Comments

# Blog Team TechNet Italia said:

Il nostro Feliciano ha fatto un post molto interessante (stanotte!) commentando i risultati del report

24 January 08 at 3:10 AM

# ZenIT Blog said:

Technorati Tags: Microsoft , Windows , Security Voglio segnalarvi questo post di Feliciano Intini che

24 January 08 at 3:13 AM

# Il blog del team MSDN Italia said:

E' uscita la nuova versione del documento di analisi di Microsoft delle vulnerabilità di Windows

25 January 08 at 8:11 AM

# Noticias externas said:

E' uscita la nuova versione del documento di analisi di Microsoft delle vulnerabilità di Windows

25 January 08 at 8:55 AM

# Claudio Criscione said:

che Vista sia "più sicuro" di XP non c'è dubbio, in Microsoft hanno fatto un bel lavoro. Certo, si potrebbe notare come Vista abbia avuto i suoi problemi di sicurezza (e non pochi!) anche PRIMA della data che viene usata come Tempo 0 nel report. Ma soprassediamo, un prodotto in fase di sviluppo ha il diritto di avere problemi ed è sacrosanto non considerarli.

Sul confronto con Linux invece, ci sarebbero un bel pò di cose da dire, a partire dal fatto che le assunzioni - il reduced component set fa rabbrividire - non hanno la minima validità (un paper così in ambito accademico sarebbe rifiutato ovunque) e che le politiche di gestione della sicurezza sono molto diverse.

Nel complesso però stiamo leggendo un documento Microsoft oriented, non ci si può aspettare molto di più (e la stessa cosa è vera "dall'altra parte" purtroppo). Bella segnalazione Feliciano, nel complesso è utile come reference.

26 January 08 at 8:03 AM

# FARto said:

@claudio

forse a non ti è chiaro che si sono considerate le "reduced build" di linux, proprio per favorire linux o meglio per gareggiare ad armi mari, non per svantaggiarlo! Quindi leggiti almeno il report su cosa significa "reduced build", invece che sparare vaccate!

Di quali politiche di gestione della sicurezza di linux parli?? Delle ridicole, obsolete, e superate r,w,e UGO? ROTFL!

26 January 08 at 2:35 PM

# Claudio Criscione said:

FARto, ci ho pensato un pò sul risponderti o meno. Alla fine ho deciso di evitare la flamewar: è evidente che non conosci l'ambiente Linux moderno o quantomeno lo conosci in modo molto superficiale, tant'è che mi citi i "buoni vecchi" 9 bit. Fa niente.

Nel caso specifico mi riferivo alla politica di gestione degli aggiornamenti e delle problematiche di sicurezza in particolare: hai ragione sono stato impreciso. Nel mondo OS di solito vale la regola di rilasciare presto, che è sostanzialmente l'opposto di quanto avviene per Microsoft (o nell'enterprise se è per questo), e valgono anche una serie di altri discorsi.

Osservavo semplicemente che l'appiattimento che ha fatto Jones è troppo esagerato - e a parere mio fuorviante, ma questo è un parere personale - per essere preso seriamente. Se facessi una review del paper lo rimanderei al mittente con un parere negativo.

Questo non toglie niente alla validità del lavoro di raccolta informazioni, che resta interessante.

27 January 08 at 5:04 PM

# Paolo De Nictolis said:

@Claudio: ciao Claudio, innanzitutto complimenti per il blog (affrontare il lavoro di Ristic non è da tutti).

Vorrei però capire anch'io (magari in maniera un pò diversa da FARto) cosa critichi in particolare nella scelta del "reduced component set"; sarebbe stato magari ingeneroso un confronto Windows sistema operativo vs. una distro completa, con vari server, suite da ufficio, IDE, applicativi di vario genere ecc. ecc. (anche se, mi concederai, è uno scenario reale: a parte qualcosina per  gli OEM, di solito Windows viene rilasciato "nude", laddove buona parte degli utenti Linux si affida ad una distro che è un ambiente sistema operativo + applicativi + servizi, spesso ridondanti rispetto alle necessità. Che poi si possano utilizzare i configuratori, disinstallare i pacchetti, esistano distro "secure by default", espressione comunque alquanto impropria.... è un altro discorso).

I modelli di sicurezza sono molto diversi (e del resto sono due s.o. diversi nella più intima essenza, dalla gestione dei thread a quella della memoria a....), ma è stato preso in considerazione un parametro "gross" come il numero di vulnerabilità, soggetto a qualche critica come tutti i parametri "gross", ma indipendente dal modello di sicurezza.

