jump to navigation

Linux Myth #2: Security March 14, 2006

Posted by laspinanelfianco in Linux.
trackback

“Lascia perdere Windows. Linux è molto, molto più sicuro. Se usi Linux sei invulnerabile ai virus ed anche ai worm ed ai trojan horse. Non devi più preoccuparti dei dialer, degli adware, degli spyware, delle finestre pop-up, dello spam e di ogni altra schifezza che puoi incontrare in rete. Linux ha il suo firewall interno, per cui sei invulnerabile anche agli hacker.”

Sarà tutto vero?

No.

Linux dispone di un suo firewall software interno (ipchains o iptables, a seconda delle versioni) e questo firewall è talmente “buono” e versatile da poter essere usato come firewall principale per difendere una rete aziendale (come infatti avviene ormai in quasi tutte le PMI). In compenso, su Linux non è ancora disponibile una interfaccia di configurazione semplice e comprensibile come quella di ZoneAlarm per cui l’utente “medio” (ex-Windows o ex-Mac) si trova quasi sempre in serie difficoltà quando deve configurare questo firewall. Il risultato finale è che spesso un sistema linux “personale” è meno protetto di un banale PC con Windows 98 e ZoneAlarm.

Linux non è invulnerabile ai virus. Sono stati scritti e collaudati virus che agiscono su Linux come su qualunque sistema operativo esistente. Il fatto è che Linux rappresenta il 3% dei sistemi installati. C’è poco interesse a scrivere virus per un sistema marginale come questo. Inoltre, i virus fanno fatica a propagarsi sui sistemi e sulle reti Linux a causa del fatto che esiste quasi sempre una netta suddivisione tra la figura dell’utente, cioè colui che si becca l’infezione, e quella dell’amministratore di sistema, cioè l’unica figura che ha i privilegi di sistema necessari per propagare l’infezione. Questa suddivisione di ruoli è disponibile anche su Windows e su MacOS X ma spesso l’utente non è consapevole e non ne fa uso.

Linux è invulnerabile ai worm, ai trojan horse, ai dialer, agli spyware ed agli adware esattamente come Windows e come MacOS X. Queste infezioni non colpiscono il sistema operativo ma piuttosto i programmi che girano su di esso. I programmi che rendono invulnerabile Linux sono OpenOffice, Mozilla Firefox e Mozilla Thunderbird. Tutti questi programmi sono disponibili, in varie forme, anche per Windows e per MacOS X.

Linux è vulnerabile all’attacco da parte di “hacker” (che poi sono in realtà “cracker” o “intruder”) molto di più di Windows ed almeno quanto MacOS X. Questo è dovuto al fatto che Linux, come tutti i sistemi Unix, mantiene sempre attivi una lunga serie di servizi di sistema e di rete che possono essere sfruttati per accedere abusivamente al sistema e per prenderne il controllo. Anche il più piccolo PC personale Linux è spesso imbottito di servizi di rete come un pesante server di rete Windows.

Se non assistiamo quotidianamente ad una vera morìa di sistemi Linux è solo grazie alla presenza dei firewall ed alla competenza degli utenti e degli amministratori di sistema Linux. Un utente Linux, mediamente, è almeno allo stesso livello tecnico di un amministratore MSCE Windows e questo lo rende un avversario piuttosto “tamugno” da sconfiggere.

Amministrare con competenza un sistema Unix (Linux, FreeBSD, MacOS X, Solaris, etc.) è un compito difficile, che richiede studio e preparazione. Per aiutare gli amministratori di sistema nel compito di rendere sicuri i loro sistemi e le loro reti sono stati sviluppati molti strumenti interessanti, tra cui Bastille. Bastille è un insieme di script Perl che provvedono a configurare la macchina in modo che vengano messe in atto decine e decine di accorgimenti tesi a renderla quasi inviolabile. Lo trovate qui: http://www.bastille-linux.org/ .

Linux è vulnerabile quanto Windows, e quanto qualunque altro sistema, nei confronti di molti programmi che sono stati sviluppati appositamente per attaccare determinati servizi, notoriamente vulnerabili. Questi programmi si chiamano in gergo “exploit”. Ne trovate una vasta collezione a Packetstorm. Per difendersi da questi exploit è fondamentale, indispensabile nonchè necessario mantenere sempre il proprio sistema il più possibile aggiornato, in modo da adottare il più velocemente possibile le patch di sicurezza che vengono sviluppate proprio per difendersi da questi exploit.

A questo servono i sistemi di update automatico come SuSe Watcher e Windows Update.

Linux non è invulnerabile allo spam (messaggi di posta indesiderati). Questo fenomeno dipende dal server e dal client di posta utilizzati, non dal sistema operativo. Esistono ottimi programmi antispam per i server sia in ambito Linux che Windows che MacOS X, come SpamAssassin. I programmi client che permettono di combattere lo spam, come Mozilla Thunderbird, sono spesso disponibili per Linux, Windows e MacoS X, per cui una casella di posta “pulita” non è certo una prerogativa dei pinguini.

Se decidete di passare a Linux solo per non dover comprare un Antivirus, sappiate che questa è la situazione.

Comments»

1. sandrinux - March 14, 2006

Concordo sostanzialmente su quasi tutta la linea, tranne che:
-Ci sono decine di tool che permettono tramite una comoda interfaccia grafica di configurare il firewall (iptables) in poche mosse. Non ritengo che un “utente medio” possa riscontrare particolari problemi.
-Hai dimenticato di sottolineare quello che a mio parere rende comunque GNU/Linux una scelta vincente dal punto di vista della sicurezza:
i codici sorgente del s.o. e praticamente di tutte le applicazioni che ci girano sopra, sono sotto gli occhi di tutto il mondo.
Personalmente non sono in grado di valutare se il kernel o un programma per GNU/Linux contengano dei bachi tali da compromettere la sicurezza del sistema, ma so che in questo momento ci sono migliaia di persone che, per passione o per lavoro, lo stanno facendo.
E la velocità con la quale vengono corretti gli errori (quasi sempre questione di “ore”) ne è una testimonianza.
Cosa ben diversa da quello che succede con altri sistemi operativi. Vedi ad esempio la vulnerabilità relativa ai file WMF (che arriva niente meno che dai tempi di Win 3.0), parzialmente tamponata da un hacker esterno alla Microsoft con una patch non ufficiale, e dopo la bellezza di DUE SETTIMANE dalla scoperta dell exploit, anche dalla casa di Redmond.

2. sandrinux - March 14, 2006

Concordo sostanzialmente su quasi tutta la linea, tranne per:

-Ci sono decine di tool che permettono tramite una comoda interfaccia grafica di configurare il firewall (iptables) in poche mosse. Non ritengo che un “utente medio” possa riscontrare particolari problemi.

-Hai dimenticato di sottolineare quello che a mio parere rende comunque GNU/Linux una scelta vincente dal punto di vista della sicurezza:
i codici sorgente del s.o. e praticamente di tutte le applicazioni che ci girano sopra, sono sotto gli occhi di tutto il mondo.
Personalmente non sono in grado di valutare se il kernel o un programma per GNU/Linux contengano dei bachi tali da compromettere la sicurezza del sistema, ma so che in questo momento ci sono migliaia di persone che, per passione o per lavoro, lo stanno facendo. E la velocità con la quale vengono corretti gli errori (quasi sempre questione di “ore”) ne è una testimonianza.
Cosa ben diversa da quello che succede con altri sistemi operativi. Vedi ad esempio la vulnerabilità relativa ai file WMF (che arriva niente meno che dai tempi di Win 3.0), parzialmente tamponata da un hacker esterno alla Microsoft con una patch non ufficiale, e dopo la bellezza di DUE SETTIMANE dalla scoperta dell exploit, anche dalla casa di Redmond.

3. Furex - March 15, 2006

Con questa serie sui miti di Linux ti stai riscattando dall’ardito parallelo WinWord 6/OpenOffice.org 2.0🙂

Però nel prossimo post devi spiegare come cavolo facevi a fare il kill -9 sotto Win95😉

4. laspinanelfianco - March 15, 2006

“Però nel prossimo post devi spiegare come cavolo facevi a fare il kill -9 sotto Win95 ;)”

Semplice: ho un Windows 95 taroccato!😉

Alessandro Bottoni

5. Andrea - March 15, 2006

Mah, al riguardo le opinioni sono diverse

http://www.telug.it/marco/virus/virus.html

6. Tassoman - March 16, 2006

Ti sei dimenticato di parlare della gestione della memoria. E dei processi impazziti.

Ti sei dimenticato di dire che quando il pc inizia a swappare per via di un processo impazzito, e consuma tutto il giga di swap, con cpu a cento e ram piena, in 3 secondi un kill -9 risolve le cose. E in un quarto d’ora l’uso della memoria torna come quando avevi acceso il pc, l’altroieri.

Ti sei dimenticato di dire che le applicazioni possono essere eseguite soltanto se gli si danno volontariamente i privilegi.

Ti sei dimenticato che a volte è impossibile giocare con i giochi in commercio.

Ti sei dimenticato di dire che nel kernel il supporto per le nuove tecnologie viene inserito mesi, se non anni prima rispetto agli altri OS. Ma anche che i winmodem non funzioneranno mai😛

7. monossido - March 17, 2006

mi pare che tu ci sia andato un pò troppo pesante…omettendo i benefici di linux…e esagerando i lat negativi…forse pensi che questo blog lo leggano solo esperti del settore…speriamo

8. R34t0 - April 21, 2006

In compenso, su Linux non è ancora disponibile una interfaccia di configurazione semplice e comprensibile come quella di ZoneAlarm per cui l’utente “medio” (ex-Windows o ex-Mac) si trova quasi sempre in serie difficoltà quando deve configurare questo firewall.

basta guardare su kde-apps.org ce ne sono a decine di gui per IP-Tables 🙂

Se gli user si documentassero sarebbe tutto piu’ facile per loro ; gli user-medi invece ingoiano da 20 anni quello che gli viene messo davanti da Don Gates.
E poi , non saprei se una GUI per tutto sia quello di cui abbiamo bisogno, provato mai un sistema GNU/Linux senza X ma solo con FrameBuffer??Semplicemente geniale. 🙂
Comunque complimenti per il blog!

9. blackker, the ubuntu user - November 11, 2007

queste sn sl sciocchezze, basti pensare che la maggior parte dei server è linux e forse c’è un motivo, e basta pensare che la maggior parte dei server attaccati sono linux.Io nn dico che linux sia inattaccabile ma dico che complessivamente è più difficile di windows data la sua architettura

10. blackker, the ubuntu user - November 11, 2007

ehm scusate volevo dire che i server attaccati sono windows


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: