Theo de Raadt parla di sicurezza
Theo de Raadt è l'ideatore di OpenBSD, un sistema operativo open source giunto alla versione 3.5, e distribuito secondo l'originale spirito del copyright Unix di Berkley, il cui scopo principale è la sicurezza: il sistema vanta infatti una sola vulnerabilità remota nell'installazione di base, nei suoi 8 anni di vita.
Durante la conferenza annuale AUUG (Unix Users Group), Theo de Raadt è stato intervistato, da Rodney Gedda di Computerworld, circa le strategie da adottare per mitigare l'uso di exploit.
Rodney come prima cosa chiede a Theo, cosa l'industria del software ignora o trascura riguardo la sicurezza. Theo risponde che il 95% dei problemi derivano da errori di programmazione a basso livello, ed i programmatori fanno piccoli ma fastidiosi errori, che poi vengono copiati da chi legge il codice e trasferiti da versione a versione ininterrotamente. A complicare il tutto vi è il fatto che si ha a che fare con miliardi di linee di codice.
Theo sostiene inoltre che le aziende hanno continui problemi di sicurezza, poiché non adottano semplici tecniche di protezione e soprattutto perché gli sviluppatori non effettuano processi di auditing (analisi file su file di ogni sezione critica del codice), e questo riguarda sia Microsoft che Linux, sebbene alcune distribuzioni stiano prendendo spunto da OpenBSD.
Theo afferma che nel caso di OpenBSD, il defacer si rende presto conto che non vale la pena spendere le sue energie cercando nuovi exploit. Una parte importante, dice Theo, l'ha fatta OpenSSH sostituendo per la maggior parte telnet; OpenSSH è il caso di dirlo, ora è usato anche da Cisco.
Il creatore di OpenBSD dice che Windows ha problemi di sicurezza diversi dai sistemi Unix, e che essenzialmente sono dovuti ai circa 500 bug dei client web (vedi Internet Explorer) e alla tecnologia ActiveX ed in questi casi i firewall possono fare ben poco. La decantata tecnologia hardware NX (No-Execute), aggiunge, protegge solo alcune parti dello spazio d'indirizzamento, rendendo quindi sempre possibili buffer overflow.
Rodney ha infine chiesto a Theo, la sua opinione sul modello open source rispetto a quello "chiuso" in termini di sicurezza. Se volete saperne di più cliccate qui.
Fabrizio Pani - Programmazione.it
- [07/07/11] Come viaggiare all'estero in tutta sicurezza in caso di calamità
- [20/02/11] Programma gratuito per progettare, allestire e arredare casa
- [06/05/09] Mozilla: disputa tra NoScript e AdBlock Plus
- [21/05/08] L'open source è una religione?
- [01/02/06] Pass gratuito per Infosecurity 2006