SourceForge bucato dai cracker

Il servizio di hosting dedicato ai progetti open source è stato violato da alcuni cracker che avrebbero sfruttato una seria vulnerabilità di uno dei server. SourceForge invita gli utenti a cambiare la loro password

Web - L' home page di SourceForge titola: "Abbattere le barriere allo sviluppo Open Source". Stavolta qualcuno li ha presi alla lettera.

Secondo quanto riportato ieri da Slashdot, uno dei server di SourceForge, il noto servizio di hosting gratuito per sviluppatori open source, sarebbe infatti stato "abbattuto" da anonimi cracker che avrebbero sfruttato una grave breccia di sicurezza del sistema.

Diversi utenti sostengono che questo potrebbe essere il motivo per cui, poco tempo fa, lo shell server di SourceForge è rimasto inattivo per una settimana per "manutenzione straordinaria".

Questa è la lettera inviata nei giorni scorsi a diversi utenti del servizio in cui SourceForge ammette di aver avuto qualche problemino di sicurezza...
"Cari Utenti SourceForge,

Il team di SourceForge prende la sicurezza davvero sul serio. Questa settimana uno dei nostri sistemi è stato compromesso. Noi abbiamo prontamente intrapreso le azioni necessarie per correggere questa situazione.

Voi siete stati contattati perché, in accordo con i nostri file di log, avete utilizzato SourceForge durante la scorsa settimana e potreste aver usato il sistema che è stato compromesso. Al fine di aggiustare il problema di sicurezza, chiediamo a tutti gli utenti che hanno usato il sistema, di cambiare la loro password immediatamente. Noi abbiamo azzerato la vostra password sostituendola con una stringa generata casualmente".


A parte la preoccupazione per le migliaia di progetti ospitati sui server di SourceForge, fra cui si citano fra tutti Freenet, Wine ed altre iniziative open source varate da big come Intel, IBM, HP e Transmeta, alcuni utenti hanno lamentato la scarsità di dettagli con cui SourceForge ha descritto i problemi di sicurezza incontrati.

Sui forum di Slashdot si è ipotizzato un po ' di tutto: pare comunque che i sistemi di SourceForge utilizzino come sistema operativo Linux e come Web server Apache 1.3.19 con PHP 4.04pl1 e OpenSSL 0.9.6. Non è dato sapere se i cracker, per accedere ad uno dei server, abbiano sfruttato una falla di sicurezza del software o una cattiva configurazione della macchina. Rimane il fatto che, fortunatamente, sembra non siano stati fatti danni ai progetti ospitati.
51 Commenti alla Notizia SourceForge bucato dai cracker
Ordina
  • ...a vedere il tono delle discussioni su PI
    Immagino che tutti quelli che hanno maciullato uno
    unix a parole siano esperti di sicurezza.Io mi ci sto laureando, guarda caso la tesi e' su linux, e posso affermare, senza paura di essere smentito, che la completa sicurezza NON esiste. Linux o windows che sia e piantiamola con questi ca$$o di discorsi "il mio so e' piu' bello del tuo" "io clicco tu digiti" ecc. ecc. Guarda caso la situazione informatica italiana versa in uno stato pietoso e la piu' rosea aspettativa di lavoro e' fare i rivenditori come Giorgio Mastrota ( con tutto il dovuto rispetto ).

    A tutti quelli che sputano pup# su unix, avete visto il panico creato dalla bufala sulbnk??? Sapete almeno cosa avete sull'HD?

    Avete almeno mai messo su un server qualsiasi e reso sicuro? Se avete risposto si aspetto le vostre critiche tecniche, se avete risposto no per favore non alimentiamo un thread da asilo mariuccia

    EOF
    non+autenticato
  • hai fatto tutto un bel discorso, hai detto e hai fatto tutto da solo, l'unica cosa che leggo tra le righe è:
    "Io mi ci sto laureando, guarda caso la tesi e' su linux, e posso affermare... "

    pardon! allora sai gia tutto sei dio dei *nix
    eh.. se ci si sta laureando sopra allora gia e' come averci 10 anni di esperianza no?
    ma si puo sapere che cosa centra tutto il tuo discorso con SourceForge bucato?
    Dovrebbe farti incavolare il fatto che e' stato bucato uno dei condottieri dell'opensource che si cerchi di incrinare questi ideali, l'articolo non a caso li chiama CRAKER e non hacker .
    bah!

    - Scritto da: Paolo Perego
    > ...a vedere il tono delle discussioni su PI
    > Immagino che tutti quelli che hanno
    > maciullato uno
    > unix a parole siano esperti di sicurezza.Io
    > mi ci sto laureando, guarda caso la tesi e'
    > su linux, e posso affermare, senza paura di
    > essere smentito, che la completa sicurezza
    > NON esiste. Linux o windows che sia e
    > piantiamola con questi ca$$o di discorsi "il
    > mio so e' piu' bello del tuo" "io clicco tu
    > digiti" ecc. ecc. Guarda caso la situazione
    > informatica italiana versa in uno stato
    > pietoso e la piu' rosea aspettativa di
    > lavoro e' fare i rivenditori come Giorgio
    > Mastrota ( con tutto il dovuto rispetto ).
    >
    > A tutti quelli che sputano pup# su unix,
    > avete visto il panico creato dalla bufala
    > sulbnk??? Sapete almeno cosa avete sull'HD?
    wow! e sai anche leggere bugtraq ???

    > Avete almeno mai messo su un server
    > qualsiasi e reso sicuro? Se avete risposto
    > si aspetto le vostre critiche tecniche, se
    > avete risposto no per favore non alimentiamo
    > un thread da asilo mariuccia
    >
    > EOF
    sono daccordo solo sull'ultimissima frase.
    non+autenticato
  • - Scritto da: V3nt0
    > hai fatto tutto un bel discorso, hai detto e
    > hai fatto tutto da solo, l'unica cosa che
    > leggo tra le righe è:
    > "Io mi ci sto laureando, guarda caso la tesi
    > e' su linux, e posso affermare... "
    >
    > pardon! allora sai gia tutto sei dio dei *nix
    Mhhh non hai capito un cazzo evvabbe' verro' censurato ma il tuo post e' idiota

    Io ho detto che:
    * la sicurezza totale non esiste
    * chi sputa su unix come SO a livello server deve portarmi argomentazioni tecniche a riguardo

    > eh.. se ci si sta laureando sopra allora gia
    > e' come averci 10 anni di esperianza no?
    Dai uno che si vierma vento ( coi caratteri da script kiddie ) non li ha 10 anni di esperienza quindi taci su questo punto

    > > A tutti quelli che sputano pup# su unix,
    > > avete visto il panico creato dalla bufala
    > > sulbnk??? Sapete almeno cosa avete
    > sull'HD?
    > wow! e sai anche leggere bugtraq ???
    No, mi insegni tu mr 10 anni di esperienza

    > > EOF
    > sono daccordo solo sull'ultimissima frase.
    Anche perche' forse e' l'unica che hai capito

    Ripeto: argomentazioni tecniche per le quali uno unix non sarebbe in grado come SO di un server, di garantire un elevato grado di sicurezza.
    non+autenticato


  • - Scritto da: Paolo Perego
    > - Scritto da: V3nt0
    > > hai fatto tutto un bel discorso, hai
    > detto e
    > > hai fatto tutto da solo, l'unica cosa che
    > > leggo tra le righe è:
    > > "Io mi ci sto laureando, guarda caso la
    > tesi
    > > e' su linux, e posso affermare... "
    > >
    > > pardon! allora sai gia tutto sei dio dei
    > *nix
    > Mhhh non hai capito un cazzo evvabbe' verro'
    > censurato ma il tuo post e' idiota
    io dico che ho capito benissimo visto come rispondi "professionalmente"

    > Io ho detto che:
    > * la sicurezza totale non esiste
    > * chi sputa su unix come SO a livello server
    > deve portarmi argomentazioni tecniche a
    > riguardo
    >
    > > eh.. se ci si sta laureando sopra allora
    > gia
    > > e' come averci 10 anni di esperianza no?
    > Dai uno che si vierma vento ( coi caratteri
    > da script kiddie ) non li ha 10 anni di
    > esperienza quindi taci su questo punto
    HAHAHAHHAAHAH ...povero idiota   
    cmq non ho detto che ho 10anni di esperienza, io
    ne ho solo 6 quelli che bastano per riconoscerti come cazzaro professionista.

    > > > A tutti quelli che sputano pup# su
    > unix,
    > > > avete visto il panico creato dalla
    > bufala
    > > > sulbnk??? Sapete almeno cosa avete
    > > sull'HD?
    > > wow! e sai anche leggere bugtraq ???
    > No, mi insegni tu mr 10 anni di esperienza
    si sicuramente avresti molto da imparare ma non perderei tempo con un pallone gonfiato come te,
    io le cose le ho gia dimostrate in campo lavorativo tu invece sei solo "una teoria" .

    > > > EOF
    > > sono daccordo solo sull'ultimissima frase.
    > Anche perche' forse e' l'unica che hai capito
    EOF ??

    cmq propio perchè conosco i NG e l'etica non risponderò piu alle tue minchiate terminando qui questo thread, credo che anche tu sia d'accordo.
    non+autenticato


  • - Scritto da: Paolo Perego
    > ...a vedere il tono delle discussioni su PI
    > Immagino che tutti quelli che hanno
    > maciullato uno
    > unix a parole siano esperti di sicurezza.Io
    > mi ci sto laureando, guarda caso la tesi e'
    > su linux, e posso affermare, senza paura di
    > essere smentito, che la completa sicurezza
    > NON esiste. Linux o windows che sia e
    > piantiamola con questi ca$$o di discorsi "il
    > mio so e' piu' bello del tuo" "io clicco tu
    > digiti" ecc. ecc. Guarda caso la situazione
    > informatica italiana versa in uno stato
    > pietoso e la piu' rosea aspettativa di
    > lavoro e' fare i rivenditori come Giorgio
    > Mastrota ( con tutto il dovuto rispetto ).
    >
    > A tutti quelli che sputano pup# su unix,
    > avete visto il panico creato dalla bufala
    > sulbnk??? Sapete almeno cosa avete sull'HD?
    >
    > Avete almeno mai messo su un server
    > qualsiasi e reso sicuro? Se avete risposto
    > si aspetto le vostre critiche tecniche, se
    > avete risposto no per favore non alimentiamo
    > un thread da asilo mariuccia

    Probabilmente tutti pensano che il loro sitema sia sicuro.
    Solo dopo essere stato bucato si rendono conto del contrario, no?? (non mi intendo di sicurezza).
    Come faccio a sapere se la mia macchina (con apache installato) è sicura??

    Ciao
    non+autenticato


  • - Scritto da: Krecker

    > Probabilmente tutti pensano che il loro
    > sitema sia sicuro.
    Io parto dal presupposto che tutto quello che faccio sia sbagliato per poi verificare il contrario.
    > Solo dopo essere stato bucato si rendono
    > conto del contrario, no?? (non mi intendo di
    > sicurezza).
    > Come faccio a sapere se la mia macchina (con
    > apache installato) è sicura??
    L'amministratore di sistema, che dovrebbe garantire la sicurezza del suo server, effettua un penetration test per vedere se, qualcuno dall'esterno riesce ad entrare.

    Di conseguenza aggiorna giorno per giorno il software per i servizi che fornisce
    IMHO

    CiaoSorride
    non+autenticato
  • .. e scusate se è poco, tutti quelli che se la ridono di coloro che usano WindowsNT
    (senza MINIMAMENTE considerare che per alcuni non è una scelta ma un obbligo)

    mentre loro usano Unix o Linux.

    Mi ride il b del c fino a Natale.

    Quelli di Source Forge e quelli di ASF credo con un buon grado di certezza, siano definibili quali esperti come pochi.

    Eppure li hanno bucati.


