Problema di sicurezza per Microsoft Windows XP

[Sapo84]

Quote:

Originariamente inviato da LukeHack

se poi tu ci metti un firewall, oppure l'UAC, oppure un router, stai mettendo una pezza al bug, quindi ottieni certamente lo scopo, ma l'OS resta sempre buggato; quindi se io un domani scopro come chiuderti l'UAC (mediante social eng per es.) ho mandato a p..tane la blanda condizione di sicurezza di cui godeva il tuo Vista
viceversa, se microsoft decide che da domani windowsupdate mi deregistra le dll incriminate, allora xp è diventato più sicuro, come vista...

sintetizzando, la sicurezza di un os si misura con le falle che esso presenta, non con quelle che presenta ma nasconde o copre...
E' la presenza o meno di un bug che rende un sistema op. buggato o meno, non la pezza che viene messa sopra come layer sovrastante.
se non implementasse activex allora sarei d'accordo con quanto scrivi

Ma guarda che i bug vengono fixati impedendo che l'activex venga eseguito senza bisogno di conferme dell'utente, mica impedendo di fare danni.
Quello è un rimedio temporaneo finché non esce la patch ufficiale.

E comunque se non è ActiveX è Flash o Java, o anche il browser stesso.
Dato che ogni anni al pwn2own i sistemi operativi e i browser cadono (e se non cadono è perché riuscire a sfruttare la vulnerabilità richiedeva troppo sbattimento) molto facilmente è inutile pensare che basti disattivare o rendere sicura una tecnologia per essere al sicuro per sempre.
Qualche bug ci sarà sempre, per questo servono come il pane tecniche che impediscano al bug di provocare danni (UAC, IL ecc ecc) o ne rendano più difficile lo sfruttamento (ASLR, DEP ecc ecc)

[xsim]

E' un sistema operativo che è uscito a fine 2001..e l'ossatura risale anche a tempi precedenti.
Patch..service pack e quant'altro non risolveranno mai i difetti del DNA di XP..è un sistema operativo da abbandonare perchè ormai obsoleto per i tempi odierni..un pò come sarebbe stato rischioso oltre che patetico continuare ad usare Win9x nel 2001 o su di lì.
Il mondo cambia..anche quello informatico..e bisogna adeguarsi..non rappezzare quà e là e arrancare.

[LukeHack]

Quote:

Originariamente inviato da Sapo84

Qualche bug ci sarà sempre, per questo servono come il pane tecniche che impediscano al bug di provocare danni (UAC, IL ecc ecc) o ne rendano più difficile lo sfruttamento (ASLR, DEP ecc ecc)

la componente buggata c'è quindi mi ripeto, va benissimo mettere UAC firewall ecc..., ma questo non significa: Vista è più sicuro, xp è un colabrodo..

elimina activex da vista e non da xp, allora posso sentirmi dire che il primo è più sicuro dell'altro

non è che se io ti do xp sp0 col firewall che tu mi puoi dire: xp sp0 è piu sicuro di xp sp2 senza firewall
non sono i software sovrastanti a determinare il grado di sicurezza di un OS, perchè teoricamente posso trovare sempre il modo di attaccarti:
mi basta convincerti a chiudere il firewall (oppure a farti battere un net stop "windows firewall" )

[LukeHack]

Quote:

Originariamente inviato da xsim

E' un sistema operativo che è uscito a fine 2001..e l'ossatura risale anche a tempi precedenti.
Patch..service pack e quant'altro non risolveranno mai i difetti del DNA di XP..è un sistema operativo da abbandonare perchè ormai obsoleto per i tempi odierni..un pò come sarebbe stato rischioso oltre che patetico continuare ad usare Win9x nel 2001 o su di lì.
Il mondo cambia..anche quello informatico..e bisogna adeguarsi..non rappezzare quà e là e arrancare.

si è anche vero che non ci sono più le mezze stagioni, quando alzo gli occhi al cielo poi mi rendo conto che una rondine non fà primavera

[Sapo84]

Quote:

Originariamente inviato da LukeHack

elimina activex da vista e non da xp, allora posso sentirmi dire che il primo è più sicuro dell'altro

Sì, e invece di usare activex useranno flash.
E quando convincerai tutti ad abolire flash useranno java.
Quando toglieremo java useranno silverlight e via così all'infinito.

