Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : Open Source Software Security

“Sicurezza, open source, codice proprietario, interoperabilità” alla 2a Giornata della sicurezza in Sardegna

Feliciano Intini — Mon, 03 Nov 2008 13:56:14 GMT

Mercoledì prossimo, 5 novembre 2008, sarò ospite della seconda edizione della " Giornata della sicurezza informatica in Sardegna ", organizzata da Sardegna Ricerche e dal Lab. Intelligenza d'ambiente di Sardegna DistrICT . Come riporta...(read more)

Microsoft, Open Source e Sicurezza: parliamone in modo costruttivo

Feliciano Intini — Fri, 01 Aug 2008 11:14:54 GMT

Ho avuto il piacere di essere ospitato ieri su Punto Informatico (che ringrazio per la disponibilità a pubblicare un mio intervento) per un commento al dibattito sul tema Open Source e Sicurezza scatenato dalla ricerca Fortify ( Open Source Security...(read more)

Ancora sulla presunta superiorità del software Open Source nella gestione delle vulnerabilità: un bug fossile e il lancio di oCERT

Feliciano Intini — Wed, 14 May 2008 17:13:02 GMT

Lungi da me scendere nell'arena delle guerre di religione (mi conoscete ormai, no?), ma un paio di articoletti letti in questi giorni mi spingono a riprendere il tema del confronto sugli aspetti di sicurezza tra Windows e il software Open Source. Questi due articoli, a mio parere, confermano le considerazioni che ho fatto in un mio post recente (che ha ovviamente scatenato un picco di commenti...) in cui confutavo quello che continuo a sentire come uno dei motivi principali, se non addirittura l'unico motivo di chi proclama la presunta superiorità del software Open Source in area sicurezza: l'ispezionabilità del codice come garanzia di minori vulnerabilità. Scusatemi se mi cito da solo, avevo detto:

"...con tutto il rispetto per le community open source (che ammiro), ma il fatto che ci siano tanti che possano fare una revisione di sicurezza di codice open, non è assolutamente equivalente a dire che tanti facciano davvero tale revisione e altrettanti siano in grado di farla bene."

Eccovi i due articoli che supportano il mio punto di vista:

Developer reveals 25 year old software bug

A Swiss developer seems to have confounded the theory that open source software is the quickest to be patched, by revealing a bug in the BSD software distribution which has remained unpatched for at least 25 years. Advocates of open source software argue that because of the large number of people working on such projects, bugs are quicker to spot and patch. But developer Marc Balmer's efforts have seemingly proved the opposite. He reported the filesystem bug in his blog on Saturday. "Much to my surprise, I not only found this problem in all other BSDs or BSD-derived systems like Mac OS X, but also in very old BSD versions," Balmer wrote. "The bug has been around for roughly 25 years or more."

E' solo uno spunto per sorridere e riflettere: non sto dicendo che anche nella piattaforma Windows non vi siano bug fossili come questo, ma davvero, siamo tutti nella stessa barca...

Per strapparvi un altro sorriso: non mi venite a dire che lo sviluppatore ha segnalato questa scoperta perché sotto sotto è il cugino di Steve Ballmer visto il cognome che si ritrova...

Il secondo articolo è relativo al lancio dell'iniziativa oCERT (Open Source Computer Emergency Response Team):

Response team boosts open-source security

IT managers often assume that open-source software is more secure than proprietary commercial software. Anyone who uses open source can examine the original code to spot any lurking vulnerabilities, and potentially even fix the vulnerabilities themselves. With proprietary software, you have to trust the vendor to do it all for you. But open source's supposed security advantage assumes three things: 1) someone is actually looking at the code, 2) security vulnerabilities are getting reported and fixed, and 3) information about those fixes makes its way to Linux distributors and other software vendors, which apply the fixes to their products. But what things aren't happening? As a customer, how can you be sure?

Se si riconosce la necessità di una iniziativa come l'oCERT per consolidare centralmente le segnalazioni delle vulnerabilità e agevolare l'inserimento delle relative correzioni in tutte le possibili distribuzioni si sta implicitamente ammettendo che il processo di gestione delle vulnerabilità del modello collaborativo Open Source così come è ora non è poi così infallibile e garanzia di maggiore sicurezza...

Quindi, intanto sono benvenute le iniziative come l'oCERT che contribuiscono a migliorare i processi tipo SDL anche in ambito Open Source, e se qualcun altro mi parla di "many eyeballs lead to secure code"... lo prendo a morsi!

Share this post :

Quale, tra Windows, Mac OS e Linux, è il sistema più sicuro?

Feliciano Intini — Tue, 01 Apr 2008 15:36:47 GMT

Il mio post di ieri sulle problematiche di sicurezza di Apple e quello letto oggi su Punto Informatico, hanno riacceso l'idea che vi avevo lanciato nel mio post di Natale, quando vi promettevo che vi avrei parlato della inconfrontabilità tra i sistemi operativi che competono tra loro sul mercato, ora essenzialmente Windows, Mac OS e Linux. All'inizio della mia esperienza in Microsoft, da puro tecnico e con la testa ancora presa dal sacro fuoco della teoria accademica, non capivo bene perché non si affrontasse il raffronto tra sistemi operativi concorrenti in termini strettamente tecnici e di architettura, e di confronto di funzionalità di sicurezza. Dopo un po' di anni a lavorare sul fronte e in trincea sugli aspetti di sicurezza, a fianco dei clienti (grandi clienti, con reparti IT sterminati...) impegnati ad usare realmente i prodotti Microsoft per realizzare soluzioni di business, ho piano piano capito perchè il mio punto di vista iniziale, "da smanettone", era limitato.

