Alfonso Maruccia

In GnuTLS c'è un baco o una backdoor per Linux?

Una nuova vulnerabilità fa discutere per la sua pericolosità e per il fatto di essere attiva da lungo tempo. Una condizione sospetta, visto anche il numero di prodotti e software interessati dal problema

Roma - Dopo il caso della cosiddetta vulnerabilità "gotofail" dei software Apple, una nuova falla individuata in una popolare libreria di sicurezza open source solleva polemiche a alimenta ancora una volta il sospetto che ha monopolizzato la scena della sicurezza informatica nell'era post-Datagate: è un semplice baco o è una backdoor utile per lo spionaggio della NSA?

Svelata da un advisory RedHat, la falla è presente nella libreria GnuTLS e riguarda la gestione incorretta di certi operazioni durante il processo di verifica dei certificati di sicurezza X.509 (alla base dei protocolli TLS e SSL), processi che sotto certe condizioni potrebbe portare all'accettazione di un certificato come valido anche nel caso in cui sarebbe dovuto avvenire il contrario. Le conseguenze della falla sono presto dette: un malintenzionato o una "gang" di cyber-criminali potrebbe auto-firmarsi un certificato fasullo, sfruttando poi il baco per autenticarsi come attore sicuro senza la necessità di ricorrere a una CA (Certificate Authority) valida e compromettendo la sicurezza delle comunicazioni veicolate su protocollo SSL/TLS.

Si tratta in sostanza di un problema molto simile a quello emerso nei giorni scorsi per i software Apple, e le conseguenze in questo caso sono persino più gravi visto l'alto numero di software che si affida a GnuTLS: persino gli aggiornamenti distribuiti tramite apt-get potrebbero essere vulnerabili. Le ramificazioni di questa scoperta sono molteplici, e occorrerà del tempo per stabilire con esattezza quale sia la portata: in taluni casi altre forme di protezione, come la verifica della cifratura di un pacchetto, potrebbero mitigare il rischio, ma in generale si tratta di una questione di livello critico che andrà sanata al più presto.
Il baco sarebbe in circolazione dal 2005, dicono le prime analisi, con tanti saluti alla presunta sicurezza "superiore" del codice open source: l'errore di programmazione è molto simile a quello presente nel codice Apple, solo un po' meno evidente, ma il risultato è pressoché identico. La patch a ogni modo è già disponibile sia per la distro Linux Red Hat che per GnuTLS.

Alfonso Maruccia
Notizie collegate
  • SicurezzaLa macchina di Apple ha un buco nel SSLUn errore di programmazione, qualcuno dice una backdoor messa lì apposta, che causa serie ripercussioni per la sicurezza di tutti gli OS di Cupertino. La patch per iOS è già in distribuzione, quella per OSX arriverà
143 Commenti alla Notizia In GnuTLS c'è un baco o una backdoor per Linux?
Ordina
  • Qualcuno ha visto il Pandarosso??

    Sono seriamete preoccupato per lui. Non vorrei si facesse del male in preda allo sconforto.

    Per il tuo server e il tuo lavoro e` tardi, tu puoi ancora salvarti Pandarossa!Sorride
    non+autenticato
  • - Scritto da: ZeroCool
    > Qualcuno ha visto il Pandarosso??
    >
    > Sono seriamete preoccupato per lui. Non vorrei si
    > facesse del male in preda allo
    > sconforto.
    >
    > Per il tuo server e il tuo lavoro e` tardi, tu
    > puoi ancora salvarti Pandarossa!
    >Sorride

    Condivido la tua preoccupazione.
    Ho inviato una segnalazione a "Chi l'ha visto" con circostanziate motivazioni.

    Stanno provvedendo.
    maxsix
    9374
  • Per la festa del garage gli spedisco un Mac.

    Potrebbe essere che sia andato in kernel panic e non riesca a connettersi. (Lui non il pc)
    non+autenticato
  • azz, pure il delay nelle risposte

    un caso patologico direi Rotola dal ridere
    non+autenticato
  • Ho cominciato ad usare linux nel '98. Mi son rotto di questi articoli, da 15 anni ormai continuo a sentire "Linux potrebbe essere vulmerabile" "trovata una vulmerabilità che potenzialmente potrebbe...." "linux non è immune da virus" "un utente malintenzionato potrebbe usare una vulnerabilità per fini malevoli..." e che palle!!! Speriamo lo facciano in fretta questo virus così la finiremo con tutti questi potrebbe!
    non+autenticato
  • - Scritto da: Luciano T
    > Ho cominciato ad usare linux nel '98. Mi son
    > rotto di questi articoli, da 15 anni ormai
    > continuo a sentire "Linux potrebbe essere
    > vulmerabile" "trovata una vulmerabilità che
    > potenzialmente potrebbe...." "linux non è immune
    > da virus" "un utente malintenzionato potrebbe
    > usare una vulnerabilità per fini malevoli..." e
    > che palle!!! Speriamo lo facciano in fretta
    > questo virus così la finiremo con tutti questi
    > potrebbe!

    Linux è vulnerabile.

    E dico, non ti pare un po' strano che questo mega glitch di sicurezza sia venuto fuori proprio dalla release a pagamento?

    E dico, non ti viene forse il dubbio che il mondo cantinaro sia come minimo omertoso su queste cose?

    E dico, non ti viene forse il dubbio che semplicemente il mondo cantinaro non ha minimamente il controllo su Linux e quindi tutti fanno un po' come gli pare?
    maxsix
    9374
  • Il mio PC non è mai esploso. Nessuno ne ha mai preso il controllo. Non ho mai visto infezioni.

    Tu invece hai iniziato a mettere il nastro adesivo sulla webcam dei tuoi Mac?

    Lascio perdere Windows, sarebbe come sparare sulla Croce Rossa.
    iRoby
    7615
  • - Scritto da: iRoby
    > Il mio PC non è mai esploso. Nessuno ne ha mai
    > preso il controllo. Non ho mai visto
    > infezioni.

    E che ne sai?
    non+autenticato
  • Aspetta eh,la settimana scorsa i fantastici utenti apple dicevano che siccome in giro non si è avuta nessuna notizia che sfruttase il baco sicuramente nessuno l'avrà usata...anche dopo 4 giorni dalla pubblicazione della falla mentre apple stava sorseggiando un tè in giardino.

    Facciamo la stessa domanda ?Sorride
    non+autenticato
  • - Scritto da: iRoby
    > Il mio PC non è mai esploso. Nessuno ne ha mai
    > preso il controllo. Non ho mai visto
    > infezioni.
    >

    Eh già.
    Perché secondo la tua illuminata intelligenza se esiste (come esiste) un bug da ANNI tu LO SAI.
    E sopratutto SAI come ripararlo e SAI che il tuo contributo ti farà entrare immediatamente nello Shield giusto tra thor e iron man.

    Poveri illusi.

    Che poi, oh, intendiamoci. Niente di nuovo sotto il sole, come non si risolvono i bug sul bidet verde figuriamoci sulla discarica madre.

    ...
    iLuvcantinaro.
    Campagna di sensibilizzazione per aiutarli in questo momento difficile.
    maxsix
    9374
  • Un po' come l'SSL giusto? Leva le fette di prosciutto, salumiere.
    non+autenticato
  • - Scritto da: maxsix
    > Eh già.
    > Perché secondo la tua illuminata intelligenza se
    > esiste (come esiste) un bug da ANNI tu LO
    > SAI.

    Aspetta,tu sapevi del bug SSL e keylogger sui dispositivi apple e non li hai avvisati ?A bocca aperta

    > E sopratutto SAI come ripararlo e SAI che il tuo
    > contributo ti farà entrare immediatamente nello
    > Shield giusto tra thor e iron
    > man.

    Ha parlato colui che ha dovuto aspettare 4 giorni per tappare la falla sul suo preziosissimo Mac...

    > Poveri illusi.

    Ha parlato il re dei film mentali e della fuffa...

    > Che poi, oh, intendiamoci. Niente di nuovo sotto
    > il sole, come non si risolvono i bug sul bidet
    > verde figuriamoci sulla discarica
    > madre.

    Veramente IOS e Mac OS avevano un bug comune,2 al prezzo di 1... sono stati scoperti dall'esterno,è passato un tot tempo dalla pubblicazione (quindi anche chi non lo sapeva ne poteva approfittare),non sono state preparate patch e rilasciate contemporaneamente ma si è deciso di lasciare ben 4 giorni a disposizione per la versione desktop...
    Come dicevi ? Ah il migliore OS al mondoA bocca aperta ah si la qualità di appleA bocca aperta
    E per IOS ? ah già il keylogger che poteva persino tracciare il numero di tap fatti sullo schermo..e siete 4 gatti eh,meno male....vogliamo parlare dei bug di IOS 7.x.x.x...la versione più buggata di sempre....
    non+autenticato
  • - Scritto da: maxsix

    > E dico, non ti viene forse il dubbio che il mondo
    > cantinaro sia come minimo omertoso su queste cose?

    Infatti, è stato proprio il mondo cantinaro ad analizzare il codice sorgente e a rendere pubblico il problema (problema che, tra l'altro, è stato già corretto da giorni mentre ancora ne state a sparlare qui).
    non+autenticato
  • > Infatti, è stato proprio il mondo cantinaro ad
    > analizzare il codice sorgente e a rendere
    > pubblico il problema (problema che, tra l'altro,
    > è stato già corretto da giorni mentre ancora ne
    > state a sparlare
    > qui).

    Ma il mondo cantinaro l'ha analizzato dopo 9 anni?
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > - Scritto da: maxsix
    >
    > > E dico, non ti viene forse il dubbio che il
    > mondo
    > > cantinaro sia come minimo omertoso su queste
    > cose?
    >
    > Infatti, è stato proprio il mondo cantinaro ad
    > analizzare il codice sorgente e a rendere
    > pubblico il problema (problema che, tra l'altro,
    > è stato già corretto da giorni mentre ancora ne
    > state a sparlare
    > qui).

    E già.
    Tutti li da 6 anni a cercare il pelo e non hanno visto il travo.

    Delle 2 una:
    1) non è vero che la gente guarda il codice (tranne chi è pagato per farlo e per interessi specifici)
    2) siete una massa di incompetenti e non sapete cosa fate.

    Io dico la seconda.
    Ma anche la prima ha una suo perché.

    Che poi.

    Red Hat viene a dirvi ste cose.

    La vostra tanto odiata e vituperata Red Hat, quella che omfg vi ha rubato il futuro del gratis per tutti.

