# 22 giorni tra falla e GLSA? O_o

## CRV§ADER//KY

il 16 ottobre scorso è stata pubblicata una falla critica dei driver NVIDIA, in grado potenzialmente di far prendere a un attaccante remoto il controllo completo del sistema, e soltanto oggi, a 22 giorni di distanza, è stata pubblicata la GLSA relativa.

Se a questo si aggiunge il fatto che fin da subito esisteva un workaround funzionante e di semplice applicazione, ossia disabilitare i driver NVIDIA e usare quelli vesa non accelerati, mi domando (senza inutili toni polemici) a che diavolo serva seguire la newsletter gentoo-announce.

Per inciso, io seguo svariate newsletter di sicurezza e questa notizia mi era arrivata praticamente in giornata, dunque il problema mi tocca solo relativamente.

Tuttavia un qualsiasi altro utente, che non si interessi attivamente di sicurezza ma voglia avere soltanto un sistema sicuro, avrebbe avuto il sistema vulnerabile per 22 giorni. A questo aggiungo che molti syncano soltanto quando una GLSA li avverte di un pacchetto insicuro.

Da cui la domanda cretina: ma non era meglio segnalare il problema in giornata, suggerendo l'ovvio workaround ed eventualmente rimandando una soluzione definitiva a dopo?

Ripeto, non voglio fare assolutamente polemica, la mia è una domanda quanto mai onesta e seria a cui non riesco a trovare una risposta plausibile.

----------

## .:chrome:.

la falla critica dei driver nVidia era un exploit remoto

pensi che in giro per la rete la gente non abbia di meglio da fare che cercare di violare il tuo sistema di casa?

quello che voglio dire è che non è certamente un problema grave, e il tempo che ci è voluto per la GLSA ne è la prova.

se tu la pensi diversamente, e ritieni che la sicurezza sia un fatto fondamentale anche per il tuo sistema personale, allora ti rispondo che sbagli ad affidarti alle sole GLSA, che non sono praticamente nulla, paragonate a quello che c'è in giro per la rete, e forse dovresti rivedere profondamente le tue politiche di sicurezza

----------

## X-Drum

in ogni caso di questa vulnerabilità si e discusso in largo e lungo

per la rete e per diverso tempo

----------

## CRV§ADER//KY

 *.:chrome:. wrote:*   

> la falla critica dei driver nVidia era un exploit remoto
> 
> pensi che in giro per la rete la gente non abbia di meglio da fare che cercare di violare il tuo sistema di casa?

 

Vista la quantità enorme di trojan in circolazione, atti a creare reti di zombie, la risposta è assolutamente sicura: sì, c'è un sacco di gente là fuori che vuole violare il mio sistema di casa.

E' apparso recentemente un articolo della BBC che mostra come un computer messo in rete (che non naviga né fa nulla, ha soltanto un IP pubblico) riceve in media un attacco ogni 15 minuti. A questi bisogna aggiungere gli attacchi via web/posta/p2p (come questo).

 *Quote:*   

> quello che voglio dire è che non è certamente un problema grave, e il tempo che ci è voluto per la GLSA ne è la prova.

 

attacco remoto, che permette il controllo totale del computer tramite l'apertura di una pagina web su tutti i computer muniti di scheda nvidia (il 30-50% del totale?)-> non è grave, è GRAVISSIMO. infatti, il livello di rischio indicato dalla GLSA è HIGH.

 *Quote:*   

> se tu la pensi diversamente, e ritieni che la sicurezza sia un fatto fondamentale anche per il tuo sistema personale

 

suppongo che per "fatto fondamentale" tu intenda che "non sono disposto a scendere a compromessi". sbagli; se fosse così userei openBSD o quanto meno un sistema linux talmente blindato da essere inutilizzabile col p2p (causa impostazioni del firewall) e su cui non gira il 60% del software in circolazione (in quanto non sufficientemente testato). 

Dispostissimo a scendere a compromessi, ma se qualcuno mi dice "ho aperto una pagina web e qualcuno ha preso il controllo completo del mio computer" io sono solito rispondere a colpo sicuro "fatti tuoi che usi windows, passa a Linux". se questo è l'andazzo, temo di dovermi ricredere.

 *Quote:*   

> allora ti rispondo che sbagli ad affidarti alle sole GLSA, che non sono praticamente nulla, paragonate a quello che c'è in giro per la rete

 

non hai risposto: per quale masochistica ragione le GLSA, che in teoria dovrebbero essere sufficienti a fornirmi un sistema senza bachi di sicurezza, non svolgono questa funzione in modo efficiente? (chiaro che se poi lancio sshd con la configurazione di default e ho come password di root "pippo" è soltanto colpa mia)

 *Quote:*   

> e forse dovresti rivedere profondamente le tue politiche di sicurezza

 

"passa a linux! ah, però ti avverto, se vuoi un sistema con un grado ragionevole di sicurezza per un computer domestico non ti basta affidarti alla tua distribuzione, devi iscriverti a 4-5 newsletter di sicurezza e passare metà della tua giornata a studiare gli attacchi informatici!"

assurdo. molti sostengono (almeno parzialmente a ragione, secondo me) che un sistema windows correttamente configurato non è meno sicuro di linux. il problema è che "correttamente configurato" significa avere parecchia esperienza in campo di sicurezza. e allora, se è richiesta la medesima cosa su linux, tanto vale usare windows  :Evil or Very Mad: 

 *Quote:*   

> in ogni caso di questa vulnerabilità si e discusso in largo e lungo
> 
> per la rete e per diverso tempo

 

in lungo e in largo sulle newsletter e i blog di informatica. Sinceramente mi pare ridicolo che una persona che di informatica non si interessa debba leggerseli tutti soltanto per avere un computer con la sicurezza minima indispensabile per navigare in rete.

----------

## cloc3

fortunatamente, è da tempo che uso i driver sperimentali, quindi credo di poter tirare un sospiro di sollievo.

però, di fronte alla notizia, non ho parole.

spero che emerga qualche argomento nuovo che permetta di spiegare l'accaduto.

p.s.: noto ora che la versione 1.0926 dei driver nvidia è stabile, non più sperimentale.

Non saprei dire da quanto tempo, ma forse, questo riduce la dimensione del fenomeno.

edit:...  :Embarassed: 

----------

## Ic3M4n

ehm... sono hard masked   :Rolling Eyes: 

http://packages.gentoo.org/search/?sstring=nvidia-driver

----------

## .:chrome:.

 *CRV§ADER//KY wrote:*   

> Vista la quantità enorme di trojan in circolazione, atti a creare reti di zombie, la risposta è assolutamente sicura: sì, c'è un sacco di gente là fuori che vuole violare il mio sistema di casa.
> 
> E' apparso recentemente un articolo della BBC che mostra come un computer messo in rete (che non naviga né fa nulla, ha soltanto un IP pubblico) riceve in media un attacco ogni 15 minuti. A questi bisogna aggiungere gli attacchi via web/posta/p2p (come questo).

 

però spesso queste indagini vengono fatte prendendo come considerazione windows. quello è affetto da worm di ogni tipo, e che spesso sono fini s sè stessi. nulla che abbia rilevanza concreta dal punto di vista della sicurezza, per il semplice motico che non sono una vera minaccia.

 *CRV§ADER//KY wrote:*   

> attacco remoto, che permette il controllo totale del computer tramite l'apertura di una pagina web su tutti i computer muniti di scheda nvidia (il 30-50% del totale?)-> non è grave, è GRAVISSIMO. infatti, il livello di rischio indicato dalla GLSA è HIGH.

 

sì, ok... ma quello che io dico è che difficilmente qualcuno andrà a sfruttarlo proprio sulla tua macchina. il rischio c'è, ed è potenzialmente alto, ma all'atto pratico, come fai? devi trovare una macchina Linux (tra tutte quelle che ci sono) che abbia una scheda video nVidia (tra tutte quelle che ci sono) che usa driver binari, e devi entrare in contatto con questa, e non basta di certo il fatto che queste risponda al ping.

per farti un parallelo: con i kernel 2.6.1 e 2.4.23 è stato fatto il fix dell'exploit di do_brk(), potenzialmente il più grave mai visto nella storia di Linux. bastava qualche riga di codice per diventare root, incondizionatamente. però dovevi essere loggato sulla macchina. tu prendi un kernel 2.6.0 e mettilo in internet ma senza nessun servizio aperto. voglio vedere come fanno a sfondarti la macchina.

ho reso l'idea? sarà anche vero che l'exploit è potenzialmente pericoloso, ma è anche praticamente inapplicabile.

sai quando è un vero rischio? quando offri la possibilità di login (o in generale servizi) sulla tua macchina a utenti che non consoci. parliamo di server pubblici, quindi.

 *CRV§ADER//KY wrote:*   

> suppongo che per "fatto fondamentale" tu intenda che "non sono disposto a scendere a compromessi". sbagli; se fosse così userei openBSD o quanto meno un sistema linux talmente blindato da essere inutilizzabile col p2p (causa impostazioni del firewall) e su cui non gira il 60% del software in circolazione (in quanto non sufficientemente testato). 
> 
> Dispostissimo a scendere a compromessi, ma se qualcuno mi dice "ho aperto una pagina web e qualcuno ha preso il controllo completo del mio computer" io sono solito rispondere a colpo sicuro "fatti tuoi che usi windows, passa a Linux". se questo è l'andazzo, temo di dovermi ricredere.

 

questi sono miti. niente di fondato

 *CRV§ADER//KY wrote:*   

>  *Quote:*   allora ti rispondo che sbagli ad affidarti alle sole GLSA, che non sono praticamente nulla, paragonate a quello che c'è in giro per la rete 
> 
> non hai risposto: per quale masochistica ragione le GLSA, che in teoria dovrebbero essere sufficienti a fornirmi un sistema senza bachi di sicurezza, non svolgono questa funzione in modo efficiente? (chiaro che se poi lancio sshd con la configurazione di default e ho come password di root "pippo" è soltanto colpa mia)

 

no. le GLSA sono solo un contentino, credimi. per quanto mi riguarda le trovo molto utili, ma le considero alla stregua di un promemoria. niente di più.

lo studio e la notifica delle vulnerabilità ha un background immenso, e nel momento in cui sei il sistemista (che si occupa di sicurezza) di un'azienda, e vuoi fare il tuo lavoro seriamente, DEVI avere sott'occhio se no tutto una grandissima parte di questo background. tanto per capirci... hai mai letto nelle GLSA qualcosa di più dettagliato di "per risolvere aggiorna alla versione successiva"? mi rispondo da solo: no. non c'è mai stato un annuncio del genere, perché le GLSA non sono una mailing list di sicurezza.

 *CRV§ADER//KY wrote:*   

> "passa a linux! ah, però ti avverto, se vuoi un sistema con un grado ragionevole di sicurezza per un computer domestico non ti basta affidarti alla tua distribuzione, devi iscriverti a 4-5 newsletter di sicurezza e passare metà della tua giornata a studiare gli attacchi informatici!"

 

questo è vero. ma ti ripeto che la sicurezza è una questione relativa.

tu confondi gli innocenti worm per windows con attacchi seri

la stragrande maggioranza degli attacchi condotti per la rete sono bassi tentativi di creare casino sfruttando le immense falle di windows. niente che ci riguardi.

se qualcuno di scafato decide di violare un sistema, non va certamente a prendere il PC di un utente qualsiasi, e non sta a smazzarsi per sfruttare una vulnerabilità del driver di una scheda video.

 *CRV§ADER//KY wrote:*   

> assurdo. molti sostengono (almeno parzialmente a ragione, secondo me) che un sistema windows correttamente configurato non è meno sicuro di linux. il problema è che "correttamente configurato" significa avere parecchia esperienza in campo di sicurezza. e allora, se è richiesta la medesima cosa su linux, tanto vale usare windows 

 

Richard Stallman (sì, proprio lui) ha detto più di una volta che il computer non dovrebbe essree uno strumento per tutti.

io sono d'accordissimo. lo usa chi è capace. chi non è capace sta a guardare.

lo stesso succede per le automobili. le guida chi ha la patente. chi non ha la patente usa i mezzi pubblici

 *CRV§ADER//KY wrote:*   

> in lungo e in largo sulle newsletter e i blog di informatica. Sinceramente mi pare ridicolo che una persona che di informatica non si interessa debba leggerseli tutti soltanto per avere un computer con la sicurezza minima indispensabile per navigare in rete.

 

un utente normale non dovrebbe preoccuparsi di questa e di tante altre vulnerabilità. non avrebbe le competenze per comprenderla e comunque non appartiene nemmeno alla categoria "a rischio"

----------

## CRV§ADER//KY

 *.:chrome:. wrote:*   

>  *CRV§ADER//KY wrote:*   Vista la quantità enorme di trojan in circolazione, atti a creare reti di zombie, la risposta è assolutamente sicura: sì, c'è un sacco di gente là fuori che vuole violare il mio sistema di casa.
> 
> E' apparso recentemente un articolo della BBC che mostra come un computer messo in rete (che non naviga né fa nulla, ha soltanto un IP pubblico) riceve in media un attacco ogni 15 minuti. A questi bisogna aggiungere gli attacchi via web/posta/p2p (come questo). 
> 
> però spesso queste indagini vengono fatte prendendo come considerazione windows. quello è affetto da worm di ogni tipo, e che spesso sono fini s sè stessi. nulla che abbia rilevanza concreta dal punto di vista della sicurezza, per il semplice motico che non sono una vera minaccia.

 

Quindi la sicurezza di Linux si deve basare sul fatto che è (attualmente) meno diffuso di windows?

 *Quote:*   

> all'atto pratico, come fai? devi trovare una macchina Linux (tra tutte quelle che ci sono)

 

basta infettare una pagina web qualsiasi, e/o spedirla via e-mail.. la quantità di macchine linux con schede nvidia che la visualizzeranno è una mera percentuale del totale, e tutt'altro che trascurabile.

 *Quote:*   

> che abbia una scheda video nVidia (tra tutte quelle che ci sono)

 

diciamo tra il 30 e il 50% dei computer domestici e professionali esistenti? Or ora ad essere onesto non ho sottomano i dati di vendita di nVidia e ATI, a cui si devono aggiungere in maniera moooolto più modesta intel e matrox.

 *Quote:*   

> e  che usa driver binari

 

alzi la mano chi ha l'accelerazione grafica hardware e non la sfrutta per il semplice fatto che i driver non sono FLOSS.

 *Quote:*   

> e devi entrare in contatto con questa, e non basta di certo il fatto che queste risponda al ping.

 

ma chissenefrega del ping, basta una stupidissima pagina html o (probabilmente - ammetto di non aver letto il codice sorgente dell'exploit) un'email solo testo. Se il tuo obbiettivo è creare una botnet, colpire a casaccio sui grandi numeri è un'ottima strategia.

 *Quote:*   

> per farti un parallelo: con i kernel 2.6.1 e 2.4.23 è stato fatto il fix dell'exploit di do_brk(), potenzialmente il più grave mai visto nella storia di Linux. bastava qualche riga di codice per diventare root, incondizionatamente. però dovevi essere loggato sulla macchina. tu prendi un kernel 2.6.0 e mettilo in internet ma senza nessun servizio aperto. voglio vedere come fanno a sfondarti la macchina.
> 
> ho reso l'idea? sarà anche vero che l'exploit è potenzialmente pericoloso, ma è anche praticamente inapplicabile.

 

Il paragone non regge neanche minimamente. Quello che hai citato, come hai già detto tu, presuppone che l'attaccante abbia già accesso non privilegiato al computer! cosa che sul 99% dei PC che non fungono da server non succede mai.

 *Quote:*   

> sai quando è un vero rischio? quando offri la possibilità di login (o in generale servizi) sulla tua macchina a utenti che non consoci. parliamo di server pubblici, quindi.

 

ma non mi dire?  :Razz: 

qui però non stiamo parlando di system administrator che sono pagati per gestire in sicurezza un server. qui parliamo di utenti domestici e professionali che di informatica possono tranquillamente sapere il minimo indispensabile.

 *Quote:*   

> questi sono miti. niente di fondato

 

è fondato dire che se configuro iptables per bloccare tutto ciò che non è esplicitamente ammesso il mio sistema è di gran lunga più sicuro nei confronti degli attacchi diretti, così come è fondato dire che una tale configurazione di iptables procura non pochi grattacapi (io in primis non la uso in quanto non compatibile con bittorrent).

 *Quote:*   

> lo studio e la notifica delle vulnerabilità ha un background immenso, e nel momento in cui sei il sistemista (che si occupa di sicurezza) di un'azienda, e vuoi fare il tuo lavoro seriamente, DEVI avere sott'occhio se no tutto una grandissima parte di questo background. tanto per capirci... hai mai letto nelle GLSA qualcosa di più dettagliato di "per risolvere aggiorna alla versione successiva"? mi rispondo da solo: no. non c'è mai stato un annuncio del genere, perché le GLSA non sono una mailing list di sicurezza.

 

le GLSA non sono né devono essere una mailing list di sicurezza, e non sono né devono essere l'unico strumento in mano ai system administrator professionisti. Però potrebbero essere uno strumento eccellente in mano agli utenti "non addetti ai lavori". A questi ultimi non potrebbe fregare di meno di COME si effettua un exploit di una vulnerabilità. ad essi basta sapere se un pacchetto e vulnerabile o meno, in che condizioni (attaccante remoto anonimo/attaccante locale non privilegiato/etc.) e come patchare o al peggio aggirare la vulnerabilità. punto.

 *Quote:*   

> questo è vero. ma ti ripeto che la sicurezza è una questione relativa.
> 
> tu confondi gli innocenti worm per windows con attacchi seri
> 
> la stragrande maggioranza degli attacchi condotti per la rete sono bassi tentativi di creare casino sfruttando le immense falle di windows. niente che ci riguardi.
> ...

 

non è necessario che sia uno scafato che ce l'ha con me personalmente: è sufficiente uno che abbia voglia di perdere tempo ad aggiungere, alla sua graziosa pagina web/email zombificatrice progettata per IE, una stringa in grado di zombificare anche le macchine linux con una vulnerabilità così macroscopica.

 *Quote:*   

> Richard Stallman (sì, proprio lui) ha detto più di una volta che il computer non dovrebbe essree uno strumento per tutti.
> 
> io sono d'accordissimo. lo usa chi è capace. chi non è capace sta a guardare.

 

Come dire che, allo stato attuale delle cose, o sei un esperto di sicurezza o non devi avere accesso a internet.

 *Quote:*   

> lo stesso succede per le automobili. le guida chi ha la patente. chi non ha la patente usa i mezzi pubblici

 

io in primis sarei per una "patente" del computer e/o multe per incuria, ma un conto è una persona che utilizza software non aggiornato vecchio di 3 anni, un altro è una che, come unica colpa, non si è iscritta a 5 mailing list di sicurezza diverse, quando il computer le serve per scrivere documenti/musica/ricette di cucina/etc.

 *Quote:*   

> un utente normale non dovrebbe preoccuparsi di questa e di tante altre vulnerabilità. non avrebbe le competenze per comprenderla e comunque non appartiene nemmeno alla categoria "a rischio"

 

poiché l'attacco è sfruttabile per zombificare computer tramite pagine web e e-mail di spam, TUTTI gli utenti sono a rischio.

comprenderla? che diavolo c'è da comprendere??????!?!?!???

"se usi i driver della scheda video versione tot, qualcuno può prendere il controllo totale del tuo computer semplicemente se apri un file html. per aggirare il problema aggiungi la riga X a /etc/X11/xorg.conf; per risolverlo definitivamente aggiorna il pacchetto almeno alla versione tot."

fine. la competenza necessaria è prossima allo zero. ed è esattamente il contenuto delle GLSA, che sarebbero perfette per questa categoria di utenti, se arrivassero in tempi utili.

----------

## .:chrome:.

a me sembra che tu abbia un approccio un po' superficiale a questa cosa.

vedi "il male" ovunque ma non ti poni il problema sulla concretezza del pericolo.

il codice necessario per realizzare quell'exploit è vero che teoricamente potrebbe essere inserito in una pagina web, ma praticamente è troppo complesso per farlo, a prescindere dal linguaggio scelto.

puoi trovare un proof-of-concept qui

guardalo e spero ti renderai conto da solo che il tuo discorso non sta in piedi

----------

## randomaze

Per la cronaca, ne hanno parlato qui.

In quanto ai ritardi della GLSA... CRV§ADER//KY, hai ragione ma considera anche che una svista può capitare. Non mi risulta che ci sia qualcuno che viene pagato per gestire le GLSA in maniera "professionale", completa ed immediata. Forse questo bug è stato preso sottogamba ma sono cose che succedono.

Da ultimo:

 *Quote:*   

> alzi la mano chi ha l'accelerazione grafica hardware e non la sfrutta per il semplice fatto che i driver non sono FLOSS.

 

Io non ho una nvidia, ma prima che i driver VIA fossero disponibili non ho mai usato il binario del produttore preferendogli il generico (e lento) VESA.... posso alzare la mano?

----------

## .:chrome:.

 *randomaze wrote:*   

>  *Quote:*   alzi la mano chi ha l'accelerazione grafica hardware e non la sfrutta per il semplice fatto che i driver non sono FLOSS. 
> 
> Io non ho una nvidia, ma prima che i driver VIA fossero disponibili non ho mai usato il binario del produttore preferendogli il generico (e lento) VESA.... posso alzare la mano?

 

io pure mi guardo bene dall'usare driver binari. se una scheda non mi consente altre possibilità, oltre ai driver binari, sicuramente non spendo nemmeno soldi per acquistarla.

se non va con i mezzi messi a disposizione dal sistema, allora non la voglio. non faccio lìipocrita che parla tanto di tante belle cose per poi ricorrere ai driver binari

----------

## CRV§ADER//KY

 *.:chrome:. wrote:*   

> non faccio lìipocrita che parla tanto di tante belle cose per poi ricorrere ai driver binari

 

non commento ché se no scatta il flame

----------

## .:chrome:.

 *CRV§ADER//KY wrote:*   

> non commento ché se no scatta il flame

 

ti chiedo scusa. mi spiace che tu ti sia sentito offeso, ma d'altronde...

- hai tirato in ballo un argomento che evidentemente non conosci, facendone una questione gravissima quando in realtà non lo era;

- hai tirato in ballo questioni organizzative della distribuzione, trascurando che tutto quello che viene da essa è una prestazione volontaria, che la gente fa quando e se ha tempo;

- ti sei messo a parlare di sicurezza dei sistemi, senza nemmeno metterti in un qualsiasi contesto e basandoti sul sentito dire;

- sei andato a tirare in ballo openBSD, ancora una volta basandoti sul sentito dire, dato che hai scritto delle cose che non hanno neanche lontanamente un qualsiasi riscontro;

- alla fine mi parli di usare sistemi "solo Linux" per via della sicurezza (ancora non contestualizzata), ma poi mi dici che usi i driver binari...?

mettendo tutto insieme non ne esce un bel quadretto

----------

## makoomba

a quanto pare, cambiano i nick, ma non i modi.

cerchiamo di non scendere sul personale, altrimenti tutti sappiamo come va a finire.

----------

## randomaze

 *.:chrome:. wrote:*   

>  *CRV§ADER//KY wrote:*   non commento ché se no scatta il flame 
> 
> ti chiedo scusa. mi spiace che tu ti sia sentito offeso, ma d'altronde...

 

Devo chiudere il thread? Perché se i post continuano con questo tono...

----------

## ProT-0-TypE

Io ho un'nvidia e uso i binari.

Il ritardo della GLSA è colpa di un errore umano (e si son scusati) cmq per un comune utente desktop questa è una cosa grave mentre per un sistemista non dovrebbe essere una cosa eccessivamente preoccupante (anche perchè per un sistema hardened gli nvidia sono hard masked..) visto che basarsi esclusivamente sulle glsa non sarebbe una cosa tanto affidabile, sia perchè passa sempre del tempo da quando la vulnerabilità viene scoperta e divulgata a quando viene testata dal gruppo di sicurezza (ecco perchè spesso i vari advisory non escono in contemporanea per tutte le distro), sia perchè i bug del kernel NON vengono segnalati nelle glsa e più in generale non tutti i tipi di vulnerabilità vengono segnalati nei vari advisory delle varie distro (ogni distro ha la sua politica)

----------

## CRV§ADER//KY

 *randomaze wrote:*   

> Devo chiudere il thread? Perché se i post continuano con questo tono...

 

io non ho più nulla da dire, per quel che mi riguarda puoi anche chiudere

----------

## .:chrome:.

ok. scusatemi...

 *ProT-0-TypE wrote:*   

> per un comune utente desktop questa è una cosa grave

 

come dicevo prima, non credo. lo è potenzialmente, ma all'atto pratico...?

provo a guardare il codice dell'exploit, solo per capire cosa fa, senza dare importanza al come:

```
#include <signal.h>

#include <X11/Xft/Xft.h>
```

il fatto che ci siano questi due include (e siamo solo alla linea 20) significa che va a lavorare a basso livello. questo è già sufficiente per escludere la possibilità di poter riprodurre questo meccanismo ad alto livello.

```
unsigned char shellcode[]
```

ecco il cuore dell'exploit. dichiarato alla linea 71 ed applicato alla linea 281 con un memcpy, che genera uno heap-overflow

ora... abbiamo capito che l'exploit ricava la posizione in memoria del server X, poi del driver, e poi iniettando un codice arbitrariamente costruito per generare uno heap overflow, successivamente intercettato.

la parte successiva alla generazione dello heap overflow è abbastanza semplice, ed implementabile anche con php.

ma la parte prima? php, e apache, e gecko in generale e tutto quello che si vuole, e che non sia il server grafico di windows, girano in user space. quell'exploit non funziona se non è in kernel space ed i kernel non permettono la scrittura, da parte di un processo user-space, nel kernel-space.

come se non bastasse, ho i miei dubbi anche che possa funzionare con un sistema compilato con gcc-4.

verisimilmente quel tipo di bug potrebbe generare dei crash. quello sì... ma da qui alla situazione fantascientifica in cui milioni di PC vengono infettati... ne passa di acqua sotto i ponti

questo è sufficiente a dimostrare che la vulnerabilità è pericolosa solo in teoria?