    Al primo che mi rompe ancora le balle gli tiro una scarica di cd di linux nei denti.

    Anche io lo sto imparando, di certo quando lo conoscerò non mi metterò a ridere di quelli che usano Winzoz. L'unica risata che mi concedo è la seguente

    ha ha ha ha ha ha ha ha ha ha.

    Certo , voi diLinux siete sicuramente piu' bravi di Lerdorf e company. Scusate.

    Ha ha, ha ha ha, mi rotolo sul pavimento... ha ha ha, HA HA HA HA

    UAH UAH UAAAAAH

    clap clap clap.
    ciao menti.

    Colui che ha avviato questo thread ha detto una gran verità che quelli (alcuni di quelli) che usano unix sembrano negare. Poi un giorno si trovano con il trojan nelle mutande. e gli danno fieno e carrube... mentre si leccano le ferite.

    Ciao a tutti i root.
    hi hi hi hi hi hi.



    PS: un nostro firewall su Piastra sun (installato e gestito da remoto da una nota società telefonica) è stato forato e gli hanno inserito un bel box con cavallino di troia dentro....

    da lì il cracker ha cercato di sostituire diverse homepage con la pagina "fuckChina PoisonBox"

    E non è riuscito. dopo aver provato su 6 macchine WinNT. e win2000.

    Ooops, scusate WinzozNT e Winzoz 2000

    A-ri hi hi hi









    - Scritto da: Paolo Perego
    > ...a vedere il tono delle discussioni su PI
    > Immagino che tutti quelli che hanno
    > maciullato uno
    > unix a parole siano esperti di sicurezza.Io
    > mi ci sto laureando, guarda caso la tesi e'
    > su linux, e posso affermare, senza paura di
    > essere smentito, che la completa sicurezza
    > NON esiste. Linux o windows che sia e
    > piantiamola con questi ca$$o di discorsi "il
    > mio so e' piu' bello del tuo" "io clicco tu
    > digiti" ecc. ecc. Guarda caso la situazione
    > informatica italiana versa in uno stato
    > pietoso e la piu' rosea aspettativa di
    > lavoro e' fare i rivenditori come Giorgio
    > Mastrota ( con tutto il dovuto rispetto ).
    >
    > A tutti quelli che sputano pup# su unix,
    > avete visto il panico creato dalla bufala
    > sulbnk??? Sapete almeno cosa avete sull'HD?
    >
    > Avete almeno mai messo su un server
    > qualsiasi e reso sicuro? Se avete risposto
    > si aspetto le vostre critiche tecniche, se
    > avete risposto no per favore non alimentiamo
    > un thread da asilo mariuccia
    >
    > EOF
    non+autenticato
  • MA CAZZO! PERCHE' SE SUCCEDE AD UN SISTEMA M$ ALLORA WINDOWS E' UNA MERDA, FA SCHIFO, E' UN COLABRODO PASSATE A LINUX! SE INVECE SUCCEDE A LINUX E' UN PROBLEMA DI CONFIGURAZIONE?

    Non è realismo questo, e poi perchè ogni volta si deve sputare sul lavoro di M$? Anche su Windows è possibile impedire a chiunque di fare ogni cosa, l'utente non può nemmeno spegnere o riavviare le macchina! Si può bloccare la stampante, la connessione remota, il prompt dei comadi, tutto! Basta saperlo fare! Se conoscete solo Linux e non avete la più pallida idea di come configurare Windows per lo meno non rompete le palle con i vs. interventi inutili!
    Errare è umano, insistere è diabolico!
    non+autenticato
  • > MA CAZZO! PERCHE' SE SUCCEDE AD UN SISTEMA
    > M$ ALLORA WINDOWS E' UNA MERDA, FA SCHIFO,

    si ma per un software pagato all'inverosimile, questo tipo di falle non dovrebbe nemmeno esistere, tra l'altro i bachi relativi ad apache sono sempre stati resi noti e dichiarati apertamente, quando succede a M$ tenta sempre di nascondere...
    non+autenticato


  • - Scritto da: BluEdoG
    > > MA CAZZO! PERCHE' SE SUCCEDE AD UN SISTEMA
    > > M$ ALLORA WINDOWS E' UNA MERDA, FA SCHIFO,
    >
    > si ma per un software pagato
    > all'inverosimile, questo tipo di falle non
    > dovrebbe nemmeno esistere, tra l'altro i

    infatti solaris costa poco e non ha un bug che sia uno
    anche HP-UX costa pochissimo e non ha bug
    anche Aix, stessa sorte

    > bachi relativi ad apache sono sempre stati
    > resi noti e dichiarati apertamente, quando
    > succede a M$ tenta sempre di nascondere...

    infatti gli "ms security bullettins" sono una mia invenzione!

    ciao
    non+autenticato


  • > infatti solaris costa poco e non ha un bug
    > che sia uno
    > anche HP-UX costa pochissimo e non ha bug
    > anche Aix, stessa sorte
    >
    spero sia unaffermazione ironicaSorride
    solaris ha un pacco di bugs e appena ne esce uno remoto mezzo pianeta di sys sol viene puntualmente sforacchiato.
    hp-ux non ha molti exploit publici come aix ma solo perche' rappresentano una super minoranza...se fossero diffusi come linux o solaris se ne vedrebbero anche li a bizzeffe.

    ciaoSorride
    non+autenticato
  • Semplicemente perchè su un sistema linux hai la possibilità di configurare i servizi come meglio credi, stando a stretto contatto con la macchina, i sistemi microZoZZ invece ti danno il piatto bello e pronto, e se nel piatto c'è una mosca te la mangi non puoi toglierla -> la colpa ricade sul sistema operativo.
    non+autenticato


  • - Scritto da: Skin_Bracer
    > MA CAZZO! PERCHE' SE SUCCEDE AD UN SISTEMA
    > M$ ALLORA WINDOWS E' UNA MERDA, FA SCHIFO,
    > E' UN COLABRODO PASSATE A LINUX! SE INVECE
    > SUCCEDE A LINUX E' UN PROBLEMA DI
    > CONFIGURAZIONE?

