Ricerca Microsoft, ecco il punto sulla sicurezza

[WarDuck]

Quote:

Originariamente inviato da goofy60

è vero quello che dici ma una distro Linux oltre al sistema operativo include tutta una serie di altro sw che Xp o Vista non contempla

per questo dicevo che stiamo sommando patate e cipolle

Infatti le distro Linux hanno potenzialmente una superficie d'attacco maggiore .

Cmq in genere, come ho detto, il problema della sicurezza spesso è delle applicazioni, Vista è stato bucato (al CanSecWest) per una falla in Flash e in Java e la stessa falla poteva essere sfruttata anche in Linux (che ripeto, per scelta non hanno voluto fare).

Ad ogni vendor va la responsabilità delle falle delle proprie applicazioni, almeno in ambito closed, MS non può farsi carico anche delle falle altrui.

Si critica tanto IE ad esempio per ActiveX (cmq disattivabile), ma ci si scorda di Java e il fatto che possa influenzare anche altri browser...

Tant'è che io ho Java disattivato in Firefox , lo attivo solo se serve.

PS: cmq in entrambi i SO queste falle sono minimizzate molto dal fatto che le applicazioni girano in un ambiente con privilegi limitati.

[sasa83]

Quote:

Originariamente inviato da goofy60

ma sempre quest'articolo del mago Otelma vai a prendere...

l'ultima volta che è stato aggiornato è l'8 settembre 2007..aggiornati

lucio mi sembra un utente abbastanza competente...ho scambiato parecchie mail con lui, e i suoi erano solo esempi...come mi ha detto lui stesso:

Codice:

2. Di bachi come quello della zlib se ne continuano a trovare svariati ogni
mese, quindi l'esempio da me portato è più che mai attuale. Tanto per farti
un esempio ti cito CVE-2008-3639, CVE-2008-3640 e CVE-2008-3641, pubblicati
la settimana scorsa. In quei casi basta che l'utente *stampi* l'allegato
contenente il virus per scatenare il bug e trovarsi il sistema compromesso. E
guarda che l'allegato, in questo caso, può addirittura essere solo
un "normale" file di testo, nulla di eseguibile. Dico "normale" fra
virgolette perché sarebbe un file di testo contenente un virus e spedito da
un virus.

i bug esistono in qualsiasi sistema operativo, quindi l'articolo mi sembra abbastanza attendibile...bisogna poi valutare la criticità dei bug, il modo in cui possono essere sfruttati e se vengono o meno risolti in tempi brevi...su questo però non mi pronuncio!
come si dice giustamente, anche nell'articolo linkato pochi post dietro, i dati vanno interpretati:

Codice:

Is there anything in the analysis wich will prove one piece of software is "more secure" than another? No, not really.

[goofy60]

Quote:

Originariamente inviato da cavaliereombra

La finisci? Sei già stato segnalato e bannato (se non mi pare questo è il tuo secondo account). Se sei adulto e furbo dovresti aver capito come comportarti... si spera.
Detto questo, dato che il tuo livello è pari a bambinate non cerco nemmeno di proseguire la discussione con te. Buon divertimento.

P.S. Se vuoi discutere seriamente basta dirlo e farlo, magari cambiando comportamento!

mi sembra che io abbia dato risposte molto tecniche

l'uccellino ha portato spia ? allora domandagli a che numero di account sta lui

[goofy60]

Quote:

Originariamente inviato da WarDuck

PS: cmq in entrambi i SO queste falle sono minimizzate molto dal fatto che le applicazioni girano in un ambiente con privilegi limitati.

i chmod e i chown di linux non hanno eguali

[goofy60]

Quote:

Originariamente inviato da sasa83

lucio mi sembra un utente abbastanza competente...ho scambiato parecchie mail con lui, e i suoi erano solo esempi...come mi ha detto lui stesso:

.[/code]

non metto in dubbio le sue qualità tecniche ma il succo del discorso del suo articolo è che in futuro e se Linux si diffonderà allora chi avrà interessi economici sulla diffusione del malware passerà ad infettare anche il mondo Linux

io la ritengo una preveggenza (perciò lo chiamo mago Otelma ) perchè si dovranno verificare 2 ipotesi contestualmente..

per adesso non è così

[goofy60]

Quote:

Originariamente inviato da cavaliereombra

Spia? Non conosco né te, né lui, ma tu sinceramente con questa guerra personale hai ampiamente stufato. Ripeto: se vuoi discutere si è qui, per le bambinate puoi anche girare l'angolo.

sono quì per discutere

Quote:

Le oltre 900 di Debian invece come le interpretiamo?

quindi convieni che quel numero è fuorviante?

