Traduttore automatico - Read this site in another language

giovedì 22 novembre 2018

ITALIA SOTTO ATTACCO

Da tempo l’Italia risulta essere nel mirino degli hacker, eppure, fino a ieri sembrava che nessuno fosse interessato. Ma questa volta è diverso.
Già da qualche giorno circolano voci su un attacco cyber che avrebbe colpito gli uffici giudiziari. Questa volta però alle voci seguono i fatti, e i fatti consistono nella prima conferenza stampa tenuta dal professor Roberto Baldoni, vice direttore generale Cyber del Dipartimento delle informazioni per la Sicurezza.
Questa volta l’attacco è andato a segno e sembra che siano in tanti ad essere preoccupati.
Difesa Online è invitata alla conferenza stampa, come le principali testate giornalistiche. Ci si trova tutti assieme ad aspettare l’arrivo del professor Baldoni, in una sala piccola ma splendida, con il soffitto completamente affrescato, di Palazzo Verospi in via dell’Impresa a Roma.
Oggetto dell’incontro: attacco hacker alle PEC di uffici giudiziari e iniziative in corso della Presidenza del Consiglio dei Ministri.
L’incontro è cordiale, il professor Baldoni illustra la situazione. Pochi sono i dettagli. D’altra parte è normale, ci sono delle indagini in corso.
L’occasione, non particolarmente festosa, consente però di fare il punto su un argomento sempre più in voga in Italia e nel mondo: la sicurezza informatica.
Una società fornitrice di servizi di PEC (Posta Elettronica Certificata), alle Pubbliche Amministrazioni ma non solo, si è accorta di essere sotto attacco, sono le 17.15 del 12 novembre.
Per precauzione, in attesa di capire meglio cosa stia succedendo, i servizi vengono bloccati.
Il 13 novembre alle ore 12.00 l’incidente viene notificato al CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) della Polizia Postale. Da quel momento le attività coinvolgono ufficialmente il DIS con le sue strutture.
Tra il 14 e il 15 novembre si informa il presidente del consiglio dei ministri, mentre tutti sono occupati a valutare l’estensione dell’attacco, i rischi, le contromisure da adottare, le misure di contenimento.
Il monitoraggio della situazione è molto importante. Dall’analisi continua si cercherà di capire chi ha condotto l’attacco e soprattutto se si trova ancora dentro i sistemi, dormiente, in attesa di colpire ancora una volta.

Tra il 16 e il 19 novembre proseguono le attività, frenetiche. Il 19 novembre dalle 15.30 alle 17.00 circa si riunisce il CISR tecnico (Comitato Interministeriale per la Sicurezza della Repubblica). Dalla riunione emergono tre azioni urgenti da perseguire:
di carattere normativo, attraverso l’adozione di specifiche misure di protezione cibernetica;
contrattuale, attraverso l’inserimento di apposite misure nei contratti di procurement di beni e servizi in funzione dell’impatto sulla Sicurezza Nazionale;
operativo, con l’avvio del Centro di Valutazione e certificazione Nazionale.
Il briefing, istituzionale ma chiaro, è seguito da una sessione di domande e risposte alle quali il professor Baldoni non si sottrae, anche se non può dare dettagli ne confermare ipotesi o semplici voci raccolte sul web.
C’è chi parla di APT (Advanced Persistent Threat), c’è chi ammette di non essere un esperto e chiede di conoscere il nome della società attaccata, c’è chi chiede di sapere di che tipo di attacco si è trattato.
Il vice direttore generale è chiaro, si è trattato dell’attacco hacker più grosso verificatosi in Italia dal suo insediamento alla guida della nuova struttura del DIS. Un attacco esteso, forse non eccessivamente complesso, ma che ha interessato 30.000 domini, circa 500.000 caselle di posta elettronica, più di 90.000 caselle di PEC, il servizio che consente lo scambio della Posta Elettronica Certificata tra le Pubbliche Amministrazioni, sono stati esfiltrati (leggasi "rubati") dati personali e password (cifrate).
Centinaia di persone, tecnici e non, hanno lavorato in questi giorni per la risoluzione del problema.
Il professore è sicuro che l’attacco sia terminato, noi ce lo auguriamo.
Resta il fatto che Difesa Online da tempo prova a dire la sua, soprattutto sulla mancanza di investimenti istituzionali adeguati e l’occasione è buona per porre la domanda direttamente ai vertici: cosa si pensa di fare per cambiare le cose?
Senza adeguati investimenti non vi sarà mai interesse in Italia a sviluppare una capacità così complessa. I soldi non fanno tutto ma aiutano, muovono le industrie e spingono i singoli a migliorare, studiare ed investire in un futuro da esperto Cyber.
Occorre una industria forte, europea o nazionale, che si prenda a cuore i problemi del settore, ma prima di tutto occorrono persone che ci credano e vogliano una Italia diversa e alla pari degli altri paesi.


