[Pluto-journal] In risposta a "Hacker, difendi così il tuo PC"

Germano Rizzo mano a pluto.linux.it
Gio 24 Gen 2002 10:43:25 CET


Buongiorno,
	mi permetto di inviare un commento a titolo personale all'articolo di Luca Panerai "Hacker, difendi così il tuo PC" apparso il 18 Gennaio scorso su NEXT, disponibile all'indirizzo http://panoramanext.mondadori.com/panext/computer_palmari/art006005000163.jsp . Mi permetto di citare brani dell'articolo stesso, credo di poterlo legalmente fare visto che è presente la possibilità di inviare l'articolo per posta elettronica, alla base della pagina.

>La loro filosofia si chiama Open World
	Mi scusi se parto subito male, ma questo è inventato; da cinque anni faccio parte di questo ambiente, e non ho mai sentito un nome simile, riferito a questo campo. Forse lei intende il movimento Open Source, ma mi permetta di credere che ancora di più lei si riferisca al movimento Free Software, che sebbene non combaci esattamente, è l'aspetto meno "tecnico" e più "filosofico". D'ora in poi, sebbene imprecisamente, userò i due termini in modo intercambiabile, me ne scusi. Ma andiamo avanti.


>e il loro obiettivo è distruggere i muri di protezione
	Io mi sento parte di questo movimento, come programmatore, appassionato e divulgatore, e il mio obiettivo non è neppure lontanamente questo. Del resto, il movimento Open Source/Free Software si occupa *anche* di sicurezza, esattamente come si occupa di tutte le branche dell'informatica, ma non ne fa il suo cavallo di battaglia, né lo fa a scopi negaivi o perversi. Dire questo è semplicemente falso.
	Forse le farebbe bene un'infarinatura di ciò di cui parla: può fare una visita ai siti ufficiali, per cominciare (www.opensource.org, per l'OpenSource, www.fsf.org per il Free Software e l'iniziativa GNU), oppure leggere un articolo molto chiarificatore di Eric Raymond, "La cattedrale ed il bazaar"; lo può trovare anche in versione italiana, ad esempio su http://www.apogeonline.com/openpress/doc/cathedral.html. Inoltre può trovare cenni chiarificatori nello scritto "la vendetta degli hacker" (non si turbi: il titolo è volutamente provocatorio) sempre di Raymond, su http://www.apogeonline.com/openpress/libri/545/raymondb.html.


>delle principali reti informatiche di tutto il mondo, 
>per dimostrare che qualsiasi sistema di difesa, anche 
>il più sofisticato, ha almeno un punto debole.
	Tecnicamente non sono la persona più qualificata per parlarne, ma da quello che so se un sistema di difesa è davvero sofisticato (e non parlo dell'importanza del nome di chi ci sta dietro, o dei soldi spesi, ma della competenza di chi l'ha allestito), esso non ha punti deboli, o non sono praticamente sfruttabili. Quindi una tale pretesa dimostrazione è assurda.

>Gli hacker
	Se lei dice che Toro Seduto adorava il dio Shiva, lei sbaglia; è un errore comprensibile visto che sono ambedue comunemente detti "indiani". Analogamente, lei qui confonde nettamente due accezioni del termine "hacker". La prima, i ragazzini che fanno ciò che dice lei (sebbene sia un'imprecisione, non lo fanno certo per ideologia, se non per una propria) col movimento Open Source/Free Software hanno pochissimo a che fare; se usano una piattaforma Free come base, non si può dare la colpa ad essa, non le pare? Se io uso un coltello per ammazzare una persona, la colpa è mia, non del produttore del coltello. Tali "cracker" (termine più adatto) si focalizzano più che altro a individuare le vulnerabilità delle piattaforme non-opensource (caso più clamoroso, Windows di Microsoft), quindi in questo l'opensource ha molto poco a che fare.
	L'altra accezione, quella che più mi sta a cuore, del termine "hacker" dovrebbe ormai averla appresa se ha seguito il mio consiglio e ha letto i due articoli di Raymond, quindi non mi dilungo oltre.

