Luca Annunziata

Falle ed exploit, l'etica di un hacker

di Luca Annunziata - Perché Windows è un sistema insicuro. Perché Mac OS si avvia sulla stessa strada. E perché Linux non sarà mai appetibile per nessuno

Roma - Bucare Linux non conviene. E non è una questione (solo) etica, è proprio una questione economica. Windows, invece, è una miniera d'oro: e di questo passo, anche Mac OS diventerà una buona piazza sulla quale racimolare qualche soldo. La differenza non la fa il valore intrinseco del codice scritto sulle diverse piattaforme: la differenza la fa il successo commerciale nei diversi segmenti del mercato.

Ecco, l'ho usata un'altra volta quella parola: etica. Un hacker ha un'etica: se scopre una falla non la sfrutta, la segnala. Non gli passerebbe neppure per la testa di fare danni grazie alle sue competenze, oppure potrebbe limitarsi a creare un innocuo worm proof-of-concept per limitarsi a mostrare con maggiore chiarezza quali siano i rischi collegati a quanto ha scoperto.

Un cracker non ha un'etica: se scova una vulnerabilità o la sfrutta direttamente, penetrando il sistema, o la sfrutta economicamente, ricattando chi potrebbe essere colpito da un eventuale exploit. Il mercato nero delle vulnerabilità esiste, e sulle pagine di Punto Informatico spesso è stato raccontato come si sia evoluto nel corso degli ultimi anni.
Pur sempre di un mercato si tratta: questo significa che anche per vulnerabilità ed exploit vale la celebre legge della domanda e dell'offerta. Se c'è maggiore richiesta per un prodotto, il prezzo di quest'ultimo crescerà; se invece per un prodotto non c'è domanda, l'offerta tenderà a zero o sparirà del tutto. La domanda, in questo caso, dipende dalla potenziale utilità di quanto è in vendita: se con una vulnerabilità di Linux si colpiranno al massimo 10mila persone, con una di Windows se ne potranno colpire 10, 100, 1000 volte tanto. E non è poco.

Scovare una falla in un programma, poi, non significa automaticamente realizzare un exploit: per tanti motivi, tecnici o teorici, potrebbe anche non essere possibile. Una falla è una falla: è un buco sul fondo di una nave, che la fa affondare a meno che non lo si tappi; oppure è un buco in un demone, in un servizio, in un software, che lo espone ad una serie di rischi. Quando qualcuno scopre una falla e ha il tempo, la voglia o la convenienza di sfruttarla, crea un exploit: vale a dire si siede alla sua postazione e inizia a scrivere del codice che, partendo dalla falla, realizzi qualcosa di potenzialmente dannoso per tutti i computer che montano quel software. Oppure, come detto, scrivere un exploit potrebbe non convenire: per ragioni etiche o, inutile negarlo, economiche.

Ho detto che anche Mac OS sta diventando appetibile: è vero, visto che grazie ad una serie di circostanze favorevoli, ad un po' di fattore modaiolo e ad uno zoccolo duro di nostalgici come il sottoscritto, il sistema operativo di Cupertino sta vivendo una seconda giovinezza. Le sue caratteristiche, tuttavia, lo rendono un sistema che riscuote un grosso successo soprattutto in ambito consumer: difficile vedere aziende di grandi dimensioni effettuare ordini da migliaia di Mac per il proprio personale. Senza contare che Apple non è presente su tutti i mercati: combinati assieme, questi due fattori si trasformano in una fetta di mercato di gran lunga inferiore al 10 per cento, con Linux che raccoglie le briciole di quello che Windows-piglia-tutto lascia.

A quanti interessa scoprire che sul mio disco rigido tengo tre copie delle foto che ho scattato l'anno scorso a Monaco? A nessuno, almeno credo: perché le informazioni personali, a meno che non si voglia clonare l'identità di qualcuno, hanno valore relativamente basso. Più utile raccogliere progetti, prototipi, grosse banche dati conservate in qualche datacenter: per questo è più interessante violare un ambiente enterprise rispetto ad uno consumer, e per questo una vulnerabilità per Windows vale più di una per Mac OS.

