Valzer di polemiche su falla a codice aperto

Scovato un problema nel codice open source di un software CMS: è una vulnerabilità di sicurezza o una backdoor che è stata inserita con doppi fini? Punto Informatico ne parla con lo scopritore

Roma - La sicurezza è uno dei cardini di molti software open source, insieme alla trasparenza consentita dal codice aperto e disponibile all'analisi: un piccolo caso che richiede un approfondimento si è aperto nelle scorse settimane, quando è stata individuata una falla all'interno di un software CMS, per la gestione dei contenuti.

A scoprirla nel software Etomite è stato Luca Ercoli, esperto di sicurezza per conto di SEEWEB, che non esclude possa trattarsi non di vulnerabilità ma di backdoor. Con lui abbiamo voluto approfondire la questione.

Punto Informatico: Cosa ti ha portato a scoprire questa falla in Etomite?
Luca Ercoli: Stavo effettuando alcune operazioni sui server di SEEWEB e con i colleghi avevamo notato che c'era un notevole aumento dei tentativi di scalata dei privilegi. Così siamo andati ad analizzare i log effettuati dagli strumenti di registrazione, ma è stato solo analizzando con più precisione i log del server web, che abbiamo capito che i tentativi di intrusione venivano effettuati sfruttando una vulnerabilità del CMS Etomite.
PI: In cosa consisteva di preciso questa vulnerabilità?
LE: Permetteva ad un utente remoto, non in possesso di un nome utente e una password, di poter eseguire comandi sulla macchina dov'è installato il programma. Ho subito cercato su internet se ci fosse già documentazione di questa falla ma non ho trovato niente nemmeno sul sito ufficiale; allora sono andato a controllare il codice sorgente dell'applicazione e ho trovato che era stato inserito un codice codificato con algoritmo base 64 in un file php. Questo codice consentiva allo script di eseguire, con i privilegi del server web, i comandi che venivano forniti per mezzo di un parametro. Se l'applicazione non fosse stata open source non avrei potuto capire che stava succedendo.

PI: Concretamente quali erano i rischi? Come poteva essere sfruttata questa falla?
LE: E' facile, si poteva creare una connessione inversa dai nostri server alla macchina del trasgressore, bypassando direttamente tutti i firewall dell'azienda. Un attacco può essere molto pericoloso tanto che dopo la mia segnalazione è stato subito sospeso il download della versione incriminata e lasciato attivo solo quello della versione beta che, a detta degli sviluppatori, non contiene la backdoor.

PI: Dopo la tua denuncia questa scoperta ha creato un po' di polemiche, proprio perché pare che in realtà più che una delle solite vulnerabilità questa fosse una backdoor...
LE: Ho inviato subito un'email al responsabile del progetto, per capire quale fosse l'utilità di quella porzione di codice, ma non ho ricevuto alcuna risposta. La loro posizione ufficiale è che non erano a conoscenza di quella porzione di codice, non sanno proprio chi l'abbia inserita. Ma c'è una cosa che non torna: subito dopo quella parte di dati c'era una funzione per inviare una mail di cui loro erano a conoscenza ed era anche codificata nella stessa maniera, è difficile dunque che davvero non si fossero accorti della porzione in questione. Il file non era neanche troppo lungo ed era di facile lettura, qualunque programmatore se ne sarebbe accorto; per gli utenti invece è un discorso diverso, perché parte del codice era codificata.

PI: Come vi siete arrangiati fino all'arrivo della versione beta?
LE: Non è stato facile. Abbiamo dovuto cambiare i permessi su qualche applicazione e rendere non eseguibili alcune partizioni. Tuttavia potevano essere comunque eseguiti comandi arbitrari, cosa decisamente difficile da bloccare.

PI: Quest'evento cosa dice dell'open source?
LE: Beh, sicuramente la cosa che più mi ha colpito è che il software era distribuito sotto licenza GPL. Questo dovrebbe far capire a chi usa applicazioni a sorgente chiusa, cioè quelle più diffuse, come non possano essere sicuri delle funzionalità di cui dispongono se nemmeno la licenza GPL, che distribuisce il codice sorgente alla luce del sole, riesce a dare garanzie.
Infatti teoricamente la licenza GPL garantisce l'utente dall'assenza di queste backdoor, ma come abbiamo visto non è sempre vero. Allora mi viene da pensare che un caso come questo costituisca solo la punta di un iceberg, la cui base è fatta dai programmi per Windows che vengono distribuiti in codice binario già pronto per essere utilizzato e la cui correttezza purtroppo non è verificabile come per i programmi distribuiti con licenza GPL.
Devo dire purtroppo che in questi giorni, dopo la pubblicazione della falla in Etomite, mi è capitato di parlare con molte persone che hanno perso la fiducia nel codice aperto.

Ma allora, viene da dire, se il codice non fosse stato aperto quando e chi avrebbe scovato la.. falla?

intervista a cura di Gabriele Niola
102 Commenti alla Notizia Valzer di polemiche su falla a codice aperto
Ordina
  • Secondo me questa è un'operazione a tavolino, si sono cercati un progetto penetrabile (con sicurezza scarsa oppure con qualche personaggio compiacente) e poi hanno inserito la modifica.

    Mi fa pensare soprattutto la dichiarazione finale secondo la quale in molti starebbero dubitando dell'open source, se non altro perché etomite non mi pare un CMS che ha risonanza pari a WordPress, MediaWiki o Mambo/Joomla.
    non+autenticato
  • Questo posto è pieno di trollate di scadente fattura...
    Ne chiedo la cancellazione.
    non+autenticato

  • - Scritto da: Anonimo
    > Questo posto è pieno di trollate di scadente
    > fattura...
    > Ne chiedo la cancellazione.

    W la libertà d'opinione!
    non+autenticato
  • - Scritto da: Anonimo
    > - Scritto da: Anonimo
    > > Questo posto è pieno di trollate di scadente
    > > fattura...
    > > Ne chiedo la cancellazione.

    > W la libertà d'opinione!

    Subordinata alle regole dell'educazione e alla policy di dove stai postando.
    non+autenticato
  • semplicemente perchè solo lo stesso produttore può inserirli, mentre nei software a sorgente aperto chiunque può inserire backdoor, virus, ecc e poi ricompilare il tutto e distribuirlo all'utente medio

    insomma, non esistono modelli di programmazione sicuri al 100%, ma l'open source è il modello peggiore che un programmatore o una software house possano adottare (fanatismi a parte), soprattutto quando si parla di sicurezza
    non+autenticato

  • - Scritto da: Anonimo
    > semplicemente perchè solo lo stesso produttore
    > può inserirli, mentre nei software a sorgente
    > aperto chiunque può inserire backdoor, virus, ecc
    > e poi ricompilare il tutto e distribuirlo
    > all'utente medio
    >
    > insomma, non esistono modelli di programmazione
    > sicuri al 100%, ma l'open source è il modello
    > peggiore che un programmatore o una software
    > house possano adottare (fanatismi a parte),
    > soprattutto quando si parla di sicurezza

    Furbacchione!! Con l'opensource debi dare i sorgenti, e non ci vorrà molto a capire che il binario è taroccato per poi scoprire il tarocco nei sorgenti.

    Nel closed non ci saranno trojan, ma ci sono backdoor a go go per gli scopi più disparati dallo spionaggio, al marketing all'obbligo di legge per consentire alle istituzioni di combattere il crimine (si fa per dire).

    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > semplicemente perchè solo lo stesso produttore
    > > può inserirli, mentre nei software a sorgente
    > > aperto chiunque può inserire backdoor, virus,
    > ecc
    > > e poi ricompilare il tutto e distribuirlo
    > > all'utente medio
    > >
    > > insomma, non esistono modelli di programmazione
    > > sicuri al 100%, ma l'open source è il modello
    > > peggiore che un programmatore o una software
    > > house possano adottare (fanatismi a parte),
    > > soprattutto quando si parla di sicurezza
    >
    > Furbacchione!! Con l'opensource debi dare i
    > sorgenti, e non ci vorrà molto a capire che il
    > binario è taroccato per poi scoprire il tarocco
    > nei sorgenti.

