Coverity scova i bug dei software open

In seno ad un progettone finanziato dal Governo USA, la società Coverity sta analizzando decine di software open source alla ricerca dei difetti di programmazione più insidiosi e pericolosi per la sicurezza

Washington (USA) - Nel 2006 lo U.S. Department of Homeland Security (DHS) ha avviato un'iniziativa, chiamata Open Source Hardening Project, che si prefigge di migliorare la sicurezza delle più diffuse applicazioni open source, setacciandone il codice alla ricerca di vulnerabilità di sicurezza. Il progetto ha ora pubblicato un sintetico resconto dei risultati delle sue attività, di cui ad oggi hanno beneficiato oltre 250 software open source.

Basato su tecnologie sviluppate da Stanford University, Coverity e Symantec], il sistema automatico di rilevazione dei bug tiene traccia di tutti gli errori di programmazione scovati e li inserisce automaticamente in un database che può essere consultato sul Web dagli sviluppatori open source. Il motore di analisi, sviluppato da Coverity, è in grado di setacciare il codice alla ricerca di oltre 20 tipi di vulnerabilità, inclusi i famigerati buffer overflow. Il tool è anche in grado di fornire agli sviluppatori suggerimenti su come ovviare alle problematiche di sicurezza più comuni.

Coverity ha fatto sapere che, ad oggi, ha portato alla luce bug di sicurezza in più di mille linee di codice sui 50 milioni analizzati, scovando un totale di 7800 vulnerabilità in circa 180 applicazioni open source. Tra i programmi esaminati più di recente vi sono Amanda, NTP, OpenPAM, OpenVPN, Overdose, Perl, PHP, Postfix, Python, Samba e TCL. In passato la società, sempre in seno al progettone DHS, aveva scandagliato il server web Apache, il browser Firefox e il kernel di Linux.
DHS afferma che il suo progetto, finanziato dal Governo USA con 300mila dollari, mette a disposizione della comunità open source tecnologie di test e analisi del codice che oggi solo aziende di medie e grandi dimensioni possono permettersi. Tutti i bug scovati dal "setaccio digitale" di Coverity vengono segnalati ai rispettivi progetti open source, così che gli sviluppatori possano rapidamente sistemarli. In Samba, ad esempio, la società americana afferma di aver portato alla luce oltre 230 falle di sicurezza, quasi tutte già tempestivamente corrette.
39 Commenti alla Notizia Coverity scova i bug dei software open
Ordina
  • Appena letto il titolo mi sono illuso che il software fosse impiegato anche per programmi 'da desktop' tipo amarok, kde, gnome, magari xorg... ed il resto... LOL

    Immaginate che vantaggi se ne trarrebbero se funzionasse...
  • - Scritto da: IamSomber
    > Appena letto il titolo mi sono illuso che il
    > software fosse impiegato anche per programmi 'da
    > desktop' tipo amarok, kde, gnome, magari xorg...
    > ed il resto...
    > LOL

    Dai è normale che magari almeno all'inizio tralascino questi software.... (Magari xorg Gnome e KDE no perchè penso possano nascondere delle insidie niente male)

    Però considera che così bene o male si alleggerisce il lavoro di alcuni tester che si passano tutto il codice che così possono analizzarne altro!Con la lingua fuori

    L'open Source è come il maiale... NON SE BUTTA VIA NIENTEA bocca aperta
    non+autenticato
  • Quindi non mi sembra proprio male l'opensource.
    solo 1000 righe incriminate su 50 milioni di righe
    di codice analizzate.
    230 vulnerabilita' gia' prontamente corrette su samba.
    Che forza!!
    Sarebbe interessante capire quante falle ha il codice
    non opensource a questo punto Sorride)
    Ma non lo sapremo mai. Saremo costretti a sperimentarle
    sulla nostra pelle in prima persona in termini di riavvii
    imprevisti e di fatal error che ti fanno perdere tutto il
    lavoro appena finito senza alcun preavviso!!
    non+autenticato
  • non si può dire che questa cosa non sia buona.

    certo che il DHS ha in seno anche altre cosettine spione che non sono affatto buone.