Quote:

Originariamente inviato da LukeHack

non sono i software sovrastanti a determinare il grado di sicurezza di un OS, perchè teoricamente posso trovare sempre il modo di attaccarti:
mi basta convincerti a chiudere il firewall (oppure a farti battere un net stop "windows firewall" )

Sì, ma con i privilegi di amministratore (su vista), il che non è così facile come lo vuoi far sembrare.
Comunque se non lo determini così come lo vuoi determinare?
In base alle applicazioni insicure che possono girarci?

[PhysX]

Quote:

Originariamente inviato da Sapo84

Se navigo tramite sandboxie (che imita un po' quanto fatto dal protected mode su vista) e salvo un file non va dove penso veramente ma lo devo poi recuperare.
Su Vista c'è un processo che gira con IL medio proprio per permettere il salvataggio dei file e altre operazioni.
E' evidente che tra le due situazioni c'è una differenza di usabilità enorme.

Ma già solo UAC come fai a simularlo?
Su XP o hai dei permessi o non li hai (e se ti serve un permesso che non hai non puoi che eseguire l'azione con le credenziali di un utente che la può fare), con UAC il tuo account ha effettivamente due token con differenti permessi, e passare da quello normale a quello "elevato" è effettivamente semplice.

Bah, non mi sembrano problemi cosi complicati. Ti dico come faccio io: ho configurato IE perche salvi i file sempre sul desktop e Sandboxie me li recupera all'istante.
Normalmente uso un account limitato e se mi serve lanciare un'applicazione con i privilegi di administrator semplicemente clicco su "esegui come..."
Se un'applicazione va a scrivere regolarmente su delle cartelle protette (molto spesso in C:\programmi) modifico i permessi sulla sua cartella cosi non mi chiede ogni volta di diventare administrator.

Una volta che ci si prende mano non ci si fa neanche caso che si sta usando un account limitato, dopo un po diventano operazioni di routine alla portata di tutti.
Ho insegnato a fare cosi sui loro computer anche a molti amici niubbi, spiegando di persona in pochi minuti imparano, e a distanza di mesi vedo che continuano a fare come gli ho detto, si trovano bene e non si sono lamentati di aver avuto problemi.

[Sallino]

Io uso firefox sono in pericolo? Ho anche noscript.

[maldepanza]

Quote:

Originariamente inviato da Sapo84

Ma già solo UAC come fai a simularlo?

Se io volessi proprio simulare UAC con xp allora userei un tool di terze parti, free, un'ottima implementazione di Sudo che, configurato ad hoc, e' piu' sicuro dello uac di Vista lasciato di default (vedi alcuni exploit originariamente segnalati su bugtrack).

Ora, personalmente io XP lo uso esclusivamente su account limitato il quale, con i giusti interventi (sempre permessi dagli strumenti di default di xp) mi permette di fare tutto quello che devo fare (e ho anche meno warning di Vista di default: molti warning di Vista sono innocui perche' inerenti i non permessi di scrittura su C: per il tipico utente, ma chi lo dice che sia obbligatorio usare C:? Il browser? Corre con diritti limitati, ma posso sempre impostare una policy per evitare l'esecuzione dalla folder temp dell'utente), incluso masterizzare e tanto altro.
Devo eseguire compiti tipici di amministratore? Potrei usare il run as ma preferisco usare il fast user switching (cambiare totalmente contesto e' piu' sicuro dell'on the shoulder).
Alcuni utenti che girano su xp con account limitato usano spesso dei programmi particolari che richiedono particolari librerie nella dir di sistema? Metto la dll nella dir del programma e gliela faccio vedere con prog.exe.local. Oppure alcuni utenti hanno bisogno di usare spesso un particolare programma che pero' richiede diritti elevati? Prima controllo la bonta' del programma (che non abbia virus, uso solo antivirus on-demand, niente di residente in memoria) e poi posso o impostare alcuni policy o se il tutto richiede un po' piu' di flessibilita' preparo uno script (che su disco sara' crittografato, quindi l'utente non puo' vederne il contenuto) che lancia quel programma con privilegi elevati avendo nello script crittografato le credenziali dell'admin. Per entrambe le soluzioni nessun utente conoscera' le credenziali dell'admin usate per elevare.

