sabato 27 ottobre 2018

Cosa fare se anche Linux è insicuro?

Image result for linux bug x.org
Tra le poche certezze che ho sempre avuto in merito ai sistemi operativi posso citare sicuramente "Linux è meglio di Microsoft"... 
Ma è veramente così?

E' di questi giorni la scoperta di un bug che consente di fare Priviledge escalation sui principali server Linux.
Il bug è identificato con il codice CVE-2018-14665 e sembra sia stato identificato da Narendra Shinde.
Il problema non si trova nel codice del kernel di Linux ma, almeno così sembra, nel codice delle interfacce grafiche più usate sulle distribuzioni Linux, X.org server, a partire dalla versione 1.19.0.
Ciò significa che da circa due anni a questa parte tutti i sistemi che usano X.org server potenzialmente sono soggetti ad attacchi basati su priviledge escalation.
Per essere chiari, i sistemi affetti da questa vulnerabilità sono OpenBSD, Debian Ubuntu, Fedora, Red Hat Enterprise Linux e CentOS!

Non penso sia opportuno ne necessario proseguire nella analisi tecnica del problema, nei link di approfondimento a fine articolo è possibile trovare le informazioni occorrenti e i suggerimenti per la risoluzione del problema. 
Ciò che mi interessa è invece approfondire alcuni aspetti spesso sottovalutati e per farlo cercherò di porre alcune semplici domande alle quali tenterò di dare risposta.
In primo luogo, cosa è successo a Unix, poi Linux negli anni passati?
E poi, chi decide se e come applicare le patch di un sistema in uso o il passaggio alla versione successiva?

Senza dubbio chi, come me, ha una certa età, si è scontrato con la necessità di utilizzare la linea di comando di Unix o di Linux o entrambe, cosa che oggi è molto spesso sostituita dall'impiego di una versione grafica. 
L'introdizione della grafica è stata un successo per i sistemi, avvicinando molti utenti potenziali, rendendo i sistemi Unix/Linux più simili ai sistemi Windows, ma allo stesso tempo è stato necessario incrementare la complessità. In poche parole, mentre prima si avevano a disposizione sistemi potenti e relativamente leggeri, l'introduzione della grafica ha appesantito il codice.  

I SO Linux sono generalmente appannaggio dei tecnici, sono impiegati all'interno dei data center per la gestione delle reti e dei sistemi informatici che necessitano di alte prestazioni, questa è la loro caratteristica, ma spesso sono poco conosciuti dai manager e dai decisori che si affidano ai tecnici. Comportamento corretto o meno, difficile da dire. Chi meglio di un bravo tecnico può dire cosa occorre ad un sistema perchè funzioni meglio? Probabilmente nessuno. Ma chi ha la responsabilità dell'azienda?
Chi risponde giuridicamente degli errori?
Chi paga in caso di mancatto rispetto della normativa sulla privacy o in caso di sottrazione di segreti industriali, militari o di Stato?

Ora, credo sia chiaro che i tecnici devono avere la loro autonomia ma penso sia altrettanto chiaro che  in una organizzazione seria debba essere impiegato un sistema di analisi del rischio che prenda in considerazione anche il rischio tecnologico e l'analisi delle patch (funzionali e di sicurezza) deve essere tenuta in considerazione, come l'analisi del rischio nel passaggio da una versione alla successiva.

Il processo che ha spinto verso la grafica è molto simile a quello che ha spinto e spinge tuttora in direzione della virtualizzazione... mi auguro che chi ha scelto la virtualizzazione l'abbia fatto consapevolmente!

Ciò che mi è sempre più chiaro è il fatto che occorre fare le cose semplici, affinchè sia possibile esercitare un controllo efficace, e questa è una regola che credo possa essere sempre valida, a maggior ragione nel campo informatico.
Sicuramente in ambiente critico occorre fare in modo che il personale tecnico sia in grado di lavorare impiegando strumenti sicuri e seguendo procedure chiare.
La capacità di impiegare sistemi operativi Linux like da linea di comando è dunque, a mio parere, una capacità da preservare, senza farsi attirare troppo dal sbandierata facilità di sistemi grafici che come contropartita aumentano la complessità del codice e la superficie di attacco.  

Alessandro RUGOLO

Per approfondire:
- https://www.nushinde.com/
- https://www.bleepingcomputer.com/news/security/trivial-bug-in-xorg-gives-root-permission-on-linux-and-bsd-systems;
- https://bugs.debian.org/cgi-bin/pkgreport.cgi?pkg=xserver-xorg-video-intel;dist=unstable;
https://www.theregister.co.uk/2018/10/25/x_org_server_vulnerability/

Nessun commento:

Posta un commento