Ti ricordo però che su un parametro dipendente dal processo e non dal prodotto (IMHO un'ottima garanzia di "affidabilità" del confronto) come il tempo di risoluzione delle vulnerabilità, anche lì Vista è risultato vincente (http://www.symantec.com/business/theme.jsp?themeid=threatreport). E Symantec, beh, dopo il rilascio di Windows Defender, non si può dire che fosse tenera di lingua nè di carte bollate, con Microsoft!

A proposito infine di modelli di sicurezza, chiunque spera in una piattaforma Windows sempre migliore non può fare a meno di salutare una "new entry" del calibro di Crispin Coward nel team di Howard & Co....

Ed a Feliciano è sfuggito di menzionarlo nel blog!

CATTIVO! :P

27 January 08 at 7:36 PM

# Feliciano Intini said:

Permettemi di aggiungere le brevi considerazioni che avrei voluto fare subito, poi vi lascio continuare nella (spero) pacata discussione.

@Claudio: mi fa molto piacere averti qui sul mio security blog a commentare e a confrontarsi, soprattutto alla luce della dichiarazione di intenti che ho letto nel tuo blog "he is not into the religion war most Linux users are fighting". Quando ho visto il tuo commento, però, mi sono leggermente dispiaciuto perché mi sono detto "possibile che io non sia stato così chiaro? Ho detto espressamente che questo report non vuole affermare che Vista sia più sicuro degli altri. Prende in considerazione l'aspetto di scoperta di vulnerabilità e relative correzioni e si confronta, su dati che io ritengo oggettivi". Tu invece hai impostato il tuo commento argomentando su questo punto che non è in discussione, non in questo report e sicuramente non per quanto mi riguarda.

@FARto: mi sarebbe piaciuto che tu supportassi il mio desiderio di vedere un confronto pacato sul mio blog, non credo che questo modo discutere aiuti a fare dei progressi.

@Paolo: non mi è sfuggito... è solo nella mia lunghissima coda delle informazioni utili da bloggare ;-)

28 January 08 at 4:07 AM

# Paolo De Nictolis said:

@Feliciano: era ironico! :P

Spero che stavolta ti farai trovare ad "Heroes Happens"; o quantomeno, manda una fotomodella scandinava in sostituzione! Anche due va bene, non sono un integralista.

Faccio una bella "branch" del post con un divertente "giochino a premi" (NO, NON la fotomodella scandinava... al massimo una copia gratuita di SQL Server 2008 Express), cosa che va molto di moda qui in Italia: quali sono gli oggetti del kernel ai quali è stata applicata la "labeled security", una delle tante novità di Vista?

Non sono un esperto di "strategy forecasting", ma sono sicuro che al creatore di AppArmor (e di StackGuard, se è per questo) piacerà darvi un'occhiata...

Come da prassi dei giochi a premio, i tenutari di blog del Technet non possono partecipare al concorso! :P

28 January 08 at 9:32 AM

# Claudio Criscione said:

@Feliciano, ma anche Paolo

Salve a te e grazie per il benvenuto :-) In realtà sono stato frainteso: non stavo minimamente criticando l'affermazione "Vista è più sicuro", figuriamoci, anzi condivido in pieno quanto hai scritto nel post, sei stato chiarissimo... anche se forse non sono d'accordo sull'oggettività dei parametri, ma non voglio criticare questo (no religion wars :) ).

Piuttosto criticavo il modus operandi proprio del reduced set!

Non perché sia sbagliata l'idea - tutto sommato se si vogliono fare dei confronti si deve fare in quel modo - ma perché è discutibile il modo in cui è realizzata.

Tanto per fare un esempio, costava tanto includere a latere una lista degli RPM effettivamente presi in considerazione? Magari c'è e l'ho mancata, ma così non fosse questo è uno di quegli esempi di come il modo di porsi sia completamente sbagliato. I risultati devono essere in primo luogo verificabili, altrimenti li si rifiuta a prescindere... o almeno generalmente è così che si fa in ambito scientifico.

E non ho nemmeno detto che il valore gross va pesato opportunamente con difficoltà di exploiting ed impatto potenziale, cosa che sembrerebbe banale ma manca nel report.. e che probabilmente cambierebbe non di poco i risultati.

