Un worm che ha colpito duro

sono giorni che i vostri server mi intasano la linea li volete patchare si o no.

siete capaci di installare una patch oppure al corso regionale non ve lo hanno insegnato

>>Secondo me certi bachi sono lasciati apposta per convincere gli utenti a migrare a palladium: >>"...ecco se avevate palladium..."
>>sembra la scena di Pozzetto con la penna
>>stilo ne "Il ragazzo di campagna" che deve rifilare le assicurazioni...

>i bug del kernel linux allora sono messi li
>aposta per farti installare le versioni
>successive e farti osannare alla bravura di
>Torvalds????

No, e personalmente (ma forse nemmeno l'autore del post a cui hai risposto) non osanno niente e nessuno. Però è un dato di fatto che questi ultimi attacchi alla rete, tanto pesanti da coinvolgerla nel suo insieme, sono tutti legati a vulnerabilità proprie di software microsoft. Non vedo nulla di incredibile o di fantasioso nell'ipotesi che microsoft, nel vendere deliberatamente soluzioni comode ma vulnerabili, stia tentando di diffondere non solo a livello di 'utenza media' ma ora anche nel mondo 'dei professionisti' un'idea di questo tipo: soluzioni comode E sicure = regolamentazione pesante della rete e delle attività connesse = trustworthy computing - palladium.

Quello che non mi va giù è lo scopo della strategia (per altro nient'affatto trasparente, ed è un eufemismo): il consolidamento 'definitivo' del monopolio economico di microsoft e una possibilità - che difficilmente non verrà sfruttata - di controllo pesante sulle scelte dei consumatori e soprattutto sulla comunicazione e l'informazione.

Per il resto ti dò ragione: in questo momento la sfida principale per il software open-source è quella di riuscire a diventare almeno un po' più facile anche per gli amministratori - ciò che potrebbe decretarne il successo.

Il punto però è proprio questo: la priorità assoluta per qualsiasi sviluppatore - un dovere, rispetto a chi utilizzerà quei prodotti - dovrebbe essere la sicurezza. Solo in secondo luogo l'applicazione - perché si parla di software - dovrebbe puntare a essere semplice: tanto semplice quanto può esserlo adesso senza creare più problemi di sicurezza di quanti non ne saranno cmq sfuggiti, giacché la sicurezza assoluta, si sa, è un'utopia - se non, probabilmente, un incubo

Microsoft però fa l'esatto contrario, ciò che le permette di risultare più appetibile nell'immediato.

Francamente non m'intendo granché, dal lato prettamente tecnico, di software 'pesanti' - vedo solo [il che non è poco ] che i problemi grossi e diffusi che si son creati ultimamente sono nati da vulnerabilità proprie di software ms. Comunque per ora - ma forse ancora per poco, vista la tendenza - il 'problema sicurezza' che più direttamente coinvolge la 'normale utenza' è ancora quello legato ai virelli 'consumer' , e per quanto riguarda quest'aspetto mi basta vedere quel che ha fatto microsoft con i suoi sistemi operativi per l'utenza media, laddove per dirne tre su tante: tanto per facilitare le cose agli utenti ha messo il netbios preinstallato e attivo; tanto per facilitare le cose agli utenti ha fatto in modo che outlook lanciasse automaticamente gli attachment potenzialmente infetti; tanto per facilitare le cose agli utenti s'è inventata le mail html con ripieno di vbscript. Tutte cose che in realtà hanno creato danni diffusissimi all'utenza, e diffidenza della stessa rispetto alla rete, senza dare nulla di più.