 *ProT-0-TypE wrote:*   

> visto che basarsi esclusivamente sulle glsa non sarebbe una cosa tanto affidabile, sia perchè passa sempre del tempo da quando la vulnerabilità viene scoperta e divulgata a quando viene testata dal gruppo di sicurezza (ecco perchè spesso i vari advisory non escono in contemporanea per tutte le distro), sia perchè i bug del kernel NON vengono segnalati nelle glsa e più in generale non tutti i tipi di vulnerabilità vengono segnalati nei vari advisory delle varie distro (ogni distro ha la sua politica)

 

pienamente d'accordo. se si vogliono seguire in modo serio le vulnerabilità dei sistemi bisogna affidarsi agli strumenti che ci sono a monte di tutti i tool/team delle diverse distribuzioni

----------

## ProT-0-TypE

uhm, io mi riferivo ai ritardi delle GLSA, non a questa in particolare..  :Razz: 

Cmq è presente più di un exploit per questa vulnerabilità!  :Very Happy: 

----------

## .:chrome:.

 *ProT-0-TypE wrote:*   

> uhm, io mi riferivo ai ritardi delle GLSA, non a questa in particolare.. 
> 
> Cmq è presente più di un exploit per questa vulnerabilità! 

 

vero, ma la questione è sempre la stessa: la falla del driver consente di ottenere un overflow dello heap; altre strade non ce ne sono.

E gli overflow dello heap sono molto difficili da ottenere, e richiedono privilegi molto alti rispetto a quelli normalmente assegnati agli utenti.

un overflow dello stack è cosa diversa: quello lo si può ottenere più facilmente anche con pochi privilegi, ma qui si parla di heap. sono cose ben diverse. e possono portare a risultati ben diversi

----------

## cloc3

 *randomaze wrote:*   

> Per la cronaca, ne hanno parlato qui.
> 
> 

 

grazie. finalmente una notizia.

Il topic indicato è del 16 ottobre, modificato 3 volte. L'ultima il 20 ottobre.

È dichiarata l'esistenza di un ebuild fissato in portage.

Dunque gentoo si è mossa, e non in tempi biblici.

A questo punto, ritengo che la questione non sia più così grave. In fondo il ritardo riguarda esclusivamente la pubblicazione sulle GLSA, che sono uno, non l'unico strumento di sicurezza della nostra distribuzione. Che ne so, il curatore delle GLSA per il driver NVIDIA avrà avuto un'influenza con dissenteria prolungata. Ritengono che fenomeni così clamorosi accadano raramente e che in genere, le GLSA siano uno strumento più reattivo di quanto è accaduto in questa - singolare - occasione.

Non mi convincono, invece, gli argomenti di .:chrome:. (ma con quanti puntini si scrive sto nome? Non era già abbastanza difficile k.gothmog?  :Smile:  ).

D'altra parte, non ci capisco molto di esploit, e comunque non mi piace granchè l'idea che mi esploda lo schermo.

----------

## .:chrome:.

lo sai che non mi piacciono i nomi semplici  :Laughing: 

 *cloc3 wrote:*   

> Non mi convincono, invece, gli argomenti di .:chrome:.

 

uhm... perché no?

beh... dimmi in cosa non ti convincono, e vediamo se posso essere più chiaro

----------

## randomaze

Moved from Forum italiano (Italian) to Forum di discussione italiano.

Direi che é già da un pò che la cosa é una discussione  :Rolling Eyes: 

Poi onestamente non sottovaluterei troppo "quelli la". Anche se difficile basta che qualcuno metta a punto una procedura meccanica capace di attuare l'exploit e tonnellate di kiddies provvederanno a fare una ricerca a macchia d'olio sulle macchine infettabili. Senza sapere la differenza tra un heap e uno stack.

Quindi, per quanto improbabile possa essere direi che sarebbe meglio non ci fosse.

 *cloc3 wrote:*   

> Dunque gentoo si è mossa, e non in tempi biblici.

 

Si, gentoo si é mossa. Ma il  fix in portage era marcato con la tilde oppure no? (Ovviamente, per l'utente domestico e non ecessivamente smanettone la differenza non é banale).

Poi una domanda per tutti: quanti frequentatori del forum italiano erano a conoscenza del problema? E chi lo era (e magari ha risolto in casa sua), perché non ha postato uno straccio di informazione/link/quant'altro potesse essere di aiuto a chi non segue mailing lists, forum anglofoni e simili?

----------

## ProT-0-TypE

 *.:chrome:. wrote:*   

> 
> 
> E gli overflow dello heap sono molto difficili da ottenere, e richiedono privilegi molto alti rispetto a quelli normalmente assegnati agli utenti.
> 
> un overflow dello stack è cosa diversa: quello lo si può ottenere più facilmente anche con pochi privilegi, ma qui si parla di heap. sono cose ben diverse. e possono portare a risultati ben diversi

 

Che son 2 cose diverse è ok, ma che uno sia più o meno pericoloso dell'altro non è assolutamente vero..

e possono portare a risultati esattamente uguali. E' pieno di buffer overflow di tipo stack o heap che hanno come impatto privilege escalation..

----------

## ProT-0-TypE

 *randomaze wrote:*   

> Poi una domanda per tutti: quanti frequentatori del forum italiano erano a conoscenza del problema? E chi lo era (e magari ha risolto in casa sua), perché non ha postato uno straccio di informazione/link/quant'altro potesse essere di aiuto a chi non segue mailing lists, forum anglofoni e simili?

 

https://forums.gentoo.org/viewtopic-t-508200-start-0-postdays-0-postorder-asc-highlight-nvidia.html

----------

## Kernel78

 *ProT-0-TypE wrote:*   

>  *.:chrome:. wrote:*   
> 
> E gli overflow dello heap sono molto difficili da ottenere, e richiedono privilegi molto alti rispetto a quelli normalmente assegnati agli utenti.
> 
> un overflow dello stack è cosa diversa: quello lo si può ottenere più facilmente anche con pochi privilegi, ma qui si parla di heap. sono cose ben diverse. e possono portare a risultati ben diversi 
> ...

