Commenti a: Delusione Red Hat, ovvero quando chiarezza fa rima con sicurezza

Di: ienabellamy

ienabellamy — Mon, 27 Oct 2008 11:44:35 +0000

D’accordissimo con l’autore del post.
Tenete bene presente una cosa però: “bug” non è sinonimo di “exploit”.
Qualcuno ha fatto l’esempio del lamer che si aggira su bugtrack alla ricerca di qualche bug da sfruttare. Beh, considerando che la stragrande maggioranza dei sysadmin seri ha uno script che spara apt-get update && apt-get upgrade ogni 2 ore, non è facile per il lamer in questione scrivere un exploit così velocemente.

Insomma, se si rispettano alcune regole di base e si tiene il sistema aggiornato, è molto più facile venire bucati da uno 0day che da un bug noto su un sistema non aggiornato.

i 0days sono quelli che fanno paura.

Di: Markon

Markon — Mon, 01 Sep 2008 08:47:20 +0000

Non commenterò sull’accaduto, ma sulla differenza di commenti sulla notizia tra questo blog e ossblog.
Lì subito pronti ad attaccare Linux, qui invece si discute sul fatto che RH non abbia subito messo in evidenza l’errore che c’è stato.
Insomma: lì subito pronti ad attaccare linux, qui invece si parla di “filosofia GNU”.
E non è roba da poco eh.

Di: guiodic

guiodic — Sun, 31 Aug 2008 20:06:28 +0000

@barra: ho capito quello che intendi, ma il tempo è passato, la stessa RH ha dichiarato di aver finito i controlli e che è tutto ok, quindi il momento è arrivato, direi.
Tutto qui, non è che voglio accanirmi contro RH, anzi, però in rete ormai escono articoli contro Linux che potrebbero essere facilmente stoppati se RH dicesse: “ragazzi, è successo che un admin demente ha messo “redhat” come password di root. Scusate, non accadrà più, il tipo lo abbiamo già licenziato”
(ovviamente è un esempio banale).

Di: Barra

Barra — Sun, 31 Aug 2008 19:47:10 +0000

? non capisco cosa intendi!
Possono esserci 1000 motivi x giustificare RH. Sono certo che a tempo debito RH comunicherà tutto. Magari è solo un eccesso di zelo però potrebbero avere qualche dubbio sulla attuale sicurezza della loro rete. Figurarsi se dichiarano una cosa del genere. Otterrebbero la fuga dei clienti e l’accanimento da parte di hacker vogliosi di mettersi in mostra!

Di: spillo

spillo — Sun, 31 Aug 2008 17:06:12 +0000

io ritengo il comportamente assunto dai responsabili Red Hat corretto… mi spiego con un paragone: tempo fa successe che TopHost ebbe dei problemi di sicurezza relativi forse proprio all’ssh, ora non ricordo bene… annunciò che c’erano problemi e che erano in movimento per risolverli, solo qualche giorno dopo decisero di rendere pubblici anche i dettagli, perchè se lo avesserò fatto prima avrebbero chiamato a loro i lamer…

Idem per Red Hat, che prima di tutto deve tutelare le aziende che usano tale sistema, non deve rilevare ogni dettaglio dei problemi, soprattutto perchè noi non siamo certi che sia tutto completamente risolto. probabilmente piu avanti verrà tutto a galla, ma per ora anche io preferirei il silenzio… Che poi magari i diretti interessati sono stati prontamente informarti, entro certi limiti ovviamente

Di: guiodic

guiodic — Sun, 31 Aug 2008 16:42:50 +0000

@barra: così facndo i loro clienti sarebbero preda facile per gli stessi attaccanti.

Di: Barra

Barra — Sun, 31 Aug 2008 14:36:20 +0000

@guiodic

E magari invece potrebbero sospettare che un attacco fatto con così tanta abilità possa aver creato altri problemi, o ancora peggio potrebbero esserci altri problemi generati dall’attacco e per tutelare i proprio partner non rilasciano informazioni

Di: gilean

gilean — Sun, 31 Aug 2008 08:47:19 +0000

@Guiodic

Potrebbe dire quel che le e’ successo dopo gli aggiornamenti….sempre che questi aggiornamenti risolvano il problema del tutto…

Di: jp

jp — Sat, 30 Aug 2008 23:33:26 +0000

Commenti laconici?

Credo che purtroppo sia la normalità…

RedHat è attualmente l’azienda con la distro commercialmente più rilevante nel mondo Linux ossia ha la fetta più grande in questo mercato, fetta che deve difendere a ogni costo (se no chi li sente gli azionisti?).

Naturale che quindi RH ragioni come tutte le altre aziende strettamente commerciali nel senso che tenda (e tenderà sempre) a nascondere e/o minimizzare i problemi (inclusi quelli di sicurezza)…

Ciao. ^^

Di: sphinx

sphinx — Sat, 30 Aug 2008 20:33:01 +0000

Non commento la notizia perchè si commenta da sola,voglio solo fare i miei complimenti a Guiodic per la coerenza.Quasta notizia è qualche giorno che circola ma,dei soliti Linux-man che sono solo capaci di fare i fighi quando le cose vanno bene,nessuno ha osato commentare più del necessario quanto accaduto. Solo qualche commento qua e la che poi sfociava sempre nel solito “Linux è più figo”.
Complimenti perchè non hai negato l’evidenza:è un fatto grave e non hanno ancora spiegato bene cosa cavolo è successo,inutile nascondersi facendo finta di niente (solo chuck norris non sbaglia mai ;D )

Bravo,open è anche quando si sbaglia