    Occhio che ti scoppia la bile!!Sorride

    > Non è realismo questo, e poi perchè ogni
    > volta si deve sputare sul lavoro di M$?
    > Anche su Windows è possibile impedire a
    > chiunque di fare ogni cosa, l'utente non può
    > nemmeno spegnere o riavviare le macchina! Si
    > può bloccare la stampante, la connessione
    > remota, il prompt dei comadi, tutto! Basta
    > saperlo fare!

    Non hai capito, di solito il probelma è inverso... quelli si bloccano e bisogna farli ripartire!! Sorride

    Le macchina imbucabili non esistono... ci sono quelle piu' facilmente bucabili e quelle meno, ma un cazzo di bufferoverflow prima o poi ci sarà.

    Sicuramente li' non ci sono entrati dal mediaplayer

    non+autenticato
  • ...sotto la sabbia, e alla prima occasione sono saltati fuori sputando veleno.Ficoso

    Beh, tranquilli, ve lo ricordate quando succedeva lo stesso con Win* ? Adesso la scoperta di nuovi bachi di questo SO non fa neanche più notizia...Occhiolino

    A proposito, faccio notare che finché non se ne saprà di più è del tutto inutile (s)parlare di falle del SO, visto che magari si tratta di un problema di configurazione, o di un baco noto da tempo e non corretto.
    non+autenticato
  • - Scritto da: IlGrillo
    > A proposito, faccio notare che finché non se
    > ne saprà di più è del tutto inutile
    > (s)parlare di falle del SO, visto che magari
    > si tratta di un problema di configurazione,
    > o di un baco noto da tempo e non corretto.

    Ed io a proposito ti faccio notare che fior di peracottari hanno sparso quintali di m?rda sui sistemi Windows quando il problema era lo stesso.
    Ora tocca a voi... è la vita, un giorno a me, ma l'altro a te!


    Byee
    Zeross
    non+autenticato


  • - Scritto da: Zeross
    > - Scritto da: IlGrillo
    > > A proposito, faccio notare che finché non
    > se
    > > ne saprà di più è del tutto inutile
    > > (s)parlare di falle del SO, visto che
    > magari
    > > si tratta di un problema di
    > configurazione,
    > > o di un baco noto da tempo e non corretto.
    >
    > Ed io a proposito ti faccio notare che fior
    > di peracottari hanno sparso quintali di
    > m?rda sui sistemi Windows quando il problema
    > era lo stesso.
    > Ora tocca a voi... è la vita, un giorno a
    > me, ma l'altro a te!
    >

    Peracottaro ci sei te, visto che e' stato svelato l'arcano.. niente bachi di OS e' stata banalmente rubata una password (non era pippo123 la password preferita da tutti gli amm.. ehm amm.... windows vabbe' che ci vuoi fare proprio non ci riesco a chiamarli amministratori quelle scimmie ammaestrate che pigiano icone).
    non+autenticato


  • - Scritto da: Id
    >
    >
    > - Scritto da: Zeross
    > > - Scritto da: IlGrillo
    > > > A proposito, faccio notare che finché
    > non
    > > se
    > > > ne saprà di più è del tutto inutile
    > > > (s)parlare di falle del SO, visto che
    > > magari
    > > > si tratta di un problema di
    > > configurazione,
    > > > o di un baco noto da tempo e non
    > corretto.
    > >
    > > Ed io a proposito ti faccio notare che
    > fior
    > > di peracottari hanno sparso quintali di
    > > m?rda sui sistemi Windows quando il
    > problema
    > > era lo stesso.
    > > Ora tocca a voi... è la vita, un giorno a
    > > me, ma l'altro a te!
    > >
    >
    > Peracottaro ci sei te, visto che e' stato
    > svelato l'arcano.. niente bachi di OS e'
    > stata banalmente rubata una password (non
    > era pippo123 la password preferita da tutti
    > gli amm.. ehm amm.... windows vabbe' che ci
    > vuoi fare proprio non ci riesco a chiamarli
    > amministratori quelle scimmie ammaestrate
    > che pigiano icone).


    un mio amico di centocelle direbbe
    "sete mejo voi"
    tradotto in italiano "siete meglio voi"...
    finitela co sta storia io cell'ho piu' lungo, io cell'ho piu' duro!!
    fate ridere...
    e poi pippo123 io non l'ho mai sentita..
    al massimo pippo pippo come utente..
    o administrator senza password

    Ciao
    non+autenticato
  • Il mio caro win-esperto d'informatica (io toglierei la 'w' ed il trattino, cmq...) lo sai che anche Solaris ha delle falle? Ma da questo a dire che Solaris 8 e Windows NT5 AS hanno la stessa sicurezza e stabilità...

    Fai bella figura e rifletti prima di scrivere.

    > Ed io a proposito ti faccio notare che fior
    > di peracottari hanno sparso quintali di
    > m?rda sui sistemi Windows quando il problema
    > era lo stesso.
    > Ora tocca a voi... è la vita, un giorno a
    > me, ma l'altro a te!
    >
    >
    > Byee
    > Zeross
    non+autenticato
  • - Scritto da: -rj-
    >
    > Fai bella figura e rifletti prima di
    > scrivere.


    E tu fai più bella figura se leggi prima di scrivere.
    Non ho scritto nulla di ciò che dici tu.


    Byee
    Zeross
    non+autenticato

  • Mi fa piacere che ti rimangi quanto detto.
    Almeno hai senso critico. Bravo!

    Up the unix (and linux too)!
    -rj-

    - Scritto da: Zeross
    > - Scritto da: -rj-
    > >
    > > Fai bella figura e rifletti prima di
    > > scrivere.
    >
    >
    > E tu fai più bella figura se leggi prima di
    > scrivere.
    > Non ho scritto nulla di ciò che dici tu.
    >
    >
    > Byee
    > Zeross
    non+autenticato
  • - Scritto da: -rj-
    >
    > Mi fa piacere che ti rimangi quanto detto.
    > Almeno hai senso critico. Bravo!