[sasa83]

Quote:

Originariamente inviato da goofy60

non metto in dubbio le sue qualità tecniche ma il succo del discorso del suo articolo è che in futuro e se Linux si diffonderà allora chi avrà interessi economici sulla diffusione del malware passerà ad infettare anche il mondo Linux

io la ritengo una preveggenza (perciò lo chiamo mago Otelma ) perchè si dovranno verificare 2 ipotesi contestualmente..

per adesso non è così

non è solo quello il senso dell'articolo, rileggilo...i requisiti si sono già presentati in passato e non mancheranno di ripresentarsi in futuro, e così sarà nei secoli dei secoli, AMEN...è ovvio poi che uno possa non essere d'accordo con quello che dice, se non lo sei scrivigli pure una mail e vedrai che ti chiarirà le idee (con me è stato molto paziente e disponibile), probabilmente stai solo interpretando male il suo discorso come ho fatto io tempo addietro!

ps. dicendo che i virus per linux non esistono perchè è poco diffuso confermi quello che dice visron però.

[goofy60]

Quote:

Originariamente inviato da sasa83

ps. dicendo che i virus per linux non esistono perchè è poco diffuso confermi quello che dice visron però.

questo lo dico solo per sfrocoliare

io penso invece che ci siano fondamentali differenze tra i sistemi Microsoft e Linux che difficilmente permetteranno una diffusione di virus a macchia d'olio come è successo in passato per virus come Sasser o similari

[Visron]

Quote:

Originariamente inviato da goofy60

questo lo dico solo per sfrocoliare

io penso invece che ci siano fondamentali differenze tra i sistemi Microsoft e Linux che difficilmente permetteranno una diffusione di virus a macchia d'olio come è successo in passato per virus come Sasser o similari

noi qua si e' parlato nn di virus che sfruttano tanto eventuali vulnerabilita' di sistema..ma malware da far installare sulla macchina Linux con Social Engineering ( come fosse un software) se piu' gente a digiuno di computer usasse questo benedetto Linux con un market share nn meno dell'1% come ha adesso Linux nell'uso Home & office , per grabbare poi i dati di privacy della gente che oggi va tanto "di moda"

i virus distrutivi su Win sono oramai un bel po' di tempo che si sono affievoliti..quello che piace fare oggi e che rende e' grabbare i dati delle carte di credito user e passw et agli utenti in rete ..etc

[sasa83]

Quote:

Originariamente inviato da goofy60

questo lo dico solo per sfrocoliare

io penso invece che ci siano fondamentali differenze tra i sistemi Microsoft e Linux che difficilmente permetteranno una diffusione di virus a macchia d'olio come è successo in passato per virus come Sasser o similari

mi hai insegnato una parola nuova
ragazzi quanto sono ignorante...

è ovvio che ci siano differenze fondamentali tra i due sistemi, ma questo non vuol dire che un qualsiasi babbano possa usare una macchina linux cliccando a destra e a manca e non facendo danni! il pc non è intelligente, fa semplicemente quello che gli dici..è sempre la solita storia della sedia e la tastiera

[!fazz]

Quote:

