[Discussioni] [Fwd: [FSFE PR][EN] Windows 7 to hit consumers with known security problem]

[Marco Ermini]

2009/10/20 Giacomo Poderi:
[...]
>> Quanta confusione!
>
> In effetti...non capisco il punto del tuo commento.
[...]

Provo a spiegarmi meglio.

Il punto è che questo annuncio parla di diverse vulnerabilità su SMB2
uscite in momenti diversi, di cui non si conoscerebbero i dettagli per
motivi di "non disclosure". LOL!

BSI non è altro che un CERT. Come molti altri. E lo conosco benissimo,
visto che lavoro nella security e in per l'appunto in Germania. Un
CERT e BSI non fa differenza, "diffonde" soltanto cose scoperte da
altri. E le vulnerabilità su SMB2 sono tre, sono ben documentate e
note da chiunque si iscriva a mailing list pubbliche come Immunitysec
e si scarichi da Internet Metasploit.

I miei brand di Intrusion Detection hanno le signature contro questi
attacchi da... fammi controllare, un mese?

Inoltre le vulnerabilità sono soltanto teoriche su x64 e non c'è modo
di esploitarle al momento. L'unico exploit noto è quello a 32 bit per
Metasploit, ne hanno discusso su Immunitysec settimane prima di
rilasciarlo. Di "non disclosed" non c'è proprio nulla. Ed exploit per
x64 saranno molto difficili da essere realizzati.

Casomai, forse si potrebbe non prendere quello che dice il primo CERT
pescato a caso su Google come oro colato. Questo è quello che la FSF
ha fatto, ad occhio...

Spero con questo di aver spiegato la confusione del comunicato della
FSF, che forse è solo la confusione della BSI. Che - ripeto - è ben
lontana dall'essere un qualsiasi punto di riferimento autorevole su
questo problema (mi scusino i colleghi).

Sul protocollo SMB2... esso contiene la versione del protocollo stesso
nel payload trasmesso in chiaro sulla rete. Perfetto per i worm!
quindi no, di certo non è sicuro, ma non è questo il punto. Non è
disegnato per esserlo. Nessuna persona intelligente abiliterebbe SMB -
1 o 2 - se non in una rete interna o "sicura" o comunque oltre il
proprio firewall perimetrale. Questo non toglie che il protocollo
lasci molto a desiderare, comunque la sicurezza non è parte del suo
design - come d'altronde per molti altri protocolli, incluso quello
che usi tu per inviare le email o persino il TCP/IP, ma non ti
sogneresti mai di dare la colpa a DARPA, o no? :-)

Altra considerazione circa il "lancio" di Windows 7 "nonostante"
questo problema.

Francamente, che Windows 7 vada in vetrina nonostante questo problema,
non mi pare gravissimo. I singoli utenti su Internet saranno
probabilmente poco affetti, le aziende non saranno così sceme da
installarsi Windows 7 il giorno dopo l'uscita. Soprattutto visto il
"successone" di Vista! La mia ha pianificato di aspettare sei mesi
*minimo* nonostante la ciofeca di XP con cui siamo costretti a
convivere. (La gente si sta comprando i Mac, intanto...).

Sul giudizio di merito del fatto che una azienda commerciale metta i
bug in secondo piano ed in primo ci metta la propaganda ecc., sono
d'accordo. Ma il problema non è prerogativa del software closed
source. Linux ha un desktop immaturo e grezzo ed assai poco usabile,
ma nessuno si vergogna a venderlo comunque. RedHat vende un cluster
con scritto nelle *istruzioni ufficiali* "disabilitare SELinux per far
funzionare" visto che con SELinux attivato il cluster si inchioda -
troppo difficile crare una policy per SELinux? no, la policy la si
scarica da bugzilla (è stato aperto un ticket per questo), ma RedHat
vende comunque il prodotto così e queste sono le istruzioni ufficiali:
disabilitare la sicurezza per far funzionare il cluster.

Non molto diverso dal disabilitare SMB2... o no?

Sono totalmente con te sul fatto che qualsiasi software sia possibile
fare peer review perché i sorgenti sono disponibili (e questo al di là
della licenza, potrebbe essere anche closed, in estermo...) presenta
molte possibilità in più di essere sicuro. Questo però è ben lontano
dall'avere una qualsiasi conseguenza di merito sul lancio di un
prodotto sul mercato o sulla serietà circa i problemi di sicurezza di
una azienda. Microsoft è oggi molto lontana dall'azienda strafottente
della security che era un tempo. Ha ancora molta strada da fare, e
sono pronto a farti la lista delle c*zzate che fanno (le 34 patch di
due settimane fa come già dicevo, tanto per dire la prima cosa che mi
viene in mente)... Ma sinceramente questa accusa specifica mi sembra
fuori luogo. Opinione personale... poi per carità, non userò Windows 7
almeno fino ad Aprile prossimo, ci puoi giurare ;-)


Cordiali saluti
-- 
Marco Ermini
root a human # mount -t life -o ro /dev/dna /genetic/research
http://www.linkedin.com/in/marcoermini
"Jesus saves... but Buddha makes incremental back-ups!"