    Mah... rimango perplesso sai...

    Io ho scritto:
    <<Ed io a proposito ti faccio notare che fior di peracottari hanno sparso quintali di m?rda sui sistemi Windows quando il problema era lo stesso.
    Ora tocca a voi... è la vita, un giorno a me, ma l'altro a te!>>

    Tu hai scritto
    <<Il mio caro win-esperto d'informatica (io toglierei la 'w' ed il trattino, cmq...) lo sai che anche Solaris ha delle falle? Ma da questo a dire che Solaris 8 e Windows NT5 AS hanno la stessa sicurezza e stabilità...>>


    Se a te sembra che io abbia detto che Solaris 8 e Windows NT5 AS hanno la stessa sicurezza e stabilità, beh... allora per me tu puoi anche aver voluto dire che Napoleone è morto di troppe seghe, scusa.

    Sinceramente ti ripeto che io non ho detto quello di cui mi accusi.
    Pertanto non posso rimangiarmi qualcosa che non ho detto.


    Byee
    Zeross
    non+autenticato


  • - Scritto da: IlGrillo
    > ...sotto la sabbia, e alla prima occasione
    > sono saltati fuori sputando veleno.Ficoso
    >
    > Beh, tranquilli, ve lo ricordate quando
    > succedeva lo stesso con Win* ? Adesso la
    > scoperta di nuovi bachi di questo SO non fa
    > neanche più notizia...Occhiolino
    >
    > A proposito, faccio notare che finché non se
    > ne saprà di più è del tutto inutile
    > (s)parlare di falle del SO, visto che magari
    > si tratta di un problema di configurazione,
    > o di un baco noto da tempo e non corretto.

    Giusto, anche se non credo che il sysadm si sourcefrog. sia il primo arrivato.
    non+autenticato


  • Pur usando la verita' rivelata sotto forma di OS e web server? Quello che doveva essere inviolabile/incraccabile/insuperabile/inc...ecc...??
    Sara' colpa degli amministratori che non sono competenti... Ma come? Quelli dell'open source estremista non sono tutti dei super amministratori omniscenti?
    non+autenticato


  • - Scritto da: OKK
    >
    >
    > Pur usando la verita' rivelata sotto forma
    > di OS e web server? Quello che doveva essere
    > inviolabile/incraccabile/insuperabile/inc...e

    sei sicuro di quello che affermi?

    "c'e' solo un modo per violare windows 2000"


    > Sara' colpa degli amministratori che non
    > sono competenti... Ma come? Quelli dell'open
    > source estremista non sono tutti dei super
    > amministratori omniscenti?

    no... pero' si potrebbe iniziare ad usare la formula magica "lei e' licenziato"

    certo e' che quando hai in mano un aggeggio microsoft, che la patch ti viene rilasciata dopo un mese, il tuo posto trema molto ma molto di piu'.
    non+autenticato
  • - Scritto da: munehiro
    >
    >
    > - Scritto da: OKK
    > >
    > >
    > > Pur usando la verita' rivelata sotto forma
    > > di OS e web server? Quello che doveva
    > essere
    > >
    > inviolabile/incraccabile/insuperabile/inc...e
    >
    > sei sicuro di quello che affermi?
    >
    > "c'e' solo un modo per violare windows 2000"
    >

    arrampicata sugli specchi?
    per difendere una cosa, non bisogna per forza buttarne giu' un'altra.
    Basta dire che VA linux (che e' proprietaria di sourceforge) e' in netta crisi di vendite, e quindi anche loro a fare tagli di personale e turni di 16 ore.
    E la caxxata ci scappa....
    siamo tutti esseri umani.
    E anche le potentissime macchine VA di sourceforge non sono invulnerabili...
    E' brutto quando un sogno si infrange lo so...
    ma purtroppo e' la realta'!


    >
    > > Sara' colpa degli amministratori che non
    > > sono competenti... Ma come? Quelli
    > dell'open
    > > source estremista non sono tutti dei super
    > > amministratori omniscenti?
    >
    > no... pero' si potrebbe iniziare ad usare la
    > formula magica "lei e' licenziato"
    >

    quindi e' meglio far perdere il posto a un povero cristiano, piuttosto che ammettere che i bug di sicurezza c'erano ieri su tutti gli unix e ci saranno anche domani?
    altro che regime totalitario... qui siamo all'oscurantismo piu' totale...
    questo e' veramente il grande fratello.. quello di Orwell pero'!

    > certo e' che quando hai in mano un aggeggio
    > microsoft, che la patch ti viene rilasciata
    > dopo un mese, il tuo posto trema molto ma
    > molto di piu'.

    al contrario! e' saldissimo!.. perche' so a chi scaricare le colpe!Occhiolino
    come vedi a volte la super sicurezza attribuita a linux, puo' rivelarsi un pericoloso boomerang!

    Ciao
    non+autenticato
  • - Scritto da: MaKs
    > arrampicata sugli specchi?
    > per difendere una cosa, non bisogna per
    > forza buttarne giu' un'altra.

    assolutamente no. Semplicemente chi professa l'invulnerabilita' dei propri sistemi sono ben altre persone.

    > Basta dire che VA linux (che e' proprietaria
    > di sourceforge) e' in netta crisi di
    > vendite, e quindi anche loro a fare tagli di
    > personale e turni di 16 ore.
    > E la caxxata ci scappa....
    > siamo tutti esseri umani.
    > E anche le potentissime macchine VA di
    > sourceforge non sono invulnerabili...
    > E' brutto quando un sogno si infrange lo
    > so...
    > ma purtroppo e' la realta'!

    oh beh... io non ho nessun sogno infranto. Io lavoro. Gli altri giocano a fare il sysadmin cliccando icone. No problem.
    Chissa' perche' pero' i miei server (quelli su cui ho il controllo diretto e quotidiano come professione) non sono mai stati bucati da nessuno. mah...

    oh... non nego che possa capitare anche a me, ma almeno quando capita la colpa e' mia. Preferisco che sia cosi' che fidarmi di un branco di responsabili marketing che professano l'ultrasicurezza pur di venderti l'ennesima fregatura.

