Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[Felipe Salvador]

On Tue, Aug 16, 2016 at 09:49:30PM +0200, Luca De Andreis wrote:
> 
> Faccio una premessa... ODIO i giornalisti, ODIO i giornalisti che creano
> castelli di carta dal nulla, che riescono a scrivere un articolo sul nulla.
> 
> Il mio è odio ma forse ammirazione.. perchè davvero io non ci riuscirei.
> 
> Leggo questa sera un articolo su una vulnerabilità nel kernel di Linux sullo
> stack TCP-IP.
> Si grida allo scandalo, alla disperazione... anche Android è vulnerabile
> AIUTO  E la colpa è il kernel di Linux.

Loro hanno vinto, noi abbiamo perso.
I problemi di android sono altri, cercano di risolverli quelli di
Replicant, ma pare impossibile ottenere qualcosa di
pienamente funzionante senza fare uso di "blob" binari, software
prorpietario. Senza contare le innumerevoli porcherie che girano su
android a prescindere dal telefono. Senza citare neanche quelle che
l'untente finale installa più o meno consapevolmente.

Hanno vinto perché si parla di un comune bug piuttosto che di "che fine
ha fatto linux". L'embedded sembrava una terra promessa e si è rivelato un
inferno popolato da gente che ha rimesso a profitto il vapore e la
ruota, in alcuni casi con terzi fini.

Tornando al bug:
"There is, he said, too much out-of-tree code running on a typical
handset; mainline kernels simply lack the drivers needed to make that
handset work. A typical phone is running 1-3 million lines of
out-of-tree code. Almost all of those phones are stuck on the 3.10
kernel — or something even older[...]"[1]

Siamo alle soglie di un fork, questo non è l'upstream. Con una tale differenza 
cosa succede se il
bug lo ha introdotto un produttore o google stessa? È sempre colpa di
Linux? E le lo introduce volontariamente?

[1] https://lwn.net/Articles/662147/
 
> Poi leggo un articolo sulla nuova politica che Microsoft metterà in pratica
> per l'erogazione delle patch per Windows della serie precedente a 10.

Io questi non li seguo, seriamente, come li introduci nel discorso senza
scadere nel ridicolo?
Oramai la controparte è google.

Ciao

-- 
Felipe Salvador

Re: Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[Gian Uberto Lauri]

> "DP" == Davide Prina  writes:

Arrivo tardi nella discussione, ma penso stiate parlando della
CVE-2016-5696
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5696

DP> [...]
DP> The flaw, disclosed at the Usenix security conference last week, is 
DP> complicated and difficult to exploit. If an attacker can pull off an 
DP> exploit, they could inject malicious code into unencrypted web traffic 
DP> from "anywhere". However, the source and destination IP address would 
DP> need to be known in order to intercept the traffic, adding to the 
DP> complexity of carrying out a successful attack.The exploitability isn't 
DP> easy, though.
DP> [...] [1]

DP> cerco di tradurre per chi non conosce l'inglese:
DP> "La vulnerabilità è complessa e difficile da sfruttare. Se un attaccante 
DP> riesce ad utilizzarla può immettere codice malevolo all'interno di un 
DP> traffico web non criptato (quindi traffico http e non https, ndr) da 
DP> remoto. In ogni caso gli indirizzi IP della sorgente e della 
DP> destinazione devono essere noti per poter intercettare il traffico, in 
DP> aggiunta alla complessità di effettuare con successo un attacco. Quindi 
DP> lo sfruttamento di questa vulnerabilità non è facile."

Buona traduzione, ma il report che avevo sentito originariamente
parlava anche della possibilità di violare traffico criptato:

"The vulnerability could also be used to forcefully terminate HTTPS
encrypted connections and downgrade the privacy of secure connections,
as well as also threatens anonymity of Tor users by routing them to
certain malicious relays."

(La vulnerabilità può anche essere usata per forzare la terminazione
di una connessione https criptata e abbassare la privacy di
connessioni sicure così come minacciare l'anonimità degli utenti TOR
forzando il routing attraverso relay maliziosi)

DP> Questo, secondo me, vuol dire che per un uso normale del PC è difficile 
DP> da sfruttare. L'attaccante per conoscere entrambi gli indirizzi IP 
DP> dovrebbe far andare l'attaccato su un sito web che controlla, in modo da 
DP> poter sapere l'indirizzo web di destinazione e cercare di individuare 
DP> quello di partenza (ma se uno usa tor, proxy, ... allora non riesce in 
DP> questo intento).

Non sono sicuro che tor o un proxy salvino. Vedi sopra.

