SlideShare a Scribd company logo

Open vs. Closed Source

V
Vincenzo Calabrò

L'8 giugno 2006, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Open vs. Closed Source. Questo seminario analizza le differenze tra i software open source e closed source alla luce della sicurezza informatica. https://www.vincenzocalabro.it

Technology
1 of 15
Download to read offline
Open vs. Open vs. Closed Closed Source Source Un confronto aperto tra i modelli Un confronto aperto tra i modelli Open Open Source Source e e Closed Closed Source Source
2 www.vincenzocalabro.it L’esigenza della sicurezza L’esigenza della sicurezza Un tempo i sistemi “sicuri” erano pochi, oscuri, Un tempo i sistemi “sicuri” erano pochi, oscuri, acceduti infrequentemente. acceduti infrequentemente. Oggi, quasi tutti i sistemi contengono dati Oggi, quasi tutti i sistemi contengono dati importanti, critici o semplicemente privati, e importanti, critici o semplicemente privati, e vanno protetti. Al contempo, devono essere vanno protetti. Al contempo, devono essere sempre più aperti e interconnessi. sempre più aperti e interconnessi. “ “Virtual Virtual is is real… real… open open is is secure secure”: oltre che un ”: oltre che un ottimo motto pubblicitario, una verità ottimo motto pubblicitario, una verità Esigiamo una “garanzia di sicurezza” Esigiamo una “garanzia di sicurezza”
3 www.vincenzocalabro.it Cos’è la sicurezza? Cos’è la sicurezza? Definiamo accademicamente la sicurezza come il Definiamo accademicamente la sicurezza come il raggiungimento di 3 obiettivi: raggiungimento di 3 obiettivi: Confidenzialità Confidenzialità Integrità Integrità Disponibilità Disponibilità Accesso, in lettura o in scrittura, “ Accesso, in lettura o in scrittura, “if if and and only only if if” ” l’utente è autorizzato appropriatamente l’utente è autorizzato appropriatamente Tutto ciò è di una semplicità ingannevole Tutto ciò è di una semplicità ingannevole
4 www.vincenzocalabro.it Molti punti di Molti punti di vulnerabilità… vulnerabilità… I sistemi informativi devono essere progettati per I sistemi informativi devono essere progettati per garantire la sicurezza, mediante un uso appropriato e garantire la sicurezza, mediante un uso appropriato e ragionevole di tecniche di ragionevole di tecniche di criptografia criptografia, autenticazione, , autenticazione, auditing, controllo. auditing, controllo. I processi, devono essere pensati per la sicurezza: per I processi, devono essere pensati per la sicurezza: per esempio, l’assegnazione di esempio, l’assegnazione di login login e password e password Le persone sono vulnerabili: possono essere convinte o Le persone sono vulnerabili: possono essere convinte o costrette a utilizzare male i loro privilegi, possono costrette a utilizzare male i loro privilegi, possono essere risentite e volersi vendicare essere risentite e volersi vendicare Il software deve essere sicuro e robusto, Il software deve essere sicuro e robusto, comportarsi nel modo in cui è previsto che si comportarsi nel modo in cui è previsto che si comporti, sempre. comporti, sempre.
5 www.vincenzocalabro.it Sicurezza del software? Sicurezza del software? Non esistono software sicuri a priori! Non esistono software sicuri a priori! Ogni progetto software può contenere vari tipi di errori e Ogni progetto software può contenere vari tipi di errori e problemi: problemi: Interni Interni Di tipo concettuale (errori di design) Di tipo concettuale (errori di design) Di tipo Di tipo programmativo programmativo Esterni Esterni Causati da librerie e componenti riutilizzabili Causati da librerie e componenti riutilizzabili Causati dall’interazione con altri programmi e con il sistema Causati dall’interazione con altri programmi e con il sistema operativo operativo Causati da Causati da misconfigurazione misconfigurazione
6 www.vincenzocalabro.it Software open Software open source source vs. vs. Software proprietario Software proprietario OSS: OSS: Codice sorgente Codice sorgente disponibile a chiunque disponibile a chiunque Programmato e Programmato e concepito da concepito da appassionati appassionati Non sottoposto ad Non sottoposto ad esigenze economiche e di esigenze economiche e di marketing tipiche di un marketing tipiche di un vendor vendor CSS: CSS: Nessuno ha accesso al Nessuno ha accesso al codice sorgente a parte codice sorgente a parte gli sviluppatori gli sviluppatori Sviluppato da Sviluppato da programmatori di programmatori di professione professione Sostenuto da capitali Sostenuto da capitali investiti da società investiti da società interessate al ROI interessate al ROI