>vogliono una rete libera, senza padroni, accessibile a tutti
	Chiariamo una cosa: attualmente, la rete *è* tutte queste cose. Firewall e reti private non sono parte del problema, non inficiano minimamente il fatto che una delle potenzialità e dei punti di forza della rete è quello di essere indipendente. E' insito nella sua struttura.


>sono dei tecnoanarchici in grado di compiere veri e propri attentati.
	Se ora parla con cognizione di causa e sa di che "hacker" sta trattando, questa affermazione può anche starmi bene, anche se ha del sensazionalistico.


>Ne sa qualcosa il Pentagono, quando meno di un anno fa un 
>ragazzo poco più che maggiorenne riuscì a bucare la rete 
>e a introdursi nella banca dati della Cia. Quel ragazzo fu
>arrestato, ma come lui ce ne sono a migliaia, 
>tutti collegati alla setta Open World. 
	Per favore, mi dimostri questo. A parte l'evidente vizio di forma di questa frase (se un ambiente contiene delle mele marce, non è l'ambiente marcio, sono quelle persone - l'Italia non è mafiosa, perché lo è un pugno di italiani), questi ragazzi non sono per nulla collegati alla "setta (è una religione?) Open World", né agiscono su sua iniziativa o dietro un coordinamento oscuro, come lei pare adombrare. Mi rendo conto che è la mia (nostra) parola contro la sua; mi permetta allora di citarle qualche dato di fatto, in ordine sparso. Assumerò che lei parli di Open Source, purtroppo visto che lei non è chiaro nel suo brano, non posso fare a meno di prendere questo rischio.

* io personalmente ho conosciuto questo mondo (lungi dall'essere un'iniziazione!) all'università; tutte le università italiane sono impegnate nell'Open Source, o ne fanno uso. Caso concreto Padova, nei cui laboratori si fa grande uso di software libero (Free Software), perché è molto adatto per la ricerca scientifica. I primi sviluppatori, e molti di quelli che ancora oggi lo portano avanti, sono parte delle principali università americane, tipo Berkeley o il MIT. Gli utenti e gli appassionati di software libero nel mondo sono parecchie centinaia di migliaia, moltissimi in Italia. Non può ridurre questo fenomeno alla dimensione di setta, non le pare?

* il web server Apache (libero, e open source) è installato su più del 75% dei server di Internet. Se lei sa cos'è un web server, si renderà conto che praticamente Internet è retto dall'opensource, semplificando molto (mi perdoni, ma anche lei semplifica parecchio). Squid e Bind, cioè due delle più utilizzate soluzioni per proxy server e server DNS sono opensource.

* sui problemi della sicurezza, può leggere un articolo interessante del Los Angeles Times (non esattamente un giornale di parte, ammetterà), su https://www.latimes.com/business/la-000003463jan14.story?coll=la-headlines-business-manual . Tra l'altro, noterà come Gartner Group e molti altri nomi del consulting americano da un po' consiglino una piattaforma open source per aumentare significativamente la sicurezza delle installazioni. Non si sono messi tutti d'accordo (FBI compresa, come vedremo poi) per calunniare Microsoft, è una realtà, ed è vicina al mondo degli affari.

* la maggioranza delle grandi industrie informatiche mondiali ha ormai un forte investimento nell'open source. IBM e Silicon Graphics sono due casi tra i più evidenti che hanno deciso di rilasciare i propri software sotto licenza Open; America On Line (AOL) utilizzerà Mozilla (un browser open, da cui tra l'altro le scrivo) come base per il proprio browser, e non più Internet Explorer; Sun Microsystems ha rilasciato e rilascerà molto del suo software sotto licenza open; Borland nel suo ultimo prodotto, Kylix, supporta e propugna l'opensource, e ha rilasciato il suo database più famoso, Interbase, sotto opensource; Oracle supporta Linux, e parlo della più grande fornitrice di database professionali; la quasi totalità del mondo, ad esempio, degli effetti speciali cinematografici lavora ormai su piattaforme open source, veda ad esempio gli ultimi film Disney, Shrek o Il Signore degli Anelli; e la lista di aziende potrebbe continuare. E' riduttivo liquidarle come seguaci di una setta...

