[thread soddisfacente]sicurezza del pinguino

[einsteniano]

Salve a tutti,
ho letto che su ubuntu look.org sono stati caricati un deb(uno screensaver) e un tema(non ricordo il nome) che contenevano script dannosi.Questo la dice lunga sulla sicurezza del pinguino:si scrive un file di testo che dice di sostituire il file Auto.bash ,l'utente fa
click,fornisce la password di amministratore e il gioco è fatto.Linux è forse inattaccabile quando si naviga con firefox,ma con un po
di furbizia si può indurre l'utente a fare click su un deb e a rovinare il sistema..Che doccia gelata ragazzi!!

Ovviamente se si utilizzano solo repo ufficiali di canonical (dove i deb sono controllati,al contrario degli upload di ubunut look!!) il problema non si pone e il pinguino rimane blindato.Le falle di sicurezza a livello software esistono anche sul pinguino(basta un programmino scritto in c,e ce ne sono,contenente la funzione getchar() per produrre un buffer overflow) ma producono danni limitati..(anche se ho sentito che il sistema cup del pingue pinguino ne ha qualcuna ma per fortuna non sono un hacker e non le userei mai contro l'amato rappresentante degli amanti del software libero)..Temete per la sicurezza del pinguino?

What do you think?

[AirPort]

Penso che non sia una novità. Se uno prende un deb (un deb per un tema poi dovrebbe già insospettire un po') da una fonte non sicura e se lo installa dando la password di amministratore, direi che se poi succedono casini è colpa sua, non del sistema.
In pratica è come aprire la porta blindata di casa a uno sconosciuto e dargli una pistola carica in mano contando sulla sua buona fede.
L'episodio non ha dimostrato praticamente niente, solo forse a non fidarsi delle fonti non verificate (anche se si diceva da tempo...).

[Udun]

http://guiodic.wordpress.com/2009/12/13 ... n-proprio/

[clarintux]

Perché questo dovrebbe far temere per la sicurezza?  :-\

Il sistema dà (ovviamente) la possibilità di installare pacchetti deb. Non è colpa del sistema operativo se l'utente sceglie di installare i deb sbagliati. Cosa dovrebbe fare il sistema più di sconsigliarti l'installazione di pacchetti non scaricati dai repositories e chiederti una password di amministrazione?

Il sistema deve difendersi il più possibile dalle minaccie "esterne", ma non può difendersi dall'utente. L'utente può anche decidere di cancellare l'intero contenuto dell'hard disk, scrivendo "comandi pericolosi" sul terminale. Il sistema non può e non deve fermarlo.

[nex_necis]

Nessun sistema è o sarà mai sicuro dalla stupidità dell'utente.

L'unico modo è eliminare l'account da amministratore per l'uso comune, cose che in effetti in questo caso avrebbe risolto il problema.

[clarintux]

L'unico modo è eliminare l'account da amministratore per l'uso comune, cose che in effetti in questo caso avrebbe risolto il problema.

Una domanda (che faccio proprio per ignoranza, non per polemizzare...) che mi/vi pongo è: che significa "eliminare l'account da amministratore per l'uso comune"? Significa poter installare, modificare/cancellare file in una zona del filesystem in cui l'utente semplice ha i privilegi di scrittura ed esecuzione? Cioé lasciar installare pacchetti a tutti gli utenti (non solo l'amministratore) nei loro "spazi di hard disk"? È questo che si intende?

[nex_necis]

L'unico modo è eliminare l'account da amministratore per l'uso comune, cose che in effetti in questo caso avrebbe risolto il problema.

Una domanda (che faccio proprio per ignoranza, non per polemizzare...) che mi/vi pongo è: che significa "eliminare l'account da amministratore per l'uso comune"? Significa poter installare, modificare/cancellare file in una zona del filesystem in cui l'utente semplice ha i privilegi di scrittura ed esecuzione? Cioé lasciar installare pacchetti a tutti gli utenti (non solo l'amministratore) nei loro "spazi di hard disk"? È questo che si intende?

No, vuol dire che l'utente medio non ha possibilità di installare pacchetti nel sistema nè di aggiornarlo. Sono operazioni che rimangono esclusive dell'amministratore (che si spera sappia cosa fare).

L'idea che l'utente medio debba poter eseguire ogni operazione è concettualmente sbagliata e porta inevitabilmente a falle della sicurezza.

[einsteniano]

L'account di amministratore in ubuntu è GIA' disabilitato.Non ci si può loggare come root..Sudo sopperisce a questo.Comunque concordo coi precedenti,gnu/linux è sicuro ma non può essere(almeno al momento) programmato in modo da bloccare azioni
pericolose(perchè è pensato per utenti che SANNO quello che fanno e non darebbero mai,ad esempio,comandi del tipo:


                                                   comando rimosso dallo staff ).
                               

Stallman e soci cercano di implementare queste funzioni di sicurezza nel compilatore( gcc da warning se cercate di compilare
programmi contenenti getchar() o semplicemente blocca le azioni che tentano di sovrascrivere dati in memoria) ma se scaricate
un eseguibile aimè,siete vulnerabili come un utente windows che lancia un file bat col comando FORMAT C:\....

In conclusione Linux è inattaccabile se navigate col browser(vero?) ma si può auto-distruggerlo se non verificate le fonti da cui
prelevate i programmi..Purtoppo a volte i repo non sono aggiornati o semplicemente non hanno il tale pacchetto e qualche rischio bisogna prenderlo se si vogliono provare programmi di cui proprio non possiamo farne a meno.Io stesso ho scaricato i deb di alcune applicazioni kde3 che per kde4 non funzionano o hanno funzionalità inferiori(ad esempio amarok 2.2 non ha il database  mysql e non sa gestire collezioni grandi di file,mentre altri programmi danno fastidiosi warnings).Insomma attenti ai deb!!