7 www.vincenzocalabro.it Riflessi sulla sicurezza Riflessi sulla sicurezza OSS: OSS: Il sorgente può essere Il sorgente può essere auditato auditato da chiunque da chiunque Patch Patch, e sviluppi alternativi , e sviluppi alternativi possono essere creati possono essere creati liberamente liberamente Collaborazione e riutilizzo di Collaborazione e riutilizzo di codice tra progetti codice tra progetti Rapidissimo processo Rapidissimo processo code/ code/audit audit/exploit/ /exploit/patch patch CSS: CSS: Security Security through through obscurity obscurity E’ impossibile fare auditing, E’ impossibile fare auditing, ricerca di ricerca di bug bug “per tentativi” “per tentativi” (black box) (black box) “ “Reinventing Reinventing the the whell whell” ” Anche trovando un Anche trovando un bug bug, è , è difficile comprenderne difficile comprenderne esattamente la natura, e esattamente la natura, e spesso i spesso i vendior vendior non non approfondiscono approfondiscono
8 www.vincenzocalabro.it … … ma i torti non stanno ma i torti non stanno da una parte sola … da una parte sola … OSS: OSS: Non sai “chi è il padre” del Non sai “chi è il padre” del codice che usi ( codice che usi (trojans trojans, , anyone anyone?) ?) Non ci sono impegni Non ci sono impegni commerciali: le commerciali: le release release possono avvenire troppo possono avvenire troppo presto… presto… o mai. o mai. Falso senso di “sicurezza a Falso senso di “sicurezza a priori” per la presenza del priori” per la presenza del codice… codice… ma l’avete letto? ma l’avete letto? CSS: CSS: Il fatto che non ci siano Il fatto che non ci siano bug bug pubblici non significa che pubblici non significa che non ne non ne esistano… esistano… Dipendenza totale dalla casa Dipendenza totale dalla casa produttrice per il rilascio di produttrice per il rilascio di patch… patch… e a volte bisogna e a volte bisogna convincerli! convincerli! Rassegnata fiducia in quello Rassegnata fiducia in quello che state eseguendo ( che state eseguendo (spyware spyware and and backdoors backdoors, , anyone anyone?) ?)
9 www.vincenzocalabro.it Nessun mondo è Nessun mondo è perfetto… perfetto… La morale è che La morale è che non è corretto a priori non è corretto a priori affermare che il software open affermare che il software open source source sia sia “più sicuro” di quello “più sicuro” di quello closed closed source source. . Volete un esempio? Andate su: Volete un esempio? Andate su: http://packetstormsecurity.nl http://packetstormsecurity.nl e troverete e troverete “exploit” in abbondanza per ogni piattaforma “exploit” in abbondanza per ogni piattaforma che vi venga in che vi venga in mente… mente… Addirittura, ad un occhiata superficiale, vi sono Addirittura, ad un occhiata superficiale, vi sono più exploit per programmi open più exploit per programmi open source source! !
10 www.vincenzocalabro.it Un problema (anche) economico Un problema (anche) economico Noi sostenitori dell’open Noi sostenitori dell’open source source siamo abituati a siamo abituati a discorsi romantici, ma la sicurezza ha un solido conto discorsi romantici, ma la sicurezza ha un solido conto da presentare da presentare Gli investimenti per aggiornare e riscrivere il codice non Gli investimenti per aggiornare e riscrivere il codice non sicuro sono notevoli, per gli stessi produttori! sicuro sono notevoli, per gli stessi produttori! Lo sforzo economico e lavorativo per mantenere “up Lo sforzo economico e lavorativo per mantenere “up to to date” l’ambiente di produzione è enorme date” l’ambiente di produzione è enorme Il fattore rischio creato dall’insicurezza non va Il fattore rischio creato dall’insicurezza non va trascurato: la diminuzione del rischio operativo è trascurato: la diminuzione del rischio operativo è tradizionalmente considerata un obiettivo per qualsiasi tradizionalmente considerata un obiettivo per qualsiasi azienda! azienda! E non abbiamo nemmeno parlato dei E non abbiamo nemmeno parlato dei danni danni… …