 

Non ha detto che uno abbia effetti peggiori dell'altro, ha solo puntualizzato che sia più facile ottenere un overflow dello stack che non dello heap e quindi per sfruttare questa vulnerabilità bisogna fare i salti mortali ...

(almeno questo è quanto ho capito io)

----------

## .:chrome:.

 *Kernel78 wrote:*   

> Non ha detto che uno abbia effetti peggiori dell'altro, ha solo puntualizzato che sia più facile ottenere un overflow dello stack che non dello heap e quindi per sfruttare questa vulnerabilità bisogna fare i salti mortali ...
> 
> (almeno questo è quanto ho capito io)

 

right  :Wink: 

tutto questo unito al dubbio (sottolineo che è un dubbio) circa la percorribilità, sui sistemi attuali, della strada dello heap overflow

la vera pericolosità del bug è stata esposta nel thread linkato da randomaze: verosimilmente questo può portare a dei crash di sistema. panorama ben diverso dall'infezione di massa e dagli worm che si auto-replicano in stile windows; panorama descritto all'inizio di questo thread.

non è che ce l'ho con qualcuno, è che non sono d'accordo su questo parlare per sentito dire e creare falsi allarmismi basandosi sulla non conoscenza dei fatti. questo è un modo di fare dannoso per la comunità.

e chiedo ancora scusa se qualcuno non è d'accordo con questo mio modo di vedere le cose ritiene più corretto un diverso modo di fare

----------

## cloc3

 *.:chrome:. wrote:*   

> 
> 
>  *cloc3 wrote:*   Non mi convincono, invece, gli argomenti di .:chrome:. 
> 
> uhm... perché no?
> ...

 

sei OT.

Non è in discussione il grado di pericolosità tecnica della vulnerabilità, ma la capacità di assorbimento dimostrata dagli strumenti di controllo di Gentoo.

Capire se c'è stato un errrore,quali sono le cause dipendenti dalla distribuzione stessa e se è possibile una ripetizione dell'evento.

----------

## ProT-0-TypE

l'errore c'è stato ed è stato chiesto scusa per il ritardo!

----------

## .:chrome:.

 *cloc3 wrote:*   

> sei OT.

 

la domanda l'avevi fatta tu. io ti ho solo risposto  :Wink: 

 *cloc3 wrote:*   

> Non è in discussione il grado di pericolosità tecnica della vulnerabilità, ma la capacità di assorbimento dimostrata dagli strumenti di controllo di Gentoo.
> 
> Capire se c'è stato un errrore,quali sono le cause dipendenti dalla distribuzione stessa e se è possibile una ripetizione dell'evento.

 

come ha detto ProT-0-TypE l'errore c'è stato, sempre che di errore si possa parlare.

nVidia sapeva da tempo di questa vulnerabilità, ben prima del 16 ottobre.

tuttavia, per rispondere alla tua domanda, in merito alla "capacità di assorbimento dimostrata dagli strumenti di controllo di Gentoo", se anche la cosa fosse stata resa nota subito, ci sarebbe stato poco da fare, da momento che in queste cose la distribuzione ha poco a che vedere. il problema è a monte: in chi sviluppa i driver...

secondo me si sta ponendo l'attenzione sull'aspetto sbagliato del problema. avrebbero potuto pubblicare una GLSA il 16 ottobre stesso, ma non avrebbe risolto niente (passare a VESA non è una soluzione), quindi non è colpa della distribuzione.

ancora una volta la causa del problema è che i driver hanno uno sviluppo chiuso. questo è il vero male e la vera causa di questo problema.

queste cose, con i driver open, non succedono, o si risolvono in brevissimo tempo

----------

## CRV§ADER//KY

 *.:chrome:. wrote:*   

> tuttavia, per rispondere alla tua domanda, in merito alla "capacità di assorbimento dimostrata dagli strumenti di controllo di Gentoo", se anche la cosa fosse stata resa nota subito, ci sarebbe stato poco da fare, da momento che in queste cose la distribuzione ha poco a che vedere. il problema è a monte: in chi sviluppa i driver...

 

bastava aggiungere una riga a xorg.conf per tappare la falla in attesa di una soluzione da parte di nvidia.

 *Quote:*   

> non avrebbe risolto niente (passare a VESA non è una soluzione)

 

infatti si chiama workaround. sempre meglio che rimanere nell'ignoranza del problema.

non so gli altri, ma a me serve l'accelerazione 3d solo quando gioco a doom3 e simili. quindi sarebbe stato un workaround del tutto accettabile, per una ventina di giorni, in attesa dei driver patchati.

----------

## .:chrome:.

ma ti ripeto che non si tratta di una ventina di giorni.

in nVidia lo sapevano da molto tempo. non ricordo esattamente quanto, ma è scritto nel thread linkato da randomaze o in uno dei link postati in esso.

ma alla luce di tutto quello che si è detto e scritto sei ancora convinto che sia in pericolo la tua macchina? sei ancora convinto della storia della contaminazione di massa?

con queste premesse, io non ho mai visto un solo utente disposto a perdere mezzo FPS in nome di una sicurezza aggiunta che non è in grado di comprendere.

----------

## CRV§ADER//KY

 *.:chrome:. wrote:*   

> ma ti ripeto che non si tratta di una ventina di giorni.
> 
> in nVidia lo sapevano da molto tempo. non ricordo esattamente quanto, ma è scritto nel thread linkato da randomaze o in uno dei link postati in esso.

 

ma è da una ventina di giorni che è stato pubblicato un exploit funzionante.

 *Quote:*   

> ma alla luce di tutto quello che si è detto e scritto sei ancora convinto che sia in pericolo la tua macchina?

 

sì. anche perché le tue spiegazioni sulla non sfruttabilità del bug non mi hanno convinto, o per lo meno mi riservo di assumere che ci sia qualcuno là fuori che ne sa più di me e di te e riesca a sfruttarlo senza dover lanciare un'applicazione locale. cosa che, a livello teorico, è tutt'altro che infattibile.

 *Quote:*   

> sei ancora convinto della storia della contaminazione di massa?

 

l'unico motivo per cui una contaminazione di massa è poco probabile è la scarsa diffusione di linux. bel criterio di sicurezza....

 *Quote:*   

> con queste premesse, io non ho mai visto un solo utente disposto a perdere mezzo FPS in nome di una sicurezza aggiunta che non è in grado di comprendere.

 

1)lavoro sul desktop. tengo l'accelerazione hardware disabilitata.