    Però questa è ottima: così dovrebbe essere per tutta la roba di sicurezza e antivirus
    non+autenticato
  • Forse qualcuno pensava davvero che essendo il software "open" fosse impossibile insidiarvi backdoor a scopo di controllo.
    Così non può essere e così non è.
    Quando il software "open" comincia a farsi notare e a diffondersi davvero, ecco che il codice viene sottoposto a "cure preventive", giusto per renderlo ancora più "open" quel tanto che basta per rassicurare qualche agenzia di sicurezza governativa.
    Tutti i sistemi operativi "closed" di una certa popolarità hanno backdoor appositamente create su richiesta degli organismi di controllo, e se per caso qualcuna viene scoperta è ufficialmente etichettata come bug e chiusa mentre se ne apre un'altra. Nulla di strano.
    L'unico sistema per avere il software open "closed" ai ficcanaso è controllare tutto il codice e ricompilarlo a manina con un NOSTRO compilatore, roba da scienziato pazzo se si tratta di un sistema operativo moderno.
    Perchè è sicuro, sebbene difficile da digerire, che il software "open" in dotazione ai PC venduti a fianco degli altri con quello "closed", sia più "open" del normale... (chiamiamola "par condicio"!)
    non+autenticato
  • cazzata...

    Non è che uno impunemente scrive codice tipo "system("format c: /u");" che vien buttato subito dentro al programma e compilato...

    Ti pare che la M$ non avrebbe riempito le linee di codice dell'open di errori irreversibili per eliminarlo slealmente?

    Il codice viene letto non solo da chi lo propone ma anche da chi lo deve controllare per autorizzarlo a entrare nella release finale
    non+autenticato
  • E' evidente che qui nessuno ha mai partecipato attivamente allo sviluppo di sistemi che "voi" chiamate Open e che io chiama "free" (vedi la GPL).
    Non esiste da nessuna parte che una patch al codice venga inserita subdolamente senza che il mantainer di turno possa porre il suo veto a riguardo.

    Se io sono il cordinatore del progetto io decidero' se accettare la patch o meno.
    Inoltre le distribuzioni in giro per il mondo si fideranno solamente del codice prodotto dal mio progetto e non da quello di progetti fork (magari temporanei).

    Le uniche back door sono quelle presenti nel software a codice blindato.

    E' chiaro o no?
    non+autenticato
  • Non ti è chiara una cosa. Il software nelle macchine liberamente vendibili (tutto ciò che puoi comprare) ha DA SEMPRE backdoor intenzionali di almeno due tipi: quelle del produttore per scopi suoi e quelle aggiunte su "consiglio" degli organismi di sicurezza. Queste ultime per quanto possano venire scoperte, additate come bug e pezzate, inevitabilmente ricompaiono da un'altra parte. Inevitabilmente.
    Ti possono dire tutto per rassicurarti, che il codice è stato verificato e certificato e compilato magari da Stallman e Torvalds in persona, ma non è vero.
    L'unico modo per avere il software "sicuro" è controllarlo e compilarlo da sè con strumenti "sicuri".
    Non esistono se e ma, non ci sono vie di mezzo, bisogna farsene una ragione, come dire "toh, oggi piove". Normale.
    non+autenticato
  • non sono d'accordo, il software open è sottoposto a scrutinio di enti e persone molto diverse tra loro, le grandi aziende che usano Linux secondo te non sono attente a cosa ficcano nei loro computer? ti immagini i cinesi che ficcano Linux backdoorato da NSA? sta sicuro che prima di adottarlo l'avranno analizzato linea per linea.....

    nel software open source è possibile inserire backdoor ma pensare di farla franca è impossibile....tempo fa un hacker inserì una backdoor in Wordpress, tempo 3 giorni e fu scoperta....

    discorso opposto invece vale per il codice closed source, dove l'azienda di turno viene forzata ad inserire backdoor e nessuno mai lo saprà
    non+autenticato
  • perdi tempo a scrivere cazzate, backdoor su software open source se mai esistessero ci metterebero un minuto a essere scoperti.
    E' successo con il database di Borland (ora firebird), appena reso open source è venuto fuori che esisteva una password "apritutto" cablata nel codice che pure Borland sosteneva di ignorare...
    non+autenticato
  • - Scritto da: Jackpot
    > Non ti è chiara una cosa. Il software nelle
    > macchine liberamente vendibili (tutto ciò che
    > puoi comprare) ha DA SEMPRE backdoor intenzionali
    > di almeno due tipi: quelle del produttore per....