    Ora ripetete tutti in coro.
    Domani manderò una letterina di ringraziamento alla Red Hat LTD. per l'eccellente lavoro svolto.

    ...
    iLuvcantinaro.
    Campagna di sensibilizzazione per aiutarli in questo momento difficile.
    maxsix
    9374
  • Ridotto a gongolare in quel modo per una stron*ata del genere... apri un terminale e digita:
    sudo apt-get install life
    :p
    Funz
    12975
  • - Scritto da: Funz
    > Ridotto a gongolare in quel modo per una
    > stron*ata del genere... apri un terminale e
    > digita:
    > sudo apt-get install life
    >Con la lingua fuori

    Ma almeno parlasse di ciò che sa... XD
  • - Scritto da: Albedo 0,9
    > - Scritto da: Funz
    > > Ridotto a gongolare in quel modo per una
    > > stron*ata del genere... apri un terminale e
    > > digita:
    > > sudo apt-get install life
    > >Con la lingua fuori
    >
    > Ma almeno parlasse di ciò che sa... XD
    Complicato... c'è qualcosa che sa.... dici davvero?
    Occhiolino
    non+autenticato
  • Fanno ridere questi pseudo-informatici che sfottono Il Cantinaro perché non hanno compreso che eliminando la necessità di CA, Il Cantinaro ha eliminato ... anzi, spoofato... x509.

    Si e' semplicemente tolto dalle scatole una costosa quanto inutile, e addirittura controproducente, non precisata autorità, per evitare di costringere i propri utenti ad autorizzare esplicitamente la connessione "a siti non certificati" (certificati tradizionalmente, ma nulla toglie di mettere a disposizione un altro canale di comunicazione su cui veicolare l'ID del certificato per dare ai propri utenti la possibilità di accertare autonomamente l'identità dell'interlocutore). Certificazione che ai tempi dell'NSA appare più come un capestro che una garanzia; le CA avevano senso quando erano tante, note, indipendenti, e distribuite nel globo; oggi sono solo una sensazione di sicurezza di cui e' bene fare a meno.
    E ha eliminato questa tassa da psicopatici del controllo, nel modo più semplice possibile, anche se poco elegante: i software che impiegano x509 non devono essere riscritti per far passare gli utenti al modello senza CA, e così proteggersi dalla frode rappresentata dalla necessità imperativa di pagare una CA per poter pubblicare, per quanto questo faccia scattare allarmi ogni qualvolta uno sviluppatore controlla la coerenza dell'implementazione software al protocollo di riferimento. E' una modifica legittima per gli utenti, ma illegale dal punto di vista protocollare.
  • - Scritto da: mik.fp
    > E ha eliminato questa tassa da psicopatici del
    > controllo, nel modo più semplice possibile, anche
    > se poco elegante: i software che impiegano x509
    > non devono essere riscritti per far passare gli
    > utenti al modello senza CA ...
    Mi dispiace per te ma la vulnerabilita' e' stata corretta. Dovrai stickarti forever alla versione bacata.
    non+autenticato
  • ehm... "stickarti"? Non e' un pezzo di carta, non c'e' colla, stiamo parlando di procedure e algoritmi, per altro maturi... non serve aggiornare compulsiavamente e nessuno ti vieta di tenerti quel bug se dal tuo punto di vista e' una feature. E' software libero: scarichi i sorgenti non i binari, e lavori sul codice non sugli eseguibili.

