[MontelLUG] Report

[elietandre a freesurf.fr]

Fonte: http://www.zeusnews.it/index.php3?ar=stampa&cod=3573&numero=999

XP non aggiornato? Infetto in quattro minuti

Windows, Mac OS X, Linux alla prova: quanto reggono se esposti agli 
aggressori della Rete? L'esperimento di Kevin Mitnick e soci.

[ZEUS News - www.zeusnews.it - Security Update, 01-12-2004]
Quattro minuti online bastano per infettare un PC. La società di 
marketing e design californiana Avantgarde e il popolare quotidiano USA 
Today hanno incaricato il celebre Kevin Mitnick e l'informatico Ryan 
Russell di collegare a Internet per due settimane sei piattaforme 
informatiche fra le più comuni, nella configurazione standard impostata 
dal produttore, per vedere quale avrebbe resistito meglio all'ondata di 
attacchi che colpisce silenziosamente ogni computer connesso alla Rete.

I risultati sono molto educativi. Windows XP con il Service Pack 1 (e 
senza il più recente e controverso Service Pack 2, quindi una 
configurazione non molto aggiornata ma assai diffusa) ha resistito 
appunto quattro minuti.

Windows Small Business Server 2003 se l'è cavata meglio, reggendo ben 
(si fa per dire) otto ore.

E' interessante notare che basta molto poco per rendere assai meno 
vulnerabile un PC Windows: XP con Service Pack 1 e Zone Alarm 5.1 ha 
resistito indenne per le due settimane dell'esperimento. Lo stesso vale 
per XP con SP2 nella configurazione di default.

Mac OS X, nella versione 10.3.5, e Linux, nella distribuzione Linspire, 
se la sono cavata altrettanto egregiamente, restando intatti. Il 
conteggio degli attacchi è risultato ex aequo fra XP SP1 e Mac OS X, con 
circa 138.000 tentativi di intrusione a testa. Linux, invece, si è 
attirato soltanto 795 tentativi, pari allo 0,26% degli oltre 
trecentomila subiti dalle macchine-esca di Avantgarde.

Nel considerare le implicazioni di queste cifre bisogna fare attenzione 
al tipo di aggressione studiata dal test. Questa vera e propria 
gragnuola di trecentomila attacchi è costituita per la stragrande 
maggioranza da attacchi automatizzati, tentati a casaccio contro 
qualsiasi computer raggiungibile in Rete nella speranza di trovarne 
qualcuno vulnerabile. Inoltre non risulta che i computer siano stati 
utilizzati da qualche utente durante le due settimane del test, per 
esempio per ricevere posta o navigare nel Web, per cui è stato escluso 
dall'esperimento un fattore molto importante: l'utente, che con i suoi 
comportamenti spesso inconsapevolmente a rischio è prezioso alleato 
involontario degli aggressori.

Inoltre la sostanziale parità del numero di attacchi contro Windows XP e 
Mac OS X non deve far pensare a una smentita della teoria secondo la 
quale il Mac sarebbe meno vulnerabile perché meno bersagliato: gli 
attacchi, infatti, erano quasi tutti basati su falle di Windows, per cui 
non hanno messo alla prova significativamente la robustezza di Mac OS X 
e Linux.

In realtà la distribuzione del numero di attacchi rivela un fatto molto 
importante: secondo i risultati del test, nella configurazione di 
default Mac OS X non occulta completamente la propria presenza in Rete e 
quindi si attira molti più attacchi rispetto a Linux, perché il sistema 
operativo Apple risponde ai ping ICMP usati dai programmi automatici che 
cercano bersagli da aggredire; Linux no.

Al di là delle analisi tecniche, comunque, forse l'aspetto più degno di 
risalto di questo test non è la robustezza relativa dei vari sistemi 
operativi, ma il fatto che sia stato commissionato da quello che in 
Italia sarebbe un giornale popolare, scritto per un pubblico di massa, 
non per gli informatici. Attendiamo (con poca speranza) che i quotidiani 
nostrani imparino la lezione.