Originariamente inviato da Visron

noi qua si e' parlato nn di virus che sfruttano tanto eventuali vulnerabilita' di sistema..ma malware da far installare sulla macchina Linux con Social Engineering ( come fosse un software) se piu' gente a digiuno di computer usasse questo benedetto Linux con un market share nn meno dell'1% come ha adesso Linux nell'uso Home & office , per grabbare poi i dati di privacy della gente che oggi va tanto "di moda"

i virus distrutivi su Win sono oramai un bel po' di tempo che si sono affievoliti..quello che piace fare oggi e che rende e' grabbare i dati delle carte di credito user e passw et agli utenti in rete ..etc

il social engeneering lascialo fuori, di fatto non è utile per dimostrare nulla, con il se si può convincere la gente a suicidarsi in massa, è una "arte" esterna al mondo dell'informatica. (ps il social engeneer può anche farti installare un malware ma se il sistema è ben configurato col cavolo che riesci ad eseguirlo in un ambiente ad alta sicurezza, a meno che non freghi il responsabile del sistema ma se uno raggiunge quelle posizioni di solito è abbastanza skillato e prudente da annusare la fregatura),

c'è comunque da dire che un sistema linux ben configurato difficilmente sarà meno sicuro di un sistema windows dove puoi agire su meno parametri

[Visron]

Quote:

Originariamente inviato da sasa83

mi hai insegnato una parola nuova
ragazzi quanto sono ignorante...

è ovvio che ci siano differenze fondamentali tra i due sistemi, ma questo non vuol dire che un qualsiasi babbano possa usare una macchina linux cliccando a destra e a manca e non facendo danni! il pc non è intelligente, fa semplicemente quello che gli dici..è sempre la solita storia della sedia e la tastiera

e la cosa bella e' che se qualcuno iniziasse a scrivere del malware del tipo di cui sopora da far installare su Linux o Osx tediando/raggirando l'utente , questi utenti che su Linux ed Osx nn usano nesuna protezione o scansione nn si accorgerebbero nemmeno di avere il malware ( spyware o keylogger o trojan) installato , non usando nulla per una scansione o proteggersi come si fa su Win ..e gli prenderebbero tutti i dati per mesi e mesi..

sarebbe come fondere del burro in padella a fuoco lento

Quote:

Originariamente inviato da !fazz

il social engeneering lascialo fuori, di fatto non è utile per dimostrare nulla, con il se si può convincere la gente a suicidarsi in massa, è una "arte" esterna al mondo dell'informatica. (ps il social engeneer può anche farti installare un malware ma se il sistema è ben configurato col cavolo che riesci ad eseguirlo in un ambiente ad alta sicurezza, a meno che non freghi il responsabile del sistema ma se uno raggiunge quelle posizioni di solito è abbastanza skillato e prudente da annusare la fregatura),

c'è comunque da dire che un sistema linux ben configurato difficilmente sarà meno sicuro di un sistema windows dove puoi agire su meno parametri

c'e' gente che clicca dappertutto anche sulle richieste di UAC di Vista perche' nn sa quello che fa' e nn sa' quali sono i raggiri che esistono in rete.. tu lo sai perche' leggi e ti informi sui forum e ci arrivi magari da solo ..la gente comune moltissime cose nn le sa

http://www.hwupgrade.it/forum/showpo...3&postcount=41

poi mettici i warez presi dal p2p e che si installano con incapsulato questo tipo di malware .sempre senza avere sulla macchia un antivirus etc che rileva e blocca prima come tutti gli utenti Osx e Linux non hanno

[!fazz]

Quote:

Originariamente inviato da Visron

e la cosa bella e' che se qualcuno iniziasse a scrivere del malware del tipo di cui sopora da far installare su Linux o Osx tediando/raggirando l'utente , questi utenti che su Linux ed Osx nn usano nesuna protezione o scansione nn si accorgerebbero nemmeno di avere il malware ( spyware o keylogger o trojan) installato , non usando nulla per una scansione o proteggersi come si fa su Win ..e gli prenderebbero tutti i dati per mesi e mesi..

sarebbe come fondere del burro in padella a fuoco lento

c'e' gente che clicca dappertutto perche' nn sa' quali sono i raggiri che esistono in rete.. tu lo sai perch'e leggi e ti informi sui forum ..la gente comune moltissime cose nn le sa

ma se il sistema permette una buona configurazione riguardo alla sicurezza e l'azienda applica serie politiche di security tu puoi anche cliccare a destra e a manca ma il malware non viene eseguito

[Visron]

Quote:

Originariamente inviato da cavaliereombra

Appena uscito Vista la gente non faceva altro che lamentarsi dell'UAC e chiedere come disattivarlo. Sopravvaluti decisamente l'utente medio...


