On Sunday 26 April 2009 05:43:12 pm [email protected] wrote: > Uno dei principali fattori di cui non tengono conto i due autori è la > "variabilità genetica" dell'ambiente GNU/Linux. > A differenza dei sistemi che utilizzano Microsoft Windows, MacOSX, Symbian, > ecc.ecc. che fondamentalmente sono in massima parte l'uno la fotocopia > dell'altro, GNU/Linux è presente in "natura" in moltissime diverse forme > (distribuzioni) che differiscono tra loro in modo sostanziale.
Non sono d'accordo. Le varie gnu/linux differiscono solo per la gestione degli applicativi (aka pacakge manager). Un applicativo, magari compilato staticamente, gira su tutti i dispositivi che fanno girare qualsiasi gnu/linux. L'importante è che sia la stessa architettura, perchè, come ben sai, il codice macchina cambia da architettura ad architettura. Non credo esista questa "variabilità genetica", perchè i geni (o kernel) sono gli stessi. > > A prescindere dal numero di sistemi che utilizzano tale S.O. (meno del 4% > del totale), è molto improbabile che un malware che si propaghi > automaticamente possa infettare ed attecchire su una quantità > significativamente alta di target, e questo non è certamente dovuto alla > mancanza di interesse dei malware writer (ricordiamoci che gran parte dei > sistemi GNU/Linux esistenti sono server affacciati su Internet, quindi > "pregiati"). > Il fatto è che la variabilità genetica complica tantissimo la vita del > malware-writer: un malware scritto per l'ambiente KDE non attacca Gnome o > LXDE, un worm che sfrutti la falla di udev non funziona sui kernel 2.4, se > il problema affligge Gecko non intacca webkit o khtml, i sistemi che hanno > installato openafs (http://secunia.com/advisories/34684/) sono certamente > una minimissima parte di quelli esistenti, un virus x86 non ha alcun > effetto su arm o su PPC. Il fatto che il malware in ambiente opensource (nota, non solo kernel linux) non si propaghi, a mio avviso, è dato dal modello seguito dal software opensource. Il codice aperto è una prerogativa per un software sicuro, il codice viene testato, letto e corretto. Quando si trova un bug capace di compromettere la sicurezza di interi sistemi, la patch arriva in poche ore dalla scoperta del bug. E' questo l'approccio che rende "difficile" la vita dei virus writers. Non fanno in tempo a scrivere del malware che già la falla è stata corretta. Il software proprietario invece, solitamente, applica una politica di "security through obscurity" (http://en.wikipedia.org/wiki/Security_through_obscurity), ciò lascia una vulnerabilità latente nel sistema finchè non viene scoperta. Inoltre è probabile che quando la falla viene scoperta, questa non viene divulgata, in questo modo i virus writers hanno tutto il tempo di codare il proprio malware e propagare le infezioni. In merito a questo, basta pensare al bug di Vista sui "cursori mannari"... > Discorso diverso invece per gli attacchi mirati ai singoli sistemi, caso in > cui penso che la piattaforma sia in massima parte neutrale ma in cui > probabilmente GNU/Linux è leggermente svantaggiata essendo open source. Al contrario... come spiegato prima. La un sistema è sicuro quando tutte le sue componenti sono sicure. In un sistema eterogeneo la componente che ha sicurezza inferiore è quella che pregiudica il sistema. In un sistema informatico si riscontrano almeno tre componenti: hardware, software e amministratore/i di sistema/i. Credo che il più delle volte è l'amministratore di sistema la componente più critica. Basta un esempio per capire meglio: Mettiamo che un amministratore di sistema faccia girare il webserver con l'utente root e che su quel webserver ci giri un'applicazione non aggiornata vulnerabile (primo errore del sysadmin che dovrebbe tenere sotto costante monitoraggio nuove versioni del software che gira nel suo sistema). Un virus che sfrutta la vulnerabilità di questo software potrebbe eseguire codice come utente root e replicarsi nel sistema ed avviarsi automaticamente all'avvio del sistema. Una volta attaccato il sistema, il virus potrebbe propagarsi cercando di attaccare altri sistemi analoghi. Bastava solo che il webserver non girasse come root per impedire la propagazione e/o l'infezione. Su Windows invece, non ho mai visto un utente che non abbia i privilegi di amministratore, ciò significa accesso a tutte le parti del sistema anche solo sfruttando una falla del browser. > > Passando invece al discorso sul numero di vulnerabilità tutti quei numeri > lasciano il tempo che trovano e non servono a nulla se non per scopi > "pubblicitari" dell'uno o dell'altro attore di mercato. > [...] > Ad oggi non mi risulta siano mai stati condotti studi che analizzino > l'impatto reale che ogni singola vulnerabilità può avere sul parco sistemi > esistente, anche perché non mi pare esistano dati reali e corretti sulla > diffusione delle singole applicazioni (nemmeno sulla diffusione delle > distribuzioni ci sono dati molto precisi). > > Senza uno studio che tenga conto anche di questi dati non ha alcun senso > esprimere giudizi generali su un'intera piattaforma. Esattamente. -- Vincenzo Ampolo http://goshawknest.wordpress.com http://vincenzo-ampolo.net
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