    - Scritto da: Alceste
    > - Scritto da: mik.fp
    > > E ha eliminato questa tassa da psicopatici del
    > > controllo, nel modo più semplice possibile,
    > anche
    > > se poco elegante: i software che impiegano x509
    > > non devono essere riscritti per far passare gli
    > > utenti al modello senza CA ...
    > Mi dispiace per te ma la vulnerabilita' e' stata
    > corretta. Dovrai stickarti forever alla versione
    > bacata.
  • - Scritto da: mik.fp
    > Fanno ridere questi pseudo-informatici che
    > sfottono Il Cantinaro perché non hanno compreso
    > che eliminando la necessità di CA, Il Cantinaro
    > ha eliminato ... anzi, spoofato...
    > x509.
    >
    > Si e' semplicemente tolto dalle scatole una
    > costosa quanto inutile, e addirittura
    > controproducente, non precisata autorità, per
    > evitare di costringere i propri utenti ad
    > autorizzare esplicitamente la connessione "a siti
    > non certificati" (certificati tradizionalmente,
    > ma nulla toglie di mettere a disposizione un
    > altro canale di comunicazione su cui veicolare
    > l'ID del certificato per dare ai propri utenti la
    > possibilità di accertare autonomamente l'identità
    > dell'interlocutore). Certificazione che ai tempi
    > dell'NSA appare più come un capestro che una
    > garanzia; le CA avevano senso quando erano tante,
    > note, indipendenti, e distribuite nel globo; oggi
    > sono solo una sensazione di sicurezza di cui e'
    > bene fare a
    > meno.
    > E ha eliminato questa tassa da psicopatici del
    > controllo, nel modo più semplice possibile, anche
    > se poco elegante: i software che impiegano x509
    > non devono essere riscritti per far passare gli
    > utenti al modello senza CA, e così proteggersi
    > dalla frode rappresentata dalla necessità
    > imperativa di pagare una CA per poter pubblicare,
    > per quanto questo faccia scattare allarmi ogni
    > qualvolta uno sviluppatore controlla la coerenza
    > dell'implementazione software al protocollo di
    > riferimento. E' una modifica legittima per gli
    > utenti, ma illegale dal punto di vista
    > protocollare.
    Che stronzata vai dicendo?
    guarda che per usare una tua CA (o quella di un tuo amico) magari "self-signed" non hai da modificare nulla nel software ma semplicemente metterla nella lista delle CA trusted (e/o viceversa togliere quelle chenon "ti aggradano")...
    è un fatto di configurazione non di "modifiche al software"!!!
    non+autenticato
  • - Scritto da: tucumcari
    > - Scritto da: mik.fp
    > > Fanno ridere questi pseudo-informatici che
    > > sfottono Il Cantinaro perché non hanno
    > compreso
    > > che eliminando la necessità di CA, Il
    > Cantinaro
    > > ha eliminato ... anzi, spoofato...
    > > x509.
    > >
    > > Si e' semplicemente tolto dalle scatole una
    > > costosa quanto inutile, e addirittura
    > > controproducente, non precisata autorità, per
    > > evitare di costringere i propri utenti ad
    > > autorizzare esplicitamente la connessione "a
    > siti
    > > non certificati" (certificati
    > tradizionalmente,
    > > ma nulla toglie di mettere a disposizione un
    > > altro canale di comunicazione su cui
    > veicolare
    > > l'ID del certificato per dare ai propri
    > utenti
    > la
    > > possibilità di accertare autonomamente
    > l'identità
    > > dell'interlocutore). Certificazione che ai
    > tempi
    > > dell'NSA appare più come un capestro che una
    > > garanzia; le CA avevano senso quando erano
    > tante,
    > > note, indipendenti, e distribuite nel globo;
    > oggi
    > > sono solo una sensazione di sicurezza di cui
    > e'
    > > bene fare a
    > > meno.
    > > E ha eliminato questa tassa da psicopatici
    > del
    > > controllo, nel modo più semplice possibile,
    > anche
    > > se poco elegante: i software che impiegano
    > x509
    > > non devono essere riscritti per far passare
    > gli
    > > utenti al modello senza CA, e così
    > proteggersi
    > > dalla frode rappresentata dalla necessità
    > > imperativa di pagare una CA per poter
    > pubblicare,
    > > per quanto questo faccia scattare allarmi
    > ogni
    > > qualvolta uno sviluppatore controlla la
    > coerenza
    > > dell'implementazione software al protocollo
    > di
    > > riferimento. E' una modifica legittima per
    > gli
    > > utenti, ma illegale dal punto di vista
    > > protocollare.
    > Che stronzata vai dicendo?
    > guarda che per usare una tua CA (o quella di un
    > tuo amico) magari "self-signed" non hai da
    > modificare nulla nel software ma semplicemente
    > metterla nella lista delle CA trusted (e/o
    > viceversa togliere quelle chenon "ti
    > aggradano")...
    > è un fatto di configurazione non di "modifiche al
    > software"!!!

    Sto dicendo che dal mio punto di vista bypassare in tronco la CA non e' un bug ma una feature: mi torna comodo non dover modificare il default imposto da chi scrive il browser e tutti gli altri software compilati con gnutls. Tutto si può fare, perfino con i binari, ma ... il costo in termini di tempo rende questa "stronzata" più comoda dello smanettare freneticamente con il programmino che modifica il comportamento dell'altro programmino che e' in realtà un plugin dell'altro programmino ... comprendi? Non tutti sono feticisti malati del click, qualcuno preferisce risolvere i problemi alla radice rimuovendo il controllo sulla firma, invece di autofirmarsi i certificati e aggiungere la propria firma tra quelle fidate: non ti risulta anche a te idiota un contesto che ti obbliga a chiederti se ti fidi di te stesso? Anche visto e considerato che fidarsi di certificatoti terzi ha portato a (perpetrato?) NSA.
  • - Scritto da: mik.fp
    > - Scritto da: tucumcari
    > > - Scritto da: mik.fp
    > > > Fanno ridere questi pseudo-informatici che
    > > > sfottono Il Cantinaro perché non hanno
    > > compreso
    > > > che eliminando la necessità di CA, Il
    > > Cantinaro
    > > > ha eliminato ... anzi, spoofato...
    > > > x509.
    > > >
    > > > Si e' semplicemente tolto dalle scatole una
    > > > costosa quanto inutile, e addirittura
    > > > controproducente, non precisata autorità,
    > per
    > > > evitare di costringere i propri utenti ad
    > > > autorizzare esplicitamente la connessione
    > "a
    > > siti
    > > > non certificati" (certificati
    > > tradizionalmente,
    > > > ma nulla toglie di mettere a disposizione
    > un
    > > > altro canale di comunicazione su cui
    > > veicolare
    > > > l'ID del certificato per dare ai propri
    > > utenti
    > > la
    > > > possibilità di accertare autonomamente
    > > l'identità
    > > > dell'interlocutore). Certificazione che ai
    > > tempi
    > > > dell'NSA appare più come un capestro che
    > una
    > > > garanzia; le CA avevano senso quando erano
    > > tante,
    > > > note, indipendenti, e distribuite nel
    > globo;
    > > oggi
    > > > sono solo una sensazione di sicurezza di
    > cui
    > > e'
    > > > bene fare a
    > > > meno.
    > > > E ha eliminato questa tassa da psicopatici
    > > del
    > > > controllo, nel modo più semplice possibile,
    > > anche
    > > > se poco elegante: i software che impiegano
    > > x509
    > > > non devono essere riscritti per far passare
    > > gli
    > > > utenti al modello senza CA, e così
    > > proteggersi
    > > > dalla frode rappresentata dalla necessità
    > > > imperativa di pagare una CA per poter
    > > pubblicare,
    > > > per quanto questo faccia scattare allarmi
    > > ogni
    > > > qualvolta uno sviluppatore controlla la
    > > coerenza
    > > > dell'implementazione software al protocollo
    > > di
    > > > riferimento. E' una modifica legittima per
    > > gli
    > > > utenti, ma illegale dal punto di vista
    > > > protocollare.
    > > Che stronzata vai dicendo?
    > > guarda che per usare una tua CA (o quella di un
    > > tuo amico) magari "self-signed" non hai da
    > > modificare nulla nel software ma semplicemente
    > > metterla nella lista delle CA trusted (e/o
    > > viceversa togliere quelle chenon "ti
    > > aggradano")...
    > > è un fatto di configurazione non di "modifiche
    > al
    > > software"!!!
    >
    > Sto dicendo che dal mio punto di vista bypassare
    > in tronco la CA non e' un bug ma una feature: mi
    > torna comodo non dover modificare il default
    > imposto da chi scrive il browser e tutti gli
    > altri software compilati con gnutls.

    Cioè quasi nessuno (GNUTLS è usato pochissimo)... ma questo non è il punto è una questione di gestione del trust e il trust lo puoi (anzi LO DEVI) gestire tu non esiste software che ti salvi da questo!

    > Tutto si può
    > fare, perfino con i binari, ma ... il costo in
    > termini di tempo rende questa "stronzata" più
    > comoda dello smanettare freneticamente con il
    > programmino che modifica il comportamento
    > dell'altro programmino che e' in realtà un plugin
    > dell'altro programmino ... comprendi?

    Francamente no!
    Non comprendo mi pare una supercazzola.

    > Non tutti
    > sono feticisti malati del click, qualcuno
    > preferisce risolvere i problemi alla radice
    > rimuovendo il controllo sulla firma,

    Geniale !
    Il che equivale a nessun controllo!
    Rotola dal ridereRotola dal ridere

    > invece di
    > autofirmarsi i certificati e aggiungere la
    > propria firma tra quelle fidate:

    Aggiungere?
    Può pure essere l'unica e in peer to peer coi tuoi corrispondenti!

    > non ti risulta
    > anche a te idiota un contesto che ti obbliga a
    > chiederti se ti fidi di te stesso?

    No perchè non si verifica mai casomai ti chiedi se ti fidi del tuo corrispondente (così come lui deve chiedersi se fidarsi di te).

    > Anche visto e
    > considerato che fidarsi di certificatoti terzi ha
    > portato a (perpetrato?)
    > NSA.

    E perchè dovresti fidarti di certificatori terzi?
    E sopratutto cosa c'entra questo col codice?
    Dai mik... hai detto una cazzata!
    Non facciamone un dramma.
    Capita a tutti ...
    non+autenticato
  • - Scritto da: Leguf Iussef Khalifa
    > - Scritto da: mik.fp
    > > > > E' una modifica legittima ma illegale
    > > > Che stronzata vai dicendo?

    > Cioè quasi nessuno (GNUTLS è usato pochissimo)...
    > ma questo non è il punto è una questione di
    > gestione del trust e il trust lo puoi (anzi LO
    > DEVI) gestire tu non esiste software che ti salvi
    > da
    > questo!

    Probabilmente non comprendi il significato del WOT.

    Capita spesso alle scimmie informatizzate; purtroppo all'università si fa troppa tecnologia e zero filosofia tecnica. Che poi basterebbe leggere Bertrand Russel, "Storia della Filosofia Occidentale"; spiega con stile cosa sia un sofismo: "la gatta ha 3 figli, io ho la gatta, io ho 3 figli"; e infine generalizzare il concetto di sofismo in una delle tante astrazioni disponibili che includono ANCHE varie forme di confusione mentale (es: "Paura di Terminator, il robot che stermina l'uomo, il computer che decide al posto dell'uomo, etc"). Guarda, c'e' poco da sottovalutare quest'aspetto filosofico: io mi sono salvato dalla galera perché i buffoni che son venuti a sequestrarmi il computer davano per scontato che essendo io un Aker, allora ... quindi, io, ho fatto il Non Aker.
    Web Of Trust non significa abusare delle possibilità tecniche ...


    > > Tutto si può
    > > fare, perfino con i binari, ma ... il costo
    > in
    > > termini di tempo rende questa "stronzata" più
    > > comoda dello smanettare freneticamente con il
    > > programmino che modifica il comportamento
    > > dell'altro programmino che e' in realtà un
    > plugin
    > > dell'altro programmino ... comprendi?
    >
    > Francamente no!
    > Non comprendo mi pare una supercazzola.