11 www.vincenzocalabro.it Full Full disclosure disclosure Strettamente connesso al discorso dell'open Strettamente connesso al discorso dell'open source source è il è il tema della “full tema della “full disclosure disclosure”, che potrebbe essere”, visto ”, che potrebbe essere”, visto come un metodo di analisi “open”. come un metodo di analisi “open”. Full Full disclosure disclosure significa la pratica, diffusasi negli ultimi significa la pratica, diffusasi negli ultimi anni, di annunciare pubblicamente le vulnerabilità anni, di annunciare pubblicamente le vulnerabilità scoperte, diffondendo spesso anche degli “exploit” scoperte, diffondendo spesso anche degli “exploit” dimostrativi. dimostrativi. Molti esperti di sicurezza applicano la Molti esperti di sicurezza applicano la disclosure disclosure su su forum aperti (come forum aperti (come bugtraq bugtraq, , http:// http://onlineonline onlineonline. ..securityfocussecurityfocus.com .securityfocussecurityfocus.com), in ), in genere dopo aver avvertito del problema i produttori ed genere dopo aver avvertito del problema i produttori ed aver loro ed aver loro concesso un lasso di tempo aver loro ed aver loro concesso un lasso di tempo ragionevole per risolverlo. ragionevole per risolverlo.
12 www.vincenzocalabro.it … … ma non tutto è oro … ma non tutto è oro … La full La full disclosure disclosure, specie su progetti open , specie su progetti open source source in in cuiin cui la cuiin cui la advisory advisory spesso contiene anche una spesso contiene anche una patch patch preliminare, ha contribuito alla soluzione di molti preliminare, ha contribuito alla soluzione di molti problemi di sicurezza. problemi di sicurezza. Tuttavia, molti indicano la disclosure come responsabile Tuttavia, molti indicano la disclosure come responsabile dell'aumento vertiginoso del fenomeno degli “script dell'aumento vertiginoso del fenomeno degli “script kiddies kiddies”, i ”, i teppistelli teppistelli che utilizzano in modo ignorante che utilizzano in modo ignorante vulnerabilità scoperte da altri per creare danni. vulnerabilità scoperte da altri per creare danni. Di conseguenza si sta riaffermando il “ Di conseguenza si sta riaffermando il “blackhat blackhat mood”, mood”, mentre i danni causati dai ragazzini hanno suscitato un mentre i danni causati dai ragazzini hanno suscitato un fiorente mercato per le società di sicurezza informatica, fiorente mercato per le società di sicurezza informatica, su alcune delle quali si potrebbero affrontare lunghi su alcune delle quali si potrebbero affrontare lunghi discorsi... discorsi...
13 www.vincenzocalabro.it La sicurezza si fa open La sicurezza si fa open source source Anche nel campo dei prodotti per la creazione di Anche nel campo dei prodotti per la creazione di sistemi di sicurezza esistono progetti open sistemi di sicurezza esistono progetti open source source di di qualità pari, se non superiore, agli equivalenti del qualità pari, se non superiore, agli equivalenti del mondo commerciale: mondo commerciale: Firewall Firewall: : IPFilter IPFilter,, ,, IPChains IPChains...... ...... IDS: IDS: Snort Snort, LIDS, AIDE, , LIDS, AIDE, TripWire TripWire...... ...... Criptografia Criptografia: GPG : GPG Implementazioni di IPSEC e Implementazioni di IPSEC e Kerberos Kerberos Vulnerability Vulnerability scanner: scanner: Nessus Nessus, SAINT , SAINT Unica eccezione: antivirus (i costi di ricerca sono Unica eccezione: antivirus (i costi di ricerca sono elevati...) elevati...)
14 www.vincenzocalabro.it Perché scegliere l'open Perché scegliere l'open source source, , in definitiva? in definitiva? Non perché sia intrinsecamente più sicuro, o Non perché sia intrinsecamente più sicuro, o perché sia genericamente fatto meglio, ma perché perché sia genericamente fatto meglio, ma perché lascia all'utente e all'amministratore di sistema la lascia all'utente e all'amministratore di sistema la possibilità di adoperarsi attivamente per proteggere possibilità di adoperarsi attivamente per proteggere la propria sicurezza. Chi sceglie soluzioni la propria sicurezza. Chi sceglie soluzioni closed closed source source sceglie di affidarsi esclusivamente alle sceglie di affidarsi esclusivamente alle capacità dei capacità dei vendor vendor. In conclusione il modello . In conclusione il modello open open source source responsabilizza la comunità e l'utente, responsabilizza la comunità e l'utente, e li mette in grado di agire, anche se non è la e li mette in grado di agire, anche se non è la panacea tutti i mali. panacea tutti i mali.
Grazie per l’attenzione! Grazie per l’attenzione! vincenzo.calabro@computer.org vincenzo.calabro@computer.org