[clarintux]

L'unico modo è eliminare l'account da amministratore per l'uso comune, cose che in effetti in questo caso avrebbe risolto il problema.

Una domanda (che faccio proprio per ignoranza, non per polemizzare...) che mi/vi pongo è: che significa "eliminare l'account da amministratore per l'uso comune"? Significa poter installare, modificare/cancellare file in una zona del filesystem in cui l'utente semplice ha i privilegi di scrittura ed esecuzione? Cioé lasciar installare pacchetti a tutti gli utenti (non solo l'amministratore) nei loro "spazi di hard disk"? È questo che si intende?

No, vuol dire che l'utente medio non ha possibilità di installare pacchetti nel sistema nè di aggiornarlo. Sono operazioni che rimangono esclusive dell'amministratore (che si spera sappia cosa fare).

L'idea che l'utente medio debba poter eseguire ogni operazione è concettualmente sbagliata e porta inevitabilmente a falle della sicurezza.

Non capisco. Funziona già così. Se l'utente non è tra i "sudoers" o non conosce la password di root (nel caso di distribuzioni GNU/Linux con l'utente root non disattivato), non è che possa fare  molto di pericoloso....

[nex_necis]

L'account di amministratore in ubuntu è GIA' disabilitato.Non ci si può loggare come root..Sudo sopperisce a questo.

Si beh, non tutti gli utenti possono usare il sudo erendere "sudoer" un utente vuol dire renderlo amministratore. Il mio discorso non cambia.

[giasone.argo]

L'insicurezza di un linux e proporzionata dalla capacità dell'utente stesso. E solo lui il vero pericolo.

[nex_necis]

Non capisco. Funziona già così. Se l'utente non è tra i "sudoers" o non conosce la password di root, non è che possa fare  molto di pericoloso....

Infatti io penso che il sistema linux sia sicuro e che la falla notificata nel thread è già risolta non mettendo gli utenti nella lista dei "sudoers".

[clarintux]

ma si può auto-distruggerlo se non verificate le fonti da cui prelevate i programmi..

si

@einsteniano: meglio togliere quel comando...

Non capisco. Funziona già così. Se l'utente non è tra i "sudoers" o non conosce la password di root, non è che possa fare  molto di pericoloso....

Infatti io penso che il sistema linux sia sicuro e che la falla notificata nel thread è già risolta non mettendo gli utenti nella lista dei "sudoers".

Ah, ecco. OK.
Però quando è proprio l'unico utente (nonché unico utente sudoer) a combinare cavolate, allora non c'è niente da fare.  (yes)

[nex_necis]

Ah, ecco. OK.
Però quando è proprio l'unico utente (nonché unico utente sudoer) a combinare cavolate, allora non c'è niente da fare.  (yes)

Io quando cominciai mi disseo: "connetterti con l'utente root è MALE". Usare quotidianamente internet con l'utente sudo non è MALE, ma si può evitare.

[Xan]

un conto è un software che sfrutti delle falle del sistema per procurare danni..
un altro conto è un software che induce l'utente a dare l'accesso root a quel progamma....

per il secondo caso non esiste soluzione tranne quella di limitare l'utente non consapevole....

[einsteniano]

un conto è un software che sfrutti delle falle del sistema per procurare danni..
un altro conto è un software che induce l'utente a dare l'accesso root a quel progamma....

per il secondo caso non esiste soluzione tranne quella di limitare l'utente non consapevole....

Sono perfettamente daccordo.Con questo thread volevo solo mettere al corrente qualche nuovo utente del pinguino del fatto
che esistono falle anche in Gnu/Linux e che devono stare attenti ai deb,tutto quì

[derma]

un conto è un software che sfrutti delle falle del sistema per procurare danni..
un altro conto è un software che induce l'utente a dare l'accesso root a quel progamma....

per il secondo caso non esiste soluzione tranne quella di limitare l'utente non consapevole....

Sono perfettamente daccordo.Con questo thread volevo solo mettere al corrente qualche nuovo utente del pinguino del fatto
che esistono falle anche in Gnu/Linux e che devono stare attenti ai deb,tutto quì

Le falle sono e saranno sempre presenti in qualsivoglia SO: non esiste un SO "più sicuro" di un altro, o meglio allo stato attuale non è possibile affermarlo giacché i "numeri", non essendo comparabili, non consentono una comparazione in tal senso.

[kimj]

non temete, su italiamac sono messi peggio:

ho preso dei VIRUS!!!

[einsteniano]

non temete, su italiamac sono messi peggio:

ho preso dei VIRUS!!!

Non scherziamo,ha semplicemente scaricato su mac dei virus di windows,ma non possono fare danni!!

[Xan]

un conto è un software che sfrutti delle falle del sistema per procurare danni..
un altro conto è un software che induce l'utente a dare l'accesso root a quel progamma....

per il secondo caso non esiste soluzione tranne quella di limitare l'utente non consapevole....

Sono perfettamente daccordo.Con questo thread volevo solo mettere al corrente qualche nuovo utente del pinguino del fatto
che esistono falle anche in Gnu/Linux e che devono stare attenti ai deb,tutto quì

che esistano falle in gnu/linux è scontato ma questo "virus" non sfrutta nessuna falla. semplicemente inganna l'utente. e su questo versante il sistema operativo non puo farci nulla.

@derma un analisi architetturale si puo fare, e dall'analisi architetturale dei 3 sistemi operativi, gnu/linux ne esce vincente