Poi magari potremmo discutere sul cosa sia stato effettivamente incluso, sulle modalità con cui viene gestito (per esempio: sono stati considerati SOLO gli aggiornamenti per la sicurezza? Se si, come?) e così via.

A questo aggiungiamo che non è il modello di sicurezza ad essere diverso (grazie cmq Paolo per aver citato apparmor, per fortuna non tutti pensano che si sia ancora al rwx) ma la "politica di rilascio", altro dato che dovrebbe essere pesato in ogni comparison.

Sono tutte informazioni che mancano e che lasciano un alone appannato sul report relegandolo nella "fuffa executive". Sempre che non mi sia sfuggito qualcosa.

Tutto questo dovendo essere rigoroso e cattivo.

Poi, da realista, penso che comunque si tratta di un buon lavoro,  che viene utile e che dà una buona panoramica di quello che Microsoft sta facendo. Ho sentito grandi cose di Windows 2008 e anche il modello di sicurezza di Vista è leghe avanti a quello di XP. Il rapporto flessibilità/semplicità è probabilmente superiore a tutto quello che c'è ora in ambito OpenSource: perchè non dire queste cose, piuttosto? :)

@Paolo

La soluzione è saltata subito fuori - la labeled security non è nuova ma, se funzionerà come si deve, è veramente fantastica - però lascio il premio a qualcuno che effettivamente lo userebbe... non credo che sotto Wine darebbe il meglio di sè ;)

Anyway grazie per i complimenti, se tutto va bene con Ristic avremo parecchio da parlare nel prossimo futuro ;-)

28 January 08 at 1:05 PM

# Paolo De Nictolis said:

@Claudio

no, effettivamente, il mondo della sicurezza Linux non è fermo ad rwx (che non è certo scomparso, o superato, semmai è ortogonale ad altri meccanismi), c'è AppArmor. E SELinux. E PaX/grSecurity. Io credo che, riallacciandomi al "rapporto semplicità/flessibilità", l'idea del "mondo Linux" di implementare N (con N molto grande) meccanismi con l'idea di "accaparrare quote di mercato" (QUALE mercato, visti i "numeri" attuali?) sia fuorviante e non ispiri (giustamente) la fiducia di chi opera in ambito enterprise, non sei d'accordo? La Sicurezza, tanto per parafrasare Howard/Lipner/LeBlanc, è "più sicura" quando è "più usabile"; avere meccanismi "matematicamente verificati" (affermazione che molte volte lascia il tempo che trova...) che poi all'atto pratico non usa nessuno non serve a granchè, convieni?

Continuo, mi permetterai, a non capire le tue perplessità sulla "lista degli RPM effettivamente presi in considerazione". Il modello matematico usato anche nell'SDL, quello dei 50 bug ogni 1.000 linee di codice, è fonte di infinite discussioni sui numeri, ma non è mai stato messo in dubbio da nessuno come principio: più "RPM" (perchè poi fermarsi agli RPM?) fossero stati tirati in ballo, più sfavorevole era il confronto per Linux, non sei d'accordo?

Hai ragione quando dici che "il valore gross va pesato opportunamente con difficoltà di exploiting ed impatto potenziale", ma mettere dei "numeri" a questi parametri sarebbe fonte di ancor più infinite discussioni, non credi?

Forse, tutto sommato, il parametro adottato nel threat report della Symantec (http://www.symantec.com/business/theme.jsp?themeid=threatreport) è quello più attendibile: il tempo di risoluzione dei bug è una misura, affidabile, di un PROCESSO; per intenderci, di quell'SDL che costituisce l'approccio olistico nato dalla Security Push, quello che ha trasformato un prodotto che "destava sospetti" come IIS 5.0 in IIS 6.0 (ed oggi in IIS 7.0); quello che ha creato un database a zero vulnerabilità (SQL Server 2005; ma non ribatteziamolo "unbreakable", per carità!); quello che ha portato a Vista. Perchè, scusami se mi ripeto, ma la "gara" sul tempo di risoluzione minore delle vulnerabilità, l'ha vinta Vista :)

"Anyway", la mia piccola "competition" non l'hai vinta: la gara, era elencare per QUALI oggetti del kernel di Vista è stata adottata la labeled security. Il premio è ancora valido: avrai un DBMS a zero vulnerabilità. Magari con Wine non potrai usarlo, ma magari di Wine non hai bisogno: ti basta tornare alla piattaforma, che dà sicurezza usabile su ogni scrivania :)