Recommended

I nostri figli nella rete
I nostri figli nella reteI nostri figli nella rete
I nostri figli nella retefamigliaenuovetecnologie
 
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...Paolo Valenti
 
Open Source: Ready To Run
Open Source: Ready To RunOpen Source: Ready To Run
Open Source: Ready To RunAdriano Gasparri
 
Open Source
Open SourceOpen Source
Open SourceFrancesco Taurino
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)SMAU
 
Guida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La SicurezzaGuida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La Sicurezzacaioturtle
 
Liberta Digitali
Liberta DigitaliLiberta Digitali
Liberta DigitaliGiulio Falco
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
 

Recommended

I nostri figli nella rete
I nostri figli nella reteI nostri figli nella rete
I nostri figli nella retefamigliaenuovetecnologie
 
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...
WordPress è insicuro, non scala e serve solo per fare blog - Sì.Certo.Come.No...Paolo Valenti
 
Open Source: Ready To Run
Open Source: Ready To RunOpen Source: Ready To Run
Open Source: Ready To RunAdriano Gasparri
 
Open Source
Open SourceOpen Source
Open SourceFrancesco Taurino
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)SMAU
 
Guida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La SicurezzaGuida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La Sicurezzacaioturtle
 
Liberta Digitali
Liberta DigitaliLiberta Digitali
Liberta DigitaliGiulio Falco
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Simone Onofri
 
Sicurezza nelle applicazioni web - attacchi e rischi
Sicurezza nelle applicazioni web - attacchi e rischiSicurezza nelle applicazioni web - attacchi e rischi
Sicurezza nelle applicazioni web - attacchi e rischiMarino Di Clemente
 
Introduzione al Software Libero - San Pietro Mussolino 17 aprile 2015
Introduzione al Software Libero - San Pietro Mussolino 17 aprile 2015Introduzione al Software Libero - San Pietro Mussolino 17 aprile 2015
Introduzione al Software Libero - San Pietro Mussolino 17 aprile 2015Dario Cavedon
 
CCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White HatCCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White Hatwalk2talk srl
 
Sicurezza e open source
Sicurezza e open sourceSicurezza e open source
Sicurezza e open sourceLibreItalia
 
Conversazioni dal basso 08
Conversazioni dal basso 08Conversazioni dal basso 08
Conversazioni dal basso 08Mauro Fava
 
Antivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezza
Antivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezzaAntivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezza
Antivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezzaPiazza Telematica Schio
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Marco Ferrigno
 
Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017SMAU
 
Trojan di stato
Trojan di statoTrojan di stato
Trojan di statoAntonio Lepore ✔ ✈
 
Open source copyright e copyleft
Open source copyright e copyleftOpen source copyright e copyleft
Open source copyright e copyleftAndrea Linfozzi
 
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterMamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterSimone Onofri
 
Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Massimo Chirivì
 
Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015
Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015
Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015festival ICT 2016
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
GDPR - Andrea Monguzzi
GDPR - Andrea MonguzziGDPR - Andrea Monguzzi
GDPR - Andrea MonguzziOrdine Ingegneri Lecco
 
Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Piergiorgio Borgogno
 
Brevettabilita' (del software)
Brevettabilita' (del software)Brevettabilita' (del software)
Brevettabilita' (del software)Polo Tecnologico Navacchio
 
Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015VMUG IT
 
Paranoia is a virtue
Paranoia is a virtueParanoia is a virtue
Paranoia is a virtueAlessio Pennasilico
 
Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
 

More Related Content

Similar to Open vs. Closed Source

Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Simone Onofri
 
Sicurezza nelle applicazioni web - attacchi e rischi
Sicurezza nelle applicazioni web - attacchi e rischiSicurezza nelle applicazioni web - attacchi e rischi
Sicurezza nelle applicazioni web - attacchi e rischiMarino Di Clemente
 
Introduzione al Software Libero - San Pietro Mussolino 17 aprile 2015
Introduzione al Software Libero - San Pietro Mussolino 17 aprile 2015Introduzione al Software Libero - San Pietro Mussolino 17 aprile 2015
Introduzione al Software Libero - San Pietro Mussolino 17 aprile 2015Dario Cavedon
 
CCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White HatCCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White Hatwalk2talk srl
 
Sicurezza e open source
Sicurezza e open sourceSicurezza e open source
Sicurezza e open sourceLibreItalia
 
Conversazioni dal basso 08
Conversazioni dal basso 08Conversazioni dal basso 08
Conversazioni dal basso 08Mauro Fava
 
Antivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezza
Antivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezzaAntivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezza
Antivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezzaPiazza Telematica Schio
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Marco Ferrigno
 
Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017SMAU
 
Open source copyright e copyleft
Open source copyright e copyleftOpen source copyright e copyleft
Open source copyright e copyleftAndrea Linfozzi
 
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterMamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterSimone Onofri
 
Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Massimo Chirivì
 
Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015
Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015
Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015festival ICT 2016
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Piergiorgio Borgogno
 
Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015VMUG IT
 

Similar to Open vs. Closed Source (20)

Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days
 
Sicurezza nelle applicazioni web - attacchi e rischi
Sicurezza nelle applicazioni web - attacchi e rischiSicurezza nelle applicazioni web - attacchi e rischi
Sicurezza nelle applicazioni web - attacchi e rischi
 
Introduzione al Software Libero - San Pietro Mussolino 17 aprile 2015
Introduzione al Software Libero - San Pietro Mussolino 17 aprile 2015Introduzione al Software Libero - San Pietro Mussolino 17 aprile 2015
Introduzione al Software Libero - San Pietro Mussolino 17 aprile 2015
 
CCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White HatCCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White Hat
 
Sicurezza e open source
Sicurezza e open sourceSicurezza e open source
Sicurezza e open source
 
Conversazioni dal basso 08
Conversazioni dal basso 08Conversazioni dal basso 08
Conversazioni dal basso 08
 
Antivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezza
Antivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezzaAntivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezza
Antivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezza
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...
 
Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017
 
Trojan di stato
Trojan di statoTrojan di stato
Trojan di stato
 
Open source copyright e copyleft
Open source copyright e copyleftOpen source copyright e copyleft
Open source copyright e copyleft
 
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterMamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
 
Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.
 
Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015
Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015
Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
 
GDPR - Andrea Monguzzi
GDPR - Andrea MonguzziGDPR - Andrea Monguzzi
GDPR - Andrea Monguzzi
 
Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)
 
Brevettabilita' (del software)
Brevettabilita' (del software)Brevettabilita' (del software)
Brevettabilita' (del software)
 
Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015
 
Paranoia is a virtue
Paranoia is a virtueParanoia is a virtue
Paranoia is a virtue
 

More from Vincenzo Calabrò

Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
 
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò
 
Vincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica ForenseVincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica ForenseVincenzo Calabrò
 
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò
 
La Riduzione del Rischio - D.Lgs. 231/2001
La Riduzione del Rischio - D.Lgs. 231/2001La Riduzione del Rischio - D.Lgs. 231/2001
La Riduzione del Rischio - D.Lgs. 231/2001Vincenzo Calabrò
 
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiLe Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiVincenzo Calabrò
 
La Privacy: Protezione dei Dati Personali
La Privacy: Protezione dei Dati PersonaliLa Privacy: Protezione dei Dati Personali
La Privacy: Protezione dei Dati PersonaliVincenzo Calabrò
 
Implementazione Politiche di Sicurezza
Implementazione Politiche di SicurezzaImplementazione Politiche di Sicurezza
Implementazione Politiche di SicurezzaVincenzo Calabrò
 
Criticita Sistemi Informatici
Criticita Sistemi InformaticiCriticita Sistemi Informatici
Criticita Sistemi InformaticiVincenzo Calabrò
 
Introduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaIntroduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaVincenzo Calabrò
 
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLOpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLVincenzo Calabrò
 
Il Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenserIl Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenserVincenzo Calabrò
 
La timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processualeLa timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processualeVincenzo Calabrò
 
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheIl Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheVincenzo Calabrò
 
Approccio all’Analisi Forense delle Celle Telefoniche
Approccio all’Analisi Forense delle Celle TelefonicheApproccio all’Analisi Forense delle Celle Telefoniche
Approccio all’Analisi Forense delle Celle TelefonicheVincenzo Calabrò
 

More from Vincenzo Calabrò (20)

Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
 
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
 
Vincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica ForenseVincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica Forense
 
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
 
La Riduzione del Rischio - D.Lgs. 231/2001
La Riduzione del Rischio - D.Lgs. 231/2001La Riduzione del Rischio - D.Lgs. 231/2001
La Riduzione del Rischio - D.Lgs. 231/2001
 
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiLe Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e Reti
 
La Privacy: Protezione dei Dati Personali
La Privacy: Protezione dei Dati PersonaliLa Privacy: Protezione dei Dati Personali
La Privacy: Protezione dei Dati Personali
 
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in Rete
 
Reti di Calcolatori
Reti di CalcolatoriReti di Calcolatori
Reti di Calcolatori
 
Implementazione Politiche di Sicurezza
Implementazione Politiche di SicurezzaImplementazione Politiche di Sicurezza
Implementazione Politiche di Sicurezza
 
Criticita Sistemi Informatici
Criticita Sistemi InformaticiCriticita Sistemi Informatici
Criticita Sistemi Informatici
 
Introduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaIntroduzione alla Sicurezza Informatica
Introduzione alla Sicurezza Informatica
 
Programmazione Sicura
Programmazione SicuraProgrammazione Sicura
Programmazione Sicura
 
