Ciao Stefano,
Mi sono disiscritto ma dato che ho ricevuto questa mail volevo rispondere.
Con la mia prima mail mi aspettavo proprio una risposta come questa.
La tua risposta a mio parere è stata:
Precisa, mi ha fatto capire il problema e portato soluzioni ( alcune che
considero corrette altre no, di cui mi sarebbe piaciuto discutere), ha
portato spunti tecnici per altre discussioni di crescita in sicurezza,
suddivisione di lan e criptaggi.
peccato che sia arrivata per ultima.
Grazie
Il giorno 22 maggio 2017 12:31, Steevie <steevie@xxxxxxxxx> ha scritto:
Ciao,
non so se leggerai questa risposta, comunque ecco il mio mezzo eruocent.
2017-05-22 11:21 GMT+02:00 FabioLinux <crsfba84+linuxtrent@xxxxxxxxx>:
Ciao a tutti,critiche
ora mi disicrivo da questa mailing list, una mia credenza è che le
facciano crescere quindi darò le mie ragioni.fatto
Le ragioni sono:
1- troppo pochi mail tecniche moltissime chiacchire
2- quasi (sottolineo quasi) tutte le discussioni sono incentrate sul
windows sbaglia, non su miglioramenti e novità dei sistemi linuxpalese
3- anche in una discussione come questa dove si porta alla luce un
problema di linux, invece di vedere se qualcuno l'ha riscontrato e comeUn palese problema di Linux: vero; una falla importante: vero; però
correre ai ripari si dice ... "ovviamente tutto il software ha delle
falle."
dal changelog del pacchetto cryptsetup su debian:
[ Jonas Meurer ]
* debian/initramfs/cryptroot-script: sleep after max passphrase
attempts.
This mitigates local brute-force attacks and addresses CVE-2016-4484.
[...]
-- Jonas Meurer <mejo@xxxxxxxxxx> Mon, 07 Nov 2016 11:34:41 +0100
Il fix quindi è disponibile e per implementarlo è sufficiente
aggiornare il pacchetto sul proprio PC/server/whatever. Pratica,
quella di tenere aggiornato un sistema, che è consigliata da un po'
tutti gli esperti di sicurezza. Inoltre, la data dell'articolo che
linki è _posteriore_ a quella del fix pubblicato da debian.
Per quanto riguarda la vulnerabilità in sè, è vero che permette
l'accesso come root ad una macchina, che di per sè è _molto_ grave, ma
1) non permette di leggere nè di accedere alla partizione criptata
2) su tutti i sistemi linux i login utente sono registrati (immagino
anche in questo caso) ed esistono soluzioni che inviano email e/o
notifiche via SMS o altro mezzo ad ogni login (o altro evento che
accade sul server)
3) come rilevi tu stesso e come appare evidente dai messaggi sui
bugtracker ubuntu/red hat/debian ecc ecc, basta avere accesso fisico
ad un PC Linux per ottenere l'accesso come root
4) negli ultimi mesi sono uscite vulnerabilità molto più gravi di
questa (lapalissiano).
5) La falla non è presente su Arch Linux, Suse e mi pare nemmeno su
Gentoo (cfr. i link da [1]). Quindi non è nemmeno una falla "di Linux"
in sé.
6) L'articolo è uscito (come detto sopra) DOPO la disponibilità del fix.
7) nel link che riporti viene spiegato come basti aggiungere
l'opzione "panic" al kernel per impedire la vulnerabilità.
Sinceramente non conosco distribuzioni recenti che non includano
questa opzione in grub.
Per quanto riguarda il punto 1, infine, se una partizione è criptata e
non hai la chiave, l'unica strada che puoi provare è un brute-force di
qualche tipo. Che, come accennato nella serata di martedì, è come
tentare di riavere i propri dati criptati da ransomware. Puoi provare
a farlo anche off-site, ma se hai una chiave abbastanza buone (2048 o
4096 bit), riuscirai mediamente a decriptarla quando i tuoi figli
saranno ottuagenari (iperbole).
Questa falla quindi è importante e pericolosa, certo, ma personalmente
non la ritengo così pericolosa - se voglio prendere il controllo di
root su un pc cui ho accesso non ho nemmeno bisogno di una
vulnerabilità, mi basta una tastiera (ed un monitor o console)...
Avere accesso da LAN come root ad un computer server è un disastro, doverdove ci
criptare tutti i dati la possibilità che dalla rete comunque una persona
acceda e cancelli dati sensibili è un disastro.
Va bene utilizzare linu
Va bene difenderlo
Ma per una cosa del genere se una persona lo installa in un ospedale
sono palesemente dati sensibili rischia denunce penali per garanzie diGuarda, io mi auguro vivamente che i dati sensibili di un
sicurezze non date.
ospedale/clinica/comune/banca non siano accessibili da pc nella LAN.
Se lo fossero, anche solo per ignoranza/negligenza di un dirigente che
non ha conoscenza dei possibili pericoli, sarebbe molto più grave, e
non solo dal punto di vista della sicurezza, di questa vulnerabilità.
In soldoni: Vulnerabilità certamente grave, ma non tanto da meritare
un'attenta analisi in questa lista. Si potrebbe parlare piuttosto di
come l'ecatombe causata da WannaCry (che se vogliamo è un problema
simmetrico a questo) sia stata causata senza nemmeno dover avere
accesso fisico alla LAN oppure di come gran parte della sicurezza di
Internet fino a pochi mesi fa si dovesse reggere sull'unico
sviluppatore di openssl, che ha causato molti più danni (non solo CVE,
ma milioni di utenti in qualche modo colpiti) di questa CVE.
Ciao,
Stefano
[1] https://security.archlinux.org/CVE-2016-4484
--
Stefano David, PhD
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx