Latina digest, Vol 1 #26 - 3 msgs

Giuliano Peritore perit@noc.panservice.it
Sun, 11 Feb 2001 12:53:07 +0100 (CET) 

	Il problema puo' essere visto sotto diverse angolazioni:

a) A tutela dell'Open Source si puo' dire che proprio la disponibilita' dei sorgenti e' una tutela, in quanto facilita l'individuazione di BUG e puo' garantire che un codice open source 'maturo' e' stato gia' patchato quanto necessario;

A tutela di questa visione cito A.S.Tanembaum (Progettazione e Sviluppo dei Sistemi Operativi) che citando Saltzer e Schroeder (1975) relativamente ai Principi di progettazione per la sicurezza riporta come PRIMA regola: "il progetto del sistema deve essere pubblico.  Assumere che l'intruso non conosca il funzionamento del sistema server solo a deludere il progettista.";


b) Riguardo Linux e BSD e' pero' necessario che il firewall faccia solamente da firewall, lasciando TUTTI i servizi necessari disattivati e aprendo l'accesso solamente in locale.  In questo modo solo una piccola parte di codice sara' interessata al servizio (praticamente kernel, networking, ipfiltering) e questa parte in genere e' una delle piu' testate;


c) Riguardo i firewall fisici ci sono due considerazioni:

c1) Il firewall fisico potrebbe essere basato su un sistema open-source.  Il propietario magari non lo sa, ma un hacker con un buon software di fingerprinting se ne puo' accorgere;

c2) Il firewall fisico potrebbe essere basato su un sistema propietario e le patch potrebbero ritardare un po' (e tanto vanno sempre installate da qualcuno);


	D'altro canto anche il professore ha le sue ragioni, e i prezzi di mercato sono una chiara indicazione della 'validita' e versatilita'' dei singoli sistemi.  Esempio:

	Firewall linux costa circa 1 milione
	Firewall SonicWALL XPRS2 costa circa 5 milioni
	Firewall Cisco PIX costa dai 20 ai 40 milioni

	Per assurdo quello meno versatile e' il PIX, ma e' anche uno dei piu' sicuri.  Tutti e tre implicano comunque la configurazione e la manutenzione da paerte di un amministratore di sistema che sa cosa sta facendo.  E' giusto che anche gli amministratori di sistema abbiano il loro lavoro (!) e non credo nelle installazioni 'una-tantum'.

	A presto.

> Qualche giorno fa mi e' capitato di fare una discussione con il mio prof di 
> Reti Geografiche sulla sicurezza del software open souce: dovendo scegliere 
> un firewall lui sosteneva che un pc con linux o *BSD e' inadatto in quanto, i 
> sorgenti sono disponibili e conosciuti e quindi e' facile individuare bug e 
> compromettere la sicurezza del sistama, io ho ribattuto dicendo che sono 
> quasi sempre disponibili patch correttive entro pochi giorni. La risposta e' 
> stata che questo implica il costo di un amministratore di sistema fisso e 
> quindi non e' conveniente economicamente. Che ne pensate?