Questi sono solo degli esempi, ci sono un sacco di varianti (io per esempio uso solo applicazioni portabili su diversa partizione: portabili nel senso che non sporcano nel registro e nelle sys di sistema del sistema ospite, tipo %userdata%, %appdata%, ecc. e sono portabili nel migliore dei sensi, quindi niente "cose" alla winpenpack o portableapps le quali non mi permetterebbero mai di far girare bene office2007 sotto wine; devo reinstallare l'os o devo mettere le applicazioni, con le relative mie preferenze maturate in anni, su un pendrive per farle girare su un altro pc? Semplice copia-incolla), che mi rendono xp sicuro quanto vista (e piu' sicuro rispetto a chi usa vista con politiche di sicurezza di default), con meno risorse occupate, ecc.., un po' quello che hanno capito tante aziende che non hanno ritenuto che i vantaggi offerti da Vista valessero un upgrade da xp.
Seven invece e' un'altro discorso, ce l'ho in dual-boot con xp sul mio netbook e lo uso con una certa soddisfazione (naturalmente personalizzandolo un pochetto).

Sia chiaro, non dico che Vista faccia cacare, dico solo che XP, per chi sa usare bene i suoi strumenti, e' ancora stra-idoneo per fare tantissime cose e con un'ottima dose di sicurezza (senza usare alcun antivirus residente; ho un'esperienza di quasi due anni su un apposito muletto nel lab della mia facolta') e un'usabilita' piu' che buona da parte dell'utente. Se poi ho bisogno di una migliore gestione della memoria o altre feature specifiche in ambito win, allora niente mi obbliga ad usare Seven.

[mjordan]

E sentiamo, perchè Seven rispetto a Vista è un'altro discorso, parlando di sicurezza?

[maldepanza]

Quote:

Originariamente inviato da mjordan

E sentiamo, perchè Seven rispetto a Vista è un'altro discorso, parlando di sicurezza?

Non mi riferivo alla sicurezza (verteva su eventuale upgrade da xp, tenendo in considerazione risorse), anzi, Seven fino alle ultime beta aveva un'impostazione di default dello UAC che lo rendeva piu' vulnerabile di Vista.

[User111]

Quote:

Originariamente inviato da mjordan

UAC è un modello di controllo di esecuzione come tanti altri. Linux è proprio l'ultimo a cui ha ripreso, visto che fra gli Unix, Linux è pure l'ultimo arrivato. I permessi, gli utenti o i gruppi di appartenenza, bhè, quelli sono fatti cosi ovunque.

XP ormai è un rottame, chi non se ne fa una ragione prima o poi se la dovrà fare comunque.

XP è stato un grande sistema operativo ulteriormenente migliorato con il service pack 3. L'età poi si fà sentire, per tutti è cosi, imho . Secondo me non ha senso paragonarlo con Vista.

[mjordan]

Lo avrà anche nella versione finale un default piu' vulnerabile di Vista, purtroppo.

[mjordan]

Quote:

Originariamente inviato da User111

XP è stato un grande sistema operativo ulteriormenente migliorato con il service pack 3. L'età poi si fà sentire, per tutti è cosi, imho . Secondo me non ha senso paragonarlo con Vista.

Certo. Ormai XP comincia a soffrire di demenza senile...

[User111]

Quote:

Originariamente inviato da mjordan

Certo. Ormai XP comincia a soffrire di demenza senile...

oramai è stato abbandonato a favore di vista, è un progetto vecchio di 8 anni non ci vuole tanto a capire che qualche bug in più di vista e seven ce l'ha

ps: prima o poi toccherà anche a vista

[maldepanza]

Quote:

Originariamente inviato da mjordan

Lo avrà anche nella versione finale un default piu' vulnerabile di Vista, purtroppo.

Gia', un problema e' stato risolto nelle varie build post RC, ne rimane in effetti qualcun altro (con gia' disponibili i sorgenti degli exploit per sfruttarli; quelli di M$ sono stati avvertiti molte volte sullo specifico blog ma non hanno voluto sentir parole; problemi comunque aggirabili non lasciando il default) che quasi sicuramente avra' il Seven definitivo (rtm) atteso per il 13 di luglio circa, alleluja.

[xsim]

Quote:

Originariamente inviato da LukeHack

si è anche vero che non ci sono più le mezze stagioni, quando alzo gli occhi al cielo poi mi rendo conto che una rondine non fà primavera

Certo..XP è immortale..opportunamente "patchato" potrà vivere dal 2001 sino al 2020..ma va va..
Ovvio..poi volendo nulla ci vieta di utilizzare Windows 98 anche nel 2050..ma è un pò come utilizzare un telefonino TACS nell'era UMTS.
C'è comunque chi riesce a navigare in internet con il C64. ^_^

[LukeHack]

Quote:

Originariamente inviato da xsim

Certo..XP è immortale..opportunamente "patchato" potrà vivere dal 2001 sino al 2020..ma va va..
Ovvio..poi volendo nulla ci vieta di utilizzare Windows 98 anche nel 2050..ma è un pò come utilizzare un telefonino TACS nell'era UMTS.
C'è comunque chi riesce a navigare in internet con il C64. ^_^

io dico che xp in ambito lavorativo vivrà ancora per 5-10 anni
dico pure che l'usabilità di xp, vista (e purtroppo probabilmente pure 7) se la sogna...

ma questo non significa negare che vista sia un OS più sicuro di xp, che sia tecnologicamente più avanzato...
ma non è certo questo bug a confermare la tesi xp:colabrodo ...
xp configurato ad-hoc, con un account limitato ha un grado di sicurezza, rispetto a questo bug, al pari di vista

[xsim]

Quote:

Originariamente inviato da LukeHack

io dico che xp in ambito lavorativo vivrà ancora per 5-10 anni
dico pure che l'usabilità di xp, vista (e purtroppo probabilmente pure 7) se la sogna...

ma questo non significa negare che vista sia un OS più sicuro di xp, che sia tecnologicamente più avanzato...
ma non è certo questo bug a confermare la tesi xp:colabrodo ...
xp configurato ad-hoc, con un account limitato ha un grado di sicurezza, rispetto a questo bug, al pari di vista

Sempre se in quei 5-10 anni non si deciderà di aggiornare hardware e programmi..perchè altrimenti con tutta probabilità si andrà incontro a tutta una serie di comprensibili problemi.
Per usabilità cosa intendi ? In cosa Seven è meno "usabile" di XP ?
Per quanto riguarda la sicurezza..beh..diciamo che un XP ben configurato può essere sicuro (non c'è dubbio)..ma un XP "default" sarà sempre 100 gradini sotto Seven (anch'esso "default")..e questo ha un certo peso..non puoi negarlo.
Anche perchè se tutti avessero il tempo, la costanza e le capacità di mantenere aggiornato e ben ottimizzato un sistema operativo..beh..allora significa che stiamo vivendo in un mondo ideale..ma la realtà è un'altra cosa.