28 January 08 at 1:53 PM

# Claudio Criscione said:

@Paolo

Sono d'accordo con te su molte delle considerazioni che fai riguardo "il mondo della sicurezza e Linux". Come non esserlo? Convengo, convengo, il fatto che ci siano 1000 modalità per fare 1000 cose diverse non giova al mercato (per piccolo che sia). Anche se non sono d'accordo sulla tua analisi delle motivazioni (accaparrasi quote di mercato? mah) è vero: il mondo OS soffre del problema serissimo che, mentre per Microsoft bastano 4 corsi e delle skill medie per ottenere un buon risultato, dall'altra parte sono necessarie uberskills  per fare il finetuning delle politiche di SELinux tanto per fare un esempio. RH non dà supporto per le strict, pensa te...

Sul resto, parlamm e nun ce capaimm come diceva il comico.Io attaccavo il fatto che non si fosse DETTO quali erano. Preso un opportuno pool di qualsiasi cosa, rpm compresi, si tira fuori qualsiasi risultato. E' la scientificità il problema, that's it. Così è in ambito accademico-scientifico, sull'atto pratico poi discutiamo quanto vuoi. Per chi ha metodo scientifico quel paper vale ben poco.

Sono d'accordo anche con il fatto che associare dei pesi sia fonte di discussioni, ma non per questo è lecito rimuoverli dove sono importanti, o si falsa il risultato. La scienza è piena di costanti incognite. Ovvio poi che l'executive non capisce quale sia il risultato, e torniamo al mio commento di prima.

Occhio anche all'adottare parametri "oggettivi" ed "affidabili". Anche se tu misuri i tempi all'endpoint di un processo questo non ti dice niente su come è fatto un processo all'interno, magari stai misurando cose completamente diverse.

Misuriamo i tempi medi di risoluzione, per capirci. Diciamo che ci sono 3 bug, di cui 2 sono di bassissimo impatto ed uno critico. Il tempo di risoluzione dei primi 2 è 1 giorno, del terzo 1 mese. Il tempo medio è dunque di (30+2)/3, circa 10 giorni. Stessa situazione, ma il terzo bug lo risolvo in 1 giorni e gli altri in un mese: 61 / 3 fa circa 20. D'accordo con me che quel numerino non ci dice niente sul livello di sicurezza dato che la prima macchina è stata scoperta 20 giorni in più dell'altra? Ma questo ci farebbe discutere, a parità o meno di exposure time, sulla probabilità di exploiting. Etc etc etc.

Certo però che sul problema del colabrodo che era IIS ("destava sospetti" è semplicemente FANTASTICO, sei il mio eroe!) ti dò ragione, le logiche dell'SDL stanno dimostrando di funzionare alla grande e gli ultimi sono buoni prodotti.

Detto questo, riassumo: d'accordo con te (voi) sul fatto che Vista stia facendo molto bene, e che i processi di Microsoft sulla sicurezza siano - a naso, non li conosco a fondo quindi è una opinione sostanzialmente infondata - migliori di quanto si fa altrove. Assolutamente perplesso invece sulla natura dei dati del paper: dismissed as "fuffa" thank you, next submission please.

Per quanto riguarda il tuo contest avevo ben capito, ma lascio la palla a qualcuno che lo userebbe. Apprezzo la frecciata sulla sicurezza usabile ma finisce a vuoto questo giro: temo che Vista sia ancora lontano dal livello di sicurezza che gradisco sul mio desktop. Per amor di Dio, è molto lontano e molto più elaborato di quello che trovi "su ogni scrivania" eh.

Quando poi dovrò mettere su un server DB, sicuramente installerò Ora^H^H^H un server sicuro a zero vulnerabilità ;-)

Scherzi a parte ho visto cosa riesce a fare 2005 su problemi di business intelligence,ed è notevole! Ma qui finisco OT e Feliciano mi modera il commento ;) Anzi Feliciano grazie per lo spazio di discussione!

28 January 08 at 8:02 PM

# Claudio Criscione said:

Nota di colore: mentre guardavo in msdn la risposta al tuo contest (in effetti non la sapevo giusta a quanto ho letto :P) mi sono accorto che l'msdn mi fa crashare ripetutamente l'ie sotto wine.Che strano, mai capitato!

28 January 08 at 8:15 PM

# Pasquale said:

Perchè non provare migliorare anche la compatibilità con i software che giravano correttamente in Xp ?

