Linux e il pudore sulla sicurezza

Alan Cox, secondo in capo nello sviluppo del kernel Linux, ha cessato di pubblicare informazioni dettagliate sulle vulnerabilità. Un noto esponente dell'open source lo avverte: stai facendo il gioco dei nostri nemici

Roma - Scott Culp, il manager della sicurezza di Microsoft che lo scorso mese lanciò il suo anatema contro la pubblicazione sul Web dei cosiddetti "exploit" - codici di esempio utilizzabili per sfruttare le vulnerabilità di sicurezza - ha trovato in Alan Cox, luogotenente di Linus Torvalds nello sviluppo del kernel Linux, un inatteso alleato.

Secondo quanto ha scritto su SecurityFocus.com Jon Lasser, esponente della comunità open source e autore del libro "Think Unix" (2000, Que), la decisione di Cox di eliminare dai changelog (la lista delle modifiche) del kernel Linux ogni descrizione relativa a problemi di sicurezza, sembra infatti seguire la tesi di Culp: sopprimere ogni informazione che possa tornate utile ai cracker.

Da quanto scrive Lasser, Cox giustifica questa scelta sostenendo che la descrizione delle falle di sicurezza che affliggono il kernel di Linux potrebbero violare quanto previsto dal Digital Millennium Copyright Act (DMCA), la stessa legge che, vietando la divulgazione di sistemi atti a violare le protezioni dei software, ha fatto incriminare il programmatore russo Dmitri Sklyarov ed ha messo il bavaglio al professor Edward W. Felten nel caso SDMI.
Lo scorso luglio, in un messaggio spedito alla comunità Linux, Cox scrisse: "Dopo l'arresto di Dimitry Sklyarov è chiaro come non sia più sicuro per i progettisti di software visitare gli Stati Uniti. Nonostante egli sia stato chiaramente scelto per ragioni politiche, perché come russo è un buon esempio da mostrare al pubblico americano, il rischio si estende molto più lontano. Finché non verrà risolto il pasticcio della DMCA suggerirei a tutti i cittadini non statunitensi di boicottare le conferenze negli USA e consiglierei a tutti gli organismi statunitensi di tenere le proprie conferenze all'estero". Evidentemente Cox ha ritenuto che queste precauzioni non siano più sufficienti per tenere il mondo degli hacker del kernel Linux lontano dai guai.

Tuttavia Lasser teme che la decisione di Cox possa creare un pericoloso precedente per tutta la comunità di sviluppatori, esponendo coloro che sono a favore del "full disclosure", ossia della piena divulgazione di codici e descrizioni delle vulnerabilità di sicurezza, ad un rischio ancora maggiore di essere perseguiti dalla legge come criminali.

Alan Cox si è detto favorevole al full disclosure nel momento in cui un produttore di software non dimostri sufficiente tempestività nel correggere il problema, o nel caso in cui la vulnerabilità sia già ampiamente circolata nell'ambiente.

"Ragione più che sufficiente - scrive Lesser - perché Cox dimostri più cautela nell'appoggiare involontariamente gli sforzi di Microsoft e di altri nemici della divulgazione".

Nel suo articolo, Lesser sottolinea l'estrema importanza della divulgazione degli exploit come prezioso, e spesso fondamentale, complemento all'amministrazione e alla manutenzione dei sistemi di rete. Egli sostiene che "l'arrogante assunzione di Culp di conoscere di cosa necessitino gli amministratori di rete per svolgere il loro lavoro è sbalorditiva".

"L'appoggio da parte dell'industria al DMCA - conclude Lesser - ed i ripetuti tentativi di sopprimere la piena divulgazione delle vulnerabilità di sicurezza, sono una prova ulteriore che gli utenti debbano badare a sé stessi. Questa è una delle ragioni per cui Linux, con la sua etica open source, è sempre stato un'ottima scelta per la sicurezza. Speriamo che rimanga tale".
114 Commenti alla Notizia Linux e il pudore sulla sicurezza
Ordina
  • Alan Cox non è un'inesperto di o.s.; è tra le 200 persone (valutate) che conoscono approfonditamente i kernel degli o.s. e che sarebbero in grado di forzare i sistemi anche con politiche di sicurezza forti in tempi relativamente brevi (pena essere scoperti).
    Ha un'indubbia esperienza e cultura tecnico/scientifica, ma questa volta ha tentato di uscire dal suo stretto campo.
    Il perchè è il DMCA act, che rappresenta un indubbio freno allo sviluppo di codice e tematiche di security. A. Cox, leggendo l'articolo ha riportato più volte nella sua dichiarazione la situazione USA a seguito del DMCA, atto che né Cox né la communità open source ha mai chiesto. l'hanno chiesto in primis le house dell'audio/video a cui si sono agganciate alcune house dell'informatica.
    Chi tra le house dell'informatica ha da guadagnarci, sono indubbiamente quelle degli o.s.e sw più bug-ati, ed M$ è in primis, per il modo come concepisce il sw: facile e veloce da imparare, a scapito del resto.
    Non essendo un ingenuo, sà benissimo chi ci guadagna quindi nel campo informatico; ma proprio per questo, vuole arrivare agli estremi, per modificare o eliminare il DMCA. L'unica strada è penalizzare gli sviluppatori USA nei confronti della sicurezza; facendo si che il codice made in USA non goda più dei vantaggi della politica di divulgazione di bug-security, esistente fino ad ora.
    Un'atto estremo, a mio giudizio sbagliato, perchè può portare M$ a guadagnare di più (chi installa sw M$, non si aspetta sicuramente di avere un sistema corazzato, ma lo installa per altri motivi; figurarsi se non ha problemi di sicurezza, perchè gli hack non sanno dei bug, che cmq continuerebbero ad esserci, anzi più di prima).
    L'invito di A. Cox, è rivolto agli USA: sviluppatori europei, non seguitelo per nessun motivo!!!!
    Continuate l'attività precedente, fino a costringere il legislatore USA ad abrogare il DMCA e riportare la situazione precedente. Con indubbio vantaggio dello UNIX e in particolare degli o.s. e sw open source.
    E' una "guerra", e per vincerla la security è l'arma più forte!!
    non+autenticato
  • come posso forzare la stampante ad usare la propia cartuccia con inchiostro di altro tipo? la stampante è una epson c42ux
    - Scritto da: BSD_like
    > Alan Cox non è un'inespertoImbarazzato:@i o.s.;
    > è tra le 200 persone (valutate) che
    > conoscono approfonditamente i kernel degli
    > o.s. e che sarebbero in grado di forzare i
    > sistemi anche con politiche di sicurezza
    > forti in tempi relativamente brevi (pena
    > essere scoperti).
    > Ha un'indubbia esperienza e cultura
    > tecnico/scientifica, ma questa volta ha
    > tentato di uscire dal suo stretto campo.
    > Il perchè è il DMCA act, che
    > rappresenta un indubbio freno allo sviluppo
    > di codice e tematiche di security. A. Cox,
    > leggendo l'articolo ha riportato più
    > volte nella sua dichiarazione la situazione
    > USA a seguito del DMCA, atto che né
    > Cox né la communità open
    > source ha mai chiesto. l'hanno chiesto in
    > primis le house dell'audio/video a cui si
    > sono agganciate alcune house
    > dell'informatica.
    > Chi tra le house dell'informatica ha da
    > guadagnarci, sono indubbiamente quelle degli
    > o.s.e sw più bug-ati, ed M$ è
    > in primis, per il modo come concepisce il
    > sw: facile e veloce da imparare, a scapito
    > del resto.
    > Non essendo un ingenuo, sà benissimo
    > chi ci guadagna quindi nel campo
    > informatico; ma proprio per questo, vuole
    > arrivare agli estremi, per modificare o
    > eliminare il DMCA. L'unica strada è
    > penalizzare gli sviluppatori USA nei
    > confronti della sicurezza; facendo si che il
    > codice made in USA non goda più dei
    > vantaggi della politica di divulgazione di
    > bug-security, esistente fino ad ora.
    > Un'atto estremo, a mio giudizio sbagliato,
    > perchè può portare M$ a
    > guadagnare di più (chi installa sw
    > M$, non si aspetta sicuramente di avere un
    > sistema corazzato, ma lo installa per altri
    > motivi; figurarsi se non ha problemi di
    > sicurezza, perchè gli hack non sanno
    > dei bug, che cmq continuerebbero ad esserci,
    > anzi più di prima).
    > L'invito di A. Cox, è rivolto agli
    > USA: sviluppatori europei, non seguitelo per
    > nessun motivo!!!!
    > Continuate l'attività precedente,
    > fino a costringere il legislatore USA ad
    > abrogare il DMCA e riportare la situazione
    > precedente. Con indubbio vantaggio dello
    > UNIX e in particolare degli o.s. e sw open
    > source.
    > E' una "guerra", e per vincerla la security
    > è l'arma più forte!!
    non+autenticato


  • - Scritto da: Ciao
    >
    > Tranquilli ragazzi, domineremo il mondo.

    dipende in quale universo parallelo, forse quello in cui il mondo e popolato da deficenti.
    non+autenticato
  • - Scritto da: Ciao
    >
    > Tranquilli ragazzi, domineremo il mondo.

    sei ben ridotto male.. poverino
    non+autenticato
  • > > Tranquilli ragazzi, domineremo il mondo.
    >
    > sei ben ridotto male.. poverino
    bhe sai la conquista del mondo esaurisce...
    ;-0)

    non+autenticato
  • Siete peggio della peste.
    Qualunque cosa toccate la rovinate.
    Spero solo che spariate alla svelta.