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLOpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
 
Il Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenserIl Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenser
 
La timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processualeLa timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processuale
 
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheIl Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
 
Proteggiamo I Dati
Proteggiamo I DatiProteggiamo I Dati
Proteggiamo I Dati
 
Approccio all’Analisi Forense delle Celle Telefoniche
Approccio all’Analisi Forense delle Celle TelefonicheApproccio all’Analisi Forense delle Celle Telefoniche
Approccio all’Analisi Forense delle Celle Telefoniche
 

Open vs. Closed Source

  • 1. Open vs. Open vs. Closed Closed Source Source Un confronto aperto tra i modelli Un confronto aperto tra i modelli Open Open Source Source e e Closed Closed Source Source
  • 2. 2 www.vincenzocalabro.it L’esigenza della sicurezza L’esigenza della sicurezza Un tempo i sistemi “sicuri” erano pochi, oscuri, Un tempo i sistemi “sicuri” erano pochi, oscuri, acceduti infrequentemente. acceduti infrequentemente. Oggi, quasi tutti i sistemi contengono dati Oggi, quasi tutti i sistemi contengono dati importanti, critici o semplicemente privati, e importanti, critici o semplicemente privati, e vanno protetti. Al contempo, devono essere vanno protetti. Al contempo, devono essere sempre più aperti e interconnessi. sempre più aperti e interconnessi. “ “Virtual Virtual is is real… real… open open is is secure secure”: oltre che un ”: oltre che un ottimo motto pubblicitario, una verità ottimo motto pubblicitario, una verità Esigiamo una “garanzia di sicurezza” Esigiamo una “garanzia di sicurezza”
  • 3. 3 www.vincenzocalabro.it Cos’è la sicurezza? Cos’è la sicurezza? Definiamo accademicamente la sicurezza come il Definiamo accademicamente la sicurezza come il raggiungimento di 3 obiettivi: raggiungimento di 3 obiettivi: Confidenzialità Confidenzialità Integrità Integrità Disponibilità Disponibilità Accesso, in lettura o in scrittura, “ Accesso, in lettura o in scrittura, “if if and and only only if if” ” l’utente è autorizzato appropriatamente l’utente è autorizzato appropriatamente Tutto ciò è di una semplicità ingannevole Tutto ciò è di una semplicità ingannevole
  • 4. 4 www.vincenzocalabro.it Molti punti di Molti punti di vulnerabilità… vulnerabilità… I sistemi informativi devono essere progettati per I sistemi informativi devono essere progettati per garantire la sicurezza, mediante un uso appropriato e garantire la sicurezza, mediante un uso appropriato e ragionevole di tecniche di ragionevole di tecniche di criptografia criptografia, autenticazione, , autenticazione, auditing, controllo. auditing, controllo. I processi, devono essere pensati per la sicurezza: per I processi, devono essere pensati per la sicurezza: per esempio, l’assegnazione di esempio, l’assegnazione di login login e password e password Le persone sono vulnerabili: possono essere convinte o Le persone sono vulnerabili: possono essere convinte o costrette a utilizzare male i loro privilegi, possono costrette a utilizzare male i loro privilegi, possono essere risentite e volersi vendicare essere risentite e volersi vendicare Il software deve essere sicuro e robusto, Il software deve essere sicuro e robusto, comportarsi nel modo in cui è previsto che si comportarsi nel modo in cui è previsto che si comporti, sempre. comporti, sempre.
  • 5. 5 www.vincenzocalabro.it Sicurezza del software? Sicurezza del software? Non esistono software sicuri a priori! Non esistono software sicuri a priori! Ogni progetto software può contenere vari tipi di errori e Ogni progetto software può contenere vari tipi di errori e problemi: problemi: Interni Interni Di tipo concettuale (errori di design) Di tipo concettuale (errori di design) Di tipo Di tipo programmativo programmativo Esterni Esterni Causati da librerie e componenti riutilizzabili Causati da librerie e componenti riutilizzabili Causati dall’interazione con altri programmi e con il sistema Causati dall’interazione con altri programmi e con il sistema operativo operativo Causati da Causati da misconfigurazione misconfigurazione
