> > Fa riferimento ad una protezione per i programmi citati al 615 quinquies
> > c.p. Tale articolo utilizza una definizione generica di malware;
> > categoria nella quale compaiono anche i virus.
> Perdona, ma che ci azzecca il 615 cp con privacy e trattamento dei dati
> personali?
Risulta(va? l'han cambiato?) direttamente menzionato nell'allegato B del
codice della privacy.
> > "1. Chiunque diffonde, comunica o consegna un programma informatico da
> > lui stesso o da altri redatto, avente per scopo o per effetto il
> > danneggiamento di un sistema informatico o telematico, dei dati o dei
> > programmi in esso contenuti o ad esso pertinenti, ovvero
> > l'interruzione, totale o parziale, o l'alterazione del suo
> > funzionamento, e' punito [...]"
> Il che, secondo quella che era l'interpretazione che andava per la
> maggiore, stava a significare: "chiunque produca un malware o lo
> diffonda intenzionalmente è punito ...".
> Difatti tale articolo è stato modificato con la legge 18 marzo 2008, n.
> 48. in una forma che meglio esplicita il concetto e toglie l'ambiguità
> che vi era insita nella precedente formulazione, in cui anche la
> diffusione accidentale e involontaria poteva essere fatta rientrare nel
> caso:
> «Chiunque, allo scopo di danneggiare illecitamente un sistema
> informatico o telematico, le informazioni, i dati o i programmi
> in esso contenuti o ad esso pertinenti ovvero di favorire
> l’interruzione, totale o parziale, o l’alterazione del suo
> funzionamento, si procura, produce, riproduce, importa, diffonde,
> comunica, consegna o, comunque, mette a disposizione di altri
> apparecchiature, dispositivi o programmi informatici, è punito con
> la reclusione fino a due anni e con la multa sino a euro 10.329.»
Cosi' e' certamente meglio. Il concetto di alterazione del funzionamento
e' troppo generico. Anche un installer altera il funzionamento del
sistema, ma senza un effetto che sia percepibile come danno. ;-)
> Da notare che in questa nuova formulazione vi sono comunque ambiguità;
> se pubblico sul mio sito una copia di Metasploit e qualcuno dopo averlo
> scaricato attacca un sito, sono perseguibile anch'io?
Zona molto grigia, davvero. Probabilmente lo sarebbe chi creasse un
repository pubblico di malware, qualcosa tendente al sistematico; non
diversamente da chi mettesse un barile di diossina a disposizione del
pubblico, con tanto di insegna al neon e mestolo per prelevarne quanto
dovesse servire a "fare qualcOOOOsa".
> In ogni caso non si intuisce come l'antivirus si inserisca nel discorso
> affrontato dal 615 quinques.
E' lo strumento di piu' largo impiego per (tentare di) arginare le
minacce di cui all'articolo stesso: alterazione del funzionamento del
sistema, danni ai dati, eccetera.
> > Dovunque ho avuto a che fare con questa problematica, l'antivirus e'
> > considerato misura minima di protezione, indipendentemente dallo scopo
> > della macchina.
> Rabbrividiamo... quindi se uno seguisse quest'assurda interpretazione un
> antivirus andrebbe installato anche su un firewall, su un mainframe, su
> un router, su una CA isolata da Internet, ...
E' una interpretazione che considera la pericolosita' di un malware, al
limite di un singolo file, indipendentemente dall'ambiente
(immediatamente) circostante. Da una parte capisco le obiezioni finora
sollevate, nonostante un'affermazione in se' piuttosto pacata (ma il
tono delle reazioni?). Dall'altra, un rootkit (che non e' poi cosa tanto
diversa da uno qualsiasi degli altri malware dai quali un antivirus di
solito protegge) puo' essere specificamente "posato" anche allo scopo di
alterare il funzionamento di uno dei sistemi sopra nominati. Non e' il
caso del mainframe (forse; qualcuno ha riferimenti sulle minacce
software in un tale ambito, che conosco poco?), forse potrebbe esserlo
nel caso di un firewall.
> insomma secondo questa
> visione dovremmo sostanzialmente inficiare la sicurezza di
> un'infrastruttura (perché ovviamente installare un antivirus su una CA
> fatta seriamente ne inficerebbe la sicurezza)
Ecco, questo e' molto interessante: puoi spiegarne meglio l'impatto?
Dimostrare puntualmente che un tale software porterebbe svantaggi
anziche' vantaggi dimostra anche la necessita' di non installarlo.
> oppure influire
> negativamente sul funzionamento di un'apparato (p.es. un router basato
> su openwrt che ha risorse limitate) perché qualcuno dice che l'antivirus
> sia una misura si sicurezza minima.
Avere un clamav a bordo di un openwrt sarebbe poi tanto diverso
dall'avere un tripwire?