    Oddio ... hasta la supercazzola siempre ... ma anche siempre un fondo de verdad. Guarda come impiegano le macchine Windows tutti coloro che sostanzialmente non hanno mai compilato un programma, tra cui, ahimè anche molti sedicenti informatici che di informatica ci campano: patchano binari (loro lo chiamano "installare software"). E quando qualcosa non va ... che fanno? Ari-patchano. Al più sovrascrivono (es: update). In genere aggiungono (es: plugin). Per loro "studiare informatica" significa imparare a memoria una sequenza di click su una interfaccia grafica in modo da poterla ripetere più velocemente possibile... l'obiettivo e' uccidere Zanka e Dalshim... magari sanno a memoria tutti gli error code http ma non hanno mai razionalizzato che e' un protocollo di trasporto.
    Ora, tralasciamo l'Utonto Qualunque che, giustamente, non ha interesse a compilare. Ma l'effetto che e' che io ti parlo di risparmiare il mio tempo davanti al terminale avendo un default più neutrale (ie: la CA non e' obbligatoria), invece di dover buttare il tempo ad autofirmarmi il mio certificato che dice che io sono io, e tu sedicente informatico non capisci ... e questo e' decisamente un problema. Perché fintanto che a perdere tempo e' il computer ... beh ... chissenefotte, con 200 milioni di transistor mi posso permettere anche di mandare metà cicli a vuoto e al più pago più corrente ... ma quando il tempo e' il mio, e soprattutto se sto chiuso a lavoro e non vedo l'ora di uscire ... fa rodere le sacre ciappette perché a forza di stare seduti vengono le emorroidi. Se il sacrificio servisse a qualcosa pure pure... ra le emorroidi perché tu non capisci, no.

    > > Non tutti
    > > sono feticisti malati del click, qualcuno
    > > preferisce risolvere i problemi alla radice
    > > rimuovendo il controllo sulla firma,
    >
    > Geniale !
    > Il che equivale a nessun controllo!
    > Rotola dal ridereRotola dal ridere

    Sbagliato. Tre casi, tre schemi di controllo diversi.
    Quando mi faccio il mio server non ho bisogno di controllo: già so di essere io.
    Quando lo faccio per qualcun altro gli telefono e gli dico che il certificato emesso da me ha ID "4A DD 06 16 1B BC F6 68 B5 76 F5 81 B6 BB 62 1A BA 5A 81 2F", e avendolo fatto su canale di comunicazione diverso da quello in cui camminano i dati, non servono contorti meccanismi di handshaking e/o certificazioni da terzi.
    Quando, ancora, faccio un server non per uno ma per molti, mi basta mettere a disposizione un numero di telefono (o altro canale) a cui LORO possono verificare l'ID del certificato (e quindi accertarsi di stare a parlare proprio con "me").

    In tutti e tre i casi il controllo e' effettuato dagli interessati, non da fantomatiche società di garanzia che potrebbero avere tutto l'interesse a garantire altro (es: sistema industriale americano invece di sistema industriale cinese, o europeo, o russo). Il Trust lo gestisci tu, non RSA, esattamente come dici qui sopra: se il controllore te lo scelgo io, il trust te lo gestisco io, e invece tu vuoi gestire il tuo trust.

    > > invece di
    > > autofirmarsi i certificati e aggiungere la
    > > propria firma tra quelle fidate:
    >
    > Aggiungere?
    > Può pure essere l'unica e in peer to peer coi
    > tuoi
    > corrispondenti!


    Il problema non e' cio' che può e non può essere; non serve che mi trascrivi tutto il manuale ... il problema e' il default. Mi chiedo, ad esempio, quanti di quelli che vanno scrivendo "a morte gli americani imperialisti" (cioè i PIDDINI del 2001 e i PDLLINI del 2012) si siano mai chiesti chi gli certificava le comunicazioni tutte le volte che hanno usato un cellulare o comprato qualcosa in rete... cioè RSA...

    Se invece il default non ci fosse sarebbero tutti tenuti a scegliere una CA, o fare senza.


    > > non ti risulta
    > > anche a te idiota un contesto che ti obbliga
    > a
    > > chiederti se ti fidi di te stesso?
    >
    > No perchè non si verifica mai casomai ti chiedi
    > se ti fidi del tuo corrispondente (così come lui
    > deve chiedersi se fidarsi di
    > te).

    Questo se il tunnel e' sicuro, ovvero se la cifratura e' end-to-end. Ma se io ho interesse a parlare con te spacciandomi per Tua Madre (o una qualunque altra persona fisica o giuridica) e sono colui che firma i certificati di Facebook ... dove cioè opera la PolPost che si e' formata in prestigiosi corsi professionali americani patrocinati dalla NATO (es: Pomezia 2009, seminario antiologramma) ... tu finisci male ... quantomeno povero in canna ...

    > > Anche visto e
    > > considerato che fidarsi di certificatoti
    > terzi
    > ha
    > > portato a (perpetrato?)
    > > NSA.
    >
    > E perchè dovresti fidarti di certificatori terzi?
    > E sopratutto cosa c'entra questo col codice?
    > Dai mik... hai detto una cazzata!

    Perche' la firma esiste come garanzia di autenticità del certificato, che a sua volta esiste come garanzia di robustezza del tunnel, ma se il certificatore e' corrotto, te parli con l'Omino in Mezzo convinto di parlare con la tua banca... quindi, appunto, sei arrivato a comprendere che: (A) non occorrono firme sui certificati perché' (B) non occorre fidarsi di certificatoti terzi.