    Senti mi pare che qui le cose non sono chiare a te.
    Qualunque programmatore che si possa definire tale sara' in grado di leggere il codice di queste applicazioni e capire se esistono back-doors.

    Ah, poi certo se non e' scritto in Visual Basic magari e' difficile capire se c'e' la back-door ma questo non e' un mio problema. E' solo un problema di chi si definisce programmatore e invece non lo e'.
    non+autenticato
  • - Scritto da: Jackpot
    > Non ti è chiara una cosa. Il software nelle
    > macchine liberamente vendibili (tutto ciò che
    > puoi comprare) ha DA SEMPRE backdoor intenzionali
    > di almeno due tipi: quelle del produttore per
    > scopi suoi e quelle aggiunte su "consiglio" degli
    > organismi di sicurezza. Queste ultime per quanto
    > possano venire scoperte, additate come bug e
    > pezzate, inevitabilmente ricompaiono da un'altra
    > parte.
    > Inevitabilmente.
    > Ti possono dire tutto per rassicurarti, che il
    > codice è stato verificato e certificato e
    > compilato magari da Stallman e Torvalds in
    > persona, ma non è
    > vero.
    > L'unico modo per avere il software "sicuro" è
    > controllarlo e compilarlo da sè con strumenti
    > "sicuri"

    Si' certo, "controllarlo da se'"... Rotola dal ridere... perche' tu (o chiunque) e' in grado di controllare milioni di linee di codice...
    non+autenticato
  • Tendenzialmente sono d' accordo ma dimentichi il fattore umano, faccio un esempio.
    Pinco Pallino (PP) è il mantainer del progetto X, e la NSA viene da lui e gli fa:
    NSA: "Abbiamo scoperto un bug in X, ecco la patch"
    PP: "Grazie mille! Un attimo che controllo, sapete, di questi tempi... (passano alcune ore) ma siete dei bastardi! Mi avete messo una backdoor! La vostra patch la potere stampare e usarla per pulirvici il c***"
    NSA: "E se invece ti diamo 10mila $ sottobanco la possiamo inserire la patch?"
    adesso si aprono tre scenari:
    1) PP: "beh dai scherzavo, la potete mettere la patch"
    2) PP: "giammai! sono incorruttibile! i vostri soldi non li voglio"
    NSA: "dai stai sereno, non vorrai mica un' indagine approfondita sui file che scarichi dal mulo/torrente..."
    PP: "maledetti, avete vinto... mettete pure la patch ma la prossima volta voto per quell' altro"
    3) PP: "giammai! sono incorruttibile! i vostri soldi non li voglio"
    NSA: "invochiamo il chissachecavoloAct: sei in arresto per attentato alla sicurezza nazionale! Il mantainer del progetto X ora è il signor NSAfantoccio"

    Insomma non dico che cosa del genere siano all' ordine del giorno però conoscendo gli amici della NSA e compagnia bella credo che avere un filo di dubbio (come dice Sgabbio) ci possa stare.
  • Non vorrei fare la parte del complottista, sia chiaro, ma questa Operazione di scovare i bug nel mondo Open source da parte del governo usa mi fa venire i brividi. Se una parte Da una grossa mano a rendere più sicuro questi softeware, dall'altra ci può essere il rischio di qualche "ommisione", magare qualche piccola falla che tengono nascosta per poi usarla per vari scopi di spionaggio e affini.

    Va bene, sarò io che penso male comunque meglio non buttare tutte le piste plausibili (al meno per me ovviamente.)
    Sgabbio
    26177
  • - Scritto da: Sgabbio
    > Se una parte Da una grossa
    > mano a rendere più sicuro questi softeware,
    > dall'altra ci può essere il rischio di qualche
    > "ommisione", magare qualche piccola falla che
    > tengono nascosta per poi usarla per vari scopi di
    > spionaggio e
    > affini.


    Non sei l'unico a sospettare di eventuali intromissioni Sorride

    IIRC
    Anche Chitto, di recente, ha ricordato i piccoli difettucci negli algoritmi di cifratura suggeriti da qualcuno (sì, il suo discorso era riferito al closed source, ma - paradossalmente - i rischi potrebbero essere gli stessi).