    > > no... pero' si potrebbe iniziare ad usare
    > la
    > > formula magica "lei e' licenziato"
    > >
    >
    > quindi e' meglio far perdere il posto a un
    > povero cristiano, piuttosto che ammettere
    > che i bug di sicurezza c'erano ieri su tutti
    > gli unix e ci saranno anche domani?

    su tutti i programmi. Forse puoi ammettere che sistemi non unix non abbiano bug di sicurezza?

    > altro che regime totalitario... qui siamo
    > all'oscurantismo piu' totale...

    no.. siamo nel regime del fatto che se scazzi e' giusto che paghi. O forse se tu sei il responsabile di visa.de e ti fai bucare, ti giustifichi dicendo "ah ma tutti i programmi sono bacati"

    > > certo e' che quando hai in mano un
    > aggeggio
    > > microsoft, che la patch ti viene
    > rilasciata
    > > dopo un mese, il tuo posto trema molto ma
    > > molto di piu'.
    >
    > al contrario! e' saldissimo!.. perche' so a
    > chi scaricare le colpe!Occhiolino

    oh beh... allora mi dirai che per il buco a visa.de e' stata denunciata la microsoft, visto che il server era IIS4 ?

    Quei numeri di carta di credito pero' sono usciti fuori. Chi paga?

    il tuo e' il tipico atteggiamento italiota, di chi non si assume mai le resposabilita' degli errori che compie e che cerca sempre qualcuno su cui scaricare il proprio pesante barile.

    ecco perche' vivo in un mondo di merda.

    > come vedi a volte la super sicurezza
    > attribuita a linux, puo' rivelarsi un
    > pericoloso boomerang!

    supersicurezza? diciamo e spieghiamo bene un paio di cose: se vuoi fare un sistema ipersicuro con linux lo fai. Ti faccio un sistema blindato con linux, perche' potendo avere pieno accesso al kernel posso crearti un qualcosa che non ti fa fare nemmeno ls senza che io ne venga a conoscenza. Il perche' non lo si faccia e' per questioni strettamente pratiche e di utilizzo, ma su certe macchine strettamente mission critical non puoi permetterti di sbagliare, ed usare un minimo di accorgimento non sarebbe male. Esistono svariate patch di sicurezza al kernel, e vari trucchetti per garantire una sicurezza a livelli paranoici (cerca medusa DS9).

    Puoi fare la stessa cosa con un sistema chiuso? se si'... allora perche' l'NSA ha scelto linux per fare il security enhanced Linux ?

    tornando al fatto di sourceforge, e' semplicemente un'altra vittima. Come ce ne sono state di qua, ce ne sono di la'. Sourceforge e' un nodo molto importante per lo sviluppo OpenSource, ed una leggerezza simile e' da considerare una vera e propria idiozia. Ma credi che una macchina win2k avrebbe ottenuto maggiore fortuna (ammesso che una macchina win2k sia in grado di reggere il carico e le applicazioni di sourceforge) ?
    non+autenticato
  • > assolutamente no. Semplicemente chi professa
    > l'invulnerabilita' dei propri sistemi sono
    > ben altre persone.
    >

    pubblicita'....
    "zoppas li fa, nessuno li distrugge"...
    tutti sanno che non e' vero...
    sei rimasto solo tu a crederci..

    > oh beh... io non ho nessun sogno infranto.
    > Io lavoro. Gli altri giocano a fare il
    > sysadmin cliccando icone. No problem.

    "io so io, voi non siete un cazzo"
    Marchese del Grillo

    > Chissa' perche' pero' i miei server (quelli
    > su cui ho il controllo diretto e quotidiano
    > come professione) non sono mai stati bucati
    > da nessuno. mah...
    >

    perche' i tuoi server non hanno sopra 140 utenti
    e decine di migliaia di progetti, ecco perche'.

    > oh... non nego che possa capitare anche a
    > me, ma almeno quando capita la colpa e' mia.

    non e' detto.

    > Preferisco che sia cosi' che fidarmi di un
    > branco di responsabili marketing che
    > professano l'ultrasicurezza pur di venderti
    > l'ennesima fregatura.
    >

    io non mi fido dei responsabili di marketing.
    Io non devo rompermi la schiena dietro a ogni pacchetto che passa...
    Io piazzo un PIX e non ti faccio passare a prescindere.
    Se poi il server web o mail ha un bug non noto, la colpa non puo' essere mia.
    Sia esso win o *nix o mac o beos etc etc

    >
    > su tutti i programmi. Forse puoi ammettere
    > che sistemi non unix non abbiano bug di
    > sicurezza?
    >

    lo stai dicendo tu....

    > no.. siamo nel regime del fatto che se
    > scazzi e' giusto che paghi. O forse se tu
    > sei il responsabile di visa.de e ti fai
    > bucare, ti giustifichi dicendo "ah ma tutti
    > i programmi sono bacati"
    >

    Occhio... errare e' umano.
    E questo e' un principio che non si puo' distruggere solo per il profitto.
    E l'errore sara' tanto piu' alto, tanto meno sara' stato speso in formazione e progettazione.
    Se il sistemista di visa.de era un ragazzino di 19 anni che smanettava un po' cosi' lo pagano due lire... beh.. lui non c'entra nulla!
    a pagare non e' mai chi sbaglia, ma quello che sta piu' un alto di lui che ce l'ha messo.
    Altrimenti gli stipendi da fame che danno al sistemista medio NON sono giustificabili ne tantomeno quelli milionari dati ai responsabili IT.

    > oh beh... allora mi dirai che per il buco a
    > visa.de e' stata denunciata la microsoft,
    > visto che il server era IIS4 ?
    >

    non credo.
    Ma li deve saltare la testa di un responsabile, non della manovalanza sottopagata.

