Che bello finalmente un flame... era da un po' che non se ne sentivano...
In onore di Stefano Zanero (che non si tira mai indietro davanti ad una
bella polemica e che spero non me ne voglia per averlo citato) faccio un
bel tuffo carpiato e mi ci butto di testa :)
Marco d'Itri wrote:
Riflettiamo un attimo su quali sono le vulnerabilità plausibili:
difficilmente un bug di openvpn avrà come effetto semplicemente di
aggirarlo e permettere di arrivare a ssh, è molto più probabile che
permetta di eseguire dello shellcode ed ecco che sparisce la presunta
stratificazione di difese.
Se ho un openssh esposto almeno posso sperare che dopo l'ultimo buco
comunque l'attaccante nel peggiore dei casi si trovi ad eseguire codice
in un chroot vuoto, con openvpn chissà.
Ah si?? E queste belle considerazioni sono suffragate da cosa? Cosa mi
dice che l'exploit di ssh mi porti dentro la sua jail e non fuori? Fai
delle considerazioni che paiono chiare solo a te.
Indubbiamente se hai molti livelli di protezione un massive attack e'
piu' improbabile che ti colpisca e un attacco mirato e' indubbiamente
piu' complesso da portare a termine.
Questo rimane tutto da dimostrare.
Perche' tu vuoi pensarla cosi', non perche' sia effettivamente qualcosa
che debba essere dimostrato.
Perché ssh rispetto a telnet fornisce maggiore sicurezza in modo
evidente e tangibile, la security da webforum che vedo proporre invece
no.
Ah si? E perche' quello che e' ovvio per te e' verita' e quello che e'
ovvio per me e' security da webforum? Per inciso prova ad essere piu'
costruttivo nella discussione invece che offensivo.
dai... ci sono certe cose che oramai DOBBIAMO dare per scontate... e ssh
e le sue basilari configurazioni sono tra queste...
Insisto: se non le giustifichi analizzando costi e benefici è solo
cargo cult security.
Tu non hai giustificato con costi e benefici proprio nulla. Anzi hai
detto testualmente che (cito) "ssh rispetto a telnet fornisce maggiore
sicurezza in modo evidente e tangibile". E io non ho detto nulla di
diverso. Prova a leggere qualche riga qui sopra.
E' chiaro che io e te, sebbene in molti punti la pensiamo allo stesso
modo ma forse tu non lo hai capito, in generale la pensiamo
diversamente. Ed e' giusto cosi' perche' la security e' fatta anche di
esperienza e di punti di vista. E tante volte una soluzione vale
l'altra, se entrambe sono implementate in maniera corretta.
Buon cargo cult (?)
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