* i governi cinese e tedesco hanno deciso, per salvaguardare l'integrità e la sicurezza dei propri dati, di adottare software libero nell'amministrazione pubblica, come pure diversi enti locali italiani, tra cui il comune di Firenze quest'estate.  Si può informare meglio nelle pagine del Pluto Journal, di cui ho l'onore di far parte. Questo dovrebbe darle la sensazione di quanto questo movimento sia pubblico, e non già privato, e di quanto falso sia che ci si batte per una "tecnoanarchia". Potrei continuare a lungo.

>Comunicano su speciali chat line private e usano messaggi in codice.
	Innanzitutto una chat line privata non è per nulla speciale, la potrebbe mettere su anche lei. Secondo, se si riferisce ancora al suo concetto di hacker, guardi: può trovare gli archivi delle nostre mailing list direttamente online, ad esempio su http://lists.pluto.linux.it ; anzi, la invito a fare un salto là, così può toccare con mano lo stile e l'argomento delle nostre "congiure".

>Condividono ogni software, ogni scoperta, che possa contribuire 
>a rendere più forte la setta degli hacker.
	Mi spiace deluderla, ma questa è una prassi comune. Condividiamo ogni software e ogni scoperta, come fanno moltissimi programmatori nel mondo; e anzi, l'informatica va avanti proprio per questo. Facendo un paragone spicciolo, se le tesi di laurea fossero private, o le scoperte scientifiche non venissero pubblicate sui vari "Nature" o "Scientific American", molte ricerche sarebbero molto più arretrate di quanto sono... ma non mi addentrerò in motivazioni tecniche che potrebbero annoiarla; comunque lo scopo non è rendere più forte la setta degli hacker, a meno che non si intenda (e questo è un po' quello che volevo dimostrare prima, a dire il vero) l'intero mondo informatico. Una setta bella grossa, di cui del resto fa parte anche Microsoft (scusi se ci torno sempre, ma pare che sia l'unica azienda che ha qualcosa contro l'opensource), che trae dalle ricerche sulla sicurezza (svolte, per di più, gratuitamente) preziose indicazioni per i suoi software.

>Alcuni guru di Open World si sono convertiti e hanno fatto i soldi, come Linus Torvall,
	L'opensource e il Free Software non impediscono minimamente di "fare i soldi". Del resto lei nella parte precedente dell'articolo non menziona mai il denaro, quindi non credo che intendesse davvero questo, vero? Il principio che si afferma è la libera disponibilità del software (semplificando... se vuole può approfondire nei siti detti prima, e anche in diversi altri, basta avere l'accortezza di documentarsi) e dei suoi sorgenti; se poi un programmatore che fa questo viene assunto (come il signor Linus *Torvalds*) da una ditta per continuare lo sviluppo con più tranquillità, nell'interesse di quella ditta, o per fornire assistenza tecnica o consulenze sulle competenze che ha dimostrato così di possedere, mi spiace deluderla, ma questo non inficia nulla di quanto detto.

>l'ideatore del sistema operativo Lynux
	Scusi, ma in questo pezzo dell'articolo lei menziona cinque nomi in tutto: Open Source diventa Open World, Linus Torvalds diventa Linus Torvall e Linux diventa Lynux; solo Windows XP e Napster rimangono. A questo punto, mi viene il dubbio che lei non sia granché documentato su quello di cui scrive.

>(distribuito a prezzi stracciati per fare concorrenza a Windows Xp)
	Due cose: primo, Linux nasce nel 1991, ben prima di Windows 95, e credo anche di Windows 3/3.1, e per ben altri scopi che per far loro concorrenza. Al tempo, era UNIX a farla da padrone negli ambienti dove si sviluppò Linux, del resto. Comunque, è ben più della sola interfaccia grafica, quindi lo può paragonare meglio al sistema DOS+Windows. Secondo, non è distribuito a prezzi stracciati: è disponibile in rete in forma libera, quindi per fare una battuta non è in svendita, anche perché il suo "prezzo" non è mai diminuito! E' vero che le distribuzioni Linux si vendono, ma più che Linux vero e proprio esse vendono un corredo di servizi, di assistenza e di "knowledge base".

