debian security teamema/slides/debian_security_team.pdfflusso eventi il security team viene a...
TRANSCRIPT
![Page 1: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/1.jpg)
Debian Security Team
16 dicembre 2005
Dipartimento di Informatica e Scienze dell'Informazione
Emanuele Rocca - [email protected]://people.debian.org/~ema/talks/
![Page 2: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/2.jpg)
Debian Security Team
● Introduzione al progetto Debian● Problematiche di sicurezza● Security Team● Advisory (DSA)● Collaborazione con altri vendor● Un po' di numeri● Testing Security Team● Security Audit Project
![Page 3: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/3.jpg)
il progetto Debian
The Debian Project is an association of individuals who have made common cause to create a free operating system.
![Page 4: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/4.jpg)
pacchetti Debian
file binari contenenti software libero (DFSG) opportunamente adattato a Debian
(FHS, Debian Policy...)
la versione originale del software viene detta “upstream”, così come l'autore (upstream author)
Esempio: mysql4.1.15 upstream4.1.151 debian
![Page 5: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/5.jpg)
Rilasci
UNSTABLE (sid) dove avviene lo sviluppo quotidiano
TESTING (etch) pacchetti non ancora rilasciati come stabili
STABLE (sarge)l'ultima versione Debian rilasciata
solo stablestable viene seguita dal Security Team
![Page 6: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/6.jpg)
il progetto Debian
● 11 architetture● 1635 sviluppatori● 16763 pacchetti
● più di 50.000.000 di linee di codice
![Page 7: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/7.jpg)
problematiche di sicurezza
Una vulnerabilità di sicurezza in uno dei circa 16000 pacchetti Debian costituisce una problematica di sicurezza per l'intera distribuzione.
Se ne prende carico il Debian Security Team, una volta appurato che la vulnerabilità sia davvero presente nella release stabile.
![Page 8: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/8.jpg)
il Debian Security Team
Compiti:● monitoraggio mailing list di sicurezza
– bugtraq– vulndev
● verifica dell'applicabilità delle vulnerabilità alla release stabile
● punto di contatto tra:– sviluppatori upstream– organismi di sicurezza (CERT, CVE...)– altre distibuzioni
● rilascio Debian Security Advisory
![Page 9: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/9.jpg)
Debian Security Advisories
Quando viene scoperta una vulnerabilità che si applica ad un pacchetto Debian, il team di sicurezza rilascia un advisory contentente informazioni sulla vulnerabilità
I DSA sono inviati alle mailinglist debiansecurity[email protected] e bugtraq
A partire dal 2004 i DSA sono stati dichiarati compatibili CVE (Common Vulnerability Exposures)
![Page 10: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/10.jpg)
![Page 11: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/11.jpg)
Compatibilità CVE
CVE è un dizionario di nomi standardizzati per le vulnerabilità
Associare una generica vulnerabilità ad aggiornamenti Debian specifici
Semplificare la gestione della sicurezza negli ambienti in cui si usano strumenti CVEenabled
(IDS, strumenti di vulnerability assessment)
![Page 12: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/12.jpg)
![Page 13: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/13.jpg)
Debian Security Advisories
● numero di versione del pacchetto aggiornato● tipo di problema● remoto / locale● descrizione del pacchetto● descrizione del problema● descrizione dell'exploit● descrizione del fix● md5sum e indirzzo dei pacchetti aggiornatiAndiamo a vedere un esempio
![Page 14: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/14.jpg)
1998 1999 2000 2001 2002 2003 2004 20050
25
50
75
100
125
150
175
200
225
250
275
300
Andamento annuale DSA
![Page 15: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/15.jpg)
Row 50
50
100
150
200
250
300
350
400
450
500
550
600
650
Andamento DSA per release
1.3 (bo) 06/1997
2.0 (hamm) 07/19982.1 (slink) 03/1999
2.2 (potato) 08/2000
3.0 (woody) 07/2002
3.1 (sarge) 06/2005
![Page 16: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/16.jpg)
Flusso eventi
● Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian Stable
● Viene contattato lo sviluppatore Debian● Fix del problema, meno “invasivo” possibile● Caso migliore: qualcuno ha già preparato una nuova
versione Debian del pacchetto che chiude il problema● Caso peggiore: il Security Team deve scrivere la patch● Testing (exploit, test di regressione...)● Upload del pacchetto su security.debian.org● Advisory
![Page 17: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/17.jpg)
Riservatezza?
Di solito no.Possono esserci, comunque, casi specifici che
richiedano omertà assoluta da parte del Security Team
● Vulnerabilità non ancora pubblica● Vulnerabilità grave
In questo caso il Security Team lavora insieme alle altre distribuzioni (RedHat, Suse...) al fine di produrre fix, advisory e aggiornamenti
![Page 18: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/18.jpg)
Testing Security Team
Come abbiamo visto, non c'è supporto di sicurezza per Debian Testing.
Sempre più utenti “desktop” usano Debian Testing, è un peccato lasciarli senza aggiornamenti.
Il Debian Testing Security Team nasce appunto per supplire a questa mancanza.
![Page 19: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/19.jpg)
Audit project
● Il progetto si occupa di fare auditing dei pacchetti Debian, alla ricerca di problemi di sicurezza
● 45 DSA rilasciati ad oggi grazie al lavoro dei membri dell'Audit project
● Approccio proattivo● Priorità:
– binari setuid/setgid– servizi di rete– cgi/php– cron script eseguiti con privilegi alti
![Page 20: Debian Security Teamema/slides/debian_security_team.pdfFlusso eventi Il Security Team viene a conoscenza di un problema di sicurezza che si applica ad un pacchetto presente in Debian](https://reader033.vdocuments.mx/reader033/viewer/2022041713/5e49424f6a34f27d9a7d6826/html5/thumbnails/20.jpg)
Riferimenti
● http://security.debian.org/● http://www.debian.org/security/faq● http://www.debian.org/security/crossreferences● http://cve.mitre.org/about/● http://cve.mitre.org/cve/refs/refmap/sourceDEBIAN.html● http://www.kb.cert.org/vuls/● http://www.securityfocus.com/bid● http://securetestingmaster.debian.net/● http://www.debian.org/security/audit/