Un metodo è l'UAC (che altro non è che il superuser), ovvero far sì che sia richiesta un'autenticazione prima che un processo possa effettivamente entrare in esecuzione. Se però la gente disattiva i controlli (o agisce direttamente come superuser) o non li legge, allora tutto si spiega da sé. L'OS non può impedire che un processo vada in esecuzione anche se l'utente gli dice di farlo.

esatto..UAC di Vista e' come SUdo di Linux o passw amministrativa di OSx..basta tediare/raggirare la gente per far installare il malware come fosse un software ( anche incapsulando nei warez che la gente scarica ed installa dal p2p tutto il giorno) ..e basta a sua volta scrivere software malware per colpire chi clicca ed installa tutto senza sapere niente anche su Linux o Osx = sono tantissimi e senza protezioni come antivirus come accade su Osx e Linux dove dicono: tanto su Osx e Linux io nn prendo niente..si', finche' nn scrivono i malware di questo tipo..basta perderci tempo per dei validi motivi = l'obbiettivo ed il target utenti da colpire che devono essere tanti per perderci tempo dietro ..e scriverli

[!fazz]

Quote:

Originariamente inviato da cavaliereombra

Appena uscito Vista la gente non faceva altro che lamentarsi dell'UAC e chiedere come disattivarlo. Sopravvaluti decisamente l'utente medio...


Un metodo è l'UAC (che altro non è che il superuser), ovvero far sì che sia richiesta un'autenticazione prima che un processo possa effettivamente entrare in esecuzione. Se però la gente disattiva i controlli (o agisce direttamente come superuser) o non li legge, allora tutto si spiega da sé. L'OS non può impedire che un processo vada in esecuzione anche se l'utente gli dice di farlo.

parlavo di ambienti ad alta sicurezza (prima di parlava di banche)
ho parlato anche di ambienti con serie policy di sicurezza quindi un utente con possibilità di accesso ad amministratore a vista non è proprio l'esempio migliore di ambiente ad alta sicurezza

ma in un ambiente abbastanza sicuro (per esempio una gentoo moddata grsecurity + selinux settato come si deve) il sistema operativo, grazie alla doppia politica di sicurezza, mandatoria e discrezionale) blocca l'utente e gli impedisce l'accesso a qualsiasi risorsa alla quale non si abbiano i permessi e le policy non siano soddisfatte.

in uno scenario del genere l'utente non ha pwd di root e l'autorizzazione per l'esecuzione di un programma deve essere chiesta al responsabile che deve essere skillato su queste problematiche

[Visron]

Quote:

Originariamente inviato da !fazz

parlavo di ambienti ad alta sicurezza (prima di parlava di banche)
ho parlato anche di ambienti con serie policy di sicurezza quindi un utente con possibilità di accesso ad amministratore a vista non è proprio l'esempio migliore di ambiente ad alta sicurezza

ma in un ambiente abbastanza sicuro (per esempio una gentoo moddata grsecurity + selinux settato come si deve) il sistema operativo, grazie alla doppia politica di sicurezza, mandatoria e discrezionale) blocca l'utente e gli impedisce l'accesso a qualsiasi risorsa alla quale non si abbiano i permessi e le policy non siano soddisfatte.

in uno scenario del genere l'utente non ha pwd di root e l'autorizzazione per l'esecuzione di un programma deve essere chiesta al responsabile che deve essere skillato su queste problematiche

per difendere il computer anche di chi clicca ed istalla tutto perche a digiuno di basi computer e sicurezza, bisogna dare in mano Vista con Account Standard ..su XP creare account Limitato e poi nn dirgli la passw per eleveragli i privilegi da UAC ad installare sotware etc su Vista .. o per loggarsi con account Admin su Xp .. stessa cosa su Osx e Linux.. = gli devi limiatare l'uso del computer