Qualcuno ha speso bei soldini per acquistare software originale e adesso si trova a non poterlo usare .

29 January 08 at 4:17 AM

# Paolo De Nictolis said:

@Claudio:

grazie a te per la discussione.

"So che non mi crederai", ma solitamente l'"approccio FARto" è quello tipico, del "mondo" Linux nei confronti del "mondo" Microsoft.

Magari sei fra quelli che non credono nell'"accaparrarsi quote di mercato", che non vedono che di Linux si parla,  da quando ben noti Nomi hanno visto in esso un'arma anti-Microsoft, ma grazie lo stesso.

Avrei qualcosa da ridire sul "bastano 4 corsi e delle skill medie", ma insomma, ognuno porta la sua esperienza :)

@Pasquale:

sulla compatibilità, si può dire di tutto ed il contrario di tutto.

A me sembra che l'elenco delle applicazioni compatibili sia in crescendo rossiniano.

Tuttavia, una cosa vorrei chiederti: è da due anni prima dell'uscita di Vista che ho cominciato a seguire i talk su "cosa fare per rendere le proprie applicazioni compatibili con Vista".

Su UAC e manifest si sapeva praticamente tutto; nè la virtualizzazione del file system (una pratica "deprecated", tra l'altro) è stata tenuta nascosta. Tool come ACT (http://www.microsoft.com/italy/technet/windowsvista/rtm/act5feat.mspx) sono in giro da molto, ma molto prima del "lancio" di Vista.

L'aggiornamento delle proprie applicazioni a Vista, spettava forse a Microsoft? Le Aziende che lo producono, il "software che costa bei soldini", CHE HANNO FATTO?

Chiuderei qui l'OT, sennò Feliciano, invece della(e) scandinava(e), mi manda Elektra :P

29 January 08 at 5:58 AM

# Claudio Criscione said:

@Paolo

Lo so lo so, purtroppo l'attacco a testa bassa per partito preso è una brutta bestia, e la vedo tanto trai fanatici di Linux.Io provo a non caderci se riesco :-)

29 January 08 at 6:20 AM

# Feliciano Intini said:

@All: uaoooo... è proprio vero che "l'acqua che non ha fatto in cielo sta..." (frase dialettale delle mie parti...): ho tanto desiderato che i miei post generassero discussioni intense... ed ecco ...finalmente!

Ma visto che di natura sono un po' bacchettone, vi riporto all'ordine: perché, di grazia, questi confronti scivolano sempre su una tonnellata di temi diversi di sicurezza (per carità interessantissimi) tutti assieme, lontani dal punto di partenza iniziale?

Qui (il mio post del report) si sta discutendo DI FATTO del processo di sviluppo di codice e della sua capacità di ridurre il numero di vulnerabilità (per Microsoft leggi SDL): si sta confrontando il numero di vulnerabilità corrette e non corrette nel primo anno di vita dei prodotti sulla base di database pubblici. Basta. Stop. Finish. N-O-N si sta dicendo che Vista è più sicuro per questo. Ma chi dice che Vista è più bacato degli altri prende una cantonata e si deve ricredere, e chi dice che più occhi sul codice portano necessariamente ad un codice meno affetto da bug di sicurezza deve iniziare una profonda riflessione sulla validità di questo assunto...

29 January 08 at 9:33 AM

# Paolo De Nictolis said:

@Feliciano:

guarda, visto che sono pigro di natura, la "riflessione" la faccio a Lipner (nel 2001, ripresa nel suo testo sull'SDL) :D

29 January 08 at 10:22 AM

# Security Blog di Feliciano Intini said:

Già, io c'ero!... Ne avrete sicuramente letto, di quest'aperitivo organizzato da Microsoft Italia

07 February 08 at 10:51 AM

# Security Blog di Feliciano Intini said:

Sintesi : come conto di fare ogni tanto d'ora in avanti, posterò una sintesi delle considerazioni

12 February 08 at 9:18 PM

# Security Blog di Feliciano Intini said:

La notizia segnalata dal lettore nel commento al mio ultimo post era effettivamente troppo succosa per

12 May 08 at 6:26 AM

Leave a Comment

Comment Policy: No HTML allowed. URIs and line breaks are converted automatically. Your e–mail address will not show up on any public page.

Name (required) 

Your URL (optional)

Comments (required) 

  

Enter Code Here: Required

Remember Me?