Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative
On Tue, Aug 16, 2016 at 09:49:30PM +0200, Luca De Andreis wrote: > > Faccio una premessa... ODIO i giornalisti, ODIO i giornalisti che creano > castelli di carta dal nulla, che riescono a scrivere un articolo sul nulla. > > Il mio è odio ma forse ammirazione.. perchè davvero io non ci riuscirei. > > Leggo questa sera un articolo su una vulnerabilità nel kernel di Linux sullo > stack TCP-IP. > Si grida allo scandalo, alla disperazione... anche Android è vulnerabile > AIUTO E la colpa è il kernel di Linux. Loro hanno vinto, noi abbiamo perso. I problemi di android sono altri, cercano di risolverli quelli di Replicant, ma pare impossibile ottenere qualcosa di pienamente funzionante senza fare uso di "blob" binari, software prorpietario. Senza contare le innumerevoli porcherie che girano su android a prescindere dal telefono. Senza citare neanche quelle che l'untente finale installa più o meno consapevolmente. Hanno vinto perché si parla di un comune bug piuttosto che di "che fine ha fatto linux". L'embedded sembrava una terra promessa e si è rivelato un inferno popolato da gente che ha rimesso a profitto il vapore e la ruota, in alcuni casi con terzi fini. Tornando al bug: "There is, he said, too much out-of-tree code running on a typical handset; mainline kernels simply lack the drivers needed to make that handset work. A typical phone is running 1-3 million lines of out-of-tree code. Almost all of those phones are stuck on the 3.10 kernel — or something even older[...]"[1] Siamo alle soglie di un fork, questo non è l'upstream. Con una tale differenza cosa succede se il bug lo ha introdotto un produttore o google stessa? È sempre colpa di Linux? E le lo introduce volontariamente? [1] https://lwn.net/Articles/662147/ > Poi leggo un articolo sulla nuova politica che Microsoft metterà in pratica > per l'erogazione delle patch per Windows della serie precedente a 10. Io questi non li seguo, seriamente, come li introduci nel discorso senza scadere nel ridicolo? Oramai la controparte è google. Ciao -- Felipe Salvador
Re: Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative
> "DP" == Davide Prina writes: Arrivo tardi nella discussione, ma penso stiate parlando della CVE-2016-5696 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5696 DP> [...] DP> The flaw, disclosed at the Usenix security conference last week, is DP> complicated and difficult to exploit. If an attacker can pull off an DP> exploit, they could inject malicious code into unencrypted web traffic DP> from "anywhere". However, the source and destination IP address would DP> need to be known in order to intercept the traffic, adding to the DP> complexity of carrying out a successful attack.The exploitability isn't DP> easy, though. DP> [...] [1] DP> cerco di tradurre per chi non conosce l'inglese: DP> "La vulnerabilità è complessa e difficile da sfruttare. Se un attaccante DP> riesce ad utilizzarla può immettere codice malevolo all'interno di un DP> traffico web non criptato (quindi traffico http e non https, ndr) da DP> remoto. In ogni caso gli indirizzi IP della sorgente e della DP> destinazione devono essere noti per poter intercettare il traffico, in DP> aggiunta alla complessità di effettuare con successo un attacco. Quindi DP> lo sfruttamento di questa vulnerabilità non è facile." Buona traduzione, ma il report che avevo sentito originariamente parlava anche della possibilità di violare traffico criptato: "The vulnerability could also be used to forcefully terminate HTTPS encrypted connections and downgrade the privacy of secure connections, as well as also threatens anonymity of Tor users by routing them to certain malicious relays." (La vulnerabilità può anche essere usata per forzare la terminazione di una connessione https criptata e abbassare la privacy di connessioni sicure così come minacciare l'anonimità degli utenti TOR forzando il routing attraverso relay maliziosi) DP> Questo, secondo me, vuol dire che per un uso normale del PC è difficile DP> da sfruttare. L'attaccante per conoscere entrambi gli indirizzi IP DP> dovrebbe far andare l'attaccato su un sito web che controlla, in modo da DP> poter sapere l'indirizzo web di destinazione e cercare di individuare DP> quello di partenza (ma se uno usa tor, proxy, ... allora non riesce in DP> questo intento). Non sono sicuro che tor o un proxy salvino. Vedi sopra. Sulla list di Debian mi pare di aver visto circolare qualche info a proposito, ma appena vedo Lisi Reisz mando a quel paese l'intero thread... Credo che si riferissero a questo articolo di ZDNet http://www.zdnet.com/article/linux-tcp-flaw-lets-anyone-hijack-internet-traffic/ L'attacco è comunque più difficile se l'attaccante deve determinare gli indirizzi possibili in due pool dati (in questo caso un proxy potrebbe persino facilitare la vita), grossi servizi sono serviti da più IP pubblici e le connessioni dial-up hanno IP che variano nel pool di quelli disponibili all'internet service provider. -- /\ ___Ubuntu: ancient /___/\_|_|\_|__|___Gian Uberto Lauri_ African word //--\| | \| | Integralista GNUslamicomeaning "I can \/ coltivatore diretto di software not install già sistemista a tempo (altrui) perso...Debian" Warning: gnome-config-daemon considered more dangerous than GOTO
Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative
On 16/08/2016 21:49, Luca De Andreis wrote: Leggo questa sera un articolo su una vulnerabilità nel kernel di Linux sullo stack TCP-IP. Si grida allo scandalo, alla disperazione... anche Android è vulnerabile AIUTO E la colpa è il kernel di Linux. [...] The flaw, disclosed at the Usenix security conference last week, is complicated and difficult to exploit. If an attacker can pull off an exploit, they could inject malicious code into unencrypted web traffic from "anywhere". However, the source and destination IP address would need to be known in order to intercept the traffic, adding to the complexity of carrying out a successful attack.The exploitability isn't easy, though. [...] [1] cerco di tradurre per chi non conosce l'inglese: "La vulnerabilità è complessa e difficile da sfruttare. Se un attaccante riesce ad utilizzarla può immettere codice malevolo all'interno di un traffico web non criptato (quindi traffico http e non https, ndr) da remoto. In ogni caso gli indirizzi IP della sorgente e della destinazione devono essere noti per poter intercettare il traffico, in aggiunta alla complessità di effettuare con successo un attacco. Quindi lo sfruttamento di questa vulnerabilità non è facile." Questo, secondo me, vuol dire che per un uso normale del PC è difficile da sfruttare. L'attaccante per conoscere entrambi gli indirizzi IP dovrebbe far andare l'attaccato su un sito web che controlla, in modo da poter sapere l'indirizzo web di destinazione e cercare di individuare quello di partenza (ma se uno usa tor, proxy, ... allora non riesce in questo intento). Ciao Davide [1] https://linux.slashdot.org/story/16/08/15/2038201/linux-traffic-hijack-flaw-also-affects-most-android-phones-tablets -- Dizionari: http://linguistico.sourceforge.net/wiki Motivi per non comprare/usare ms-windows7: http://windows7sins.org/ Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative
Il 17/08/2016 10:23, Davide Prina ha scritto: > On 17/08/2016 09:57, tarqui wrote: > >> probabilmente hai smesso, non ricevendo mai alcun riscontro. > > non è vero, la risposta c'era sempre da parte della redazione, con in > copia il giornalista che aveva scritto l'articolo... che poi si > difendeva arrampicandosi sui vetri uhm, non so se è meglio o peggio.
Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative
On 17/08/2016 09:57, tarqui wrote: Il 16/08/2016 22:48, Davide Prina ha scritto: Un po' di anni fa scrivevo in redazione facendo notare gli strafalcioni, le cose palesemente false, l'asservimento verso una determinata casa produttrice di software facendo sembrare come innovative cose che su altri prodotti erano presenti da decenni, ... probabilmente hai smesso, non ricevendo mai alcun riscontro. non è vero, la risposta c'era sempre da parte della redazione, con in copia il giornalista che aveva scritto l'articolo... che poi si difendeva arrampicandosi sui vetri Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Browser: http://www.mozilla.org/products/firefox GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative
Il 17/08/2016 09:57, tar...@aruba.it ha scritto: > n. meglio scrivergli ciò che già pensano di sapere. è più fidelizzante. una assoluta cinica verita' purtroppo :( -- Mario Vittorio Guenzi http://clark.tipistrani.it Si vis pacem para bellum signature.asc Description: OpenPGP digital signature
Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative
Il 16/08/2016 22:48, Davide Prina ha scritto: > On 16/08/2016 21:49, Luca De Andreis wrote: > Un po' di anni fa scrivevo in redazione facendo notare gli > strafalcioni, le cose palesemente false, l'asservimento verso una > determinata casa produttrice di software facendo sembrare come > innovative cose che su altri prodotti erano presenti da decenni, ... probabilmente hai smesso, non ricevendo mai alcun riscontro. la competenza non è per la massa. obbliga a pensare, a domandarsi, magari a imparare qualcosa di nuovo. requisito: ammettere la propria ignoranza. vuoi dare dell'ignorante ai tuoi lettori? n. meglio scrivergli ciò che già pensano di sapere. è più fidelizzante.
Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative
Il 16/08/2016 21:49, Luca De Andreis ha scritto: > Faccio una premessa... ODIO i giornalisti, ODIO i giornalisti che > creano castelli di carta dal nulla, che riescono a scrivere un > articolo sul nulla. è vero. ogni volta che scrivono o parlano di qualcosa che conosci, noti parecchi strafalcioni. il problema è che sono troppo pochi, quindi non si possono specializzare, ma devono coprire tutto lo scibile umano dandosi la parvenza di esperti del tutto. è il pubblico che lo chiede. > "Ma come è possibile, per gli aggiornamenti di sicurezza sui vostri > server Windows avete una tabella di interventi regolari, ordinata, sui > server Linux è un disastro. > Fate continuamente interventi, se un server Linux fosse una macchina > di una fabbrica converrebbe buttarla e cambiarla, costerebbe meno che > effettuare tutte quelle riparazioni." > > Ometto la mia risposta data ad una persona che mi compara un server ad > una pressa idraulica. probabilmente porta la macchina dal meccanico a scadenze fisse. se sente un rumorino, uno scricchiolio, un cigolio, un brontolio strano aspetta la prossima scadenza fissa. se gli piove in casa aspetterà magari 5 anni per il prossimo intervento di manutenzione programmata. se si rompe un braccio andrà dal medico il mese prossimo, come programmato.
Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative
On 16/08/2016 21:49, Luca De Andreis wrote: Faccio una premessa... ODIO i giornalisti, ODIO i giornalisti che creano castelli di carta dal nulla, che riescono a scrivere un articolo sul nulla. tante volte non sanno di cosa stanno parlando. Il problema è che leggendo un articolo su un argomento che non si conosce bene ci si lascia trarre in inganno... se invece si conosce bene l'argomento o si sanno alcuni rudimenti, allora diventa palese l'ignoranza di chi ha scritto l'articolo e di tutte le stupidaggini presenti. Un po' di anni fa scrivevo in redazione facendo notare gli strafalcioni, le cose palesemente false, l'asservimento verso una determinata casa produttrice di software facendo sembrare come innovative cose che su altri prodotti erano presenti da decenni, ... Leggo questa sera un articolo su una vulnerabilità nel kernel di Linux sullo stack TCP-IP. ci sono maggiori informazioni sulla lista security nel thread con titolo "DSA for CVE-2016-5696 (off-path blind TCP session attack)"[1] in cui è indicata una mitigazione del problema e link per maggiori dettagli. Si grida allo scandalo, alla disperazione... anche Android è vulnerabile AIUTO E la colpa è il kernel di Linux. però non dovrebbe essere così grave... infatti è indicato come urgenza "medium"... ed inoltre è facile rendere estremamente difficile il suo sfruttamento da parte dell'attaccante Il problema di telefonini e simili è che non vengono aggiornati e chi li possiede non sempre lo vuole fare o è in grado di farlo... senza dire che chi li possiede, di solito, ci installa sopra qualsiasi cosa dando qualsiasi permesso che richieda l'applicazione installata, anche se non dovrebbe richiedere quel permesso... Poi leggo un articolo sulla nuova politica che Microsoft metterà in pratica per l'erogazione delle patch per Windows della serie precedente a 10. almeno fino a qualche anno fa esistevano bug di sicurezza ritenuti gravi aperti da anni per ms-windows e non avevano un patch. Inoltre loro adottano una politica secondo me assurda, ma che è dettata dal mero ottenimento di una minimalizzazione dei costi: creano una patch solo quando pensano che il bug sia "abbastanza" conosciuto all'esterno... Senza pensare che una patch per un software non libero impiega, nei casi più semplici, settimane, se non mesi per essere creata e rilasciata... Poi in alcuni casi dei bug di sicurezza ritenuti gravi non venivano risolti perché per loro non erano gravi... Leggevo recentemente che sono riusciti a craccare il secure boot e sembra che questa vulnerabilità può essere applicata a qualsiasi backdoor basata sulla crittografia[2] O anche questo: rubabili credenziali di microsoft live account ms-win >= 8 per un bug del 1997 [3] Saranno passati almeno tre anni, ma il revisore della Qualità al quale annualmente consegnamo i prospetti operativi degli interventi sui server disse: "Ma come è possibile, per gli aggiornamenti di sicurezza sui vostri server Windows avete una tabella di interventi regolari, ordinata, sui server Linux è un disastro. Fate continuamente interventi, se un server Linux fosse una macchina di una fabbrica converrebbe buttarla e cambiarla, costerebbe meno che effettuare tutte quelle riparazioni." premetto che, secondo me, un controllore di qualità non dovrebbe solo verificare se il processo che la tua azienda ha deciso essere "la qualità" sia seguito, ma deve anche conoscere il contesto, cosa che quasi mai è vera. Altrimenti verifica soltanto se quanto avete scritto voi nel manuale di qualità è applicato alla lettera, senza saper indicare se quanto presente nel manuale è appropriato rispetto al contesto o meno, se... Altrimenti, secondo me, la qualità è completamente inutile, se non per far vedere all'esterno che si è certificati ISO XYZ e si segue il processo di qualità... nel manuale posso scrivere che devono essere fatte X operazioni che non mi permettono di avere nessun vantaggio qualitativo, ma se questo manuale viene accettato e quindi utilizzato, allora rispetto la qualità... ma qualità di che? Ciao Davide [1] https://lists.debian.org/debian-security/2016/08/msg00035.html fare attenzione che il thread è stato spezzato, si possono leggere anche le risposte fuori thread visualizzando i messaggi di agosto: https://lists.debian.org/debian-security/2016/08/threads.html [2] https://yro.slashdot.org/story/16/08/10/186255/researchers-crack-microsoft-feature-say-encryption-backdoors-similarly-crackable [3] https://it.slashdot.org/story/16/08/02/149258/microsoft-live-account-credentials-leaking-from-windows-8-and-above -- Dizionari: http://linguistico.sourceforge.net/wiki I didn't use Microsoft machines when I was in my operational phase, because I couldn't trust them. Not because I knew that there was a particular back door or anything like that, but because I couldn't be sure. Edward Snowden
Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative
Ti rispondo con due citazioni: "Non ti curar di lor ma guarda e passa" e "quando il saggio indica la luna, lo stolto guarda il dito" Scherzi a parte, purtroppo per molte persone Windows è uno standard mentre gli altri sistemi operativi o non esistono o funzionano male… ignoranza informatica fino a che non si trovano davanti ad una Debian installata anni fa, che non ha mai avuto un problema… ecco a quel punto guardano le tabelle delle pianificazioni di chi ha deciso per te quando aggiornerai le tue macchine... Gianluca Inviato da Motorola Moto X # Registro Italiano Land Rover 28316 # Linux user 602378 Il 16 ago 2016 21:49, "Luca De Andreis" mailto:d...@corep.it>> ha scritto: Faccio una premessa... ODIO i giornalisti, ODIO i giornalisti che creano castelli di carta dal nulla, che riescono a scrivere un articolo sul nulla. Il mio è odio ma forse ammirazione.. perchè davvero io non ci riuscirei. Leggo questa sera un articolo su una vulnerabilità nel kernel di Linux sullo stack TCP-IP. Si grida allo scandalo, alla disperazione... anche Android è vulnerabile AIUTO E la colpa è il kernel di Linux. MALEDETTO !!! A me non fa ne caldo ne freddo, ritengo sia normale amministrazione, anzi sono contento che un bug sia stato trovato, tra me e me dico.. un bug in meno. Poi leggo un articolo sulla nuova politica che Microsoft metterà in pratica per l'erogazione delle patch per Windows della serie precedente a 10. Un mega pack mensile. E qui mi si accende un'antica lampadina a filamento (si antica perchè è sempre stata una domanda che mi faccio da anni ed anni). Ma quando viene scoperto un bug, specie se questo è pendente da MESI (ok, ora un po di riferimenti altrimenti mi dite di tutto.. un problema di sicurezza corretto qualche mese fa in Active Directory, presente da più di un'anno), ma CAVOLO, devi aspettare il SECONDO MARTEDI' DEL MESE che verrà per rilasciare un fix Io non l'ho mai capito, forse non mi intendo abbastanza di logistica. Ma ancora una cosa la vorrei aggiungere: Saranno passati almeno tre anni, ma il revisore della Qualità al quale annualmente consegnamo i prospetti operativi degli interventi sui server disse: "Ma come è possibile, per gli aggiornamenti di sicurezza sui vostri server Windows avete una tabella di interventi regolari, ordinata, sui server Linux è un disastro. Fate continuamente interventi, se un server Linux fosse una macchina di una fabbrica converrebbe buttarla e cambiarla, costerebbe meno che effettuare tutte quelle riparazioni." Ometto la mia risposta data ad una persona che mi compara un server ad una pressa idraulica. Ma il concetto è proprio li... Inutile spiegare che Debian ha QUALCHE software in più incluso nella distribuzione rispetto a quanto può avere Win 2012r2. Ma forse è meglio avere una tabella di interventi pulita e regolare incentrata il secondo martedì del mese, piuttosto che stare li a seguire thread, ed aggiornare non appena si ritiene necessario in tempi davvero ridotti. Forse è proprio così... abbiamo sbagliato tutto. Buona settimana ferragostiana Luca