Infine c'è l'ambiente server: lì sì che Linux ha un certo peso. Ma quando si parla di server, l'admin non installa certo Kubuntu con kernel precompilato e KDE 4 beta. In certi ambiti c'è Slackware, c'è Debian: ci sono persone preparate che provvedono a chiudere le porte che non sono utilizzate, che eliminano servizi e demoni che potrebbero costituire un problema. Che tengono in piedi e sotto controllo un firewall, e sono in grado di aggirare anche falle note e storiche come quella che si trascinò per mesi su WU-FTPD.

In definitiva, perché Windows è una miniera d'oro e perché se un hacker trova una falla su Ubuntu non la sfrutta per ragioni etiche? Perché chi si industria a scovare buchi sui sistemi Microsoft lo fa spesso e volentieri per ricavarci qualcosa: la natura a sorgenti chiusi di Windows lo rende particolarmente incline a soffrire di falle 0-day, le peggiori in assoluto perché rischiano di rimanere sconosciute per molto tempo, e attraverso l'enorme numero di macchine che montano XP o Vista in giro per il mondo si possono raccogliere una gran quantità di informazioni preziose.

Chi invece si diletta a "sfruculiare" Linux, lo fa anche (ma non solo) per divertimento: questo significa battere informazioni conosciute e documentazione pubblica, rintracciare una possibile falla e tentare di identificarne le possibili conseguenze in caso di attacco. A volte sono gli stessi che hanno scritto le applicazioni a scoprire un problema, ad analizzarlo e risolverlo: chi cerca falle dentro Linux lo fa con modi e obiettivi diversi. Gli utenti sono felici e ringraziano. E nessuno si è fatto male.

Cosa succederà se Mac OS continuerà la sua scalata al mercato e magari farà dei passi avanti nelle aziende? Che vedrà nascere lo stesso tipo di problemi che ha Windows oggi. Con una differenza: si tratta pur sempre di un sistema *nix, che ha per sua natura dei vantaggi. Al momento gli ingegneri del software di Cupertino hanno la fortuna di vivere in un piccolo ecosistema chiuso, con poche variabili da gestire e che possono essere tenute facilmente sotto controllo: ci vuole poco ad individuare, correggere e rilasciare la patch per un problema.

Nel frattempo, quando mi chiedono quale sia il sistema operativo più sicuro io continuo a ripetere un ritornello noto: quello spento. Sui miei Mac non tengo alcun firewall, antivirus o antispyware. Quando montavo Slackware passavo almeno 2 giorni a sistemare tutto. Quando devo installare Windows faccio gli dovuti scongiuri, lancio l'update e installo almeno un antivirus. Nel futuro, chi vivrà vedrà.

Luca Annunziata
337 Commenti alla Notizia Falle ed exploit, l'etica di un hacker
Ordina
  • Windows è il più diffuso, il più usato, il SO che ha più applicazioni in assoluto, il più odiato, il più bersagliato.

    Ed è proprio per questo che è più sicuro degli altri, quantomeno ora come ora con Vista.

    PS: per il 90% degli utenti il PC è un elettrodomestico e come tale deve funzionare. Non gli fotte sega del come/perché e tutte queste chiacchere stanno a 0.
    non+autenticato
  • - Scritto da: Giulio P
    > Windows è il più diffuso, il più usato, il SO che
    > ha più applicazioni in assoluto, il più odiato,
    > il più
    > bersagliato.
    >
    > Ed è proprio per questo che è più sicuro degli
    > altri, quantomeno ora come ora con
    > Vista.

    Certo, come no...