[goofy60]

ragioniamo su questa ipotesi:

del malware che si dovrebbe installare su macchine Linux tramite tecniche di social enginering (vale a dire installa questa cosa senza sapere cos'è)

1)
premesso che chi usa sistemi Linux ha un buon livello di conoscenza informatica per cui se ipotizziamo qualcuno mi mandasse un allegato con uno scriptino .sh per prima cosa andrei a vedere di cosa si tratta (vi nome file)

2)
un file che viene scaricato dal web non può essere eseguito immediatamente..non ha i permessi per essere eseguito
per cui l'utente inesperto dovrebbe dare pure un comando chmod per rendere quel file eseguibile (ma l'utente non era inesperto ?)....

3)
per eseguire uno scriptino che per esempio ho scaricato sul mio desktop oltre a dare i permessi di cui sopra devo anche indicare con ./ che voglio eseguire lo scriptino che si trova in locale

4)
gli utenti Linux aggiornano tutto il proprio sw con repository ufficiali certificati al contrario degli utenti Microsoft che devono andare a zonzo per scaricare sw per rendere produttivo il proprio pc


per tutti questi motivi ritengo che il social enginering sia destinato a non attecchire nel mondo Linux...cosa ne pensate?

[Visron]

Quote:

Originariamente inviato da goofy60

ragioniamo su questa ipotesi:

del malware che si dovrebbe installare su macchine Linux tramite tecniche di social enginering (vale a dire installa questa cosa senza sapere cos'è)

1)
premesso che chi usa sistemi Linux ha un buon livello di conoscenza informatica per cui se ipotizziamo qualcuno mi mandasse un allegato con uno scriptino .sh per prima cosa andrei a vedere di cosa si tratta (vi nome file)

2)
un file che viene scaricato dal web non può essere eseguito immediatamente..non ha i permessi per essere eseguito
per cui l'utente inesperto dovrebbe dare pure un comando chmod per rendere quel file eseguibile (ma l'utente non era inesperto ?)....

3)
per eseguire uno scriptino che per esempio ho scaricato sul mio desktop oltre a dare i permessi di cui sopra devo anche indicare con ./ che voglio eseguire lo scriptino che si trova in locale

4)
gli utenti Linux aggiornano tutto il proprio sw con repository ufficiali certificati al contrario degli utenti Microsoft che devono andare a zonzo per scaricare sw per rendere produttivo il proprio pc


per tutti questi motivi ritengo che il social enginering sia destinato a non attecchire nel mondo Linux...cosa ne pensate?

si ,se Linux lo usa chi sa quello che fa .. dallo in mano ai niubbi totali =la massa per elevare il market share di un OS con la passw di root .. poi me lo dici

nn crederai di dar in mano il computer a tutta la gente comune e di togliergli poi la passw ??

[goofy60]

Quote:

Originariamente inviato da Visron

si ,se Linux lo usa chi sa quello che fa .. dallo in mano ai niubbi totali =la massa per elevare il market share di un OS con la passw di root .. poi me lo dici

leggi quello che scrivo

i punti 2 e 3 non sono per niubbi

è gradito un commento dai tecnici, grazie

[!fazz]

Quote:

Originariamente inviato da cavaliereombra

Le stesse che si è convinti si muovano unicamente con server Linux? Bella leggenda metropolitana... si spera sia l'unica.


E perché no, sparata (e risatona) a parte? Di certo non si danno diritti di amministratore all'utente su un PC ben gestito.
Sinora comunque si parlava di PC consumer.


Forse non sai che le utenze si possono configurare anche sotto Windows.


Ma dai?

Non ho mai detto che le banche usano solo server linux (per esempio la mia ha ancora terminali unix con tastiere a doppi tasti funzione), l'esempio che ho fatto è di una classica configurazione abbastanza sicura con l'uso di entrambe le politiche di sicurezza (la mandatoria su Vista/xp non è implementata), è una questione un filo più sottile dal semplice controllo degli accessi