[User111]

Quote:

Originariamente inviato da LukeHack

io dico che xp in ambito lavorativo vivrà ancora per 5-10 anni
dico pure che l'usabilità di xp, vista (e purtroppo probabilmente pure 7) se la sogna...

ma questo non significa negare che vista sia un OS più sicuro di xp, che sia tecnologicamente più avanzato...
ma non è certo questo bug a confermare la tesi xp:colabrodo ...
xp configurato ad-hoc, con un account limitato ha un grado di sicurezza, rispetto a questo bug, al pari di vista

Per esperienza personale sono rimasto piacevolmente colpito da windows 7 (lo uso adesso, e lo userò fino all'uscita della versione finale) contrariamente a vista che avevo già provato e mi ha convinto a rimanere su xp

[Sapo84]

Quote:

Originariamente inviato da PhysX

Bah, non mi sembrano problemi cosi complicati. Ti dico come faccio io: ho configurato IE perche salvi i file sempre sul desktop e Sandboxie me li recupera all'istante.
Normalmente uso un account limitato e se mi serve lanciare un'applicazione con i privilegi di administrator semplicemente clicco su "esegui come..."
Se un'applicazione va a scrivere regolarmente su delle cartelle protette (molto spesso in C:\programmi) modifico i permessi sulla sua cartella cosi non mi chiede ogni volta di diventare administrator.

Non sto dicendo che sia particolarmente complicato, ma fallo fare alla "casalinga di Voghera".
Credo concorderai con me che è praticamente impossibile, io vedo gente che fa fatica a utilizzare i programmi più basilari, figuriamoci modificare le cartelle di un'applicazione, impazzirebbe.
Per l'utente avanzato ovviamente il problema è molto minore, non lo metto in dubbio (ma io preferisco avere comunque la pappa pronta con Vista ).

Quote:

Originariamente inviato da maldepanza

Se io volessi proprio simulare UAC con xp allora userei un tool di terze parti, free, un'ottima implementazione di Sudo che, configurato ad hoc, e' piu' sicuro dello uac di Vista lasciato di default (vedi alcuni exploit originariamente segnalati su bugtrack).

Sudowin?
Non capisco il paragone con le impostazioni di default, se uno vuole la massima sicurezza mette UAC con password + three finger salute, se uno si accontenta lascia l'icona da cliccare.
Che poi sia più sicuro...
Nessuna possibilità di prevenire keylogger, niente secure desktop, e lo stesso meccanismo non mi convince, sudowin per funzionare aggiunge temporaneamente l'account al gruppo degli admin, per poi toglierlo subito dopo.
Questo in teoria lascia un intervallo minimo di tempo in cui un programma malevolo può usufruire dei privilegi di amministratore, e ciò potrebbe essere pericoloso.

Quote:

Originariamente inviato da maldepanza

[...]Sia chiaro, non dico che Vista faccia cacare, dico solo che XP, per chi sa usare bene i suoi strumenti, e' ancora stra-idoneo per fare tantissime cose e con un'ottima dose di sicurezza (senza usare alcun antivirus residente; ho un'esperienza di quasi due anni su un apposito muletto nel lab della mia facolta') e un'usabilita' piu' che buona da parte dell'utente. Se poi ho bisogno di una migliore gestione della memoria o altre feature specifiche in ambito win, allora niente mi obbliga ad usare Seven.

Ho tagliato la (lunga e interessante) parte sui "consigli" relativi all'utilizzo di XP.
Sicuramente funzionano, ma, almeno per quanto mi riguarda, sono scomodità che preferisco evitare, e che impattano comunque sulla facilità e sulla semplicità d'uso.
Per come la vedo io qualsiasi operazione che richiede un'operazione manuale più difficile di cliccare da qualche altra parte è inadatta per l'utente inesperto, e quindi non si può dire che è possibile rendere XP sicuro come Vista, è possibile che un utente esperto lo renda (+ o -) ugualmente sicuro, ma lì ci si ferma, e anche in quel caso alcune operazioni potrebbero risultare molto meno comode (anche se magari più sicure).

Vista (e 7) vogliono essere un sistema per tutti, per lo meno mi pare giusto riconoscergli questo merito, visto che rendere sicuro Windows e tutto il suo ecosistema non è mica un'operazione così semplice.