    > PS: per il 90% degli utenti il PC è un
    > elettrodomestico e come tale deve funzionare

    Tu sicuramente fai parte di questi utenti, e come tale dovresti evitare di entrare in discussioni tecniche.
    non+autenticato
  • Ad Annunziata/Aranzulla proprio oggi pare aver risposto
    roughlydrafted in persona in un interessante articolo dal titolo:

    Why Apple Won’t Inherit Microsoft’s Malware Crown

    http://www.roughlydrafted.com/2008/04/01/the-unavo.../

    ne consiglio la lettura a chi capisce l'inglese, ovviamente quanto detto su Mac OS X è valido anche per Linux & Co. (dove per Co=unix based)

    Fan LinuxFan Apple

    PS: come al solito eviterò di rispondere ed alimentare flames inutili.
    non+autenticato
  • se sai che li generi cosa inizi a fare?
    solo per averla vinta?
    e per quanto?
  • - Scritto da: lellykelly
    > se sai che li generi cosa inizi a fare?
    > solo per averla vinta?
    > e per quanto?

    Ma (l'amore per) la verità non è nemmeno presa in considerazione?

    E poi non puoi dire che ho generato flames (oggi) dei 300 e passa commenti di questo pollaio il mio 3d ha solo preso 4/5 messaggi di supporto e basta.

    Conosco un sacco di "utonti" che leggono la prima balordaggine su PI e la prendono per oro colato, così almeno svilupperanno maggior senso critico (che non fa mai male nella vita).

    Ciao

    Fan LinuxFan Apple
    non+autenticato
  • quando mai la verità è rilevante qua dentro?
  • - Scritto da: FinalCut
    > Ad Annunziata/Aranzulla proprio oggi pare aver
    > risposto
    > roughlydrafted in persona in un interessante
    > articolo dal
    > titolo:
    >
    > Why Apple Won’t Inherit Microsoft’s Malware Crown
    >
    > http://www.roughlydrafted.com/2008/04/01/the-unavo
    >
    > ne consiglio la lettura a chi capisce l'inglese,
    > ovviamente quanto detto su Mac OS X è valido
    > anche per Linux & Co. (dove per Co=unix
    > based)
    >
    > Fan LinuxFan Apple
    >
    > PS: come al solito eviterò di rispondere ed
    > alimentare flames
    > inutili.

    DAVVERO ILLUMINANTE FinalCut! Idea!

    In particolarte questo passaggio:
    "Windows has a thriving market of spammers, not because of platform popularity, but because there were and continues to be weaknesses in the design of Windows that made it easy and cheap to exploit, along with the fact that there are millions of PCs connected to the Internet but not maintained or updated. This provides fertile ground for a bountiful harvest of Windows malware. It’s not the popularity of Windows PCs that’s causing the problem, but the fetid pools of infected PC botnets."
    Piu' cristallino di cosi'...e chi vuol capire, capisce, per gli altri ci sono Feliciano&Salvatore...AUGURI!!! Ficoso

    LV&P Angioletto
  • Purtroppo esistono dei commerciali che vendono anche ubuntu come server: fate vobis...
    non+autenticato
  • Allora adesso mi spieghi le differenze tra una Ubuntu LTS e una Debin stable... anzi meglio, mi citi un esempio in cui un server ubuntu ha avuto problemi di sicurezza che, a parita' di software installato, non avrebbe avuto anche debian

    ma perche' persone come te si sentono in dovere di sparare cazzate pur sapendo di non saperne un cazzo sull'argomento?Sorride

    dammi retta, cresci (professionalmente) se non vuoi continuare a prendere schiaffoni
    http://www.ubuntu.com/community/ubuntustory/debian
    non+autenticato
  • mmm...lo dice la stessa pagina che hai lincato il perchè non è ottimale per i server:
    "As Ubuntu prepares for release, we "freeze" a snapshot of Debian's development archive. We start from the development version in order to give ourselves the freedom to make our own decisions with regard to release management, independent of Debian's release-in-preparation. This is necessary because our release criteria are very different from Debian's.