  • 6. 6 www.vincenzocalabro.it Software open Software open source source vs. vs. Software proprietario Software proprietario OSS: OSS: Codice sorgente Codice sorgente disponibile a chiunque disponibile a chiunque Programmato e Programmato e concepito da concepito da appassionati appassionati Non sottoposto ad Non sottoposto ad esigenze economiche e di esigenze economiche e di marketing tipiche di un marketing tipiche di un vendor vendor CSS: CSS: Nessuno ha accesso al Nessuno ha accesso al codice sorgente a parte codice sorgente a parte gli sviluppatori gli sviluppatori Sviluppato da Sviluppato da programmatori di programmatori di professione professione Sostenuto da capitali Sostenuto da capitali investiti da società investiti da società interessate al ROI interessate al ROI
  • 7. 7 www.vincenzocalabro.it Riflessi sulla sicurezza Riflessi sulla sicurezza OSS: OSS: Il sorgente può essere Il sorgente può essere auditato auditato da chiunque da chiunque Patch Patch, e sviluppi alternativi , e sviluppi alternativi possono essere creati possono essere creati liberamente liberamente Collaborazione e riutilizzo di Collaborazione e riutilizzo di codice tra progetti codice tra progetti Rapidissimo processo Rapidissimo processo code/ code/audit audit/exploit/ /exploit/patch patch CSS: CSS: Security Security through through obscurity obscurity E’ impossibile fare auditing, E’ impossibile fare auditing, ricerca di ricerca di bug bug “per tentativi” “per tentativi” (black box) (black box) “ “Reinventing Reinventing the the whell whell” ” Anche trovando un Anche trovando un bug bug, è , è difficile comprenderne difficile comprenderne esattamente la natura, e esattamente la natura, e spesso i spesso i vendior vendior non non approfondiscono approfondiscono
  • 8. 8 www.vincenzocalabro.it … … ma i torti non stanno ma i torti non stanno da una parte sola … da una parte sola … OSS: OSS: Non sai “chi è il padre” del Non sai “chi è il padre” del codice che usi ( codice che usi (trojans trojans, , anyone anyone?) ?) Non ci sono impegni Non ci sono impegni commerciali: le commerciali: le release release possono avvenire troppo possono avvenire troppo presto… presto… o mai. o mai. Falso senso di “sicurezza a Falso senso di “sicurezza a priori” per la presenza del priori” per la presenza del codice… codice… ma l’avete letto? ma l’avete letto? CSS: CSS: Il fatto che non ci siano Il fatto che non ci siano bug bug pubblici non significa che pubblici non significa che non ne non ne esistano… esistano… Dipendenza totale dalla casa Dipendenza totale dalla casa produttrice per il rilascio di produttrice per il rilascio di patch… patch… e a volte bisogna e a volte bisogna convincerli! convincerli! Rassegnata fiducia in quello Rassegnata fiducia in quello che state eseguendo ( che state eseguendo (spyware spyware and and backdoors backdoors, , anyone anyone?) ?)
  • 9. 9 www.vincenzocalabro.it Nessun mondo è Nessun mondo è perfetto… perfetto… La morale è che La morale è che non è corretto a priori non è corretto a priori affermare che il software open affermare che il software open source source sia sia “più sicuro” di quello “più sicuro” di quello closed closed source source. . Volete un esempio? Andate su: Volete un esempio? Andate su: http://packetstormsecurity.nl http://packetstormsecurity.nl e troverete e troverete “exploit” in abbondanza per ogni piattaforma “exploit” in abbondanza per ogni piattaforma che vi venga in che vi venga in mente… mente… Addirittura, ad un occhiata superficiale, vi sono Addirittura, ad un occhiata superficiale, vi sono più exploit per programmi open più exploit per programmi open source source! !
  • 10. 10 www.vincenzocalabro.it Un problema (anche) economico Un problema (anche) economico Noi sostenitori dell’open Noi sostenitori dell’open source source siamo abituati a siamo abituati a discorsi romantici, ma la sicurezza ha un solido conto discorsi romantici, ma la sicurezza ha un solido conto da presentare da presentare Gli investimenti per aggiornare e riscrivere il codice non Gli investimenti per aggiornare e riscrivere il codice non sicuro sono notevoli, per gli stessi produttori! sicuro sono notevoli, per gli stessi produttori! Lo sforzo economico e lavorativo per mantenere “up Lo sforzo economico e lavorativo per mantenere “up to to date” l’ambiente di produzione è enorme date” l’ambiente di produzione è enorme Il fattore rischio creato dall’insicurezza non va Il fattore rischio creato dall’insicurezza non va trascurato: la diminuzione del rischio operativo è trascurato: la diminuzione del rischio operativo è tradizionalmente considerata un obiettivo per qualsiasi tradizionalmente considerata un obiettivo per qualsiasi azienda! azienda! E non abbiamo nemmeno parlato dei E non abbiamo nemmeno parlato dei danni danni… …