Sulla list di Debian mi pare di aver visto circolare qualche info a
proposito, ma appena vedo Lisi Reisz mando a quel paese l'intero
thread...

Credo che si riferissero a questo articolo di ZDNet
http://www.zdnet.com/article/linux-tcp-flaw-lets-anyone-hijack-internet-traffic/

L'attacco è comunque più difficile se l'attaccante deve determinare
gli indirizzi possibili in due pool dati (in questo caso un proxy
potrebbe persino facilitare la vita), grossi servizi sono serviti da
più IP pubblici e le connessioni dial-up hanno IP che variano nel pool
di quelli disponibili all'internet service provider.

-- 
 /\   ___Ubuntu: ancient
/___/\_|_|\_|__|___Gian Uberto Lauri_   African word
  //--\| | \|  |   Integralista GNUslamicomeaning "I can
\/ coltivatore diretto di software   not install
 già sistemista a tempo (altrui) perso...Debian"

Warning: gnome-config-daemon considered more dangerous than GOTO

Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[Davide Prina]

On 16/08/2016 21:49, Luca De Andreis wrote:


Leggo questa sera un articolo su una vulnerabilità nel kernel di Linux
sullo stack TCP-IP.
Si grida allo scandalo, alla disperazione... anche Android è vulnerabile
AIUTO  E la colpa è il kernel di Linux.


[...]
The flaw, disclosed at the Usenix security conference last week, is 
complicated and difficult to exploit. If an attacker can pull off an 
exploit, they could inject malicious code into unencrypted web traffic 
from "anywhere". However, the source and destination IP address would 
need to be known in order to intercept the traffic, adding to the 
complexity of carrying out a successful attack.The exploitability isn't 
easy, though.

[...] [1]

cerco di tradurre per chi non conosce l'inglese:
"La vulnerabilità è complessa e difficile da sfruttare. Se un attaccante 
riesce ad utilizzarla può immettere codice malevolo all'interno di un 
traffico web non criptato (quindi traffico http e non https, ndr) da 
remoto. In ogni caso gli indirizzi IP della sorgente e della 
destinazione devono essere noti per poter intercettare il traffico, in 
aggiunta alla complessità di effettuare con successo un attacco. Quindi 
lo sfruttamento di questa vulnerabilità non è facile."


Questo, secondo me, vuol dire che per un uso normale del PC è difficile 
da sfruttare. L'attaccante per conoscere entrambi gli indirizzi IP 
dovrebbe far andare l'attaccato su un sito web che controlla, in modo da 
poter sapere l'indirizzo web di destinazione e cercare di individuare 
quello di partenza (ma se uno usa tor, proxy, ... allora non riesce in 
questo intento).


Ciao
Davide

[1]
https://linux.slashdot.org/story/16/08/15/2038201/linux-traffic-hijack-flaw-also-affects-most-android-phones-tablets

--
Dizionari: http://linguistico.sourceforge.net/wiki
Motivi per non comprare/usare ms-windows7:
http://windows7sins.org/
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[tar...@aruba.it]

Il 17/08/2016 10:23, Davide Prina ha scritto:
> On 17/08/2016 09:57, tarqui wrote:
>
>> probabilmente hai smesso, non ricevendo mai alcun riscontro.
>
> non è vero, la risposta c'era sempre da parte della redazione, con in
> copia il giornalista che aveva scritto l'articolo... che poi si
> difendeva arrampicandosi sui vetri
uhm, non so se è meglio o peggio.

Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[Davide Prina]

On 17/08/2016 09:57, tarqui wrote:

Il 16/08/2016 22:48, Davide Prina ha scritto:



Un po' di anni fa scrivevo in redazione facendo notare gli
strafalcioni, le cose palesemente false, l'asservimento verso una
determinata casa produttrice di software facendo sembrare come
innovative cose che su altri prodotti erano presenti da decenni, ...



probabilmente hai smesso, non ricevendo mai alcun riscontro.


non è vero, la risposta c'era sempre da parte della redazione, con in 
copia il giornalista che aveva scritto l'articolo... che poi si 
difendeva arrampicandosi sui vetri


Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Browser: http://www.mozilla.org/products/firefox
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[Mario Vittorio Guenzi]

Il 17/08/2016 09:57, tar...@aruba.it ha scritto:

> n. meglio scrivergli ciò che già pensano di sapere. è più fidelizzante.

una assoluta cinica verita' purtroppo :(




-- 
Mario Vittorio Guenzi

http://clark.tipistrani.it

Si vis pacem para bellum



signature.asc
Description: OpenPGP digital signature

Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[tar...@aruba.it]

