Ma il software open source è sicuro?

Похожие документы

Software Open Source per sistemi embedded

Introduzione al sistema operativo. Laboratorio Software C. Brandolese

SELinux. di Maurizio Pagani

Perché proteggere i dati

Corso ForTIC C2 LEZIONE n. 1

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it

Software per Helpdesk

Software di sistema e software applicativo. I programmi che fanno funzionare il computer e quelli che gli permettono di svolgere attività specifiche

confinamento e virtualizzazione maurizio pizzonia sicurezza dei sistemi informatici e delle reti

Security by example. Alessandro `jekil` Tanasi LUG Trieste. Alessandro Tanasi - alessandro@tanasi.

Pacchettizzazione e distribuzione del software

FORSETI BLOG. Readcast. Ottobre 2013 Speciale Linux Day.

Linux e Open Source: Libero! Non "gratis"...

Debian Security Team

Sistemi Operativi. Conclusioni e nuove frontiere

Monitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica)

Architetture Applicative

SPAZIO IT. Soluzioni CORPORATE per e Collaborazione. Spazio IT e Collaborazione. Gennaio 2015

Lezione 4 La Struttura dei Sistemi Operativi. Introduzione

Progetto di Sistemi Web-based

Software. Algoritmo. Algoritmo INFORMATICA PER LE DISCIPLINE UMANISTICHE 2 (13042)

maurizio pizzonia sicurezza dei sistemi informatici e delle reti. confinamento e virtualizzazione

Introduzione alla Virtualizzazione

Cosa è Tower. Sistema di autenticazione per il controllo degli accessi a reti wireless. struttura scalabile. permette la nomadicità degli utenti

Approccio stratificato

Security Enhanced Linux (SELinux)

ORDINE DEGLI INGEGNERI DELLA PROVINCIA DI TERAMO

Alma Mater Studiorum Università di Bologna. Controllo di versione. S. Golovchenko (UNIBO) INGEGNERIA DEI SISTEMI SOFTWARE / 18

Progetto LearnIT PL/08/LLP-LdV/TOI/140001

L ergonomia dei sistemi informativi

TYPO3 in azione con l infrastruttura ZEND: affidabilità e sicurezza. Mauro Lorenzutti CTO di Webformat srl mauro.lorenzutti@webformat.

Comunicazione tra Computer. Protocolli. Astrazione di Sottosistema di Comunicazione. Modello di un Sottosistema di Comunicazione

Open Source Tools for Network Access Control

Università degli Studi di Ferrara - A.A. 2014/15 Dott. Valerio Muzzioli ORDINAMENTO DEI DATI

Indice. La Programmazione di Rete e di Sistema (i) Indice (ii) Indice (i) La programmazione di rete; La programmazione di sistema;

Agenti Mobili Intelligenti e Sicurezza Informatica Utilizzare un nuovo paradigma applicativo per la realizzazione di sistemi informatici sicuri.

La strada per sviluppare più rapidamente: Unit Test & Continuous Integration

INFN Napoli NESSUS. IL Security Scanner. Francesco M. Taurino 1

INFORMATICA DISTRIBUITA. lez 4 Livello applicazione

Sicurezza e Gestione delle Reti (di telecomunicazioni)

INGEGNERIA DEL SOFTWARE

API e socket per lo sviluppo di applicazioni Web Based

Mac Application Manager 1.3 (SOLO PER TIGER)

ANALISI DÌ MALWARE E SOLUZIONI DÌ DIFESA. Tesina di Matteo Neri A.S

Davide Casale, Politecnico di Torino

OpenVAS - Open Source Vulnerability Scanner

RIVER: trading guadando il fiume

La Pubblica Amministrazione consumatore di software Open Source

Applicazioni di Ubuntu

Caratteristiche di una LAN

LINUXDAY ERLUG: Emilia Romagna Linux Users Group Bologna, /23. Marcello RAVAZZA, file server SOHO con Ubuntu

RT Request Tracker. Manuale per l utente V2.0. contenuto

Maschere di sottorete a lunghezza variabile

ILS - Italian Linux Society. Una panoramica su Italian Linux Society

POLINUX. Linux for Polimi people

Computazione multi-processo. Condivisione, Comunicazione e Sincronizzazione dei Processi. Segnali. Processi e Threads Pt. 2