    Quindi, ancora, il baco in oggetto non e' un ... bug ... ma una feature. E le uniche strozzate l'hai dette te (col mio aiuto, ahhahahaha).
  • - Scritto da: mik.fp
    > Fanno [cut.]

    ...con scappellamento a destra [cit.]

    iLuvcantinaro.
    Campagna di sensibilizzazione per aiutarli in questo momento difficile.
    -----------------------------------------------------------
    Modificato dall' autore il 06 marzo 2014 13.07
    -----------------------------------------------------------
    maxsix
    9374
  • Antani bagorda, ma a sinistra. Tuttavia mi sembra più interessante notare come entrambi i diversi bachi di gnutls e openssl (li' da Apple rinominato in non so quale fantasmagorico iComponenteX) ... beh ... producano lo stesso identico effetto: assenza di controllo firma CA. Mafia Hacker infiltrati (dopo 20 anni) in tutti i laboratori del mondo o semplice leggerezza giornalistica?

    Più interessante delle diatribe iScemo-Cantinaro, Microzozzi-GNUlebani, Amighetti-PCcittari, NESsari-Segaioli, Motorolazzi-Nokioli, etc. Meno divertente per chi non ha nulla di tecnico da dire, questo e' vero, ma meglio del Tertium non datur... e' dai tempi di Aristotele che vanno avanti 'sti derby tra fazioni di imbecilli.


    - Scritto da: maxsix
    > - Scritto da: mik.fp
    > > Fanno [cut.]
    >
    > ...con scappellamento a destra [cit.]
    >
    > iLuvcantinaro.
    > Campagna di sensibilizzazione per aiutarli in
    > questo momento
    > difficile.
    > --------------------------------------------------
    > Modificato dall' autore il 06 marzo 2014 13.07
    > --------------------------------------------------
  • - Scritto da: mik.fp

    > e' dai tempi di Aristotele che vanno
    > avanti 'sti derby tra fazioni di
    > imbecilli.

    92 minuti di applausi!Occhiolino
    FDG
    10893
  • - Scritto da: mik.fp

    > Si e' semplicemente tolto dalle scatole una
    > costosa quanto inutile, e addirittura
    > controproducente, non precisata autorità, per

    che poi bisognerebbe capire chi sta dietro e chi può imporre determinate scelte a queste CA

    leggevo l'articolo sullo spyware Ouroboros e ovviamente mi sono chiesto "ma come hanno fatto a ficcarlo in quei sistemi in maniera così silente?"

    considerando tutti i frizzi e i lazzi imposti dalle ultime release di windows, mi è venuto il sospetto che il simpatico malware fosse firmato, con un bel certificato validissimo rilasciato da una CA russa

    le CA ormai creano più problemi di quanti ne risolvono
    non+autenticato
  • cantinari con la coda tra le gambe dopo la baldoria (??) per il bug di apple Rotola dal ridere

    è stato divertente, grazie per lo spettacolo
  • - Scritto da: bertuccia
    > cantinari con la coda tra le gambe dopo la
    > baldoria (??) per il bug di apple
    > Rotola dal ridere

    Mi stai dicendo che apple,con tutti i suoi miliardi,ha fatto peggio di un software open source ? Qual'è la vostra scusante visto che è sempre stato a pagamento ?
    che poi è stato corretto quasi subito dalla pubblicazione....

    > è stato divertente, grazie per lo spettacolo

    4 giorni dopo aver sanato quella di IOS,per qualcosa che paghi caro e amaro eh...
    non+autenticato
  • - Scritto da: Etype
    >
    > Mi stai dicendo che

    ti sto dicendo che è un bello spettacolo vedervi qui a darvi pacche sulle spalle "eeeeeh ma succede"   Rotola dal ridere
  • - Scritto da: bertuccia
    > ti sto dicendo che è un bello spettacolo vedervi
    > qui a darvi pacche sulle spalle "eeeeeh ma
    > succede"
    > Rotola dal ridere

    Ti sto dicendo che tu hai pagato un sistema che ha impiegato 4 giorni per chiudere la falla,io no.
    Oltretutto questo è uscito in una verifica interna di Redhat,per apple non è stato cosìOcchiolino
    non+autenticato
  • - Scritto da: Etype
    > - Scritto da: bertuccia
    > > ti sto dicendo che è un bello spettacolo vedervi
    > > qui a darvi pacche sulle spalle "eeeeeh ma
    > > succede"
    > > Rotola dal ridere
    >
    > Ti sto dicendo che tu hai pagato un sistema che
    > ha impiegato 4 giorni per chiudere la falla,io
    > no.
    In effetti, a parte e forse red hat il tuo ridicolo scatolo linaro è ancora esposto.

    > Oltretutto questo è uscito in una verifica
    > interna di Redhat,per apple non è stato così
    >Occhiolino

    E quindi?
    Since 2005, vecchio.
    Vatti a nascondere.
    maxsix
    9374
  • - Scritto da: maxsix
    > In effetti, a parte e forse red hat il tuo
    > ridicolo scatolo linaro è ancora
    > esposto.

    Scoperto e fixato a tempo zero,non 4 giorni Maxminch ne tantomeno su segnalazione esterna che spesso neanche prendono in considerazione a Cupertino...il mio è già aggiornato,ridicolo sarà il tuo di sistema con le icone alla CandyCrushSagaA bocca aperta che s'installa su un solo computer ...tutto questo tu lo hai pagato ehA bocca aperta

    > E quindi?

    E quindi apple si muove su segnalazioni esterneA bocca aperta

    > Since 2005, vecchio.

    Veramente non è sicuro che era dal 2005 e vecchio ci sari tu,non di certo io....tu sai invece da quanto c'era quella falla su Mac e Ios,vero ?A bocca aperta

    > Vatti a nascondere.

    Bug scoperto con indagine all'interno della stessa azienda e fixato a tempo zero che comprende una sola libreria Vs bug scoperto dall'esterno presente anche su IOS ma tappato solo dopo 4 giorni sulla versione desktop per un'implementazione errata di apple...cose che tu hai pagato "profumatamente" e nonstante i miliardi alle spalle...sei tu che ti devi nascondereOcchiolino
    non+autenticato
  • - Scritto da: Etype
    > - Scritto da: maxsix
    > > In effetti, a parte e forse red hat il tuo
    > > ridicolo scatolo linaro è ancora
    > > esposto.
    >
    > Scoperto e fixato a tempo zero,non 4 giorni
    > Maxminch ne tantomeno su segnalazione esterna che
    > spesso neanche prendono in considerazione a
    > Cupertino...il mio è già aggiornato,ridicolo sarà
    > il tuo di sistema con le icone alla
    > CandyCrushSagaA bocca aperta che s'installa su un solo
    > computer ...tutto questo tu lo hai pagato eh
    >A bocca aperta
    >
    > > E quindi?
    >
    > E quindi apple si muove su segnalazioni esterneA bocca aperta
    >
    > > Since 2005, vecchio.
    >
    > Veramente non è sicuro che era dal 2005 e vecchio
    > ci sari tu,non di certo io....tu sai invece da
    > quanto c'era quella falla su Mac e Ios,vero ?
    >A bocca aperta
    >
    > > Vatti a nascondere.
    >
    > Bug scoperto con indagine all'interno della
    > stessa azienda e fixato a tempo zero che
    > comprende una sola libreria Vs bug scoperto
    > dall'esterno presente anche su IOS ma tappato
    > solo dopo 4 giorni sulla versione desktop per
    > un'implementazione errata di apple...cose che tu
    > hai pagato "profumatamente" e nonstante i
    > miliardi alle spalle...sei tu che ti devi
    > nascondere
    >Occhiolino

    ...
    iLuvcantinaro.
    Campagna di sensibilizzazione per aiutarli in questo momento difficile.
    maxsix
    9374
  • - Scritto da: Etype
    > Ti sto dicendo che tu hai pagato un sistema che
    > ha impiegato 4 giorni per chiudere la falla,io
    > no.

    E tu hai aggratis una falla da ben 9 anni, fai tu.

    > Oltretutto questo è uscito in una verifica
    > interna di Redhat,per apple non è stato così
    >Occhiolino

    Lavorano bene in redhat. 9 anni per scoprire una falla e la community che raccontava che erano al sicuro perché é open. A bocca aperta
    non+autenticato
  • - Scritto da: aphex_twin

    > E tu hai aggratis una falla da ben 9 anni, fai tu.

    Io ho gratis un sistema a cui mi è bastato un comando per aggiornare e che non ho pagato,riguardo i 9 anni non c'è nessuna certezza...in compenso apple non ti dirà mai da quanto fosse presente la sua di falla su entrambi i suoi sistemi eh...fai tuSorride

    > Lavorano bene in redhat

    Di sicuro meglio di apple,visto che la mela morsicata si muove solo su segnalazioni esterne...tanti miliardi e non ha una divisione sulla sicurezza ?A bocca aperta

    > 9 anni per scoprire una
    > falla

    Che può essere benissimo una diceria che siano 9 anni,e che è stata corretta prima della controparte del Mac,che è a pagamento.....
    E come andavano vantandosi gli apple fan che la loro probabilmente non è stata mai sfruttata perchè non si avevano notizie,a maggior ragione questa è stata scoperta dalla stessa azienda che ha voluto controllareOcchiolino

    > e la community che raccontava che erano al
    > sicuro perché é open.
    >A bocca aperta

    I fanboy che raccontavano di essere al sicuro perchè closed e quindi solo la cara e amata Apple con il suo lavoro certosino(????) li proteggeva dall'altoA bocca aperta
    non+autenticato
  • 9 ANNI !!!! Altri che lavorano bene.

    Almeno abbi la decenza di tacere.
    non+autenticato
  • - Scritto da: aphex_twin
    > 9 ANNI !!!! Altri che lavorano bene.

    Che non è confermato da nessuna parte

    > Almeno abbi la decenza di tacere.

    Vediamo un pò,falla scoperta da un indagine interna e tappata subito...
    Apple = falla scoperta su segnalazione esterna sia su IOS che su Mac (2 al prezzo di 1),tappano la prima e nonostante la pubblicazione hanno impiegato ben 4 giorni per fare lo stesso sulla versione desktop....ed era un'implementazione fatta da apple stessa,l'unica che ci mette le mani...Abbi tu la decenza di stare zitto...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 16 discussioni)