Claudio Tamburrino

Bucata una lista di sicurezza open source

Una volta scoperto il cracker ha provveduto a distruggere l'installazione della macchina che la ospitava. Spingendo il moderatore a chiuderla

Roma - Cracker ignoti hanno prima compromesso Vendor-Sec, una lista email per la sicurezza utilizzata da distributori Linux e BSD, poi, una volta che l'intrusione è stata scoperta, hanno distrutto l'installazione della macchina che la ospitava.

Tramite la lista Vendor-Sec i distributori di sistemi operativi e software free e open source condividevano informazioni sulle vulnerabilità conosciute (ma non necessariamente pubbliche) e coordinavano il rilascio degli aggiornamenti di sicurezza.

Secondo quanto ha raccontato Marcus Meissner, il moderatore della lista, l'intrusione è avvenuta il 20 gennaio e probabilmente si è protratta nel tempo. Attraverso una backdoor della macchina lst.de su cui si basava la lista Vendor-Sec, infatti, il cracker ha seguito il traffico email del gruppo.
"Ho disabilitato la backdoor - ha spiegato Meissner - ma dal momento che non so come l'intrusione sia avvenuta potrebbe ripetersi, per cui raccomando di non inviare email al gruppo con questioni sensibili di sicurezza".

Dopo l'avvertimento del moderatore, per l'appunto, il cracker si è nuovamente introdotto e ha distrutto l'installazione della macchina. Costringendo Meissner a chiudere (almeno temporaneamente) la lista.

"Dal momento che il sistema utilizzato è abbastanza datato - ha spiegato Meissner - e io e il team di amministratori non abbiamo davvero il tempo di mantenerlo ai necessari livelli di sicurezza, vorremmo che la lista trovasse un altro hosting".

Claudio Tamburrino
Notizie collegate
28 Commenti alla Notizia Bucata una lista di sicurezza open source
Ordina
  • Vi rendete conto che il titolo ("Una volta scoperto il cracker ha provveduto a distruggere l'installazione della macchina che la ospitava. Spingendo il moderatore a chiuderla") non ha alcun senso in italiano? Virgole mancanti, participi sbagliati... ma sì, chi più ne ha più ne metta.
    Non oso immaginare se Sgarbi leggesse qualcosa del genere... e meno male che PI è "il più autorevole quotidiano di informazione su Internet e Tecnologia in Italia dal febbraio del 1996"...
    non+autenticato
  • Esempio n°1
    - Ieri la lavatrice m'ha fatto le camice blù, ma ora ho flashato la ROM e ci ho sbattuto dentro il nuovo Firmware, vedrai che ora gira meglio.

    Forse, invece, bastava non lavare la camicie bianche con i calzini colorati...

    Esempio n°2
    Io uso il "grillo parlante" moddato per criptare le password e per scrivere i documenti segreti
    Si, ma se lo lasci acceso sul tavolino del bar e vai al bancone a baccagliare la biondina....

    Esempio n°3
    Io il numero del bancomat non me lo ricordo mai, ci tengo il fogliettino insieme sennò tutte le volte sai che figura di merda alla cassa...

    Esempio n°4
    Lavoro, ho una vita sociale gestisco un server gratuitamente e questo aiuta una comunità di qualcosa.
    Se una botnet mi sfonda o se un craker prezzolato lavora apposta per carpire informazioni sensibili io vado comunque a letto con la coscienza a posto.

    Esempio n°5
    Se prendi l'influenza è perchè una cazzo di botnet focalizzata a riprodursi nel tuo organismo ti ha sfndato il firewall di globuli bianchi, a chi la dai la colpa?
    non+autenticato
  • Bo partendo dal presupposto (o ancche supposta) che non ho capito dove vuoi arrivare.

    Non sono comunque concorde sull'affermare che se un tipo che gestendo gratuitamente un server linuz, visto che lo fa gratuito è autoriuzzato a farselo sfondare.

    A sto punto capisco perche il sw open source compreso linux e pieno di buchi, ci lavorano gratis quindi sono autorizzati a farlo senza badare alla ben che minima regola di sicurezza


    Ho capito bene?
  • No, era esattamente il contrario.
    Nulla è sicuro o dal risultato scontato se non lo si sa usare o se non si presta la necessaria attenzione a quello che si fa.

    "Il fatto che si utilizzi linux senza aggiornarlo non garantisce la sicurezza di un fico secco" = "Il fatto che si utilizzi windows senza aggiornarlo non garantisce la sicurezza di un fico secco."