> E' valutabile la sua installazione anche su desktop e server MacOSX e
> Linux che erogano servizi o che sono usati dagli utenti per la
> navigazione o comunque per comunicare con il mondo esterno, ma in questo
> caso non è da considerare misura minima ma cautela aggiuntiva dato che
> vi sono strumenti più indicati.
Viene da domandarsi se, in almeno alcuni casi, tali strumenti (sto
pensando, per dirne una, ad un setup dedicato di SElinux) non si possano
considerare equiparabili pur non portando la parola "antivirus" nel nome
o nella descrizione.
> In (quasi) tutti gli altri casi l'antivirus è una misura di sicurezza
> tendenzialmente inutile quando non addirittura dannosa.... rappresenta
> una rete di protezione caduta massi installata in un deserto sabbioso.
Questo dipende dalla visione, o meglio dalla statistica, che ciascuno di
noi ha in mente per un certo tipo di rischio. Pensando al PC vulgaris (o
anche al server) con Windows, il rischio e' senz'altro l'infezione
occasionale. Pensando ad altri sistemi, il rischio diventa un attacco
oppure un vero e proprio atto di sabotaggio dall'interno. Quest'ultimo
non viene, forse, considerato spesso ma e', per quanto improbabile, una
eventualita' reale, con modalita' aleatorie che non assicurano di essere
"parato" a priori, in ogni caso. Un virus e' uno strumento buono come un
altro, a quello scopo.
Volendo proseguire nel ruolo di avvocato del diavolo, cioe' domandandosi
a che cosa dovrebbe mai servire un antivirus anche dove nessuno
penserebbe di installarlo, viene da rispondersi che un attaccante
scaltro potrebbe utilizzare un dato sistema anche solo come veicolo, per
depositarvi materiali che serviranno altrove.
> Su un router o un firewall configurati correttamente l'antivirus non
> serve a NULLA, occupa solo risorse senza lavorare, dal momento che virus
> e malware non rappresentano una minaccia per quel tipo di macchine;
> spesso addirittura usano architetture hardware per i quali non esistono
> virus in the wild. E se la categoria di malware intercettata dagli
> antivirus rappresentasse una minaccia per quei sistemi significherebbe
> che sono state disattese le reali misure minime di sicurezza per quel
> tipo di macchina, come p.es. la limitazione dell'accesso di management,
> il blocco delle porte e dei dispositivi non utilizzati, l'impostazione
> di un'autenticazione sicura, la sicurezza fisica dell'apparato, ecc.ecc.
Ovviamente se l'architettura e' diversa e magari non esiste nemmeno un
antivirus (o un malware corrispondente) il problema non si pone. Siamo
sicuri che si intendeva questo quando fu posto l'interrogativo? Non
intendevo certamente questo quando ho risposto, ho semplicemente
confermato che ho visto applicare questo criterio. Un firewall e un
router sono apparati di rete, oltretutto: i requisiti in quell'ambito
sono da sempre differenziati.
> Su un web server l'antivirus è sostanzialmente inutile; per esempio un
> sistema di integrity check ben configurato può garantire di scoprire
> eventuali intrusioni o minacce in tempo reale, laddove un antivirus
> potrebbe necessitare di un giorno solo per l'aggiornamento delle firme e
> nel frattempo potrebbe venir disattivato dal malware stesso diventando
> un inutile orpello. Piuttosto potrebbe essere molto utile un NIDS,
> magari anomaly based, un HIDS che analizzi i log, ecc.ecc.
Se come me hai in mente un server LAMP e' probabile che vada proprio
come descrivi. Ma chi ha detto che un antivirus debba essere l'unica
misura (minima non vuol dire unica, stiamo attenti alle parole perche'
quando si tratta di legge e' con quelle che rimaniamo fregati),
piuttosto che essere li' per poter dire "magari non capita, ma intanto
si poteva mettere e c'e'"? Nell'ambito del 615 ter, integrity check e
ids ci stanno benissimo, tra l'altro.
> Quindi ritenere l'antivirus una misura di sicurezza minima per qualsiasi
> macchina denota solo incompetenza nell'ambito della sicurezza informatica.
La mia visione in proposito, forse non abbastanza chiara nel post
d'origine ma certamente mutuata da una esperienza piuttosto varia, e'
"tendenzialmente necessario, non a priori sufficiente". E' questione di
stile, desiderare lavorare a maglie strettissime oppure no. In qualsiasi
discorso di sicurezza finiscono per rientrare, prima o poi, anche
criteri di praticita', economicita' e gestione; a tal punto che,
volendo, un sistema "military grade" lo si potrebbe mettere in piedi ma
poi nessuno sarebbe disposto a lavorarci oppure costerebbe troppo con le
risorse correnti.
> [...] Perché un antivirus da solo, dietro ad un firewall non
> correttamente configurato e gestito non servono a NULLA se non ad
> ingenerare un falso senso di sicurezza e ad arricchire un consulente
> incompetente.
Da solo, appunto.
un saluto
Marcello
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