>o come i ragazzi di Napster, che, dopo avere messo in crisi 
>le corti di giustizia americane con la musica gratis via 
>Internet, hanno raggiunto un accordo con una casa discografica, 
>la Bertlesmann, per diffondere musica in rete a prezzi concorrenziali.
	Napster non era open source, quindi non c'entra proprio nulla. Non erano ragazzi, per di più.

>Ma, oltre agli hacker buoni
	Se ha letto finora, converrà che non ci sono hacker buoni e hacker cattivi, semplicemente lei sovrappone due cose diverse.

>c'è un popolo di giovani e agguerriti tecnoterroristi, 
>pronti a tutto pur di danneggiare le reti con virus sempre 
>più sofisticati e difficili da distruggere.
	Può essere romanzescamente vero, ma essi non sono mischiati agli "hacker buoni", come lei li definisce... i virus non sono e non centrano con l'open source. Questo è un dato di fatto.


>Recentemente, la rete centrale della Microsoft è stata bloccata 
>da un maxivirus: era la risposta di Open World alla pretesa 
>invulnerabilità del nuovo sistema operativo Windows Xp. 
	Quindi lei qui adombra che la rete centrale di Microsoft è basata su Windows XP. Cosa glielo fa credere? 
	Comunque, come ha già letto nell'articolo del LA Times, Windows XP dapprima è stato pubblicizzato come "il sistema operativo più sicuro mai prodotto", poi l'FBI, per la prima volta nella storia, ha dovuto avvertire l'intera nazione di applicare una patch che correggesse i bug in esso contenuti. Mi pare semplicistico che la colpa sia degli "hacker cattivi", ancor più semplicistico che sia dei concorrenti della Microsoft, ulteriormente più semplcistico (e falso) che sia dell'open source. Credo sia colpa di difetti di progettazione, non trova?

>Ogni giorno, gli uffici di tutto il mondo vengono colpiti da
>virus di ogni tipo e solo una piccola parte viene bloccata
>dai normali software antivirus installati sui pc.
	Io lavoro in un ufficio normalmente localizzato sul globo terrestre, e, prese le debite misure, non siamo mai stati colpiti da un virus. E non penso vinceremo il nobel per l'informatica, per questo...

>I due software più diffusi sono prodotti da McAfee e da Symantec,
>che produce il famoso Norton Antivirus. Tuttavia, questi sistemi
>hanno bisogno di aggiornamenti continui e rappresentano uno scudo
>molto sottile contro la pirateria informatica. Immaginiamo che i
>nostri dati siano il cuore di una cipolla e i software antivirus
>installabili sul singolo pc il primo strato della cipolla,: ebbene,
>tutto il resto è vulnerabile.
	Lei sa come funziona un antivirus e un firewall? Direi che il firewall è lo strato esterno del suo ortaggio, l'antivirus sul server lo strato un po' più interno e l'antivirus "installabile sul signolo PC" quello più vicino al cuore. Dico questo non da addetto ai lavori, il mio campo non è la sicurezza, ma solo da normale alfabetizzato informaticamente.

>Come difendersi allora dall'aggressività degli hacker
>(alcuni offrono servizi su richiesta anche alle organizzazioni
>no global, o addirittura al terrorismo islamico)?
	Alcuni offrono servizi anche alle ditte, una semplice ricerca su internet le confermerà che questi "hacker" (che tra l'altro sono molto più competenti di lei o di me, anche se purtroppo con fini sbagliati) vengono assunti e assoldati non già da "associazioni no global e terrorismo islamico", ma da grosse ditte che cercano di rendere sicuri i propri dati. La cosa potrà stupirla, ma non è mai stato dimostrato il legame che lei intravvede nell'oscurità, e non mi risulta che un solo pirata informatico sia stato arrestato per legami col terrorismo. Ma ovviamente lei ora sa, da quanto ho detto prima, che sta parlando di un'altra cosa rispetto a quello che lei dice.