La realtà è che a microsoft la rete così com'è non piace e non è mai piaciuta. L'ha dichiarato subito, quando il fenomeno ha cominciato a diffondersi, e subito ha tentato una mossa avventatissima e proprio per questo rivelatoria della paura con cui ms stessa guarda a internet: the microsoft network nella prima versione, una rete proprietaria e a gettoni che fallì miseramente. Internet fa paura a ms perché veicola troppa condivisione di saperi, e i saperi della cui condivisione microsoft più si preoccupa sono proprio quelli informatici: se la gente si scambia e lavora insieme a pezzi di codice senza brevettarli, per poi diffonderli liberamente, e se progressivamente questi programmi si avvicinano anche dal lato 'usabilità' ai suoi standard (visto che in quanto a efficienza e stabilità sono spesso superiori - ma ciò che conta per vendere sul mercato più ampio è l'usabilità), e se - tra l'altro - la gente si può scambiare facilmente consigli sull'utilizzo di software magari meno amichevoli, ma mediamente più efficenti e sicuri e spessissimo gratuiti, microsoft sente minacciato il proprio monopolio. *Non*: la propria esistenza (ché di pappa per ms ce ne sarebbe cmq) - *bensì*: il proprio monopolio. Perciò, in concomitanza con il lancio e il fallimento (avvenuti praticamente all'unisono) di the microsoft network, ms ha deciso di entrare nell'ambito 'consumer' di internet con programmi semplici ma pieni di vulnerabilità banalissime e fatali, spalancati a qualsiasi insidia della rete. Per inciso: la tanto decantata semplicità di questi programmi è una percezione dovuta più al fatto che erano e sono preinstallati in windows, e perciò sono quelli su cui l'utenza da subito ha cominciato a imparare. E la tecnofobia di cui tante persone sono portatrici è più conseguenza del fatto che "tutto sembrava andare bene, alla fine in realtà è semplice - poi ho scoperto di avere un virus che m'ha fatto questo e quello". Per esempio: le stesse persone avrebbero impiegato mezzo minuto di più (o meglio: dai due millisecondi a un massimo di tre mesi, se si tiene conto di un'età variabile tra i 5 e i 90 anni ...) per capire come 'funziona' un attachment; e se ms avesse avuto davvero a cuore la sicurezza degli utenti avrebbe inserito, invece della funzione "te lo lancio io l'attachment", una finestrella che quando u pigia sull'allegato, se l'allegato è in formato peligroso, piccì avverte u; e magari, in aggiunta, un antivirus - nel qual caso microsoft non avrebbe nemmeno lontanamente rischiato di perdere l'eventuale causa mossa da mcafee o da symantec, giacché la sicurezza è un diritto per l'utente e un dovere per il produttore.

Alla fine, secondo me, la scelta di fronte a cui ci si trova davvero un po' tutti, a vari livelli, è sostanzialmente questa: arrivare in brevissimo tempo ad avere una infrastruttura tecnologica (finalmente) sicura, semplice (come al solito e un po' di più), ma sconosciuta e inconoscibile nel suo funzionamento per il cittadino e utilizzabile - questo è già assodato - per imporre scelte ai consumatori, e a fini di controllo e monitoraggio, perciò potenzialmente (ma viene da ridere a utilizzare questo avverbio) lesiva dei diritti di scelta informazione espressione e comunicazione; oppure andare - magari più progressivamente - verso un'infrastruttura tecnologica sicura (come al solito e un po' di più), (finalmente) semplice, e sicuramente non suscettibile di essere utilizzata a fini di controllo monitoraggio e censura, perché il suo funzionamento sarà sempre conoscibile per il cittadino.

Boh, a quanto vedo dai grafici questo attacco è stato meno potente dei primi due.....
Che ne pensate?

Se tutti se la prendono con Microsoft e creano bug ad HOC, non vuol dire che linux sia meno vulnerabile.
E in ogni caso com'è che Linux sta muovendo tutti questi soldi? Perchè ci sono persone che lo usano per farci dei soldi?
Non era una cosa gratis?