Alessandro RUGOLO

Articolo pubblicato anche su difesaonline

domenica 11 novembre 2018

IBM e NVIDIA Tesla forniscono il Super computer Sierra al Lawrence Livermore National Laboratory

Il mondo della Difesa americana è ricco di istituti di ricerca, tra questi, di primaria importanza, possiamo citare il Lawrence Livermore National Laboratory, Istituto di ricerca Federale situato a Livermore, in California.
Il compito principale di questo Istituto consiste nella ricerca e sviluppo nel campo delle scienze e della tecnologia applicate alla Sicurezza Nazionale. Il compito principale è quello di garantire la sicurezza e l'affidabilità degli armamenti nucleari  della nazione americana per mezzo delle scienze avanzate, dell'ingegneria e delle tecnologie. Si occupa inoltre di altri problemi legati alle capacità americane nel campo energetico, ambientale e della competitività economica.  
I laboratori impiegano 5.800 persone circa e possono contare su un budget annuale di 1,5 miliardi di dollari, ecco alcune cifre che fanno capire l'importanza dell'Istituto di ricerca.
In questi giorni è stata annunciata l'acquisizione di una nuova "arma" nell'arsenale dell'Istituto: il Super Computer Sierra, realizzato dalla collaborazione di IBM e Nvidia Tesla. Gli scienziati del programma Advanced Simulation and Computing (ASC) lo utilizzeranno principalmente per misurare le performance delle armi nucleari americane ma anche per le sfide globali che l'America è chiamata ad affrontare, tra queste vengono citate la non proliferazione degli armamenti e il "counter terrorism", in pratica si tratta di analisi e previsioni basate su controllo di grandi quantità di dati, con l'ausilio, probabilmente, dell'Intelligenza Artificiale.
Il nuovo Super computer Sierra si affianca a quelli già in servizio: Sequoia, Catalyst e Vulcan.
Alcune cifre per far capire in che cosa consiste il Super Computer Sierra:

Architettura dei processori: IBM e NVIDIA Volta;
Capacità di calcolo in parallelo;
Velocità di Clock: 3.1 GHz;
Numero di Nodi computazionali: 4.320;
Core per nodo: 44;
Numero di Core totale: 190.080;
Memoria per nodo: 256 GB per CPU e 64 GB per GPU;
Memoria totale: 1.36 Peta Byte.
Potenza: circa 11 Megawatts.

Il Super Computer Sierra risulta essere al terzo posto tra i super computer esistenti al mondo, almeno secondo la lista di top500, pubblicata a giugno 2018.
Nell'elenco, al primo posto si trova il super computer Summit, anch'esso IBM (con NVIDIA Tesla), impiegato dal Departement Of Energy USA presso il Laboratorio Nazionale di Oak Ridge; al secondo posto si trova il Sunway TaihuLight, in servizio dal 2016, sviluppato dal China's Research Center of Parallel Computer Enginering & Technology ed installato presso il National Supercomputing Center di Wuxi.

Dove si posiziona l'Italia in questo settore?
Fa piacere vedere nella lista il Super Computer dell'ENI, in tredicesima posizione nella classifica generale, ma in effetti al sesto posto, dopo Stati Uniti, Cina, Giappone, Svizzera e Corea del Sud, con il Super Computer HPC4 della Hewlett Packard (società americana). 

