Il giorno 24/apr/08, alle ore 11:17, Giuseppe Fuggiano ha scritto:
ninjaboy wrote:
In parte e' questo il fattore, adesso le maggiori/piu' delicate
vuln e
relativi exploit sono venduti, l'altra causa e' il buonismo che s'e'
creato, prima chi bucava/codava exploits non era considerato un
"bastardo lamer", aveva il culo leccato da parecchia gente, oggi sta
gente e' diventata tutta guardiana della rete e profonda nemica dei
cracker o chiamateli come vi pare ;)
Secondo me la rete e` anche un tantino piu` sicura di ieri, con i
dovuti
accorgimenti ovviamente. Attenzione: non sto dicendo che e` _sicura_.
Se ieri bucavi IIS con Unicode, oggi forse questi errori stupidi li
fanno con ritmi piu` lenti.
Sicuramente per qualcuno negli ultimi anni c'è stato un progresso per
quanto concerne la sicurezza del codice. Bisogna fare però attenzione
a non lasciarsi ingannare dalle apparenze e dalle facili
interpretazioni.
Per prima cosa è necessario evidenziare come l'assenza di exploit in
the wild non implichi l'assenza di vulnerabilità per i grossi
applicativi software (le quali, a vedere gli advisory rilasciati qua è
là, ci sono eccome). Tanto per dire, a questo proposito, nelle
ultimissime settimane circolano voci piuttosto attendibili sulla
presenza di un exploit remoto per Apache 2.0.52.
Poi c'è da sottolineare come la situazione sicurezza non sia per nulla
uniforme, ci sono software house che fanno progressi (Microsoft), che
perdurano negli inferi (Oracle) e che agli inferi si stanno avviando
con grandi falcate (Apple). Microsoft ha finalmente adottato un buon
Secure SDLC che le ha permesso di ottenere importanti risultati
riscontrabili sin dall'uscita di IIS6. Oracle continua invece ad
essere afflitta da numerose vulnerabilità di rilievo, a rilasciare con
ritardo le patch e, quando avviene, a farlo tramite dei mega
aggiornamenti che difficilmente i sysadmin vedono di buon occhio
(business continuity prima di tutto!) con conseguente mantenimento a
tempo indeterminato dello stato di insicurezza. Apple non sa neanche
cosa sia un Secure SDLC e si sogna di attivare realmente nei suoi
software l'ASLR di cui si fa fregio su Leopard: le vulnerabilità
rilasciate nell'ultimo anno (dal MOAB di gennaio 2007 al PWN2OWN di
CanSecWest da poco conclusosi) non fanno ben sperare per il futuro..
Last but not least, dobbiamo ricordarci come negli ultimi anni sia
diventato di moda lo sfruttamento di vulnerabilità client-side
(sfruttando varie classi di vulnerabilità nelle web applications o
falle nei browser) e, benchè molti ricercatori "old style" le snobbino
per la loro vera o supposta banalità, non è facile condividere la
frase "la rete è anche un tantino più sicura di ieri": se è vero, come
è vero, che il cybercrime è in continua espansione e ripone sempre
maggiore attenzione verso questi tipi di attacchi, una ragione ci
sarà.. Quando si è constatata la potenza di un determinato metodo e se
ne scopre poi uno più semplice con risvolti differenti, si tende
erroneamente a considerarlo meno efficace del primo, senza
considerarne adeguatamente tutti i risvolti..
Saluti,
Alberto Trivero
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