  • 11. 11 www.vincenzocalabro.it Full Full disclosure disclosure Strettamente connesso al discorso dell'open Strettamente connesso al discorso dell'open source source è il è il tema della “full tema della “full disclosure disclosure”, che potrebbe essere”, visto ”, che potrebbe essere”, visto come un metodo di analisi “open”. come un metodo di analisi “open”. Full Full disclosure disclosure significa la pratica, diffusasi negli ultimi significa la pratica, diffusasi negli ultimi anni, di annunciare pubblicamente le vulnerabilità anni, di annunciare pubblicamente le vulnerabilità scoperte, diffondendo spesso anche degli “exploit” scoperte, diffondendo spesso anche degli “exploit” dimostrativi. dimostrativi. Molti esperti di sicurezza applicano la Molti esperti di sicurezza applicano la disclosure disclosure su su forum aperti (come forum aperti (come bugtraq bugtraq, , http:// http://onlineonline onlineonline. ..securityfocussecurityfocus.com .securityfocussecurityfocus.com), in ), in genere dopo aver avvertito del problema i produttori ed genere dopo aver avvertito del problema i produttori ed aver loro ed aver loro concesso un lasso di tempo aver loro ed aver loro concesso un lasso di tempo ragionevole per risolverlo. ragionevole per risolverlo.
  • 12. 12 www.vincenzocalabro.it … … ma non tutto è oro … ma non tutto è oro … La full La full disclosure disclosure, specie su progetti open , specie su progetti open source source in in cuiin cui la cuiin cui la advisory advisory spesso contiene anche una spesso contiene anche una patch patch preliminare, ha contribuito alla soluzione di molti preliminare, ha contribuito alla soluzione di molti problemi di sicurezza. problemi di sicurezza. Tuttavia, molti indicano la disclosure come responsabile Tuttavia, molti indicano la disclosure come responsabile dell'aumento vertiginoso del fenomeno degli “script dell'aumento vertiginoso del fenomeno degli “script kiddies kiddies”, i ”, i teppistelli teppistelli che utilizzano in modo ignorante che utilizzano in modo ignorante vulnerabilità scoperte da altri per creare danni. vulnerabilità scoperte da altri per creare danni. Di conseguenza si sta riaffermando il “ Di conseguenza si sta riaffermando il “blackhat blackhat mood”, mood”, mentre i danni causati dai ragazzini hanno suscitato un mentre i danni causati dai ragazzini hanno suscitato un fiorente mercato per le società di sicurezza informatica, fiorente mercato per le società di sicurezza informatica, su alcune delle quali si potrebbero affrontare lunghi su alcune delle quali si potrebbero affrontare lunghi discorsi... discorsi...
  • 13. 13 www.vincenzocalabro.it La sicurezza si fa open La sicurezza si fa open source source Anche nel campo dei prodotti per la creazione di Anche nel campo dei prodotti per la creazione di sistemi di sicurezza esistono progetti open sistemi di sicurezza esistono progetti open source source di di qualità pari, se non superiore, agli equivalenti del qualità pari, se non superiore, agli equivalenti del mondo commerciale: mondo commerciale: Firewall Firewall: : IPFilter IPFilter,, ,, IPChains IPChains...... ...... IDS: IDS: Snort Snort, LIDS, AIDE, , LIDS, AIDE, TripWire TripWire...... ...... Criptografia Criptografia: GPG : GPG Implementazioni di IPSEC e Implementazioni di IPSEC e Kerberos Kerberos Vulnerability Vulnerability scanner: scanner: Nessus Nessus, SAINT , SAINT Unica eccezione: antivirus (i costi di ricerca sono Unica eccezione: antivirus (i costi di ricerca sono elevati...) elevati...)
  • 14. 14 www.vincenzocalabro.it Perché scegliere l'open Perché scegliere l'open source source, , in definitiva? in definitiva? Non perché sia intrinsecamente più sicuro, o Non perché sia intrinsecamente più sicuro, o perché sia genericamente fatto meglio, ma perché perché sia genericamente fatto meglio, ma perché lascia all'utente e all'amministratore di sistema la lascia all'utente e all'amministratore di sistema la possibilità di adoperarsi attivamente per proteggere possibilità di adoperarsi attivamente per proteggere la propria sicurezza. Chi sceglie soluzioni la propria sicurezza. Chi sceglie soluzioni closed closed source source sceglie di affidarsi esclusivamente alle sceglie di affidarsi esclusivamente alle capacità dei capacità dei vendor vendor. In conclusione il modello . In conclusione il modello open open source source responsabilizza la comunità e l'utente, responsabilizza la comunità e l'utente, e li mette in grado di agire, anche se non è la e li mette in grado di agire, anche se non è la panacea tutti i mali. panacea tutti i mali.
  • 15. Grazie per l’attenzione! Grazie per l’attenzione! vincenzo.calabro@computer.org vincenzo.calabro@computer.org