    questo è sempre stato vero solo in teoria, sai bene che il 99% degli amatori dell'open source sono lamer che appena appena riescono a distinguere una riga di html dallo sfondo, leggono PI e scaricano CMS open source a gogo che mai riusciranno a fargli fare quello che vorrebbero Rotola dal ridere

    >
    > Nel closed non ci saranno trojan, ma ci sono
    > backdoor a go go per gli scopi più disparati
    > dallo spionaggio, al marketing all'obbligo di
    > legge per consentire alle istituzioni di
    > combattere il crimine (si fa per dire).
    >

    qui casca l'asino e anche una delle più grandi bufale che i migliori lameroni open source sono riusciti a spacciare come verità: per trovare un trojan in un closed source ci sono due vie facili facili: decompilare in assembler oppure semplicemente analizzare il comportamento del software con il traffico della rete

    spesso si fa' prima così a trovare un trojan che leggendo milioni di righe di sorgenti...

    mentre resta il fatto che non è possibile creare a posteriori un trojan e compilarlo con un eseguibile di terze parti di cui non si dispongono i sorgenti

    Fan Windows
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > - Scritto da: Anonimo
    > > > semplicemente perchè solo lo stesso produttore
    > > > può inserirli, mentre nei software a sorgente
    > > > aperto chiunque può inserire backdoor, virus,
    > > ecc
    > > > e poi ricompilare il tutto e distribuirlo
    > > > all'utente medio
    > > >
    > > > insomma, non esistono modelli di
    > programmazione
    > > > sicuri al 100%, ma l'open source è il modello
    > > > peggiore che un programmatore o una software
    > > > house possano adottare (fanatismi a parte),
    > > > soprattutto quando si parla di sicurezza
    > >
    > > Furbacchione!! Con l'opensource debi dare i
    > > sorgenti, e non ci vorrà molto a capire che il
    > > binario è taroccato per poi scoprire il tarocco
    > > nei sorgenti.
    >
    > questo è sempre stato vero solo in teoria, sai
    > bene che il 99% degli amatori dell'open source
    > sono lamer che appena appena riescono a
    > distinguere una riga di html dallo sfondo,
    > leggono PI e scaricano CMS open source a gogo che
    > mai riusciranno a fargli fare quello che
    > vorrebbero Rotola dal ridere
    >
    > >
    > > Nel closed non ci saranno trojan, ma ci sono
    > > backdoor a go go per gli scopi più disparati
    > > dallo spionaggio, al marketing all'obbligo di
    > > legge per consentire alle istituzioni di
    > > combattere il crimine (si fa per dire).
    > >
    >
    > qui casca l'asino e anche una delle più grandi
    > bufale che i migliori lameroni open source sono
    > riusciti a spacciare come verità: per trovare un
    > trojan in un closed source ci sono due vie facili
    > facili: decompilare in assembler oppure
    > semplicemente analizzare il comportamento del
    > software con il traffico della rete

    ...E poi l'azienda fa come microsoft e ti dice "non preoccuparti il traffico non e' nulla, non stiamo trattando tuoi dati personali", come dire, chiedi all'oste se il vino e' buono.

    > spesso si fa' prima così a trovare un trojan che
    > leggendo milioni di righe di sorgenti...

    Al massimo ti accorgi che c'e' del traffico strano, ma devi andare a chiedere all'azienda che produce il software, come dire, chiedi all'oste se il vino e' buono.

    > mentre resta il fatto che non è possibile creare
    > a posteriori un trojan e compilarlo con un
    > eseguibile di terze parti di cui non si
    > dispongono i sorgenti

    Certo: bisogna infilare l'eseguibile del trojan all'interno dell'applicazione che vuoi che lo faccia partire, non ci vuole molto, i virus lo fanno abitualmente.
    non+autenticato
  • - Scritto da: Anonimo
    > qui casca l'asino e anche una delle più grandi
    > bufale che i migliori lameroni open source sono
    > riusciti a spacciare come verità: per trovare un
    > trojan in un closed source ci sono due vie facili
    > facili: decompilare in assembler

    E tu da un codice *assembly* (non assembler!) riesci a comprendere la dinamica di una backdoor? Asteniamoci da manie di protagonismo per favore.

    > oppure
    > semplicemente analizzare il comportamento del
    > software con il traffico della rete

    Ecco questo è l'unica via valida. Con una notevole eccezione: se una backdoor sfrutta la rete mimando le dinamiche principali del software (connessioni http, mail, etc..) le possibilità di individuare l'attività maligna diventano pressochè nulle.

    > mentre resta il fatto che non è possibile creare
    > a posteriori un trojan e compilarlo con un
    > eseguibile di terze parti di cui non si
    > dispongono i sorgenti

    Felice ignoranza. E' possibile iniettare qualsiasi trojan binario in un programma già compilato.

    d.
    non+autenticato


  • - Scritto da: Anonimo
    > semplicemente perchè solo lo stesso produttore
    > può inserirli, mentre nei software a sorgente
    > aperto chiunque può inserire backdoor, virus, ecc
    > e poi ricompilare il tutto e distribuirlo
    > all'utente medio
    >
    > insomma, non esistono modelli di programmazione
    > sicuri al 100%, ma l'open source è il modello
    > peggiore che un programmatore o una software
    > house possano adottare (fanatismi a parte),
    > soprattutto quando si parla di sicurezza

    4,29

    Non oso pensare quanti nick hanno votato a 5 il tuo messaggio...
    non+autenticato


  • - Scritto da: Anonimo
    >
    >
    > - Scritto da: Anonimo
    > > semplicemente perchè solo lo stesso produttore
    > > può inserirli, mentre nei software a sorgente
    > > aperto chiunque può inserire backdoor, virus,
    > ecc
    > > e poi ricompilare il tutto e distribuirlo
    > > all'utente medio
    > >
    > > insomma, non esistono modelli di programmazione
    > > sicuri al 100%, ma l'open source è il modello
    > > peggiore che un programmatore o una software
    > > house possano adottare (fanatismi a parte),
    > > soprattutto quando si parla di sicurezza
    >
    > 4,29
    >
    > Non oso pensare quanti nick hanno votato a 5 il
    > tuo messaggio...

    1 voto5 = 5/2 = 2,5
    2 voti5 = 10/3 = 3,33
    3 voti5 = 15/4 = 3,75
    4 voti5 = 20/5 = 4
    5 voti5 = 25/6 = 4,17
    6 voti5 = 30/7 = 4,29

    non+autenticato
  • - Scritto da: Anonimo
    > semplicemente perchè solo lo stesso produttore
    > può inserirli, mentre nei software a sorgente
    > aperto chiunque può inserire backdoor, virus,
    > ecc
    > e poi ricompilare il tutto e distribuirlo
    > all'utente medio

    > insomma, non esistono modelli di
    > programmazione sicuri al 100%, ma l'open
    > source è il modello peggiore che un
    > programmatore o una software house
    > possano adottare (fanatismi a parte),
    > soprattutto quando si parla di sicurezza

    Non ne spieghi il motivo !! Quindi immagino che i tuoi motivi siano puramente fanatiscmi.

    Riguardo alla sicurezza di non avere troian nel software close, bhe il caso Borland o il mailer per amiga che spediva mail al programmatore, come dimostrato dai cracker dello stesso, sono casi lampanti di cosa si puo' nascondere dentro un software chiuso.