Tra parentesi, ci tengo a farvi presente che è proprio questo atteggiamento limitato da semplice smanettone, che vede il suo mondo iniziare e finire al solo computer (o ai soli computer) che ha a casa nello suo piccolo (o grande) laboratorio, che è spesso alla base delle guerre di religione a cui assistiamo... (Ho la massima ammirazione per gli smanettoni di questo tipo, ma spesso è proprio da alcuni di loro che vedo un atteggiamento ottuso di guerra preconcetta...)

Vi riporto le tre considerazioni importanti che sono alla base della mia idea di essenziale inconfrontabilità, parzialmente emerse anche da alcune considerazioni che condivido dell'articolo di Annunziata su Punto Informatico (ci sono anche diverse considerazioni che non condivido, ma su queste ci torno su a breve...;-).

Lo scenario di rischio che vivono i diversi sistemi operativi concorrenti è profondamente diverso in virtù della diversa quota di mercato e della diversa appetibilità dei dati da carpire. Si può confrontare un sistema operativo client adottato da milioni di utenti con altri diffusi molto molto meno? Non credo proprio. L'interesse da parte di chi intende attaccare è per forza orientato verso le piattaforme più diffuse e che possono far ottenere maggior guadagno con minor investimento possibile in termini di ricerca. L'attenzione e la ricerca di vulnerabilità è per forza sbilanciato verso la piattaforma Microsoft che ha un mercato molto molto più appetibile.

Altra piccola parentesi: è bene anche tener presente che (ed è uno dei trend attuali più importanti) quando l'intento diventa criminale e l'approccio professionista per puntare alla compromissione di un sistema ben focalizzato, non c'è piattaforma o investimento che tenga... il gioco di attacco/difesa è molto più arduo ed estremo...

Intanto una considerazione su questo punto: il fatto che la piattaforma Microsoft sia nell'occhio del ciclone più di altri non sempre è un punto a sfavore. Sono convinto che la massiccia diffusione dei sistemi e l'estrema attenzione di chi cerca di bucare Windows siano la migliore piattaforma di security testing che ci sia, molto molto meglio della famosa "many eyeballs lead to secure code" cara ai sostenitori open source. Fatemi dire una volta per tutte cosa penso al riguardo: con tutto il rispetto per le community open source (che ammiro), ma il fatto che ci siano tanti che possano fare una revisione di sicurezza di codice open, non è assolutamente equivalente a dire che tanti facciano davvero tale revisione e altrettanti siano in grado di farla bene.

La fruibilità da parte degli utenti meno tecnici e la gestibilità dei computer in ambienti aziendali è notevolmente diversa tra questi sistemi operativi concorrenti. Per l'ambito in cui sono nati e per la storia evolutiva che stanno vivendo, solo ora questi diversi SO cominciano ad essere lontanamente paragonabili, ma la strada è ancora lunga: facilità d'uso, estetica accattivante, ricchezza di applicazioni e di periferiche, gestibilità della configurazione remota in ambienti numericamente complessi, possibilità granulare e semplificata di configurazione delle opzioni, ogni SO ha un suo profilo più o meno marcato su questi aspetti e quindi soddisfa esigenze diverse.

Le dinamiche di produzione dei sistemi operativi e delle funzionalità informatiche al contorno (hardware e software) sono diverse. Microsoft fa solo software e abilita l'ecosistema di partner nel realizzare hardware (e quindi driver: è di Microsoft la responsabilità dei driver???) e software. Apple fa il software ma controlla parte dell'hardware su cui fa eseguire il suo OS. Linux ha un modello di sviluppo del software totalmente diverso e per certi versi destrutturato (con il rischio di sfuggire al governo dei tipici processi di revisione di codice sicuro). Sono confrontabili questi sistemi? Direi di no.

Queste considerazioni mi portano a dire che la domanda "qual'è il sistema più sicuro?" messa così secca, non ha molto senso (come la sintesi finale dell'articolo di Punto Informatico...). Un sistema maggiormente preso di mira dagli attacchi non vuol dire che sia più insicuro, se mostra di riuscire a proteggere gli utenti e soddisfa i loro requisiti (che possono essere di facilità d'uso e ricchezza di dotazione hardware/software per Windows, altrettanta semplicità d'uso e superba estetica da parte di Apple, o estrema versatilità di configurazione e personalizzazione per l'utente smanettone nei riguardi dei sistemi Linux).

Il punto è, semmai, quali dei modelli di sviluppo e dei processi reali di produzione del software di questi diversi sistemi operativi è quello che offre maggiori garanzie di riduzione del livello di rischio in termini di riduzione vulnerabilità, miglioramento delle funzionalità protettive, maggiore supporto agli utenti nelle situazioni decisionali che sono legate ad aspetti di sicurezza, e capacità di reazione alle emergenze di sicurezza dal punto di vista gestionale? C'è carne al fuoco per diverse decine di post...

Share this post :