2)voglio giocare a doom3 in multiplayer. abilito l'accelerazione e nel frattempo non navigo, non apro posta e non apro file scaricati col p2p. certo, c'è la possibilità teorica che la falla sia sfruttabile via doom3, ma ho già tagliato fuori il 99.99% degli attacchi possibili.

3)se normalmente uso compiz/beryl, ritorno a usare il caro vecchio desktop 2D.

una soluzione decisamente scomoda, ma per 22 giorni tutto sommato fattibile.

molte persone usano applicazioni opengl su linux in maniera estremamente sporadica ma hanno attivato l'accelerazione 3d "perché c'è"; per loro il disagio di disabilitarla per 22 giorni sarebbe minimo o nullo.

per te non ne vale la pena? è nella filosofia di gentoo lasciare all'utente la scelta; è giusto che anche in questo caso gli utenti scelgano il compromesso che preferiscono tra sicurezza e usabilità, e un'informazione tempestiva sarebbe costata 10 minuti netti di tempo.

----------

## lavish

 *CRV§ADER//KY wrote:*   

> un'informazione tempestiva sarebbe costata 10 minuti netti di tempo.

 

Abbiamo capito... chi doveva pubblicare la GLSA ha chiesto scusa come detto piu' e piu' volte in questo thread, e in ultimo da ProT-0-TypE

Ora basta pero', su

----------

## Kernel78

 *CRV§ADER//KY wrote:*   

>  *Quote:*   sei ancora convinto della storia della contaminazione di massa? 
> 
> l'unico motivo per cui una contaminazione di massa è poco probabile è la scarsa diffusione di Linux. bel criterio di sicurezza....

 

Questo lo sostieni solo tu ...

Come ti è stato detto da chi ne sa più di te i motivi per cui una contaminazione di massa sono ESTREMAMENTE POCO PROBABILI sono ben altri e sono di natura tecnica non di scarsa diffusione di Linux.

Tu stesso non hai saputo controbattere alle spiegazioni tecniche sul perché non esista praticamente alcun rischio ma piuttosto che accettare la spiegazione resti scettico (anche se non spieghi le basi del tuo scetticismo).

Mi viene da sorridere pensando ad uno studente che risponde al maestro:"la sua spiegazione non mi convince ma il fatto che io non sia in grado di controbattere non significa che al mondo non esista qualcuno che possa farlo" (con questo non voglio dire che tu sei l'alunno e .:chrome:. l'insegnante).

Se non erro fu Sherlock Holmes a sostenere che tolto l'impossibile tutto ciò che resta, per quanto improbabile è possibile, quindi da un punto di vista statistico esiste la possibilità che questa falla sia sfruttata ma è talmente remota che se devo preoccuparmi di qualcosa preferisco aver paura di qualcosa di ben più concreto, tipo che il cielo possa cascarmi sulla testa  :Wink: 

----------

## X-Act!

Mi infilo in questa discussione per sollevare una riflessione (sperando di non incappare nell'OT).

PREMESSA: le mie conoscenze le colloco a metà: non sono un massimo esperto, ma non credo di essere un utente proprio alle prime armi; uso esclusivamente linux (e a casa esclusivamente gentoo) da diversi anni, sono nel settore, amministro sistemi e per lavoro mi occupo di sicurezza.

Detto questo però ora voglio fare la parte del "quasi inesperto": diciamo un utente con conoscenze informatiche di base, che un po' comprendendo le motivazioni e un po' per sentito dire non si sente sicuro a navigare con IE, che non ha voglia di installarsi 4 o 5 tra antivirus e antispywer, che preferisce usare linux anche perchè è molto più sicuro.

Un utente che usa Gentoo perchè è il meglio che c'è   :Wink:  !

Un utente con un router con le porte chiuse e un sistema ben installato e ben mantenuto pur se affatto hardenizzato, niente patch di sicurezza ecc.

Un utente con un sistema nel ramo stabile e ragionevolmente aggiornato (diciamo un emerge -uD world ogni 2 settimane circa).

Un utente che pensa di non avere nulla di appetibile sul suo pc: niente servizi pubblici nè dati personali di terzi, nè elenchi di carte di credito, ecc.

Per contro un utente che non legge le GLSA, che non legge nessuna mailinglist di sicurezza, che legge solo il forum italiano ogni tanto e cerca nei bugreport solo quando qualcosa non si compila.

Domanda: un utente così ha secondo voi il diritto di considerarsi ragionevolmente sicuro?

E' chiaro che la risposta dipende fortemente da cosa si intende per "ragionevolmente", ma secondo voi cosa considera ragionevole un utente di questo tipo? E' chiaro che la sicurezza al 100% non esiste, ma io al posto suo dormirei sonni tranquilli la notte: voi no?

Ok la possibilità di un hacker skillato che voglia entrare per forza proprio sulla mia macchina, oppure un kiddies che proprio oggi sta giocando con l'ultima vulnerabilità che io non ho pacciato esiste, ma di quanto stiamo parlando in termini probabilistici?

A mio avviso ridurre la probabilità di avere una macchina sbucata dall'80% al 1% è alla poratta di tutti e va fatto, ma ridurla dall'1% allo 0,01% è lavoro da esperti, è lavoro che costa e va fatto se se ne hanno le capacità, il tempo e anche i motivi...

My 2 cent!

----------

## Kernel78

 *X-Act! wrote:*   

> *

 

Completamente d'accordo.

----------

## Scen

 *X-Act! wrote:*   

> *

 

Completamente d'accordo  :Cool: 

Per un utilizzo "casalingo" (quindi un pc NON collegato 24 ore su 24 ad Internet con servizi attivi vari) penso che un utente Gentoo Linux come lo descrivi possa dormire sonni tranquilli  :Smile: 

----------

## randomaze

 *X-Act! wrote:*   

> Un utente che pensa di non avere nulla di appetibile sul suo pc: niente servizi pubblici nè dati personali di terzi, nè elenchi di carte di credito, ecc.

 

In realtà una cosa appetibile la hai: il pc.

La prima cosa che mi viene in mente é che l'eventuale malintenzonato potrebbe usarlo per un attacco DDOS.

O come deposito di file warez, materiale pedopornografico et similia. 

Oppure semplicemente riesce ad arrivare alla tua carta di credito (niente elenchi, una può bastare).

IMHO un utente come quello che descrivi potrebbe comunque avere il demone ssh (o, peggio ancora, il telnet) nel PC e una password debole (banalmente root/root o root/admin e simili) quindi prima di preoccuparsi del 10% di possibili attacchi su exploit farebbe bene ad assicurarsi di non essere vulnerabile per il 90% degli stessi: attacco con dizionario.  :Wink: 

Poi, una volta eliminati i servizi inutili andrebbero *comunque* configurati a dovere i servizi utili.

