il modello di sicurezza di debian e quello degli altri, era Re: [Soci SLIP] Red Hat, Ubuntu, and Arch Linux patch Linux kernel exploit

[llcfree]

On Sun, 2013-01-20 at 10:12 +0100, Lucio Crusca wrote:
> In data domenica 20 gennaio 2013 01:00:17, loredana ha scritto:
> > La tua wheeze sarà stata vulnerabile come altre distribuzioni, ma la
> > data di quell'articolo è gennaio 2012. Non so come funzioni la
> > sicurezza con debian testing. Tempo di scoprirlo? 
> 
> Te lo dico io: quasi non c'è. 

Temo proprio che tu abbia ragione. Questa e' la ragione per cui avevo
scartato molto tempo fa l'ipotesi di usare testing (tanto meno unstable,
experimental interessa solo agli sviluppatori). Mi pare ne avessimo
anche gia' discusso in lista. 

Parliamo di firefox, ma vale per tutto il resto, kernel compreso. Alla
radice del problema c'e' il fatto che, per esempio, per vedere il
filmato x ci vuole il flash player versione y, che esiste solo per il
browser versione z. Ovviamente, questo l'utente non lo sa. Allora
continua ad aggiornare a velocita' rocambolesca quando va bene il solo
browser, quando va male l'intera distribuzione. Ovviamente, non gli
funziona quasi mai l'aggiornamento e ale', la tortura. Ovviamente,
debian fa "schifo". Ci vuole ubuntu o chissa' che. Nel caso del kernel,
e' l'ultimo pezzettino di hardware che richiede il nuovo driver a
richiedere aggiornamenti continui, anche per chi quel dispositivo non ce
l'ha. 

Prima di tutto, la soluzione semplicissima per i filmini, anche per
debian, poi vediamo perche' a far schifo non e' il modello di stabilita'
di debian, ma altro.

La soluzione l'avevo gia' data in lista poco tempo fa, consiste
nell'installarsi firefox e i plugin E aggiornarlo indipendentemente,
perche' non fa parte di debian stable e percio' deve essere aggiornato a
parte, se si vuole mantenere un minimo di senso di sicurezza. 

In cambio di questo compito cosi' difficile, siete costretti a rendervi
conto di quale sia esattamente il vero problema (flash player, in questo
caso) e dovete imparare a risolverlo (cosa facilissima, se qualcuno vi
da' la dritta). Potete anche cominciare a dire la vostra. Potete anche
rendervi conto che a volte la soluzione non esiste, vedi silverlight per
la rai, meglio usare direttamente windows o fare a meno della rai in
rete. Cosi' sapete cosa spiegare alla rai e non vi fate zittire dalle
stupidaggini, casomai decideste di parlare. Finalmente sapete
esattamente quello che capita quando non riuscite a vedere un filmato:
qualcuno l'ha codificato, guardandosi ben dal dirvi come, e a voi manca
il codec, il plugin etc, cioe' un minuscolissimo pezzo di codice,
rispetto ad un'intera distribuzione. Non dovete riaggiornare Ubuntu,
tanto meno buttare via il pc potente per uno che lo e' molto meno ma vi
permette di vedere il filmino. Dovete installare il codec, il plugin
etc. se proprio non potete fare a meno del filmino. Molto, molto meglio,
dovete richiedere che il filmino ve lo diano in formato libero,
soprattutto lo dovete chiedere al servizio pubblico e alla PA. Ma se non
sapete cosa vi dite, allora nessuno vi stara' a sentire, perche' loro lo
sanno, cosa si fanno e sanno che le vostre proteste non vi portano da
nessuna parte. Oppure non sanno neppure loro cosa si fanno e percio' non
sanno come rimediare. Ditegli cosa non va E come risolvere il problema e
vedrete come l'atteggiamento cambia, quando si accorgono di aver di
fronte qualcuno che sa. L'atteggiamento di qualcuno, non di tutti. 

E ora veniamo al modello sicurezza.

Come ha spiegato bene Lucio, sia mozilla che, ahime', il kernel linux e,
di conseguenza, tutte le distribuzioni che li usano, hanno un problema
enorme di cui l'utente (il solito che si vuole necessariamente utonto)
non si rende certo conto, anche perche' nessuno glielo dice, per non
spaventarlo, proprio come fa microsoft e, percio', con le stesse
conseguenze.

