-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Vincenzo Ampolo wrote: | Non sono d'accordo. Le varie gnu/linux differiscono solo per la gestione degli | applicativi (aka pacakge manager).
Non è l'unica differenza, quella è una e IMHO non è la più importante. Ci sono molte differenze anche per la presenza o meno di determinati programmi nell'installazione base (quindi superfici di attacco differenti), per le scelte dei programmi di default (p.es. Debian installa exim, RedHat installa postfix), per come sono compilati i programmi (per esempio su Debian postfix non ha compilato il supporto ldap mentre su RedHat sì), per le impostazioni di default (selinux su Debian è disabilitato mentre su RedHat è abilitato), e si potrebbe continuare a lungo. | Un applicativo, magari compilato | staticamente, gira su tutti i dispositivi che fanno girare qualsiasi | gnu/linux. Sì, ma applicativi compilati staticamente e diffusamente installati su macchine Linux praticamente non ne esistono. Le componenti di base che hanno realmente ampia diffusione e poca variabilità sono rappresentate da codice in gran parte vecchio, statico e molto testato (pensa per esempio alle utility di base come cat, ls, vi, cp, e le libc stesse), quindi raramente vi si scoprono nuove vulnerabilità. | Non credo esista questa "variabilità genetica", perchè i geni (o kernel) sono | gli stessi. Il kernel è solo una minima parte del sistema, decisamente importante ma non l'unica. Per esempio raramente bug nel kernel possono essere sfruttati per accedere al sistema da remoto; più frequentemente consentono "solo" local privilege excalation. Il problema in questi casi si sposta quindi dal kernel, che può essere simile su molte macchine, alle applicazioni in userspace che invece sono più variabili da macchina a macchina. Un payload che sfruttasse un baco del kernel, dovrebbe essere veicolato nel sistema sfruttando bug di altri prodotti, e se ciò non rappresenta normalmente un grosso problema per un'intrusione condotta manualmente, per un malware che puntasse ad una diffusione automatica e veloce sarebbe un ostacolo non di poco conto. :-) | Il codice aperto è una prerogativa per un software sicuro, il codice viene | testato, letto e corretto. Quando si trova un bug capace di compromettere la | sicurezza di interi sistemi, la patch arriva in poche ore dalla scoperta del | bug. Mi pare che in diverse occasioni ciò sia stato smentito, o perlomeno ampiamente ridimensionato. La disponibilità del codice semplifica la ricerca di bug per gli sviluppatori, ma anche per eventuali attaccanti. Quanto alla velocità di patching questa si misura dal momento in cui la falla viene portata all'attenzione degli sviluppatori, ma non si può sapere se tale bug fosse o meno noto ad altri attaccanti prima di tale momento. Due casi emblematici sono stati il bug di ssl su Debian, lì bello disponibile per 2 anni e passato inosservato e la backdoor di Dansie Shopping Cart, anch'essa passata inosservata per parecchio tempo. Magari qualche cracker le conosceva già e le sfruttava... chi lo sa? | Su Windows invece, non ho mai visto un utente che non abbia i privilegi di | amministratore Conosco pastrocconi su Windows e ne conosco anche su Linux, così come esistono distribuzioni Linux che ti inducono a lavorare come root. La componente umana e l'educazione sono certamente un fattore primario, ma non è IMHO da tenere in considerazione in questo discorso relativo alla vulnerabilità dei sistemi nei confronti di determinate categorie di malware. - -- Flavio Visentin GPG Key: http://www.zipman.it/gpgkey.asc There are only 10 types of people in this world: those who understand binary, and those who don't. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.9 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iEYEARECAAYFAkn2CI4ACgkQusUmHkh1cnoAsACeJoYY3ii/LncZo0y0WBrHsHBH 0CkAn1CSRZ73GR7JP96X2gXVEaBDHhI/ =AoaU -----END PGP SIGNATURE-----
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
