Quelli di BIND ora temono la Rete

Dopo le vulnerabilità emerse nel suo software per server DNS, ISC ora vuole per le segnalazioni un ambiente chiuso, frequentato solo da chi usa BIND e che consenta di tenere nascosti i bug finché non sono risolti

Web - I bug hunter fanno sempre più paura e il timore che un buco nel proprio software crei danni gravi perché non curato prima che qualcuno ne approfitti, ha spinto ISC ad una svolta.

L'azienda, che produce il software BIND per i server DNS, si è dovuta scontrare nei giorni scorsi con il clamoroso buco emerso nelle versioni 4 e 8 del software, buco che ha messo a rischio per un certo tempo tutti i server che utilizzano BIND per l'indirizzamento, vale a dire la stragrande maggioranza dei server di operatori e provider. Un problema che sulla Rete è circolato rapidamente, interessando numerosi esperti e neofiti di sicurezza informatica.

Proprio allo scopo di ridurre il rischio che eventuali buchi siano utilizzati da aggressori e crackers, ISC ora propone che chiunque utilizza BIND si iscriva ad una particolare mailing list "privata", i cui iscritti siano identificabili e che partecipano dietro il versamento di una sottoscrizione. Un ambiente che viene quindi definito "chiuso" e "moderato" nel quale segnalare eventuali debolezze e vulnerabilità e che consenta, nell'idea di ISC, di controllare la diffusione delle informazioni su BIND e company.
TAG: sicurezza
12 Commenti alla Notizia Quelli di BIND ora temono la Rete
Ordina
  • Per chi non lo sapesse "moderato" , termine usato in riferimento ad una mailing list e' sinonimo
    di censura, insabbiamento, e negazione delle vaccate che ogni tanto a NOI programmatori "scappano" di mano.

    Piu' e' grande il business, piu' e' grande il pericolo : che se fai una vaccata e' per forza una GRAN vaccata...

    E' ovvio che se scrivi il software per controllare un paio di ascensori, e' un po' dura che finisca sul giornale che era poco performante, o che il motivo per cui gli ascensori si usuravano di piu' era che facevano avanti e indietro anche vuoti a causa del tuo software.... se pero' scrivi software diffuso su tutto il pianeta le cose cambiano...

    NB
    No, questo discorso non vale per M$, perche' loro creano tecnologia inutile, che ha sempre lo stesso difetto basilare : la sicurezza. La base stessa di Java era la sicurezza : volevano evitare che un tostapane gestito con java bruciasse la casa. Cosi' non si puo' dire con le macroz i vizual script, gli actifex e le altre cose fornite dal billino, che hanno carenze in primo luogo nell'idea stessa di come attuarle e di come gestirle : e' quella piu' comoda per l'utente ignorante, che pero' e' anche la piu' facile da riusare per il cracker annoiato...
    non+autenticato
  • Ma invece di farsela sotto e di inventarsi tutte
    'ste mailing list "private" (e a pagamentoSorride,
    non basterebbe che i sysadmin si iscrivessero a
    Bugtrack ?

    I casi sono 3:
    - I sysadmin (la maggior parte) non sa leggere e
    sono i crackers (non quelli della PavesiSorride sono
    andati a scuola e sanno leggere
    - I sysadmin (la maggior parte) non sanno cosa sia
    Bugtrack
    - I sysadmin (la maggior parte) sono idioti =)

    Ma queste sono storie vecchie e risaputeSorride
    non+autenticato


  • > Bugtrack ?

    > - I sysadmin (la maggior parte) non sanno
    > cosa sia
    >    Bugtrack

    Puo' essere... ad esempio io conosco bugtraq ma non bugtrack!

    > - I sysadmin (la maggior parte) sono idioti
    > =)

    OH... beh... idioti ne vedo un po' dappertutto.. pensa che c'e' gente che legge e scrive su bugtrack!
    non+autenticato

  • grandiosoOcchiolino
    - Scritto da: Sysadmin
    >
    >
    > > Bugtrack ?
    >
    > > - I sysadmin (la maggior parte) non sanno
    > > cosa sia
    > >    Bugtrack
    >
    > Puo' essere... ad esempio io conosco bugtraq
    > ma non bugtrack!
    >
    > > - I sysadmin (la maggior parte) sono
    > idioti
    > > =)
    >
    > OH... beh... idioti ne vedo un po'
    > dappertutto.. pensa che c'e' gente che legge
    > e scrive su bugtrack!
    non+autenticato
  • Beh, un conto e' scrivere "bugtrack" al posto di
    "bugtraq", un altro saper fare il proprio lavoro
    =)
    non+autenticato


  • Complimenti per le risposte...4-5 reply
    per la cazzata del aq/ack..

    cmq in risposta al succo...bucotraq non basta..
    in quanto quasi tutti gli exploit prima di arrivare li' fanno il giro 'privato' degli
    amici...degli amici degli amici etcetcetc..

    in parole povere gli exploit prima vengono
    allegramente utilizzati dai suddetti poi per
    vari motivi resi pubblici ai bucotrakkisti..

