ed entrare su sistemi senza averne lautorizzazione. Una volta entrato non c'è nessun modo per distinguerlo da un accesso autorizzato, per cui nessuno se ne puo accorgere.Non bisogna nascondersi dietro a un dito: qua Debian ci ha perso la faccia.Lo hanno detto gli stesi manteiner: "Questo è sicuramente ladvisory più grave degli ultimi anni".

blasetti

Rispondi
Re: Come volevasi dimostrare...
falle che erano aperte da due anni... bah, io mi vergognerei

blasetti

Rispondi
boicottaggio? pare di no
Mi sembrava ben strano che qualcuno in buona fede e sano di mente tirasse via il seeding a un generatore di numeri casuali.Invece si tratta di una serie di circostanze direi improbabili che non vanno ascritte solo alla mia distro preferita :Dhttp://it.slashdot.org/comments.pl?sid=551636&cid=23399094Comunque complimenti ai salaci commentatori che usano l'accaduto per sparlare dell'open source. e' come discutere se sia meglio miss svezia o miss afghanistan, solo che la seconda sta sotto un burka.

banana joe

Rispondi
Re: boicottaggio? pare di no
- Scritto da: banana joe> Invece si tratta di una serie di circostanze> direi improbabili che non vanno ascritte solo> alla mia distro preferita> :DStai scherzsando? > http://it.slashdot.org/comments.pl?sid=551636&cid=Ok, esaminiamo una ad una le argomentazioni:* Upstream using clever hacks that rely on uninitialized memory having some randomness to itOk.* Upstream using same code and same variable names to describe different thingsIl tizio non capisce una mazza. E' come lamentarsi del fatto che printf() può essere usato per scrivere "ciao" ma anche per scrivere "viva la pizza".* Upstream having no comments in the code explaining the two things aboveIl warning di Valgrind era documentato, era pure una FAQ ed era noto come eliminarlo in maniera pulita, bastava definire PURIFY al momento della compilazione. Ripeto: era una FAQ. E' invece vero che non esisteva alcun commento nel codice che diceva "non rimuovere queta linea", ma solo un fesso si può aspettare che ogni linea di codice che è inopportuno eliminare sia commentata in tal modo.* Maintainer slightly over-generalizing a changeAh ecco quello che chiamo un understatement.* A bug slipping trough the cracks in the review processesCorretto.* Another Debian Developer discovering the bug and recognizing its significance despite all of the aboveOk...* Debian project coming out and admitting all of the above and scrambling to get fixes out to its users ASAPE' il minimo che erano tenuti a fare. > Comunque complimenti ai salaci commentatori che> usano l'accaduto per sparlare dell'open source.> e' come discutere se sia meglio miss svezia o> miss afghanistan, solo che la seconda sta sotto> un> burka.Il concetto di OS non si esaurisce in Debian. Ogni tanto sarebbe meglio ricordarlo.

lorenzodes

Quote
FtCKGTdHtxiOScfkn
That's fine for the House and Senate but for president, there is no way any conservative should vote for either Democrat that will be stuffed down our throats next year. The House is the grand prize. If we had someone like Jim Jordan as Speaker and more than the current 3 reliable conservative senators, the president wouldn't matter., http://ainsworthn.livejournal.com/1326.html ainsworthn.livejournal.com/1326.html, 110876, http://errollyqe.livejournal.com/644.html errollyqe.livejournal.com/644.html, =), http://mourantvaf.livejournal.com/1742.html mourantvaf.livejournal.com/1742.html, bvg, http://manuelaetyf.livejournal.com/1698.html manuelaetyf.livejournal.com/1698.html, xtz, http://ostapigim.livejournal.com/1167.html ostapigim.livejournal.com/1167.html, rxmjp, http://alejandrolyd.livejournal.com/1342.html alejandrolyd.livejournal.com/1342.html, 282, http://billyywego.livejournal.com/1708.html billyywego.livejournal.com/1708.html, ievh, http://langbuk.livejournal.com/554.html langbuk.livejournal.com/554.html, %P, http://elyseeoqa.livejournal.com/519.html elyseeoqa.livejournal.com/519.html, >:))), http://raynayzu.livejournal.com/673.html raynayzu.livejournal.com/673.html, wxvnnn, http://lazarewety.livejournal.com/1781.html lazarewety.livejournal.com/1781.html, ifladt, http://dosspaget.livejournal.com/1427.html dosspaget.livejournal.com/1427.html, 522, http://havenyneve.livejournal.com/862.html havenyneve.livejournal.com/862.html, eivfz,

TxqQcFCfpU

Rispondi

Annulla

Stai citando questo messaggio:

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicata. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy.
Pubblicando questo commento dai il consenso affinché un cookie salvi i tuoi dati (nome, email, sito web) per il prossimo commento.

Iscrivimi alla newsletter gratuita di Punto Informatico Tutte le mattine direttamente nella tua casella email tutte le novità del mondo digitale e tech