Altrimenti, anche applicando le GLSA avresti un sistema paragonabile a una casa con le finestre blindate ma la porta principale spalancata.

Ritornando sul discorso driver nvidia.

Credo che le preoccupazioni generali di CRV§ADER//KY siano comuqnue condivisibili (a prescindere dallo specifico caso e dalla sfruttabilità o meno dell'exploit). Ovvio che la GLSA é soggetta ad errori come tutti (e come già detto più volte).

Mi stupisce che la notizia di un problema di sicurezza non sia stata quantomeno "fonte di curiosità" da parte di soli 2 utenti nvidia (il thread italiano linkato da ProT-0-TypE), utenti che solitamente fanno a gara ad ogni nuovo rilascio dei driver per installarli  a prescindere.

----------

## Kernel78

 *randomaze wrote:*   

> IMHO un utente come quello che descrivi potrebbe comunque avere il demone ssh (o, peggio ancora, il telnet) nel PC e una password debole (banalmente root/root o root/admin e simili) quindi prima di preoccuparsi del 10% di possibili attacchi su exploit farebbe bene ad assicurarsi di non essere vulnerabile per il 90% degli stessi: attacco con dizionario. 
> 
> Poi, una volta eliminati i servizi inutili andrebbero *comunque* configurati a dovere i servizi utili.

 

Un utente come quello che descrive non ha ssh ne telnet ne altro o usando le sue parole :"Un utente con un router con le porte chiuse e un sistema ben installato e ben mantenuto pur se affatto hardenizzato, niente patch di sicurezza ecc. ".

Quindi l'utente che descrive lui non è quello per il quale tu sei preoccupato.

----------

## randomaze

 *Kernel78 wrote:*   

> Poi, una volta eliminati i servizi inutili andrebbero *comunque* configurati a dovere i servizi utili.

 

Un utente come quello che descrive non ha ssh ne telnet ne altro o usando le sue parole :"Un utente con un router con le porte chiuse e un sistema ben installato e ben mantenuto pur se affatto hardenizzato, niente patch di sicurezza ecc. ".

Quindi l'utente che descrive lui non è quello per il quale tu sei preoccupato.[/quote]

Mi era sfuggito il "router con le porte ben chiuse".

----------

## cloc3

 *X-Act! wrote:*   

> ma io al posto suo dormirei sonni tranquilli la notte: voi no?
> 
> 

 

Certamente. Anche io dormirei sonni tranquilli.

Lo ho fatto per anni, senza router con le porte chiuse senza uno straccio di firewall, e senza sognarmi neppure di acquistare antivirus o similia.

Solo permessi unix.

Adesso sono parecchi mesi che ho aperto servizi di rete con qualche accorgimento in più. Ma nulla di professionale.

Per il momento tutto liscio (mi pare). Attacchi dozzinali respinti nei file di log.

Naturalmente, l'argomento di oggi è un controesempio sul quale è opportuno interrogarsi, non tanto per cambiare opinione, ma perché un minimo di sorveglianza su certe cose, è doverosa.

Il tuo utente è il classico soggetto che pretende di sopravvivere con uno stile di vita totalmente passivo. Ma bisogna fargli sapere, invece, che i pericoli in informatica sono fenomeni dinamici, rispetti ai quali non è corretto mostrare disinteresse assoluto. Lo dice il codice civie: è reato rubare, ma anche abbandonare la casa con la porta spalancata.

Non occorre essere Schumacher, ma un minimo di ragione bisogna pur riconoscerla a .:chrome:., quando insiste dicendo che il computer è come l'automobile, da guidare con la patente.

----------

## ProT-0-TypE

Guarda che quando entrano spesso non te ne accorgi a meno che non facciano danni particolari..

----------

## cloc3

 *ProT-0-TypE wrote:*   

> Guarda che quando entrano spesso non te ne accorgi

 

Lo so bene (ho scritto mi pare). Ma se non me ne accorgo non posso dire che mi hanno bucato.

Gli utenti windows se ne accorgono sempre, quando li bucano...

Adesso, se uso apache, lo metto in chroot con mod_security. Se uso ssh metto l'autenticazione criptata e così via.

Il software aggiornato gentoo è la garanzia migliore.

Tutto però sulla base di documentazione standard, rintracciata in rete, da autodidatta. 

Non sarà mai una sicurezza certificata, ma è attiva senza essere demenziale.

Che altro dovrebbe essere necessario?

----------

## CRV§ADER//KY

 *Scen wrote:*   

> Per un utilizzo "casalingo" (quindi un pc NON collegato 24 ore su 24 ad Internet con servizi attivi vari)

 

hai appena descritto un tipico PC casalingo, collegato con l'ADSL, che viene lasciato acceso con eMule attaccato per scaricare o aumentare il rate.

Forse non starà attaccato 24h/24, ma 15-18 ore al giorno se le fa tutte.

----------

## Kernel78

 *CRV§ADER//KY wrote:*   

>  *Scen wrote:*   Per un utilizzo "casalingo" (quindi un pc NON collegato 24 ore su 24 ad Internet con servizi attivi vari) 
> 
> hai appena descritto un tipico PC casalingo, collegato con l'ADSL, che viene lasciato acceso con eMule attaccato per scaricare o aumentare il rate.
> 
> Forse non starà attaccato 24h/24, ma 15-18 ore al giorno se le fa tutte.

 

[OT]Una volta o l'altra installero eMule per vedere quando materiale non protetto da copyright ci sia, non riesco a credere che chi tiene il pc collegato 15-18 ore al giorno lo faccia per condividere le iso di Gentoo (e per quello è meglio bittorrent)[/OT]

Resta il fatto che a quel punto scegli coscientemente di aprire una porta (non solo metaforicamente  :Laughing:  ) con i rischi che ne conseguono.

----------

## .:chrome:.

[quote="Kernel78"] *CRV§ADER//KY wrote:*   

>  *Scen wrote:*   Per un utilizzo "casalingo" (quindi un pc NON collegato 24 ore su 24 ad Internet con servizi attivi vari) 
> 
> Resta il fatto che a quel punto scegli coscientemente di aprire una porta (non solo metaforicamente  ) con i rischi che ne conseguono.

 

e comunque non serve aprire nessuna porta. ottieni un Low-ID, ma questo che problema è? il sistema funziona correttamente lo stesso

----------