Interessante anche notare che, finalmente, ci si comincia a muovere a livello europeo per la creazione di una industria informatica europea, segno che si è finalmente compreso il ruolo strategico del settore. Infatti ad ottobre il Consiglio dei Ministri Europeo ha dato il proprio sostegno al piano di investimento della Commissione Europea che prevede lo stanziamento di un miliardo di euro per la costruzione di una infrastruttura di calcolo europea.  
Attendiamo dunque, nella speranza di vedere prossimamente il primo Super Computer totalmente europeo...

Alessandro Rugolo

Immagini:
- https://www.energy.gov/ea/lawrence-livermore-national-laboratory;
- https://hpc.llnl.gov/hardware/platforms/sierra

Per approfondire:
- https://computation.llnl.gov/computers/sierra
- https://hpc.llnl.gov/hardware/platforms/sierra
- https://www.llnl.gov/news/llnl%E2%80%99s-sierra-third-fastest-supercomputer
- https://www.top500.org/lists/2018/06/
- https://www.cineca.it/it/news/la-commissione-europea-investe-1-miliardo-di-%E2%82%AC-supercomputer-europei-livello-mondiale

domenica 4 novembre 2018

Cybersecurity, cybercrime, cyberwar: fare informazione nell’era delle post verità, dei troll e delle fake news

Questo il titolo del convegno che si terrà il 5 novembre a Bologna presso l'auditorium della Regione Emilia Romagna, organizzato dalla Fondazione Ordine Giornalisti Emilia-Romagna.


Ancora una occasione per discutere e far chiarezza su "vulnerabilità e minacce nell’era dell’informazione digitale e dell’intelligenza artificiale", grazie alle sperienze di operatori provenienti dal mondo istituzionale, accademico, dell’industria e del giornalismo.

Relatori e moderatore ci guidano attraverso il cyberspace. 

Geo Ceccaroli (dirigente Compartimento di Polizia Postale e delle Comunicazioni per l’Emilia-Romagna) parlerà del "fenomeno del Cybercrime e l’impegno quotidiano della Polizia Postale e delle Comunicazioni". 

Gian Piero Siroli (ricercatore Dipartimento di Fisica Unibo e CERN di Ginevra)terrà una relazione su "La Cybersecurity del sistema socio-economico e produttivo, dall’Internet of Things alle fabbriche intelligenti".

Marco Prandini (coordinatore Laboratorio Nazionale di Cybersecurity – nodo di Bologna e docente Master di Digital Tecnology Management/Cybersecurity – Bologna Business School) parlerà della "cybersecurity e Intelligenza Artificiale: il tema della sicurezza in un mondo che è già realtà". 

Andrea Melegari (Marketing & Innovation Officer di CY4Gate, membro CdA Expert System, CY4Gate e Expert System USA) ci introdurrà al difficile compito di "Fare informazione nell’epoca delle post verità, delle fake news, degli hacker e dei troll".

Infine Gianandrea Gaiani (giornalista, scrittore, opinionista, direttore responsabile di Analisi Difesa) ci aiuterà a definire gli aspetti salienti riguardanti i temi della “dimensione cyber” del mondo attuale (security, war, crime) e le minacce alla libertà di in-formazione e di opinione (fake news e post verità).

Difesaonline, sempre attenta a questi eventi, parteciperà in veste di moderatore.

Alessandro RUGOLO

Per iscrizioni e approfondimenti:

http://odg.bo.it/fondazione/calendario/cybersecurity-cybercrime-cyberwar-fare-informazione-nellera-delle-post-verita-dei-troll-e-delle-fake-news/

sabato 3 novembre 2018

Guerra delle Informazioni: il ruolo di Microsoft tra USA e India

E' apparsa qualche giorno fa, su DNAIndia.com, giornale pubblicato a Mumbai
in lingua inglese, la notizia che la Microsoft condivide abitualmente i dati finanziari dei suoi clienti con le agenzie di Intelligence statunitensi.