    Tanto e' vero che le banche e le assicurazioni pretendono i sorgenti delle applicazioni che girano sui loro server; e se li ricompilano loro.
    non+autenticato
  • > Tanto e' vero che le banche e le assicurazioni
    > pretendono i sorgenti delle applicazioni che
    > girano sui loro server; e se li ricompilano loro.

    io questa storia delle banche che si fanno consegnare il codice non l'ho capita, come l'avete saputa? se hanno winz installato vuol dire che se lo sono ricompilato o che sisono fatti dare i sorgenti?
    A parte che da quello che ho visto sui comp agli sportelli usano winz, questa storia del ricompilalarseli, anche i soft closed, sembra veramente un balla spaziale. E poi le banche sono aziende come le altre, e ce ne sono molte di banche a livello cittadino o regionale in balia di molte aziende, come ci sono molti che controllano quanto denaro esce e quanto entra.
    non+autenticato
  • - Scritto da: Anonimo
    > > Tanto e' vero che le banche e le
    > > assicurazioni pretendono i sorgenti delle
    > > applicazioni che girano sui loro server; e
    > > se li ricompilano loro.

    > io questa storia delle banche che si fanno
    > consegnare il codice non l'ho capita, come
    > l'avete saputa?

    Ci lavoro.

    > se hanno winz installato vuol dire che se lo
    > sono ricompilato o che sisono fatti dare i
    > sorgenti?

    Quale parte di "Server" non hai capito ? Le banche certo non usano server windows, anche perche' i sorgenti che da' microsoft non sono completi pertanto non ricompilabili, pertanto non danno garanzie di affidabilita' e trasparenza.

    > A parte che da quello che ho visto sui comp
    > agli sportelli usano winz, questa storia del
    > ricompilalarseli, anche i soft closed, sembra
    > veramente un balla spaziale.

    Quelli che hai visto erano windows utilizzati come terminale X24 / RPC, praticamente sostituiscono i vecchi terminali dedicati di solito la gestione e con schermate testuali fatte in RPC, o al massimo c'e' un'interfaccia in java che le ricopre e manda segnali emulati.


    > E poi le banche sono aziende come le altre,

    Non proprio; studia economia, le banche hanno i soldi delle altre aziende.

    > e ce ne sono molte di banche a livello
    > cittadino o regionale in balia di molte
    > aziende, come ci sono molti che controllano
    > quanto denaro esce e quanto entra.

    Ma alla fine nel mondo sono a dire tanto una 20 quelle che controllano gran parte dei movimenti di denaro mondiale, temo che tu abbia una visione un po' fumettistica del mondo bancario - assicurativo.
    non+autenticato
  • > insomma, non esistono modelli di programmazione
    > sicuri al 100%, ma l'open source è il modello
    > peggiore che un programmatore o una software
    > house possano adottare (fanatismi a parte),
    > soprattutto quando si parla di sicurezza

    Si parla molto di sicurezza in questo periodo, e da una parte mi fa piacere, ma non si potrebbe parlare anche di liberta`, ogni tanto? Quella, al free software, per definizione gli viene parecchio bene.

    Poscritto: se volevate la sicurezza, bastava non accettare un sistema operativo che non entrasse in un floppy disk da 1.44, tanti anni fa. Oggi, tra i gigabytes di codice aperto o chiuso o stoppinato che sia, vattelappesca da dove passa il cracker di turno... io posso anche mettere in sicurezza il mio CMS, rivedo ogni riga, ripenso a ogni possibile tecnica, taglio alla radice qualsiasi possibilita` di infiltrazione, ma poi chi mi garantisce che il carrozzone, sia esso open o closed, composto dal web server, dal sistema operativo su cui gira, dagli ambienti di scripting, dal DB relazionale, eccetera eccetera, sia tutto tanto sicuro quanto il mio CMS?

    Oggi, con Windows o con Linux, con quello che vi pare, data la complessita`, la sicurezza potete scordarvela del tutto. Almeno, cerchiamo di salvare la liberta`, eh?
  • Ma io dico, ammesso la buona fede ed il fatto che il sito sia stato hackerato, ma come si fa a distribuire un software senza apporre una firma digitale? Tempo qualche secondo per farla ed a costo zero.

    E pensare poi che molti scaricano software da siti non ufficiali e quindi controllare la firma e' una delle regole basilari e fondamentali da seguire.