>Il primo sistema serio di difesa di una rete
>è il Firewall (muro di fuoco) e consiste in un
>sistema di monitoraggio costante dei profili
>predefiniti di chi entra e chi esce dalla rete.
>Qualsiasi utente non registrato o non rispondente
>ai requisiti stabiliti dalla rete viene «bruciato»,
>in termine tecnico, e lasciato incenerito fuori dalla 
>rete.
	Un firewall non funziona per nulla così, ma di questo le parlerà meglio chi è più qualificato di me per farlo.

>Qualsiasi file sospetto viene bloccato e controllato
>in una camera asettica di compensazione,
	Falso


>che elimina qualsiasi virus o tentativo di sabotaggio della rete.
	Firewall ne esistono per tutti i sistemi operativi, tra l'altro, e hanno scopi e modi di agire nettamente diversi da questo. potrebbe citare per favore le sue fonti?

>I profili degli utenti sono soggetti a verifiche cicliche 
>e continuamente aggiornati dall?interno
>Una macchina in grado di ospitare un Firewall professionale 
>e di massima efficacia parte da un prezzo minimo 
>che si aggira attorno ai 3 mila euro
	Scusi, ma se parla di sicurezza non può misurarla sul prezzo. Un firewall professionale e di massima efficacia può anche non costare nulla, se non il prezzo della macchina su cui è installato, la quale può svolgere anche molte altre funzioni. Se non lo sa, perché non si iscrive a qualcuna delle nostre mailing list e si informa?

>e richiede l?attenzione costante di un tecnico specializzato.
	Questo se non altro è verosimile.

>Questo tipo di protezione è adatta dunque a difendere i dati
>di un?azienda o di uno studio professionale, più che il pc
>di un?abitazione. I principali sistemi Firewall sono prodotti
> dalla Cisco e dalla Sun Microsystems.
	Dunque lei parla di firewall hardware, mi scuso per l'errore. Io parlavo dei firewall software, che debitamente scelti e configurati, sono molto sicuri, e possono adattarsi anche ad altri usi che un'azienda e uno studio.

>UNA SOLUZIONE ALTERNATIVA
>Resta però il rischio di danno fisico alla rete o di distruzione
>del sistema. Un esempio per tutti: l?11 settembre la Morgan Stanley,
>i cui uffici erano situati nelle Torri Gemelle, ha subito la perdita
>di milioni di gigabyte importantissimi.
	A livello personale, ritengo questo accenno uno scadimento di gusto impressionante. Lasci le tragedie alle loro dimensioni, per favore. In più, dubito fossero "MILIONI di gigabyte"... ha idea di quanti dati siano?

>Ma danni non meno importanti per una piccola impresa possono
>essere causati da una perdita d?acqua o un incendio.
	La soluzione si chiama backup periodico, non ASP.

<tutta la parte sugli ASP>
	Mi scusi, ma non capisco cosa c'entri con il suo panegirico precedente: non si parlava di inaccessibilità dei dati? Se io metto dei dati presso una ASP, e poi li prendo dalla mia rete, ma la mia rete non è protetta, essi non sono sicuri. Qui lei parla di sicurezza in senso "conservazione", di cui non ha mai fatto menzione prima. Scusi il termine, ma è saltato di palo in frasca.

	Mi sentivo di puntualizzare queste cose, sulla base della mia esperienza personale; non sono un massimo esperto, però sono sicuro di ciò che dico e scrivo. E mi aspetterei che un giornalista che scrive su una testata pubblica e ad ampia diffusione si documentasse su ciò di cui scrive, credo faccia parte della figura professionale. Il signor Panerai ha dimostrato incompetenza, e per di più parlando semplicisticamente di cose che non conosce, per il gusto del sensazionalismo, ha calunniato migliaia di personalità e di menti della scena (informatica e non) mondiale che nel Free Software ci operano e ci lavorano quotidianamente, con ottimi risultati. A mio parere una rettifica è doverosa.
	Cordiali saluti,
		Germano Rizzo

		mano a pluto.linux.it

		via Mion 17
		30038 - Spinea (VE)







Maggiori informazioni sulla lista pluto-journal