La vulnerabilità dei server è dovuta all'incapacità degli amministratori, che non sanno che MS ha fatto un'aggiornamento.
Se pensate che sia possibile creare un software senza BUG, e che Linux non ne abbia, siete dei pazzi.
Per foruna che il mio XP, regolarmente acquistato, si aggiorna in automatico e non come linux che per installarlo devi sapere almeno 5 linguaggi di programmazione.
Le cose Gratis non funzionano.
E Linux sta diventando un business come lo è stato windows.

- Scritto da: Anonimo
> Se tutti se la prendono con Microsoft e
> creano bug ad HOC, non vuol dire che linux
> sia meno vulnerabile.
> E in ogni caso com'è che Linux sta muovendo
> tutti questi soldi? Perchè ci sono persone
> che lo usano per farci dei soldi?
> Non era una cosa gratis?


Torna a pelar patate.

- Scritto da: Anonimo
> Se tutti se la prendono con Microsoft e
> creano bug ad HOC, non vuol dire che linux
> sia meno vulnerabile.

Io una falla in ambiente Free Software che è riuscita a causare simili danni alla rete delle reti, non l'ho mai vista.. un caso eh? pero' il fatto che io non l'abbia vista non vuol dire che non ci sia mai stata...

> E in ogni caso com'è che Linux sta muovendo
> tutti questi soldi? Perchè ci sono persone
> che lo usano per farci dei soldi?

Perche la sua licenza lo permette e questo non da fastidio a chi ci lavora? O forse perche qualcuno era stufo di dover sopportare un monopolio raggiunto con pratiche di mercato scorrette?

> Non era una cosa gratis?

Lo è.

>
> La vulnerabilità dei server è dovuta
> all'incapacità degli amministratori, che non
> sanno che MS ha fatto un'aggiornamento.

Si, amministratori di sistemi microsoft, molti dei quali si sono autopromossi tali perche grazie al wizard "installazione guidata rete" sono riusciti a installarne una.
Ho visto spesso Amm. Windows con scarsa "cultura informatica", mai Amm. Unix, lo sai perche? Perche per far andare un *x ti devi fare il mazzo, le cose te le devi imparare, le devi capire, niente wizard, niente pappa pronta, niente click click. semplicemente "know how"!


> Se pensate che sia possibile creare un
> software senza BUG, e che Linux non ne
> abbia, siete dei pazzi.

Ci sono bug e bug, ci sono i bug che compromettono un intero server.. ce ne sono altri che compromettono mezza internet...

> Per foruna che il mio XP, regolarmente
> acquistato, si aggiorna in automatico e non
> come linux che per installarlo devi sapere
> almeno 5 linguaggi di programmazione.

ohoh! pure FUD. da qui in poi non meriteresti nemmeno una risposta...
Cmq la mia debian si "autopatcha" giornalmente grazie a debian.security.org, ovviamente vengono corrette le falle di tutti i pacchetti software.. vuoi mettere con windows update?

> Le cose Gratis non funzionano.

Ah si? 4 ore fa ho finito di installare un nuovo serverino E-buisness per una banca, Debian stable, Apache, Java e Tomcat. Ci gira sopra un'intera Web application di E-banking. Indovina quanto ha pagato la banca per il software..
E.. cavolo.. funziona anche! incredibile eh?

> E Linux sta diventando un business come lo è
> stato windows.

Eh no.. Linux permette di fare business, windows lo è...
Buon palladium!! (comincia a mettere da parte i soldi per tutti i bit che scaricherai)

Con immutata stima.

- Scritto da: Skaven

> Ah si? 4 ore fa ho finito di installare un
> nuovo serverino E-buisness per una banca,
> Debian stable, Apache, Java e Tomcat. Ci
> gira sopra un'intera Web application di
> E-banking. Indovina quanto ha pagato la
> banca per il software..

Possiamo avere l'url, cosi' verifichiamo subito?

- Scritto da: Anonimo
> Possiamo avere l'url, cosi' verifichiamo
> subito?