    Insomma, non vorrei che i programmatori si ritrovassero a fare un doppio lavoro (turare le falle scoperte e scovare eventuali 'omissioni').
    non+autenticato
  • - Scritto da: Ignorante Informatic o
    > Non sei l'unico a sospettare di eventuali
    > intromissioni
    >Sorride
    >
    > IIRC
    > Anche Chitto, di recente, ha ricordato
    > i piccoli difettucci negli algoritmi di
    > cifratura
    suggeriti da qualcuno
    > (sì, il suo discorso era riferito al closed
    > source, ma - paradossalmente - i rischi
    > potrebbero essere gli
    > stessi
    ).

    > Insomma, non vorrei che i programmatori si
    > ritrovassero a fare un doppio lavoro
    > (turare le falle scoperte e scovare eventuali
    > 'omissioni'
    ).

    Mhhhh... sbaglio o da nessuna parte e' scritto che il sistema di analisi sia esso stesso OPEN?
    Se effettivamente non lo fosse allora i sospetti sarebbero fondati ma se lo fosse a nessuno sarebbe vietato dare un occhiata al suo codice...
  • - Scritto da: Alessandrox
    > Mhhhh... sbaglio o da nessuna parte e' scritto
    > che il sistema di analisi sia esso stesso
    > OPEN?
    > Se effettivamente non lo fosse allora i sospetti
    > sarebbero fondati ma se lo fosse a nessuno
    > sarebbe vietato dare un occhiata al suo
    > codice...


    In effetti (ma vado a naso), chi sta sviluppando il progetto non mi convince del tutto e, se non erro, da nessuna parte (nell'articolo) è scritto che il sistema di analisi sarà open source.

    Il programma usato sembra essere Prevent (sviluppato e commercializzato da Coverity), ma non so se sia a codice aperto.
    non+autenticato
  • - Scritto da: Sgabbio
    > Non vorrei fare la parte del complottista, sia
    > chiaro, ma questa Operazione di scovare i bug nel
    > mondo Open source da parte del governo usa mi fa
    > venire i brividi. Se una parte Da una grossa
    > mano a rendere più sicuro questi softeware,
    > dall'altra ci può essere il rischio di qualche
    > "ommisione", magare qualche piccola falla che
    > tengono nascosta per poi usarla per vari scopi di
    > spionaggio e
    > affini.

    E anche se fosse?
    Se volessero trovare le falle lo potrebbero benissimo fare senza dire niente a nessuno (e nello stesso modo anche, tanto il codice sorgente lo avrebbero XD).
    Non vedo quindi quali sarebbero le possibili lamentele...

    "mi ha dato 100€ come regalo"
    "e se magari avesse anche potuto dartene 200?"

    Il discorso mi pare simile.

    Tra l'altro nella mia ignoranza ritengo che i programmatori dovrebbero setacciare il codice alla ricerca di potenziali falle a prescindere dall'aiuto o meno di chichessia, altro che doppio lavoro.
    non+autenticato
  • - Scritto da: innominato
    > E anche se fosse?
    > Se volessero trovare le falle lo potrebbero
    > benissimo fare senza dire niente a nessuno (e
    > nello stesso modo anche, tanto il codice sorgente
    > lo avrebbero
    > XD).


    IMHO
    Quando entrano in gioco Dipartimenti ed aziende importanti, tutto si complica sempre (fatto salvo che il tuo discorso fila perfettamente).

    > Tra l'altro nella mia ignoranza ritengo che i
    > programmatori dovrebbero setacciare il codice
    > alla ricerca di potenziali falle a prescindere
    > dall'aiuto o meno di chichessia, altro che doppio
    > lavoro.


    Un attimo, siamo d'accordo, ma ho fatto riferimento a questa parte del post di Sgabbio:
    ..ci può essere il rischio di qualche "ommisione", magare qualche piccola falla che tengono nascosta per poi usarla per vari scopi di spionaggio e affini..

    In sostanza, da ignorante, non vorrei che gli sviluppatori ricevessero assicurazioni fittizie sul fatto che un determinato software non presenti falle (in un particolare momento), che - se esistenti e tenute nascoste - potrebbero essere sfruttate fino a quando non scovate da altri sviluppatori.

