[Discussioni] ma dobbiamo proprio discutere le ragioni? (o no?)

[daniel donato]

In data martedì 29 marzo 2011 18:41:18, Nicola A. Grossi ha scritto:
: > guido iodice ha scritto:
> > Il 29 marzo 2011 17:31, Nicola A. Grossi <k2 a larivoluzione.it> ha scritto:
> >> Allora sì. Non sì e no. Perché non ho detto che non esistono codici
> >> malefici che
> >> funzionano su tutte le distro. Ho detto che non tutti funzionano su
> >> tutte le distro.
> > 
> > ok, ma questo della variabilità come ho detto prima è un fattore
> > abbastanza trascurabile.
> 
> Se scorro, per esempio, il database di metasploit e vedo che gran
> partegli exploit che funzionano su linux sono suddivisi
> per distro linux e per versioni della stessa distro, sono portato a
> credere che la variabilità incida.
> Tu su quali basi dici che incide poco?

credo che Guido, assumendo che si stia parlando solo del kernel Linux, affermi 
che ci sono parti del kernel che sono presenti in tutte le distribuzioni. 
Quelle parti sono comuni e quindi la base di attacchi validi contro tutti.
Il problema è che la scelta di trattare solo del kernel linux è la scelta 
sbagliata.
Chi vuole argomentare la sicurezza del Software Libero non deve limitarsi ad 
un progetto particolare. 
Il discorso che andrebbe fatto dovrebbe puntare soprattutto sulla variabilità.

Nell'ecosistema del Software Libero non c'è solo quel kernel. 
Già ora che la base utenti è così ristretta. Vulnerabilità comuni a tutti i 
sistemi operativi basati su GNU sono molto difficili da trovare. 
Se la base utenti fosse paragonabile a quella di Microsoft è ipotizzabile che 
ci sarebbero molti più kernel di ora.

Se volete andare nello specifico. Dite che ci sono centinaia di distribuzioni. 
Se però ci si limita solo a GNU / Debian è veramente difficile trovare una 
vulnerabilità che possa attaccare tutte le sue versioni.
Chiarite che pure si trovasse un malware che può attaccare tutti i SO che 
usano il kernel Linux, ci sono versioni di Debian basate su altri kernel.

zam