    > Quei numeri di carta di credito pero' sono
    > usciti fuori. Chi paga?
    >

    Visa stessa...
    C'e' una legge europea su questo.
    Se io disconosco un acquisto fatto con la mia carta la banca DEVE rimborsrmi.
    La banca a sua volta potra' rifarsi sull'ente emittente della carta se ne accerta la diretta responsabilita'.
    In Italia il maggior emittente sono i servizi interbancari.

    > il tuo e' il tipico atteggiamento italiota,
    > di chi non si assume mai le resposabilita'
    > degli errori che compie e che cerca sempre
    > qualcuno su cui scaricare il proprio pesante
    > barile.
    >

    penso tu abbia sbagliato persona per questa critica.

    > ecco perche' vivo in un mondo di merda.
    >

    no.. solo perche' prendi tutto troppo sul serio...
    e poi non capisci la differenza fra una battuta ironica e una cosa detta seriamente.
    e non ti fai una sana risata..

    > > come vedi a volte la super sicurezza
    > > attribuita a linux, puo' rivelarsi un
    > > pericoloso boomerang!
    >

    oh... anche questa e' una battuta eh!

    > supersicurezza? diciamo e spieghiamo bene un
    > paio di cose: se vuoi fare un sistema
    > ipersicuro con linux lo fai. Ti faccio un
    > sistema blindato con linux, perche' potendo
    > avere pieno accesso al kernel posso crearti
    > un qualcosa che non ti fa fare nemmeno ls
    > senza che io ne venga a conoscenza. Il
    > perche' non lo si faccia e' per questioni
    > strettamente pratiche e di utilizzo, ma su
    > certe macchine strettamente mission critical
    > non puoi permetterti di sbagliare, ed usare
    > un minimo di accorgimento non sarebbe male.
    > Esistono svariate patch di sicurezza al
    > kernel, e vari trucchetti per garantire una
    > sicurezza a livelli paranoici (cerca medusa
    > DS9).
    >

    si... e la supercazzola?
    perche' devo perdere tempo con quelle cose?
    preferisco un prodotto specifico per firewalling o ad esempio OpenBSD e ipfilter...

    > Puoi fare la stessa cosa con un sistema
    > chiuso? se si'... allora perche' l'NSA ha
    > scelto linux per fare il security enhanced
    > Linux ?
    >

    perche' e' piu' facile controllare quello che passa e mettere backdoor e amenita' simili.

    > tornando al fatto di sourceforge, e'
    > semplicemente un'altra vittima. Come ce ne
    > sono state di qua, ce ne sono di la'.

    peccato che se fosse stato un sistema windows avresti detto che era per colpa del sistema operativo...

    > Sourceforge e' un nodo molto importante per
    > lo sviluppo OpenSource, ed una leggerezza
    > simile e' da considerare una vera e propria
    > idiozia. Ma credi che una macchina win2k
    > avrebbe ottenuto maggiore fortuna (ammesso
    > che una macchina win2k sia in grado di
    > reggere il carico e le applicazioni di
    > sourceforge) ?

    Io non lo credo.
    Per questo sono diverso da te.
    Io non sono ne religioso, ne sposato.
    Quindi per me uno vale l'altro....
    dipende sempre da cosa devo fare...
    ma se 2k viene bucato la colpa e' di Bill Gates direttamente, se succede a una macchina VA linux la colpa e' del povero sistemista..
    mi sta bene, ma siete francamente poco obbiettivi.

    Ciao
    non+autenticato


  • - Scritto da: MaKs
    > perche' i tuoi server non hanno sopra 140
    > utenti

    ne ho 100 pero'

    > si... e la supercazzola?
    > perche' devo perdere tempo con quelle cose?
    > preferisco un prodotto specifico per
    > firewalling o ad esempio OpenBSD e
    > ipfilter...

    un firewall non risolve tutti i mali del mondo

    > > Puoi fare la stessa cosa con un sistema
    > > chiuso? se si'... allora perche' l'NSA ha
    > > scelto linux per fare il security enhanced
    > > Linux ?
    > >
    >
    > perche' e' piu' facile controllare quello
    > che passa e mettere backdoor e amenita'
    > simili.

    gia'... facile mettere backdoor in un prodotto opensource.

    > Io non lo credo.
    > Per questo sono diverso da te.
    > Io non sono ne religioso, ne sposato.
    > Quindi per me uno vale l'altro....
    > dipende sempre da cosa devo fare...
    > ma se 2k viene bucato la colpa e' di Bill
    > Gates direttamente, se succede a una
    > macchina VA linux la colpa e' del povero
    > sistemista..

    negativo. La colpa e' sempre del sistemista, perche' se le patch escono e lui non le applica e' lui che non ha fatto il suo lavoro. Certo e' che se una vulnerabilita' esce con tanto di exploit e la ditta responsabile della correzione ci mette un mese a rilasciartela, allora fino a che punto puoi dire che la colpa e' del sistemista?
    non+autenticato

  • - Scritto da: munehiro

    > > si... e la supercazzola?
    > > perche' devo perdere tempo con quelle
    > cose?
    > > preferisco un prodotto specifico per
    > > firewalling o ad esempio OpenBSD e
    > > ipfilter...
    >
    > un firewall non risolve tutti i mali del
    > mondo
    Un firewall firmware implementato su hardware "ignoto" ai kiddies con uno stack embedded blindato e parametri modificabili solo via seriale locale risulta a malapena vulnerabile alle debolezze intrinseche del TCP/IP. Il che non è poco come base di partenza.

    Quanto ad OpenBSD, naturalmente tu svicoli sull'argomento, ma io, che non amministro sistemi a tempo perso, preferisco di gran lunga un sistema che NON HA exploit remoti da 3 anni, nè patches significative. Con Linux, facendoti il "mazzo" per la configurazione iniziale e perdendo un sacco di tempo con le patches, puoi forse ottenere un risultato che OpenBSD ti regala di default. Fine della questione "che sistema si mette su questo server ?", per quanto concerne me. Il tempo costa anche per i neoprofessionisti, a maggior ragione per quelli più esperti.

