linux user group brescia

On Wed, 2004-10-27 at 14:34 +0200, andrea gelmini wrote:
> sinceramente, drinkwater, non cercare di far passare una cazzata
scritta da
> te come sentito dire da altri (questo lo facevo io alle medie quando
> sbagliavo il significato di "gioco forza").
> 

        <FLAME>
che palle.
di solito quando c'è da discutere su qualcosa non mi tiro mai indietro,
perché penso (IO penso questo, chiunque è liberissimo di contestare il
MIO PERSONALISSIMO punto di vista) che ci sia sempre da imparare, anche
dalle cazzate, e che confrontarsi con gli altri sia sempre qualcosa di
costruttivo. non penso ci sia nulla di male nell'ammettere di avere
avuto un'idea sbagliata, visto che nessuno a questo mondo è dio, né
possiede la suprema conoscenza (anche se molti lo credono).
affrmazioni come queste, però mi fanno proprio girare le balle. il link
al messaggio è questo: http://www.sikurezza.org/ml/08_04/msg00043.html
nota che la data è di QUALCHE MESE antecedente al mio post.
e non è nemmeno un link che ho trovato casualmente cercando la ricetta
della torta di mele: la prova più efficace e stupida che ti posso
portare è che nel mio portatile c'è l'archivio di qualche mese di quella
mailing list (spero non ti faccia schifo vedere evolution anziché mutt).
        </FLAME>

premessa alla parte seguente: forse sono io che fraintendo il
significato delle tue mail, ma sembra che tu mi risponda pensando che me
la sono presa per qualche motivo. guarda che non è così (salvo per rari
passaggi in cui dico lo chiaramente, come sopra). per il resto... mi fa
anche piacere se rispondi alle mie mail (soprattutto questa), quindi
resto in febbrile attesa del tuo reply :)
fine della premessa.

veniamo ora alla persona che ha scritto il messaggio originale. fermo
restando il rispetto che ho per chi mi sta intorno, in primis er certi
elementi del lug che trafficano su linux infinitamente meglio di me da
molto tempo più di me (non mi vergogno affatto nel dire che tu sei una
di quelle persone).
ritengo, secondo il MIO PERSONALISSIMO e discutibile parere che sia una
delle persone che ne sa di più, di sicurezza, in italia. è vero che il
mondo è pieno di cazzari, ma i cazzari non hanno la fortuna di andare a
raccontare qualche storiella ad alcuni tra i più importanti
"convegni" (perdonami se il termine è inappropriato, ma in questo
momento è il primo e unico che mi viene in mente) sulla sicurezza in
itala e nel mondo. è anche vero che i cazzari non vanno a scrivere il
proprio nome in documentini del cazzo (tipo le RFC) e non fanno
consulenze per i Bell Labs.

> no. ribadisco, il punto e' proprio questo: da quello che hai scritto
si
> evinceva che non sapessi (tu) neppure l'abc di cio' di cui stavi
parlando
> (notasi che uso il passato, in quanto presumo che dopo le piu'
spiegazioni
> arrivateti...).
>
è abbastanza improbabile che chiunque si trovi a dover affrontare questi
problemi non sappia cos'è un hash. 

> il problema e' che in quel passaggio sei saltato di palo in frasca.
>
saltare dall'hash SHA-0, SHA-1 e MD5 a DES mi rendo conto non sia stata
una scelta felicissima, ma quello che volevo rendere non era un paragone
di efficienza, né di reversibilità, ma semplicemente dire "per DES è
successo, eppure lo ritenevano ultrasicuro". così va meglio?

> io con il ghido ci ho lavorato due anni, e siamo arrivati pure a
> pestarci...
>
scriveva in una mailing-list pubblica che non sai fare un cazzo solo
perché tu cercavi di risolvere problemi che lui nemmeno si poneva?

non pretendo di essere il più astuto dei sistemisti, io per primo sono
convinto che avrei uno sproposito di cose da imparare semplicemente
mettendomi in parte a uno bravo (ma per davvero) ed eseguendo passo per
passo quello che mi dice di fare; semplicemente parto dal presupposto
che un sistema NON È SICURO, anche se Andrea Gelmini o Marco Ghidinelli
mi dicono che non ci sono, oggi, exploit efficaci per il mio sistema.
questo potrebbe implicare che un giorno, una persona che so che non
scrive cazzate in una mailing list di sicurezza, mandi a tale ml un post
in cui mi dice che MD5 è insicuro. a questo punto prendo atto della cosa
e inizio ad abbandonare MD5 nei miei sistemi, sostituendolo, dove
possibile, con qualcosa di più efficace.
credi che sia sbagliato?
credi sia meglio fare come quei (tanti) sistemisti ciecamente convinti
di essere invulnerabili e che poi, un bel giorno lo prendono
inesorabilmente nel culo quella volta che uno un po' più sveglio della
media decide di attaccare proprio il loro sistema?
mi torna alla mente quando hanno SFONDATO i server di debian e gentoo
sfruttando l'exploit do_brk() dei kernel antecedenti il 2.4.23 (o 24)
oltre a qualche altro piccolo escamotage per ottenere una piccola shell.
che mi dici di quell'evento?
sono assolutamente certo (sperimentato e documentato) che se quei
server, invece che avee installato una pacchianissima versione di debian
avessero avuto qualcosa come adamantix, tanto per restare in casa
debian, quel tentativo sarebbe miseramente fallito. è un vero peccato,
però, che nelle mailing-list, quelli che parlano di hardening e di
applicazione di patch al kernel per incrementare la sicurezza, vengano
definiti visionari, "cani bastonati", o "persone che sparano cazzate".

> detto questo, non ho capito cosa abbia a che fare la tua triste storia
di
> cane bastonato e abbandonato, con le cazzate che scrivi in mailing
list.
> 
l'impressione è che il tuo punto di vista coincida con quello del ghido.
cos'è che credi sia una cazzata? pubblicare una notizia forse imprecisa
ma comunque vera e proveniente da fonti estremamente autorevoli? oppure
sprecare tempo e sbattersi un po' cercando di capire/applicare alcuni
dei nuovi aggeggini che ci sono in giro? potrei citare, per esempio
alcune patch per il kernel tipo RSBAC e SELinux, che secondo ghido sono
solo della gran minchiate (sicuramente direbbe così).