Come ha spiegato Lucio, mozilla e linux fissano i bachi solo nella
versione corrente (di firefox, del kernel), non curandosi affatto di
quelle precedenti. Ergo, chi non aggiorna di continuo e' sottoposto
continuamente ad un rischio enorme, perche' ormai il baco e' noto e
nelle versioni precedenti di firefox e del kernel rimane, per parlare
del software libero, come rimane in tutto quello proprietario, dal flsh
player in su'. Il baco rimane cosi' in bella vista affinche' tutti i
bimbetti possano giocarci a farla in barba a questi adulti utonti e
fieri di esser tali, rassicurati da mamma distribuzione e dall'amico
geek di turno che ci pensan loro, e gia'. Vai a parlare di sicurezza,
come si fa? Si fa. 

Cosa fa invece debian? Che da sempre non ha interessi commerciali, e'
basata su una comunita' e come obiettivo ha la comunita' (cioe' te, caro
lettore)?

Sceglie una versione del kernel, del software etc per la release stable,
usa il suo team di sicurezza per rimuoverne tutti i bachi noti e non, e
continua a rimuoverli fino alla release stable successiva e ben oltre,
in pratica fino a due releases successive. Questo da' agli utenti una
tranquillita' notevole dal punto di vista della sicurezza, purche'
facciano gli aggiornamenti, e da' anche la stabilita' necessaria per
poter lavorare in pace, sapendo che gli aggiornamenti non cambiano
quello avete usato finora, non ne cambiano il comportamento, si limitano
a rimuovere bachi, di sicurezza e non. A chi non ha mai lavorato puo'
sembrare strano, ma agli altri no, questo modo. Red Hat ha recentemente
portato a dieci anni il supporto per la sua release enterprise.

> > > No questa volta hai ragione tu. Mi sa che gli incubi stanotte li avrò
> > > io...
> > > 
> > > :)
> > 
> > Questa volta? :)
> 
> Non iniziare... sai che non mi tiro indietro :)

Lo so, e sfoderi informazione, per questo inizio, voglio solo che
succeda nel modo dovuto, sfodera informazione, non la spada :)

> Piuttosto, alla luce di quanto mi hai fatto notare, il problema non grosso, ma 
> enorme, è per i possessori di uno smartphone o tablet con Android 4, perché 
> nella maggior parte dei casi dipendono dal produttore dello smartphone per 
> avere un aggiornamento al loro sistema e questi aggiornamenti, a seconda del 
> produttore, possono metterci dei mesi ad arrivare e a volte non arrivano 
> affatto. Il problema è che se mai dovesse verificarsi un fenomeno malware su 
> Android a causa di questa vulnerabilità, i media non esiteranno a dare la 
> colpa a Linux, perché fa più notizia che darla a Samsung o chi altri siano i 
> veri colpevoli (Linux sarebbe solo la causa tecnica della vulnerabilità, ma la 
> colpa e responsabilità di un sistema non aggiornato ovviamente sta altrove).

E' vero che la colpa sta altrove, ed e vero che e' difficile per
l'utente comune rendersene conto. Era anche difficile immaginarsi un
paese in cui l'analfabetismo fosse sconfitto, ma e' successo. Ognuno
faccia la sua parte, soprattutto chi ne sa di piu' per mestiere,
cultura, interesse. Poco o tanto che sia, non importa. 

Il problema vero e' che, mentre i desktop vanno a morire (per l'utente
generico) e diventano sempre piu' solo strumenti professionali, e questo
succede prima che un'intera generazione si accorgesse di quel che ci
avrebbe potuto fare, invece i tablet, gli smartphones etc trionfano, con
il loro pubblico che si vuole incompetente ma con ragazzini e i
criminali veri che incompetenti non sono. Dal sistema debian che vuole
essere universale, si passa alla frammentazione piu' feroce, in cui
ognuno si fa la sua cosina e ognuno ne rimane vittima, senza la
possibilita' pratica di farcela a stargli dietro, a correggere, a
informare. 

Noi abbiamo la fortuna di osservare il fenomeno in diretta, siamo dentro
la storia, "questa" storia. La possiamo modificare.

Loredana
 

Loredana