Il 16/08/2016 22:48, Davide Prina ha scritto:
> On 16/08/2016 21:49, Luca De Andreis wrote:
> Un po' di anni fa scrivevo in redazione facendo notare gli
> strafalcioni, le cose palesemente false, l'asservimento verso una
> determinata casa produttrice di software facendo sembrare come
> innovative cose che su altri prodotti erano presenti da decenni, ...
probabilmente hai smesso, non ricevendo mai alcun riscontro. la
competenza non è per la massa. obbliga a pensare, a domandarsi, magari a
imparare qualcosa di nuovo. requisito: ammettere la propria ignoranza.
vuoi dare dell'ignorante ai tuoi lettori?
n. meglio scrivergli ciò che già pensano di sapere. è più fidelizzante.

Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[tar...@aruba.it]

Il 16/08/2016 21:49, Luca De Andreis ha scritto:
> Faccio una premessa... ODIO i giornalisti, ODIO i giornalisti che
> creano castelli di carta dal nulla, che riescono a scrivere un
> articolo sul nulla.
è vero. ogni volta che scrivono o parlano di qualcosa che conosci, noti
parecchi strafalcioni. il problema è che sono troppo pochi, quindi non
si possono specializzare, ma devono coprire tutto lo scibile umano
dandosi la parvenza di esperti del tutto. è il pubblico che lo chiede.

> "Ma come è possibile, per gli aggiornamenti di sicurezza sui vostri
> server Windows avete una tabella di interventi regolari, ordinata, sui
> server Linux è un disastro.
> Fate continuamente interventi, se un server Linux fosse una macchina
> di una fabbrica converrebbe buttarla e cambiarla, costerebbe meno che
> effettuare tutte quelle riparazioni."
>
> Ometto la mia risposta data ad una persona che mi compara un server ad
> una pressa idraulica.  
probabilmente porta la macchina dal meccanico a scadenze fisse. se sente
un rumorino, uno scricchiolio, un cigolio, un brontolio strano
aspetta la prossima scadenza fissa.
se gli piove in casa aspetterà magari 5 anni per il prossimo intervento
di manutenzione programmata.
se si rompe un braccio andrà dal medico il mese prossimo, come programmato.

Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[Davide Prina]

On 16/08/2016 21:49, Luca De Andreis wrote:


Faccio una premessa... ODIO i giornalisti, ODIO i giornalisti che creano
castelli di carta dal nulla, che riescono a scrivere un articolo sul nulla.


tante volte non sanno di cosa stanno parlando.
Il problema è che leggendo un articolo su un argomento che non si 
conosce bene ci si lascia trarre in inganno... se invece si conosce bene 
l'argomento o si sanno alcuni rudimenti, allora diventa palese 
l'ignoranza di chi ha scritto l'articolo e di tutte le stupidaggini 
presenti.


Un po' di anni fa scrivevo in redazione facendo notare gli strafalcioni, 
le cose palesemente false, l'asservimento verso una determinata casa 
produttrice di software facendo sembrare come innovative cose che su 
altri prodotti erano presenti da decenni, ...



Leggo questa sera un articolo su una vulnerabilità nel kernel di Linux
sullo stack TCP-IP.


ci sono maggiori informazioni sulla lista security nel thread con titolo 
"DSA for CVE-2016-5696 (off-path blind TCP session attack)"[1]


in cui è indicata una mitigazione del problema e link per maggiori dettagli.


Si grida allo scandalo, alla disperazione... anche Android è vulnerabile
AIUTO  E la colpa è il kernel di Linux.


però non dovrebbe essere così grave... infatti è indicato come urgenza 
"medium"... ed inoltre è facile rendere estremamente difficile il suo 
sfruttamento da parte dell'attaccante


Il problema di telefonini e simili è che non vengono aggiornati e chi li 
possiede non sempre lo vuole fare o è in grado di farlo... senza dire 
che chi li possiede, di solito, ci installa sopra qualsiasi cosa dando 
qualsiasi permesso che richieda l'applicazione installata, anche se non 
dovrebbe richiedere quel permesso...



Poi leggo un articolo sulla nuova politica che Microsoft metterà in
pratica per l'erogazione delle patch per Windows della serie precedente
a 10.


almeno fino a qualche anno fa esistevano bug di sicurezza ritenuti gravi 
aperti da anni per ms-windows e non avevano un patch. Inoltre loro 
adottano una politica secondo me assurda, ma che è dettata dal mero 
ottenimento di una minimalizzazione dei costi: creano una patch solo 
quando pensano che il bug sia "abbastanza" conosciuto all'esterno...
Senza pensare che una patch per un software non libero impiega, nei casi 
più semplici, settimane, se non mesi per essere creata e rilasciata...