    > > Io non lo credo.
    > > Per questo sono diverso da te.
    > > Io non sono ne religioso, ne sposato.
    > > Quindi per me uno vale l'altro....
    > > dipende sempre da cosa devo fare...
    > > ma se 2k viene bucato la colpa e' di Bill
    > > Gates direttamente, se succede a una
    > > macchina VA linux la colpa e' del povero
    > > sistemista..
    >
    > negativo. La colpa e' sempre del sistemista,
    > perche' se le patch escono e lui non le
    > applica e' lui che non ha fatto il suo
    > lavoro. Certo e' che se una vulnerabilita'
    > esce con tanto di exploit e la ditta
    > responsabile della correzione ci mette un
    > mese a rilasciartela, allora fino a che
    > punto puoi dire che la colpa e' del
    > sistemista?
    Negativo, la colpa è di chi ha sposato acriticamente una concezione manichea, che limita gli orizzonti della ICT a due soli sistemi ed al mondo i*net.

    Prova un pò a cercare advisories relativi ai *BSD, ma anche a roba più esoterica e meno nota: QNX, VxWorks, Chorus, Nucleus... risultato: tabula rasa. Ci sono sistemi che, semplicemente, NON HANNO bisogno di patches, sopratutto con la frequenza di Linux.
    Scommetto che il nome EBSnet non ti dice assolutamente niente, eppure il loro stack TCP/IP realtime conta migliaia di installazioni e si compra in sorgente per poche migliaia di dollari, a portata di qualsiasi professionista, senza passare a software certificato SSI o MIL.
    Senza poi contare il fatto che OpenBSD è opensource, esattamente come il tuo cavallo di battaglia, ma alla luce dei fatti va molto meglio come TCO, proprio grazie al fatto che il lavoro richiesto per blindarlo è minimo, quando non inesistente.

    Che poi i sistemisti I*net debbano giustificare la loro esistenza ed il loro stipendio usando sistemi che hanno bisogno di lavoro continuo, questo è decisamente un altro paio di maniche.
    non+autenticato


  • - Scritto da: @cid£&@d
    > Quanto ad OpenBSD, naturalmente tu svicoli
    > sull'argomento, ma io, che non amministro
    > sistemi a tempo perso, preferisco di gran
    > lunga un sistema che NON HA exploit remoti
    > da 3 anni

    su questo siamo perfettamente d'accordo. OpenBSD e' una roccia, e se dovessi mettere su qualcosa che mi gestisce uno shuttle ci metterei quello, ma e' anche una lumaca in quanto a sviluppo.
    non+autenticato

  • - Scritto da: munehiro
    >
    > su questo siamo perfettamente d'accordo.
    > OpenBSD e' una roccia, e se dovessi mettere
    > su qualcosa che mi gestisce uno shuttle ci
    > metterei quello, ma e' anche una lumaca in
    > quanto a sviluppo.
    Per lo shuttle consiglio vivamente QNX o Tornado.

    Quanto al resto, siamo proprio sicuri che buttarsi a capofitto lungo la china delle legge di Moore sia l'unica soluzione per affrontare il mercato ICT ? Mi ripeto, meglio un sistema stabile e collaudato che gira su HW di un anno fa piuttosto che altri esempi deplorevoli.
    In fondo, un server non serve a far giochini con l'ultimissima tecnologia disponibile...
    non+autenticato
  • - Scritto da: @cid£&@d
    > Per lo shuttle consiglio vivamente QNX o
    > Tornado.

    se devi esaminare dati in realtime ok... ma non sempre e' un'esigenza. qnx so che lo usano nelle acquisizioni dati degli acceleratori di particelle.

    >
    > Quanto al resto, siamo proprio sicuri che
    > buttarsi a capofitto lungo la china delle
    > legge di Moore sia l'unica soluzione per
    > affrontare il mercato ICT ? Mi ripeto,
    > meglio un sistema stabile e collaudato che
    > gira su HW di un anno fa piuttosto che altri
    > esempi deplorevoli.

    su questo siamo d'accordo. A cosa serve un word processor pesantissimo e iperfeaturizzato (mi si perdoni il neologismo) quando all'utente va bene scrivere due lettere del cavolo all'amico o al commercialista?

    > In fondo, un server non serve a far giochini
    > con l'ultimissima tecnologia disponibile...

    gia'... ma alla microsoft pare che non la pensino cosi', altrimenti perche' mettere il supporto per le periferiche giochi in win2000 ?
    non+autenticato


  • - Scritto da: munehiro
    > - Scritto da: @cid£&@d
    > > Per lo shuttle consiglio vivamente QNX o
    > > Tornado.

    Tornado? VxWorks, vorrai dire, Tornado è l apiattaforma di sviluppo. VxWorks è l'RTOS vero e proprio...

    > se devi esaminare dati in realtime ok... ma
    > non sempre e' un'esigenza. qnx so che lo
    > usano nelle acquisizioni dati degli
    > acceleratori di particelle.

    Be', s'è per questo pure nell'ABS dei freni...
    Ma tu lo shuttle non lo equipaggeresti con un sistema real time?

    > > Quanto al resto, siamo proprio sicuri che
    > > buttarsi a capofitto lungo la china delle
    > > legge di Moore sia l'unica soluzione per
    > > affrontare il mercato ICT ? Mi ripeto,
    > > meglio un sistema stabile e collaudato che
    > > gira su HW di un anno fa piuttosto che
    > altri
    > > esempi deplorevoli.
    >
    > su questo siamo d'accordo. A cosa serve un
    > word processor pesantissimo e
    > iperfeaturizzato (mi si perdoni il
    > neologismo) quando all'utente va bene
    > scrivere due lettere del cavolo all'amico o
    > al commercialista?
    >   
    > > In fondo, un server non serve a far
    > giochini
    > > con l'ultimissima tecnologia
    > disponibile...
    >
    > gia'... ma alla microsoft pare che non la
    > pensino cosi', altrimenti perche' mettere il
    > supporto per le periferiche giochi in
    > win2000 ?
    non+autenticato