Essendo stato installato oggi per la prima volta, domani parte il test interno da parte della banca (di ca. 2 settimane) per ora è visibile solo dall'interno della loro rete! Piu' in la sara' messo in produzione!

saluti

- Scritto da: Anonimo
> Se tutti se la prendono con Microsoft e
> creano bug ad HOC, non vuol dire che linux
> sia meno vulnerabile.

Certo..

La colpa è che sono tutti brutti e cattivi e ce l'hanno con M$....

> E in ogni caso com'è che Linux sta muovendo
> tutti questi soldi? Perchè ci sono persone
> che lo usano per farci dei soldi?
> Non era una cosa gratis?

Il fatto che sia possibile procurarselo gratis non vuol dire che free -> gratis....

> La vulnerabilità dei server è dovuta
> all'incapacità degli amministratori, che non
> sanno che MS ha fatto un'aggiornamento.

Questo è sicuro. Il fatto è che quando un s.o. installa tutto di default è facile avere dei servizi aperti che non servono, che non sai neppure di avere (e che quindi magari non patchi), ma che possono presentare delle vulnerabilità.

> Se pensate che sia possibile creare un
> software senza BUG, e che Linux non ne
> abbia, siete dei pazzi.

Mai pensato....

> Per foruna che il mio XP, regolarmente
> acquistato, si aggiorna in automatico e non
> come linux che per installarlo devi sapere
> almeno 5 linguaggi di programmazione.

Hai vinto il premio "Vaccata del Giorno".

Linux ha l'autoupdate da ben prima che gli utenti di Windows XP preinstallato imparassero cosa è un PC....

In quanto alla facilità d'uso, e quì mi ricollego al discorso di prima sugli amministratori incapaci, io preferisco di gran lunga un sistema un po' più difficile da usare perchè ti rendi conto di quello che stai facendo piuttosto di un sistema che puoi mettere in funzione con qualche colpo di click senza studiare nulla. Però poi per usarlo con sicurezza devi studiarti oltre 600 pagine di documentazione...

http://msdn.microsoft.com/library/default.asp?url=...

> Le cose Gratis non funzionano.
> E Linux sta diventando un business come lo è
> stato windows.

Ma insomma... è gratis o non è gratis ?!?!?

E decidersi ?!?!?

- Scritto da: TeX
>
> Questo è sicuro. Il fatto è che quando un
> s.o. installa tutto di default è facile
> avere dei servizi aperti che non servono,
> che non sai neppure di avere (e che quindi
> magari non patchi), ma che possono
> presentare delle vulnerabilità.


Da quando installando Windows ti ritrovi senza saperlo anche SQL Server?
Sarebbe interessante saperlo... risparmierei di comprarlo...


Zeross

>Quanto è accaduto è la ulteriore dimostrazione
>della opportunità di utilizzare software a codice
>aperto (come Linux) che si sono dimostrati immuni
>da contagi di questo tipo.

Gli spifferi non si contano ormai. Molti salteranno fuori a dire "sono pochi". Ammesso che sia vero e' ben diverso dal "dimostrarsi immuni"

>Per fortuna, mentre i prodotti Microsoft hanno il
>monopolio sul desktop, non è così nel settore dei
>server (dove è predominante il software open
>source e Unix). E per questo i disagi sono stati
>relativamente meno diffusi.

Unix e' open-source? Incredibile!
Per non parlare che secondo netcraft la situazione server e':
MS Win - 50%
Linux - 23%
Altri Unix 27%
Predominanza open source sui server? Uhm...


>C'è infine da chiedersi come mai, mentre in altri
>casi chi realizza prodotti difettosi è sanzionato dalla
>legge per la propria negligenza, e spesso costretto
>a risarcire i danneggiati, il settore dell'informatica
>deva essere considerato "immune" da ogni
>responsabilità.

Vedi... Se c'e' la remota possibilità che alla mia Punto si stacca una ruota in viaggio, la Fiat e' obbligata a richiamare le vetture ed a correggere il difetto. Allo stesso modo le SW house (ivi comprese quelle open source) rilasciano le patch.
Se qualcuno pero' mi infila un candelotto di dinamite nel tubo di scappamento non e' la Fiat ad essere condannata, ma chi mi ha fatto il gentile regalo.