Joomla: Come installarlo e come usarlo. A cura di

Sicurezza delle reti 1

Architettura di un sistema operativo

Indice. Indice V. Introduzione... XI

Software Libero. Terra Futura - Firenze

Manuale di Installazione PHPNuke in Italiano Edizione Visuale By CLA

Corso di Politica Economica

Modifiche principali al programma Adobe Open Options NOVITÀ! DISPONIBILITÀ ESCLUSIVA DEL SOFTWARE ADOBE ACROBAT ELEMENTS

Gartner Group definisce il Cloud

Hardware delle reti LAN

Big Data e IT Strategy

Guida di Installazione GCC

Il web server Apache Lezione n. 3. Introduzione

VMware. Gestione dello shutdown con UPS MetaSystem

Università degli Studi di Napoli Federico II Facoltà di Ingegneria Corso di Laurea Specialistica in Ingegneria Informatica.

ControlloCosti. Cubi OLAP. Controllo Costi Manuale Cubi

Lo sai che Linux è nella lavastoviglie?

exe Learning Costruire e modificare oggetti e materiali per l apprendimento

Parallels Plesk Panel

L abc del geomarketing: la geografia

Laboratorio di Sistemi Logistici e della Produzione

Manuale servizio Webmail. Introduzione alle Webmail...2 Webmail classica (SquirrelMail)...3 Webmail nuova (RoundCube)...8

Protezione del Kernel Tramite Macchine Virtuali

Транскрипт:

Ma il software open source è sicuro? Alberto Ferrante ALaRI, Facoltà di Informatica Università della Svizzera italiana E-mail: ferrante@alari.ch Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 1 / 22

Sommario vedere il codice... Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 2 / 22

Chi scrive il software OS? Sviluppo La realtà Parliamo della qualità del Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 3 / 22

Chi scrive il software OS? Chi scrive il software OS? Sviluppo La realtà La qualità del codice è variabile: ad ogni progetto possono contribuire diverse persone; non sempre la qualità del codice prodotto è sufficiente; non c è validazione. Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 4 / 22

Chi scrive il software OS? Chi scrive il software OS? Sviluppo La realtà La qualità del codice è variabile: ad ogni progetto possono contribuire diverse persone; non sempre la qualità del codice prodotto è sufficiente; non c è validazione.... Ma è davvero così? Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 4 / 22

Lo sviluppo (1/2) Chi scrive il software OS? Sviluppo La realtà Ogni progetto OS è diverso; meccanismi di controllo della qualità; numero di beta tester elevato: testing pubblico del codice sviluppato; sistemi di bug-tracking efficienti. Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 5 / 22

Lo sviluppo (1/2) Chi scrive il software OS? Sviluppo La realtà Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 5 / 22

Lo sviluppo (1/2) Chi scrive il software OS? Sviluppo La realtà Ogni progetto OS è diverso; meccanismi di controllo della qualità; numero di beta tester elevato: testing pubblico del codice sviluppato; sistemi di bug-tracking efficienti. Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 5 / 22

Lo sviluppo (1/2) Chi scrive il software OS? Sviluppo La realtà Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 5 / 22

Lo sviluppo (2/2) Chi scrive il software OS? Sviluppo La realtà non ci sono scadenze commerciali: release ritardate per bug importanti. Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 6 / 22

La realtà Chi scrive il software OS? Sviluppo La realtà In generale la qualità è comparabile o superiore a quella di prodotti non OS. Reasoning: The open-source implementation of TCP/IP in the Linux kernel clearly exhibits a higher code quality than commercial implementations in general-purpose operating systems [1] [1] Stephen Shankland, Study lauds open-source code quality, available: http://news.com.com/2100-1001-985221.html Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 7 / 22

Svantaggi Vantaggi Un esempio... vedere il codice... Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 8 / 22

Il codice è pubblico: svantaggi Svantaggi Vantaggi Un esempio La disponibilità del codice sorgente rende il sistema vulnerabile: potendo vedere il codice è più facile scoprirne le debolezze! Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 9 / 22

Il codice è pubblico: svantaggi Svantaggi Vantaggi Un esempio La disponibilità del codice sorgente rende il sistema vulnerabile: potendo vedere il codice è più facile scoprirne le debolezze!... Ma è davvero così? Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 9 / 22