    Forse non e' vero che l'open source predilige la sicurezza.
    non+autenticato

  • - Scritto da: Anonimo
    > Ma io dico, ammesso la buona fede ed il fatto che
    > il sito sia stato hackerato, ma come si fa a
    > distribuire un software senza apporre una firma
    > digitale? Tempo qualche secondo per farla ed a
    > costo zero.
    >
    > E pensare poi che molti scaricano software da
    > siti non ufficiali e quindi controllare la firma
    > e' una delle regole basilari e fondamentali da
    > seguire.
    >
    > Forse non e' vero che l'open source predilige la
    > sicurezza.

    Spesso si usa la somma md5 ma se il cracker ha già avuto accesso al server con il file del CMS, avrà potuto anche sosituire il file di cecksum con uno ricalcolato.

    Anche la firma digitale non è difficile da sostituire.

    non+autenticato


  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Ma io dico, ammesso la buona fede ed il fatto
    > che
    > > il sito sia stato hackerato, ma come si fa a
    > > distribuire un software senza apporre una firma
    > > digitale? Tempo qualche secondo per farla ed a
    > > costo zero.
    > >
    > > E pensare poi che molti scaricano software da
    > > siti non ufficiali e quindi controllare la firma
    > > e' una delle regole basilari e fondamentali da
    > > seguire.
    > >
    > > Forse non e' vero che l'open source predilige la
    > > sicurezza.
    >
    > Spesso si usa la somma md5 ma se il cracker ha
    > già avuto accesso al server con il file del CMS,
    > avrà potuto anche sosituire il file di cecksum
    > con uno ricalcolato.
    >
    > Anche la firma digitale non è difficile da
    > sostituire.
    >

    Beh di solito si firma anche la pagina in cui e' posto il codice md5 e con uno script si viene avvisati se qualcosa non va.

    Queste sono regole basilari, ma fondamentali per la sicurezza.
    non+autenticato

  • - Scritto da: Anonimo

    > Beh di solito si firma anche la pagina in cui e'
    > posto il codice md5 e con uno script si viene
    > avvisati se qualcosa non va.
    >
    > Queste sono regole basilari, ma fondamentali per
    > la sicurezza.

    Un bravo cracker andrà facilmente a modificare il codice delle pagine che ti danno il download perché venga bypassato il controllo su qualsiasi firma e checksum.

    non+autenticato
  • - Scritto da: Anonimo
    > - Scritto da: Anonimo

    > > Beh di solito si firma anche la pagina
    > > in cui e' posto il codice md5 e con uno
    > > script si viene avvisati se qualcosa non
    > > va.
    > > Queste sono regole basilari, ma
    > > fondamentali per la sicurezza.

    > Un bravo cracker andrà facilmente a modificare
    > il codice delle pagine che ti danno il download
    > perché venga bypassato il controllo su qualsiasi
    > firma e checksum.

    Il controllo si esegue una volta scaricato, a casa propria.

    E' meglio sapere almeno di cosa si parla quando si apre bocca.
    non+autenticato

  • - Scritto da: Anonimo
    > Ma io dico, ammesso la buona fede ed il fatto che
    > il sito sia stato hackerato, ma come si fa a
    > distribuire un software senza apporre una firma
    > digitale? Tempo qualche secondo per farla ed a
    > costo zero.
    >
    > E pensare poi che molti scaricano software da
    > siti non ufficiali e quindi controllare la firma
    > e' una delle regole basilari e fondamentali da
    > seguire.
    >
    > Forse non e' vero che l'open source predilige la
    > sicurezza.

    Io scrivo del software open source, e certo cosa
    faccio o non faccio io, non influenza il resto dei
    programmatori:
    e' un termine vago, sembra che quello che fa uno
    fanno tutti, quando non esiste una entita' che
    sia in qualche modo comune.

    Quanto alla firma, e' una in piu' che mi
    tocchera' , a mia volta, inserire, e che ho perche' per testare il software per problemi di ogni
    sorta, gia' oggi mi richie dalle 3 alle 7 ore, a cui
    dover aggiungere altri 15 minuti per una firma,
    (creazione, pubblicazione per tutti package legati
    ad una release).

    Ma a dire il vero, come per ogni che
    compri, se e' senza etichetta lo sai, e sai quel
    che mangi : se non c'e' una firma, non e' che non
    lo vedi, lo sai e ne accetti le conseguenze.


    non+autenticato
  • http://www.etomite.org/forums/index.php?showtopic=...