    Michele Coppo
    non+autenticato
  • - Scritto da: Michele Coppo
    > Siete peggio della peste.
    > Qualunque cosa toccate la rovinate.
    > Spero solo che spariate alla svelta.

    tranquillo coppolo... la stessa cosa si augura tutta la community su di te.... e da un bel po' di tempo.
    non+autenticato
  • Stai tranquillo, lo si farà dopo che si avrà ripulito il tuo PC dai dati e da win*; e lasciato il tuo BIOS senza la possibilità di bootare l'architettura; ripetendo il trattamento sui tuoi server.
    non+autenticato


  • - Scritto da: BSD_like
    > Stai tranquillo, lo si farà dopo che si avrà
    > ripulito il tuo PC dai dati e da win*; e
    > lasciato il tuo BIOS senza la possibilità di
    > bootare l'architettura; ripetendo il
    > trattamento sui tuoi server.

    Se queste sono le risposte ha ragione LUI!




    non+autenticato

  • e uno

    (lo faccio per sbattere via questo subject imbrattante)
    non+autenticato


  • e due
    non+autenticato


  • e tre
    non+autenticato
  • Ti senti intelligente a sparare castronerie a ruota libera sul primo forum che ti capita a portata di mano??



    Ciao
    non+autenticato
  • - Scritto da: Michele Coppo
    > Spero solo che spariate alla svelta.
    OK, ti prendo in parola..
    *BANG!!!*
    accoppato michele coppo..
    non+autenticato


  • - Scritto da: *.*
    > - Scritto da: Michele Coppo

    > > Spero solo che spariate alla svelta.

    > OK, ti prendo in parola..
    > *BANG!!!*
    > accoppato michele coppo..

    No! Ci sei arrivato prima di me!Sorride
    non+autenticato


  • - Scritto da: Michele Coppo
    > Siete peggio della peste.
    > Qualunque cosa toccate la rovinate.
    > Spero solo che spariate alla svelta.
    >
    > Michele Coppo

    ok per aiutarli a sparire si potrebbe usare la soluzione di bush e dei suoi predecessori.
    ai comunisti meno intransiggenti un po de milioni, e qualche buon posto di lavoro il più lontano possibile da un pc.
    ai talebani più accaniti un po de mega bombe sul groppone.
    non+autenticato
  • Gran parte degli attacchi che ricevo sono da server non di produzione, in genere macchine usate per sperimentazioni o workstation.
    Queste vengono aggiornate raramente se non a volte proprio dimenticate.

    Dare una mano agli hacker nel penetrare sistemi non aggiornati mi sembra un controsenso.

    Capisco la pubblicazione delle falle e le relative patch ma il problema è che sempre più sono on line sistemi gestiti male e da personale non preparato.
    non+autenticato


  • - Scritto da: Andrea


    > Capisco la pubblicazione delle falle e le
    > relative patch ma il problema è che sempre
    > più sono on line sistemi gestiti male e da
    > personale non preparato.


    Concordo al 1000000000%. Pero' chissa' come mai con win e' colpa di win, col pinguino e' colpa sempre del personale.

    non+autenticato
  • beh in entrambi i casi è sicuramente sempre colpa del personale, con win il problema è che si scopre la falla ma bisogna aspettare mesi x la soluzione
    non+autenticato


  • - Scritto da: pikappa
    > beh in entrambi i casi è sicuramente sempre
    > colpa del personale, con win il problema è
    > che si scopre la falla ma bisogna aspettare
    > mesi x la soluzione


    Ma non spargere fud! Non hai notato che il 99% delle notizie sui bug di PI sono del tipo "e' stato scoperto xxxx. M$ ha gia' rilasciato la patch, disponibile a questo link".
    non+autenticato
  • Tutti i codici devono essere APERTI, solo così sarà garantita la SICUREZZA.
    Sono, come sempre, dalla parte dei black Hat.

    I white ... sapete dove sono; nella solita tana e sapete anche quello che hanno fatto sin'ora allo svilutto dei SO/SW.

    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | Successiva
(pagina 1/5 - 21 discussioni)