Il codice è pubblico: vantaggi Svantaggi Vantaggi Un esempio La disponibilità del codice sorgente permette di scoprire prima i difetti; le vulnerabilità possono essere trovate anche non avendo a disposizione il codice. Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 10 / 22

Un vantaggio importante Svantaggi Vantaggi Un esempio Il software OS può essere analizzato da tutti: certezza che il prodotto faccia solo quello che deve e non altro! Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 11 / 22

Un esempio: il web server Apache Svantaggi Vantaggi Un esempio progetto open source; considerato uno dei più sicuri. [2] [2] Netcraft. http://news.netcraft.com Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 12 / 22

The necessity of operating system security to overall system security is undeniable... If it fails to meet this responsibility, system-wide vulnerabilities will result [3, pag. 4]. [3] Frank Mayer, Karl Macmillan, and David Caplan, SELinux by Example. Prentice Hall, 2007 Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 13 / 22

Una tecnologia OS per Una tecnologia OS per SELinux: come funziona SELinux: a cosa serve? SELinux: dove lo troviamo? SELinux: problemi SELinux [4, 5]: sviluppato dalla NSA; nuovo standard di sicurezza per i sistemi operativi; mitiga il problema dei buchi di sicurezza delle applicazioni; Mandatory Access Control flessibile. [4] NSA security enhanced linux. http://www.nsa.gov/selinux [5] Stephen Smalley, Configuring the SELinux Policy, NSA, Feb. 2005 Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 14 / 22

SELinux:come funziona Security Policy Una tecnologia OS per SELinux: come funziona SELinux: a cosa serve? SELinux: dove lo troviamo? SELinux: problemi Soggetto Oggetto Sec. Context Obj. Class Sec. Context Obj. Class Security Server Decisione soggetti: processi; oggetti: file, canali di comunicazione tra processi, socket, host,... Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 15 / 22

SELinux: security server Una tecnologia OS per SELinux: come funziona SELinux: a cosa serve? SELinux: dove lo troviamo? SELinux: problemi Nel kernel; diverse implementazioni possibili con la stessa architettura di sistema; l attuale unisce: Type Enforcement; Role Based Access Control; Multi-level Security. Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 16 / 22

SELinux: a cosa serve? Una tecnologia OS per SELinux: come funziona SELinux: a cosa serve? SELinux: dove lo troviamo? SELinux: problemi Accesso consentito solo a parti predeterminate del sistema; consentite solo le azioni strettamente necessarie al funzionamento. Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 17 / 22

SELinux: a cosa serve? Una tecnologia OS per SELinux: come funziona SELinux: a cosa serve? SELinux: dove lo troviamo? SELinux: problemi Accesso consentito solo a parti predeterminate del sistema; consentite solo le azioni strettamente necessarie al funzionamento. I servizi vengono confinati : possono svolgere solo le azioni specificate nella SELinux policy! Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 17 / 22

SELinux: dove lo troviamo? Una tecnologia OS per SELinux: come funziona SELinux: a cosa serve? SELinux: dove lo troviamo? SELinux: problemi Parti fondamentali incluse nei kernel Linux dalla serie 2.6; distribuzioni Linux: Red Hat (da Fedora Core 2 in poi); Debian; Yellow Dog Linux; Hardened Gentoo. Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 18 / 22

SELinux: problemi Una tecnologia OS per SELinux: come funziona SELinux: a cosa serve? SELinux: dove lo troviamo? SELinux: problemi Bisogna comprendere a fondo il meccanismo per configurarlo correttamente: nelle distribuzioni: policy già pronte molto buone; difficili da customizzare. Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 19 / 22

(1/2) Il software OS non è intrinsecamente meno sicuro di quello non open; il software OS non è intrinsecamente più sicuro di quello non open; Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 20 / 22

(2/2) la disponibilità del codice sorgente dà dei vantaggi; disponibilità di tecnologie per migliorare. Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 21 / 22

Ringrazio per l attenzione... E-mail: ferrante@alari.ch Presentazione disponibile su: http://www.alari.ch/people/alberto/publicationsframe.htm Lugano Communication Forum, 3/4/2007 A. Ferrante Ma il software open source è sicuro? 22 / 22