problemi di sicurezza, era Re: [Soci SLIP] OTTriste notizia

[loredana]

Rigiro in lista.
2011/9/3 <gvsnet a gvsnet.it>

"Se dovessi pensare ad un comune denominatore sotto gnu/linux penserei
> proprio al kernel"
>

Il kernel non e' lo stesso per tutti. Per esempio, ci sono distribuzioni che
usano versioni del kernel completamente libero da blog binari, il che non
risolve il problema, ma aiuta. Ci sono distribuzioni "lente", come debian,
che dedica molte
energie e molte risorse alla sicurezza e ci sono sistemi che sono sempre
solo in
rete e chi si occupa della sicurezza non si sa. Ci sono quelli che hanno
l'aggiornamento facile e quelli no. etc.


> Da quando il sito era violabile?
>

Da sempre? Ne conosci uno che sia inviolabile?


> E possibile che siano state fatte modifiche al kernel che ancora non
> abbiamo notato.
>
Quante sono le possibilità che attualmente il kernel che abbiamo installato
> sia compromesso
> Chi o cosa garantisce  un kernel NON compromesso?
>

Nessuno. Si dimostra in via teorica: non esiste un modo automatico
per dimostrare che, DATO UN QUALSIASI PROGRAMMA, quello  faccia quello che
deve fare. Questo indipendentemente dalla bravura dei singoli o di miliardi
di persone. E' impossibile in linea teorica quanto lo e' il moto perpetuo in
fisica. Il sistema operativo non e' altro che un programma.

Nota pero' che questo non vuol dire che PER UNO SPECIFICO PROGRAMMA non sia
possibile dimostrare che fa quel che deve. Ovvio che con del codice binario
non
vai lontano. Ma se hai il sorgente ci puoi provare. Chi sviluppa codice a
livello
professionale lo testa eccome.

Per rispondere alle altre domande bisogna semplicemente documentarsi su quel
che e' successo, cosa che io non ho il tempo di fare ora. Si comincia con il
capire
su cosa si basa il sistema di sicurezza di kernel.org, si continua capendo
come e' stato compromesso e si finisce cercando di dedurne le possibili
conseguenze.

Un po' di tempo fa era stato compromesso il sito di debian. Io non me ne
sono
preoccupata piu' di tanto, sapendo che qualcuno ci avrebbe pensato per me.
Conta su chi posso contare. La vita funziona cosi'. Comunque, ogni volta che
vado in rete so di non essere sicura. E se il mio pc e' fisicamente
accessibile, anche se non vado in rete non sono sicura.

Ancor piu' tempo fa avevano compromesso il sito della free software
foundation.
Entrano in banche e in siti governativi, chi o che cosa puo' far sperare che
non buchino kernel.org?

Loredana
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: http://mailman.pinerolo.linux.it/pipermail/soci/attachments/20110903/6b0928f8/attachment.html