Poi in alcuni casi dei bug di sicurezza ritenuti gravi non venivano 
risolti perché per loro non erano gravi...


Leggevo recentemente che sono riusciti a craccare il secure boot e 
sembra che questa vulnerabilità può essere applicata a qualsiasi 
backdoor basata sulla crittografia[2]


O anche questo: rubabili credenziali di microsoft live account ms-win >= 
8 per un bug del 1997 [3]



Saranno passati almeno tre anni, ma il revisore della Qualità al quale
annualmente consegnamo i prospetti operativi degli interventi sui server
disse:

"Ma come è possibile, per gli aggiornamenti di sicurezza sui vostri
server Windows avete una tabella di interventi regolari, ordinata, sui
server Linux è un disastro.
Fate continuamente interventi, se un server Linux fosse una macchina di
una fabbrica converrebbe buttarla e cambiarla, costerebbe meno che
effettuare tutte quelle riparazioni."


premetto che, secondo me, un controllore di qualità non dovrebbe solo 
verificare se il processo che la tua azienda ha deciso essere "la 
qualità" sia seguito, ma deve anche conoscere il contesto, cosa che 
quasi mai è vera. Altrimenti verifica soltanto se quanto avete scritto 
voi nel manuale di qualità è applicato alla lettera, senza saper 
indicare se quanto presente nel manuale è appropriato rispetto al 
contesto o meno, se...


Altrimenti, secondo me, la qualità è completamente inutile, se non per 
far vedere all'esterno che si è certificati ISO XYZ e si segue il 
processo di qualità... nel manuale posso scrivere che devono essere 
fatte X operazioni che non mi permettono di avere nessun vantaggio 
qualitativo, ma se questo manuale viene accettato e quindi utilizzato, 
allora rispetto la qualità... ma qualità di che?


Ciao
Davide

[1]
https://lists.debian.org/debian-security/2016/08/msg00035.html
fare attenzione che il thread è stato spezzato, si possono leggere anche 
le risposte fuori thread visualizzando i messaggi di agosto:

https://lists.debian.org/debian-security/2016/08/threads.html

[2]
https://yro.slashdot.org/story/16/08/10/186255/researchers-crack-microsoft-feature-say-encryption-backdoors-similarly-crackable

[3]
https://it.slashdot.org/story/16/08/02/149258/microsoft-live-account-credentials-leaking-from-windows-8-and-above

--
Dizionari: http://linguistico.sourceforge.net/wiki
I didn't use Microsoft machines when I was in my operational phase, 
because I couldn't trust them.
Not because I knew that there was a particular back door or anything 
like that, but because I couldn't be sure.

Edward Snowden

Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[Gianluca Mangiarotti]

Ti rispondo con due citazioni:

"Non ti curar di lor ma guarda e passa" e "quando il saggio indica la luna, lo 
stolto guarda il dito"

Scherzi a parte, purtroppo per molte persone Windows è uno standard mentre gli 
altri sistemi operativi o non esistono o funzionano male… ignoranza informatica 
fino a che non si trovano davanti ad una Debian installata anni fa, che non ha 
mai avuto un problema… ecco a quel punto guardano le tabelle delle 
pianificazioni di chi ha deciso per te quando aggiornerai le tue macchine...


Gianluca


Inviato da Motorola Moto X

# Registro Italiano Land Rover 28316
# Linux user 602378


Il 16 ago 2016 21:49, "Luca De Andreis" > 
ha scritto:

Faccio una premessa... ODIO i giornalisti, ODIO i giornalisti che creano 
castelli di carta dal nulla, che riescono a scrivere un articolo sul nulla.

Il mio è odio ma forse ammirazione.. perchè davvero io non ci riuscirei.

Leggo questa sera un articolo su una vulnerabilità nel kernel di Linux sullo 
stack TCP-IP.
Si grida allo scandalo, alla disperazione... anche Android è vulnerabile AIUTO 
 E la colpa è il kernel di Linux.

MALEDETTO !!!

A me non fa ne caldo ne freddo, ritengo sia normale amministrazione, anzi sono 
contento che un bug sia stato trovato, tra me e me dico.. un bug in meno.

Poi leggo un articolo sulla nuova politica che Microsoft metterà in pratica per 
l'erogazione delle patch per Windows della serie precedente a 10.