> >Per fortuna, mentre i prodotti Microsoft
> hanno il
> >monopolio sul desktop, non è così nel
> settore dei
> >server (dove è predominante il software open
> >source e Unix). E per questo i disagi sono
> stati
> >relativamente meno diffusi.
>
> Unix e' open-source? Incredibile!

Infatti, ha scritto che è predominante il software Open Source e il software Unix. Ovviamente occorre intendere il tutto 'nel loro complesso', presi separatamente, né i server Linux né quelli Unix lo sono. Non vedo quindi dove sia l'inesattezza.

> Per non parlare che secondo netcraft la
> situazione server e':
> MS Win - 50%
> Linux - 23%
> Altri Unix 27%

Dove hai trovato questi dati? Su netcraft ho trovato solo la statistica sui server web, che da Apache da solo al 62%. E' pacifico che parte di questi server Apache potrebbero funzionare su macchine Windows, mentre ovviamente non può esssere il contrario (IIS su sistemi non Windows), ma passare dal 62 al 50%... uhm... mi sembra un po' azzardato. A meno che, ovviamente, i dati che citi non riguardino i server web, ma i server in generale, tuttavia non vedo come possa Netcraft avere questi dati.

- Scritto da: DPY

> Infatti, ha scritto che è predominante il
> software Open Source e il software
> Unix. Ovviamente occorre intendere il tutto
> 'nel loro complesso', presi separatamente,
> né i server Linux né quelli Unix lo sono.
> Non vedo quindi dove sia l'inesattezza.

"PREDOMINANZA" significa che open source E unix sono diciamo... uhm... intorno al 90%. Invece siamo al 50%.

>
> > Per non parlare che secondo netcraft la
> > situazione server e':
> > MS Win - 50%
> > Linux - 23%
> > Altri Unix 27%
>
> Dove hai trovato questi dati? Su netcraft ho
> trovato solo la statistica sui server web,

Nella survey di qualche mese fa c'era il raggruppamento anche per OS. Se ho tempo dopo cena guardo l'archivio.

- Scritto da: Anonimo

> Nella survey di qualche mese fa c'era il
> raggruppamento anche per OS. Se ho tempo
> dopo cena guardo l'archivio.

Trovato al primo colpo (sono stato fortunato):
http://www.netcraft.com/Survey/index-200109.html

- Scritto da: Anonimo
>
> - Scritto da: Anonimo
>
> > Nella survey di qualche mese fa c'era il
> > raggruppamento anche per OS. Se ho tempo
> > dopo cena guardo l'archivio.
>
> Trovato al primo colpo (sono stato
> fortunato):
> http://www.netcraft.com/Survey/index-200109.h

Sulla stessa pagina si legge anche:

"Although Apache runs more sites than Windows, Apache is heavily deployed at hosting companies and ISPs who strive to run as many sites as possible on a single computer to save costs. Windows is most popular with end-user and self hosted sites, where the host to computer ratio is much smaller."

- Scritto da: Anonimo

> Trovato al primo colpo (sono stato
> fortunato):
> http://www.netcraft.com/Survey/index-200109.h

si, ma è datato Giugno del 2001... mi sembra un po' vecchiotto.

Ci sono anche piu' recenti, basta smazzarsi l'archivio.

- Scritto da: Anonimo
>
> - Scritto da: Anonimo
>
> > Trovato al primo colpo (sono stato
> > fortunato):
> >
> http://www.netcraft.com/Survey/index-200109.h
>
> si, ma è datato Giugno del 2001... mi sembra
> un po' vecchiotto.

http://www.netcraft.com/Survey/index-200212.html

è più recente.
Da notare che dall'inizio del 2001 i webserver M$ sono in calo mentre Apache è in crescita.

Rick.