    vari motivi = - l'autore se' incazzato che gli
                    'amici' son diventati troppi
                 - la vuln e' diventata obsoleta
                 - qualche sysadmin ha beccato
                    l'exploit su un suo server ekkato
                    da uno degli 'amici' e cosi'
                    l'ha reso pub...
                 - etc etc etc etc etc

    ps. storia apparte sono quei gruppi che fan a gara
        di chi posta per primo l'advisory...pero' siam
        sempre li'
    non+autenticato


  • - Scritto da: scorreggia
    bel nome
    >
    > Complimenti per le risposte...4-5 reply
    > per la cazzata del aq/ack..
    >
    > cmq in risposta al succo...bucotraq non
    > basta..
    > in quanto quasi tutti gli exploit prima di
    > arrivare li' fanno il giro 'privato' degli
    > amici...degli amici degli amici etcetcetc..
    >
    > in parole povere gli exploit prima vengono
    > allegramente utilizzati dai suddetti poi per
    > vari motivi resi pubblici ai bucotrakkisti..
    >
    > vari motivi = - l'autore se' incazzato che
    > gli
    >                 'amici' son diventati troppi
    >                - la vuln e' diventata obsoleta
    >                - qualche sysadmin ha beccato
    >                 l'exploit su un suo server
    > ekkato
    >                 da uno degli 'amici' e cosi'
    >                 l'ha reso pub...
    >                - etc etc etc etc etc
    >
    > ps. storia apparte sono quei gruppi che fan
    > a gara
    >     di chi posta per primo
    > l'advisory...pero' siam
    >     sempre li'

    sei proprio esperto
    non+autenticato
  • Forse 48 ore di tempo agli amministratori dei DNS di root bisognerebbe darglieli senza rendere subito pubblico il bug.
    In questa maniera forse si potrebbe evitare di avere i server DNS di root crackati troppo spesso(un server DNS di core crackato equivale a tirare giu' una bella fetta di internet).

    Saluti

    > I casi sono 3:
    > - I sysadmin (la maggior parte) non sa
    > leggere e
    >    sono i crackers (non quelli della Pavesi
    > Sorride sono
    >    andati a scuola e sanno leggere
    > - I sysadmin (la maggior parte) non sanno
    > cosa sia
    >    Bugtrack
    > - I sysadmin (la maggior parte) sono idioti
    > =)
    >
    > Ma queste sono storie vecchie e risaputeSorride
    non+autenticato
  • e allora io mi iscrivo e poi posto su bugtraq. isc? prrrrrrrrrrrr
    non+autenticato
  • Vorrei riportare quello che ha scritto Dragos Ruiu, CEO della dursec.com:
    " The recent vulnerabilities in BIND must have overlooked one
    flaw amongst that extensive list that makes every version deployed on
    the planet vulnerable, the flaw that makes the ISC bind oversight committee
    crash, coredump and lose its mind with this new, for-pay, "leet" bind
    vulnerability list. Never mind the politics surrounding the issue that in part
    that bind development was paid for with public funds - or that they link to
    GPL libraries that might technically GPL it. This bind $cabal$ idea is just
    broken as long as none of us have any choice but to run bind if we want
    to use the internet.

    Considering that the only other credible alternative to bind that I've found,
    djb-dns, has a ridiculously restrictive license that will essentially bar it
    from _ever_ being distributed by others, that leaves the entire internet in the
    unenviable position of relying on a dubious piece of software, managed in a
    dubious fashion, as a single monoculture point of failure (there is NO
    alternative!).
    This is a critical issue that should be of concern to anyone....snip."
    Concordo con quanto detto sopra.

    Inoltre Paul Vixie, si e` piu' volte dovuto spiegare lui stesso, fino a dire:
    "it's not a change in direction, as explained separately.

    (there is no plan to stop doing what isc has always done, which is work with
    cert to propagate security information to the public in responsible ways.
    but, isc also needs direct relationships to the vendors involved. this is it.)"

    Just my 2 per cent. Penso comq che ci siano ampi margini.
    non+autenticato
  • La notizia come e' riportata e' penosa.
    Si punta sull'assunzione a carico del dipendente di collaboratori temporanei per risolvere problemi.
    Ma ISC ha veramente fatto questo o la notizia non e' completa?
    Se qualcuno ne ha notizia, per favore posti, oggi non riesco nemmento a seguire i links di approfondimento.
    non+autenticato
  • Il mio consiglio è:
    - fatti un computer nuovo
    - ripassa le lezioni di navigazione
    - collega il cervello alle dita

    Nulla di personaleOcchiolino

    - Scritto da: Stefano
    > La notizia come e' riportata e' penosa.
    > Si punta sull'assunzione a carico del
    > dipendente di collaboratori temporanei per
    > risolvere problemi.
    > Ma ISC ha veramente fatto questo o la
    > notizia non e' completa?
    > Se qualcuno ne ha notizia, per favore posti,
    > oggi non riesco nemmento a seguire i links
    > di approfondimento.
    non+autenticato