* domenica 23 novembre 2003, alle 15:46, Marco Valli scrive:
> Ci sono nuove sull'attacco? Ho cercato in giro, ma a parte l'annuncio
> originale non si trova altro.
Infatti.
> Maurizio, tu "che te ne intendi" (TM) ti sei fatto un'idea?
Due per la precisione:
- incidente. Una compromissione a livello _utente_, dovuto ad un qualche
errore di quelli banali, tipo password guess, o roba cosi`.
Coinciderebbe con il fatto che nessun defacement e` stato perpretato, e
gli archivi dei file, dall'annuncio, erano intoccati.
- 0day, magari di quelli impegnativi. Per evitare diffusioni di massa,
aspettano che il fornitore del pacchetto "problematico" rilasci anche
il fix, in modo da non creare piu` problemi che favori.
Nel primo caso, sarebbe una banalita`, e in effetti, nessuno e` esente
dall'errore, quindi ci puo` stare. Torna con il fatto che nonostante le
macchine siano molte, nessun servizio, ne ha risentito, e i due gg di
down di security sono da addebitare completamente al controllo degli
archivi, che hanno fatto lo stesso, ovviamente, per non tralasciare cmq
nulla.
Nel secondo caso, sarebbe piu` brutto, perche` significa che qualcuno la
fuori, ha un exploit che funziona su un qualche pacchetto ritenuto
sicuro. Questo fa il paio con il fatto che oggi non si sa ancora
esattamente cosa e` successo.
Cmq, non sono particolarmente preoccupato, per diversi motivi:
1. Gli errori li fanno gli uomini. E li fanno tutti. In questo senso,
non c'e` software che tenga.
2. L'enorme serieta` del debian group permette di comunicare al mondo
tutto, e non avere nessun particolare problema. Potevano fare finta di
nulla, tenere spenta security, e non dire niente a nessuno (magari
addebitando l'assenza di security ad un banale problema tecnico).
3. 0day in giro ci sono, eh. L'unica "speranza" in questo senso, e` che
e` un giro di "veramente pochi", e non e` roba in mano ai ragazzini. I
"veramente pochi" di solito, non vanno in giro a bruciare queste cose,
cosi`. A sentimento.
Il discorso e` complicato, ma c'e` uno strano equilibrio per cui, e`
ragionevole pensare che se i tuoi problemi di security sono di un certo
ordine di complessita`, devi preoccuparti di un certo "tipo" di problemi
di sicurezza. O per semplificare:
- se sei la normale azienda pippo srl, non interessi a "i veramente
pochi", ed e` importante che tu tenga il software correttamente
aggiornato, con quello che e` noto, perche` sei un target per gli
script-kiddie.
- se sei la nasa, per tutta una serie di motivi, gli script-kiddie non
sanno nemmeno come arrivare a te, ma il tuo problema e` altrove. Pero`
l'ordine di grandezza e` diverso, spionaggio al posto di defaciement, per
capirci.
Tutto questo, semplificando molto molto, e centrando su un singolo
problema (update dei software), solo a beneficio di esposizione,
ovviamente.
--
Maurizio - Tannoiser - Lemmo
Founder Member of ERLUG http://erlug.linux.it
-------------------------------------------------------------------------------
Willow: "I shot Oz!"
--Buffy the Vampire Slayer: Phases
|