Un mega pack mensile.

E qui mi si accende un'antica lampadina a filamento (si antica perchè è sempre 
stata una domanda che mi faccio da anni ed anni).

Ma quando viene scoperto un bug, specie se questo è pendente da MESI (ok, ora 
un po di riferimenti altrimenti mi dite di tutto.. un problema di sicurezza 
corretto qualche mese fa in Active Directory, presente da più di un'anno), ma 
CAVOLO, devi aspettare il SECONDO MARTEDI' DEL MESE che verrà per rilasciare un 
fix 

Io non l'ho mai capito, forse non mi intendo abbastanza di logistica.

Ma ancora una cosa la vorrei aggiungere:

Saranno passati almeno tre anni, ma il revisore della Qualità al quale 
annualmente consegnamo i prospetti operativi degli interventi sui server disse:

"Ma come è possibile, per gli aggiornamenti di sicurezza sui vostri server 
Windows avete una tabella di interventi regolari, ordinata, sui server Linux è 
un disastro.
Fate continuamente interventi, se un server Linux fosse una macchina di una 
fabbrica converrebbe buttarla e cambiarla, costerebbe meno che effettuare tutte 
quelle riparazioni."

Ometto la mia risposta data ad una persona che mi compara un server ad una 
pressa idraulica.

Ma il concetto è proprio li...

Inutile spiegare che Debian ha QUALCHE software in più incluso nella 
distribuzione rispetto a quanto può avere Win 2012r2.
Ma forse è meglio avere una tabella di interventi pulita e regolare incentrata 
il secondo martedì del mese, piuttosto che stare li a seguire thread, ed 
aggiornare non appena si ritiene necessario in tempi davvero ridotti.

Forse è proprio così... abbiamo sbagliato tutto.

Buona settimana ferragostiana

Luca

[OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[Luca De Andreis]

Faccio una premessa... ODIO i giornalisti, ODIO i giornalisti che creano 
castelli di carta dal nulla, che riescono a scrivere un articolo sul nulla.


Il mio è odio ma forse ammirazione.. perchè davvero io non ci riuscirei.

Leggo questa sera un articolo su una vulnerabilità nel kernel di Linux 
sullo stack TCP-IP.
Si grida allo scandalo, alla disperazione... anche Android è vulnerabile 
AIUTO  E la colpa è il kernel di Linux.


MALEDETTO !!!

A me non fa ne caldo ne freddo, ritengo sia normale amministrazione, 
anzi sono contento che un bug sia stato trovato, tra me e me dico.. un 
bug in meno.


Poi leggo un articolo sulla nuova politica che Microsoft metterà in 
pratica per l'erogazione delle patch per Windows della serie precedente 
a 10.


Un mega pack mensile.

E qui mi si accende un'antica lampadina a filamento (si antica perchè è 
sempre stata una domanda che mi faccio da anni ed anni).


Ma quando viene scoperto un bug, specie se questo è pendente da MESI 
(ok, ora un po di riferimenti altrimenti mi dite di tutto.. un problema 
di sicurezza corretto qualche mese fa in Active Directory, presente da 
più di un'anno), ma CAVOLO, devi aspettare il SECONDO MARTEDI' DEL MESE 
che verrà per rilasciare un fix 


Io non l'ho mai capito, forse non mi intendo abbastanza di logistica.

Ma ancora una cosa la vorrei aggiungere:

Saranno passati almeno tre anni, ma il revisore della Qualità al quale 
annualmente consegnamo i prospetti operativi degli interventi sui server 
disse:


"Ma come è possibile, per gli aggiornamenti di sicurezza sui vostri 
server Windows avete una tabella di interventi regolari, ordinata, sui 
server Linux è un disastro.
Fate continuamente interventi, se un server Linux fosse una macchina di 
una fabbrica converrebbe buttarla e cambiarla, costerebbe meno che 
effettuare tutte quelle riparazioni."


Ometto la mia risposta data ad una persona che mi compara un server ad 
una pressa idraulica.


Ma il concetto è proprio li...

Inutile spiegare che Debian ha QUALCHE software in più incluso nella 
distribuzione rispetto a quanto può avere Win 2012r2.
Ma forse è meglio avere una tabella di interventi pulita e regolare 
incentrata il secondo martedì del mese, piuttosto che stare li a seguire 
thread, ed aggiornare non appena si ritiene necessario in tempi davvero 
ridotti.


Forse è proprio così... abbiamo sbagliato tutto.

Buona settimana ferragostiana

Luca



smime.p7s
Description: Firma crittografica S/MIME