    In entrambi i casi quello che ha la password del superuser ha fatto una cappellata
    non+autenticato
  • - Scritto da: El Glabro
    > No, era esattamente il contrario.
    > Nulla è sicuro o dal risultato scontato se non lo
    > si sa usare o se non si presta la necessaria
    > attenzione a quello che si
    > fa.

    in parte posso darti ragione ma qui non stiamo parlando dei vari linari della domenica che postano qui, ci sta anche dentro che uno di loro commetta dei grossolani errori, e difficile seguire gli how to linuz per la sicurezza senza giuste conoscenze, oppure abagliato dalla sicurezza per postulato di linuz non aggiorni.

    Qui stiamo parlando di un server che tiene info su dati di sicurezza vulnerabilità alcune neanche ancora rese pubbliche.
    Non accetto che un sistema del genere non venga mantenuto e inqualificabile punto è basta.

    Se ciò e accaduto e solo perche garantire la sicurezza gestire mantenere un sistema linuz e incredibilmente complesso e costoso.

    A sto punto linari per non fare brutta figura la prossima volta fate na colletta e comprate a sti tipi una licenza di win 2008 server, probabilmente il tempo di fare windows update ce lo avranno!!!!!!!!
  • > A sto punto linari per non fare brutta figura la
    > prossima volta fate na colletta e comprate a sti
    > tipi una licenza di win 2008 server,

    Se ci date dei soldi, accetteremo di prendere la licenza. Altrimenti, no; non vogliamo tale onere. Se tu non solo accetti una licenza EULA senza farti dare nulla in cambio, ma paghi pure per questo, hai scelto il nick giusto: leonestupidocane.
    non+autenticato
  • Poco tempo fa in un mio post affermavo che gestire un sistema linuz risultava ostica e complicata anche da esperti, e che onestamente usare linuz per questioni di sola sicurezza e una grande baggianata, ti ritrovi a non riuscire a seguire le patch e alla fine invece di un sistema sicuro ti trovi un colabrodo, purtroppo questa e la realta nel quasi 99% delle installazioni linux a uso commerciale.

    Ovviamente oggi la conferma di quanto detto

    "Dal momento che il sistema utilizzato è abbastanza datato - ha spiegato Meissner - e io e il team di amministratori non abbiamo davvero il tempo di mantenerlo ai necessari livelli di sicurezza"

    che dire non stiamo parlando del linaro di turno che reistalla ad libitum ubunti varie sul suo portatilozzo.

    Spero che non ci sia nessun linaro che oggi osi smentirmi
  • > sicuro ti trovi un colabrodo, purtroppo questa e
    > la realta nel quasi 99% delle installazioni linux
    > a uso
    > commerciale.
    >
    ma la questione non è windows o linux o android. La questione è che i sistemi informativi vanno gestiti e mantenuti. Anche una ferrari, come la più scarsa delle utilitarie fiat, va in pezzi se non fai mai manutenzione.

    Purtroppo uno dei miti dell'informatica è che linux sia invulnerabile in quanto linux e basta. Che basti installarlo, senza bisogno di fare manutenzione, per avere un sistema a prova di tutto.
    Beh questa notizia dimostra la falsità del mito.
  • - Scritto da: shevathas
    > > sicuro ti trovi un colabrodo, purtroppo questa e
    > > la realta nel quasi 99% delle installazioni
    > linux
    > > a uso
    > > commerciale.
    > >
    > ma la questione non è windows o linux o android.
    > La questione è che i sistemi informativi vanno
    > gestiti e mantenuti. Anche una ferrari, come la
    > più scarsa delle utilitarie fiat, va in pezzi se
    > non fai mai
    > manutenzione.

    Sono concorde con te assolutamente, l'unico problema e che con un server win 2008 per essere al sicuro (ovviamente tutto e relativo anche la sicurezza in informatica non sono mica un linaro che crede di essere al sicuro solo perche usa linux) lancio win update e vai più semplice di cosi.

    Se fosse altrettanto semplice in linuz non avremmo un guru di sicurezza che candidamente ammette



    "Dal momento che il sistema utilizzato è abbastanza datato - ha spiegato Meissner - e io e il team di amministratori non abbiamo davvero il tempo di mantenerlo ai necessari livelli di sicurezza"



    mi sembra palese.....
  • Ti straquoto al 100000%
    non+autenticato
  • Più della maggioranza dei server è linux.
    Anche microsoft usa server linux
    http://searchdns.netcraft.com/?host=microsoft&x=0&...
    non+autenticato
  • strano peccato che su alcuni di questi me mi hai gentilmente postato ci sono pagine aspx, se linuz fa girare codice aspx a sto punto non so che dire sara un linuzwindows
  • E aggiungo questo.
    http://searchdns.netcraft.com/?restriction=site+co...