    As a simple example, a package might be excluded from Debian 'testing' due to a build failure on any of the 10+ architectures supported by Debian, but it is still suitable for Ubuntu if it builds and works on only three of them. A package will also be prevented from entering Debian 'testing' if it has release-critical bugs according to Debian criteria, but a bug which is release-critical for Debian may not be as important for Ubuntu.

    As a community, we choose places to diverge from Debian in ways that minimize the difference between Debian and Ubuntu. For example, we usually choose to update to the very latest version of Gnome rather than the older version in Debian, and we might do the same for key other pieces of infrastructure such as X or GCC. Those decisions are listed as Feature Goals for that release, and we work as a community to make sure that they are in place before the release happens"

    Insomma, tu dici agli altri di non parlare, ma sarebbe meglio che per primo stessi zitto tu(senza voler mancar di rispetto).

    Saluti e buon Linux a tutti
    non+autenticato
  • - Scritto da: Lorem Ipsum
    > Allora adesso mi spieghi le differenze tra una
    > Ubuntu LTS e una Debin stable... anzi meglio, mi
    > citi un esempio in cui un server ubuntu ha avuto
    > problemi di sicurezza che, a parita' di software
    > installato, non avrebbe avuto anche
    > debian
    >
    > ma perche' persone come te si sentono in dovere
    > di sparare cazzate pur sapendo di non saperne un
    > cazzo sull'argomento?
    >Sorride
    >
    > dammi retta, cresci (professionalmente) se non
    > vuoi continuare a prendere
    > schiaffoni
    > http://www.ubuntu.com/community/ubuntustory/debian

    da debianista puro io quella zozzeria da utonto finale non la scambierei mai e poi mai con la mia SID
    Debian e' l'unica distro che merita di chiamarsi col nome di distro linux seria.
    quel coso per ragazzini chiamato ubuntu la lascio ai ragazzini
    e tu ragazzino
    impara ad usare la debian non kurbonto.
    non+autenticato
  • - Scritto da: spectator
    > - Scritto da: Lorem Ipsum
    > > Allora adesso mi spieghi le differenze tra una
    > > Ubuntu LTS e una Debin stable... anzi meglio, mi
    > > citi un esempio in cui un server ubuntu ha avuto
    > > problemi di sicurezza che, a parita' di software
    > > installato, non avrebbe avuto anche
    > > debian
    > >
    > > ma perche' persone come te si sentono in dovere
    > > di sparare cazzate pur sapendo di non saperne un
    > > cazzo sull'argomento?
    > >Sorride
    > >
    > > dammi retta, cresci (professionalmente) se non
    > > vuoi continuare a prendere
    > > schiaffoni
    > >
    > http://www.ubuntu.com/community/ubuntustory/debian
    >
    > da debianista puro io quella zozzeria da utonto
    > finale non la scambierei mai e poi mai con la mia
    > SID
    > Debian e' l'unica distro che merita di chiamarsi
    > col nome di distro linux
    > seria.
    > quel coso per ragazzini chiamato ubuntu la lascio
    > ai
    > ragazzini
    > e tu ragazzino
    > impara ad usare la debian non kurbonto.

    Mo, non esagerare. Debian è senza dubbio una tra le migliorie più stabili distro linux, ma ci sono anche Slackware, Gentoo, Arch Linux (che tuttora uso con godimento oltre ogni limite) e non cito le RPM-based solo perchè non le stimo abbastanza...
    non+autenticato
  • come volevasi dimostrare:

    *) supposizioni
    *) preconcetti
    *) campanilismo

    nessun fatto, nessun episodio, niente di niente a sostegno della tesi che ubuntu non sia adatta come server. sveglia gente, ogni patch di sicurezza di debian passa anche per ubuntu e viceversa (che che ne dicano i dev di debian).
    non+autenticato
  • rabbrividisco
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | Successiva
(pagina 1/9 - 45 discussioni)