    Poi, è normale che debbano setacciare il codice sempre, ma non dimentichiamoci del falso senso di sicurezza (si definisce così?) che l'assicurazione (fittizia) di un Dipartimento federale potrebbe causare in loro.
    non+autenticato
  • - Scritto da: Ignorante Informatic o
    > Un attimo, siamo d'accordo, ma ho fatto
    > riferimento a questa parte del post di
    > Sgabbio:
    > ..ci può essere il rischio di qualche
    > "ommisione", magare qualche piccola falla che
    > tengono nascosta per poi usarla per vari scopi
    > di spionaggio
    e
    > affini..

    >
    > In sostanza, da ignorante, non vorrei che
    > gli sviluppatori ricevessero
    > assicurazioni fittizie sul fatto che un
    > determinato software non presenti
    > falle (in un particolare momento),
    > che - se esistenti e tenute nascoste -
    > potrebbero essere sfruttate fino a quando non
    > scovate da altri
    > sviluppatori.
    >
    > Poi, è normale che debbano setacciare il
    > codice sempre, ma non dimentichiamoci del
    > falso senso di sicurezza (si
    > definisce così?
    ) che l'assicurazione
    > (fittizia) di un Dipartimento
    > federale
    potrebbe causare in
    > loro.

    Umh, capisco quello che dici ma per avere un falso senso di sicurezza bisognerebbe credere che questo programma sia capace di trovare TUTTE le falle presenti in un software, che è oggettivamente impossibile.
    Inoltre dato che dubito sottomettano direttamente patch per correggere i bug non si può nemmeno pensare che facciano fix parziali quindi, davvero, mi viene difficili vedere i lati negativi di questo progetto (se volessero roba con backdoor invece di finanziare il mondo open dovrebbero spingere su soluzioni closed disposte ad inserirle).
    non+autenticato
  • Lo so che il tuo post parte dalle migliori intenzioni ma penso che sia un po' una cosa stupida vederla come dici tu...

    - Scritto da: Sgabbio
    > Se una parte Da una grossa
    > mano a rendere più sicuro questi softeware,
    > dall'altra ci può essere il rischio di qualche
    > "ommisione", magare qualche piccola falla che
    > tengono nascosta per poi usarla per vari scopi di
    > spionaggio e
    > affini.

    Correrebbero un grosso rischio: vedersi chiusa da un momento all'altro l'unica porta di entrata quando prima ce ne sarebbero state molte di più...
    No non sta in piedi: i bug vengono trovati prima o poi!
    non+autenticato
  • - Scritto da: Franz87
    > Correrebbero un grosso rischio: vedersi chiusa da
    > un momento all'altro l'unica porta di entrata
    > quando prima ce ne sarebbero state molte di
    > più...

    Salvo segnalare solo quelle che si sospetta siano conosciute da altri (nemici, alleati troppo intraprendenti) e tenersi strette le altre.

    Se le trova un software commerciale, puoi star certo che le conosce tutta la comunità d'intelligence del mondo, libero (esiste?) e non. Ottima idea chiuderle. Certe cose meglio averle "solo noi" (sarcastico, ovviamente, per hi non cogliesse).

    Per quel poco che posso immaginare del mondo dell'intelligence, mi sembra molto ragionevole...
    non+autenticato
  • rispondo qui perchè mi sembra ad occhio l' intervento più equilibrato.
    Secondo me molto dipende dalla modalità con cui il governo USA contribuirà a tali progetti open; è chiaro che se uno di questi progetti dà accesso in scrittura sul cvs all' utente NSA allora siamo a posto... però se l' utente NSA rimane come contributor normale le patch proposte sono revisionate in genere co attenzione e se risultano "strane" si possono sempre scartare. Certo se la NSA sgancia dei dollaroni a qualcuno dei revisori il rischio c'è sempre.
    Ricordiamoci poi che ci sono tanti modi per intercettare le iformazioni, in maniera molto più nascosta...
    Insomma io la vedrei nel complesso come una notizia positiva, tanto modi per mettercelo in quel posto ne hanno quanti ne vogliono.
  • In maniera più chiara, precisino e pentolino, avete espresso ciò che penso anch'io (con la differenza che voi sapete spiegarvi... ed io no).

    Sorride
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)