    >Spero che non ci sia nessun linaro che oggi osi smentirmi
    Non sono linaro... eppure è stato facile smentirti.
    Un giorno anche tu capirai che il mondo non è una estensione del tuo orto... o no?
    non+autenticato
  • - Scritto da: poiuy
    > E aggiungo questo.
    > http://searchdns.netcraft.com/?restriction=site+co
    >
    > >Spero che non ci sia nessun linaro che oggi osi
    > smentirmi
    > Non sono linaro... eppure è stato facile
    > smentirti.
    > Un giorno anche tu capirai che il mondo non è una
    > estensione del tuo orto... o
    > no?

    ti ririspondo se accedia uno dei server linuz e provi a vedere su ci sono pagine aspx.

    Se poi vuoi dire che il server di base e un linuz che esegue delle macchine virtuali win allora la tua affermazione non ha comunque senso, quello che è affacciato su internet e un server win
  • Una lista di sicurezza che "non ha il tempo" di tenere aggiornato il suo server con le patch di sicurezza?!?
    O.o
    H5N1
    1641
  • - Scritto da: H5N1
    > Una lista di sicurezza che "non ha il tempo" di
    > tenere aggiornato il suo server con le patch di
    > sicurezza?!?
    > O.o

    "il ciabattino va via con le scarpe rotte"

    Io, nella mia media/lunga esperienza informatica, ho visto di tutto, non mi stupisco di niente ormai.
    non+autenticato
  • e per fortuna che il server non era winzozz... altrimenti sai che flame?A bocca aperta
    non+autenticato
  • Scusami c'è poco da flammeggiare ormai i linari sono allo stato brado, c'è poco da dire e fare hanno a che fare con un sistema operativo che si trova a livello di win nel lontano 2000, mentre ormai win lo si può considerare l'emblema della sicurezza.

    Linuz sul desktop: esperienza fallita

    linuz sicuro: miraggio irraggiungibile

    a sto punto che gli rimane?
  • e facile rispondere cosi quando non vi e alcun appiglio per controbbattere, e vorrei vedere.

    Davanti all'evidenza che neanche un gruppo di esperti di vulnerabilita riesce agestire la sicurezza del serverozzo linux che dovrebbe pubblicarle, che altro si puo dire


    Be una cosa si puo fare consigliare per il prossimo serverozzo il seguente so:

    http://www.microsoft.com/italy/server/windowsserve...
  • Clicca per vedere le dimensioni originali

    In applicazioni militari e forensics MSsta a 0. non a 0,x ma a 0.
    In applicazioni scientifiche critiche, MS sta a 0.
    Su satelliti di telco, MS sta a 0.
    Su satelliti in generale MS sta a 0.

    Saranno tutti idioti a sto mondo?
  • - Scritto da: A s d f
    > [img]http://joe-miller.net/wp-content/uploads/2011
    > Saranno tutti idioti a sto mondo?

    Esattamente.

    Tutti idioti che usano distribuzioni linux vecchie. Sarà mica stata una debian ?!
    non+autenticato
  • che dire se un esperto di sicurezza dice:


    "Dal momento che il sistema utilizzato è abbastanza datato - ha spiegato Meissner - e io e il team di amministratori non abbiamo davvero il tempo di mantenerlo ai necessari livelli di sicurezza"


    a sto punto mi preoccupo fortemente, probabilmente solo un centesimo delle appl. che mi hai indicato e affacciata direttamente su internet e quindi con danni limitati, il resto sono server isolati da internet e non direttamente raggiungibili probabilmente ancora più lasciati a se stessi.

    Infatti come nel caso della societa di sicurezza di qualche settimana fa, il server linuz usato per la gestione interna e non paccato, venne facilmente craccato dopo che un hacker scardinato il server connesso a internet ebbe libero accesso alla rete interna.

    Tremo a quello che potrebbe accadere o e già accaduto vista l'estrema insicurezza di linux, siamo ritornati per lui alla situazione che avevamo con win2000 server nel 2000
  • - Scritto da: leonestupidocane
    > e facile rispondere cosi quando non vi e alcun
    > appiglio per controbbattere, e vorrei
    > vedere.

    certo certo, voglio vedere se ci lasciavano una versione di windows non più supportata o senza applicare le patch di sicurezza che succedeva... si risponde così perché la tua è solo una trollata, qualsiasi informatico serio non si permetterebbe di criticare nessun sistema operativo, win, linux o macos che fosse, solo perché un amministratore di sistema ha annunciato un'intrusione su una macchina sulla quale dichiaratamente non ha fatto aggiornamenti. Ma evidentemente tu la serietà l'hai lasciata da qualche parte.
    non+autenticato