    La spiegazione e' convincente. L'11 gennaio hanno hackerato il sito e sostituito la release stabile con una infetta. Questo spiega anche perche' la beta (continuamente aggiornata) ne fosse immune. Quindi solo i download delle ultime 2 settimane sono a rischio, gli altri non presentano la backdoor.

    Credo anche che l'articolo vada aggiornato con questa news, fugando le ombre che, nell'incertezza, hanno attanagliato gli sviluppatori e il software.

    L'open-source ne esce rafforzato: in sole 2 settimane una falla come questa e' stata scoperta grazie alla possibilita' di visionare il codice. Si puo' dire lo stesso per i software closed source?
  • ...Il codice closed source non può essere scaricato e tarokkato...
    non+autenticato
  • Si puo' taroccare direttamente alla fonte, e nessuno lo sapra'
    frog
    455

  • - Scritto da: Anonimo
    > ...Il codice closed source non può essere
    > scaricato e tarokkato...


    Perche' forse i virus cosa fanno ... forse non taroccano il software?

  • - Scritto da: Anonimo
    > ...Il codice closed source non può essere
    > scaricato e tarokkato...

    no infatti lo taroccano direttamente i programmatori (vedi ad esempio la famosa backdoor di interbase)perche' essendo codice chiuso e' difficile da scoprire una backdoor
    non+autenticato

  • - Scritto da: Anonimo
    >

    > programmatori (vedi ad esempio la famosa backdoor
    > di interbase)perche' essendo codice chiuso e'
    > difficile da scoprire una backdoor

    infatti quella back door è stata scoperta solo dopo che la Borland ha rilasciato i codici di interbase ... non si è mai saputo però per quanto tempo fosse stata presente e quanti l'avessero usata quando il database era closed source.

    Questo fa capire che avere il codice sorgente è sinonimo di sicurezza.
    non+autenticato
  • - Scritto da: Anonimo
    > infatti quella back door è stata scoperta solo
    > dopo che la Borland ha rilasciato i codici di
    > interbase ... non si è mai saputo però per quanto
    > tempo fosse stata presente e quanti l'avessero
    > usata quando il database era closed source.
    >
    > Questo fa capire che avere il codice sorgente è
    > sinonimo di sicurezza.



    ==================================
    Modificato dall'autore il 30/01/2006 16.50.31

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    >
    > > programmatori (vedi ad esempio la famosa
    > backdoor
    > > di interbase)perche' essendo codice chiuso e'
    > > difficile da scoprire una backdoor
    >
    > infatti quella back door è stata scoperta solo
    > dopo che la Borland ha rilasciato i codici di
    > interbase ... non si è mai saputo però per quanto
    > tempo fosse stata presente e quanti l'avessero
    > usata quando il database era closed source.
    >
    > Questo fa capire che avere il codice sorgente è
    > sinonimo di sicurezza.

    Infatti i malintenzionati lo sapevano da anni !
    Ma dato che era codice closed non si poteva dire !

    Un programmatore conosce i decompilatori e disassemblatori !
    Occhiolino .
    mda
    783

  • - Scritto da: Anonimo
    > ...Il codice closed source non può essere
    > scaricato e tarokkato...

    si chiama blaster, tarocca il codice closed.
    si chiama worm, tarocca il codice closed.
    si chiama macrovirus, taroccao il codice clode
    si chiama ...

    oltre a questo, c'e' un dettaglio che ti sfugge:
    non e' necessario taroccare ESTERNAMENTE
    il software xke' questo sia taroccato, molti
    applicativi sono TAROCCATI alla fonte.
    non+autenticato

  • - Scritto da: Anonimo
    > ...Il codice closed source non può essere
    > scaricato e tarokkato...

    NOooooooooooooo !Rotola dal ridere
    che ignorante Rotola dal ridere
    .
    mda
    783

  • - Scritto da: an0nim0

    > L'open-source ne esce rafforzato

    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)