L'autore del pezzo fa riferimento ad un report della Reserve Bank of India, da cui sembra che tale criticità fosse ben evidenziata e nota alla Banca in questione sin dal momento in cui ha deciso di installare il servizio di gestione di posta elettronica Microsoft Office 365 cloud. Infatti nel documento di analisi dei rischi della Banca, dice l'articolo, questa possibile condivisione di dati era evidenziata. Nell'articolo si pone enfasi sul fatto che gli utenti potevano non essere informati, ma la banca sapeva tutto.
Secondo i dati forniti vi sono più di cento milioni di persone che utilizzano il servizio Microsoft 365 cloud per fini commerciali, potenzialmente dunque, i loro dati finanziari potrebbero essere stati condivisi con agenzie di intelligence statunitensi.

La Microsoft ha replicato affermando che in nessun caso fornisce dati ad agenzie governative di qualunque stato del mondo a meno di richieste effettuate secondo procedure legali previste dalle norme.

Lasciamo ora il caso particolare per alcune considerazioni generali.

In primo luogo, i servizi in cloud sono sicuri? E se si, da quale punto di vista? Il punto di vista utente potrebbe essere molto diverso dal punto di vista della banca o di altri operatori...

La Microsoft ha da tempo intrapreso una strada che porta verso il cloud. Ciò comporta la "condivisione", passatemi il termine, di dati su spazi gestiti e manutenuti da organizzazioni esterne alle aziende e con le quali vi sono dei contratti specifici che garantiscono un determinato livello di servizio e di "sicurezza". Ma quanto questi contratti siano rispettati è una cosa impossibile da verificare, si tratta dunque solo di fiducia? In teoria, in caso di mancato rispetto del contratto è possibile fare causa... ma che senso ha e quali sono le probabilità di vincere una causa internazionale contro un multinazionale? 
La domanda non ha bisogno di analisi per trovare la risposta.

Di contro, c'è da dire che, dal punto di vista tecnico, la complessità dei sistemi informativi attuali richiede per la loro gestione delle strutture (organizzazioni) complesse e dotate di personale altamente specializzato per cui i Data Center delle grandi organizzazioni sono sicuramente più sicuri e meglio gestiti delle piccole sale server.

Cosa è meglio allora?
Cloud o dati custoditi in casa?

Io non ho la risposta. Posso solo dire che in un caso e nell'altro vi sono vantaggi e rischi che vanno analizzati (e non tutti sono in grado di farlo) e gestiti (ed ancora una volta, non tutti sono in grado di farlo).

Per concludere, alcune considerazioni personali, su un altro piano:
Da come la cosa è stata presentata sul giornale indiano, sembra che la guerra delle informazioni abbia raggiunto anche l'India. 
Da dà pensare il momento in cui ciò accade. 
Ricordiamo infatti che fino a qualche mese fa India e Stati Uniti discutevano amichevolmente su come stringere i loro rapporti in ambito Difesa, come condividere dati e informazioni militari e come rinforzare la cooperazione militare in generale. Diversi meeting hanno visto l'interessamento del presidente Trump e del Segretario di Stato Mike Pompeo e del Segretario alla DIfesa Mattis da una parte e il Ministro degli Esteri Sushma Swaraj e il ministro della Difesa Nirmala Sitharaman dall'altra. In settembre è stato firmato un trattato internazionale che faceva prevedere una più stratta collaborazione tra i due paesi. 
Poi però l'India firma un contratto per l'acquisto del sistema antimissile russo S-400 e la cosa non va a genio agli americani che minacciano sanzioni.
Sullo sfondo, ricordiamoci che l'India ha una formidabile industri informatica, basata sull'Università e sulla ricerca, cosa che la pone, potenzialmente, su un piano egualitario con gli USA...
Allora viene da pensare, questa della Microsoft potrebbe essere solo una scaramuccia tra amici-nemici o...

Alessandro RUGOLO

Immagine: www.dnaindia.com

- https://www.dnaindia.com/business/report-dna-money-exclusive-microsoft-shared-indian-bank-customers-data-with-us-intel-2680752;
- http://trak.in/tags/business/2018/11/02/microsoft-shared-financial-data-of-indians-with-us-intelligence-indian-banks-knew-this/
- https://mspoweruser.com/report-microsoft-shares-banking-data-of-indian-customers-with-us-intelligence-agencies/;
- https://www.theinquirer.net/inquirer/news/3065535/microsoft-shared-indian-bank-data-with-us-intelligence-without-warning-customers
- https://www.reuters.com/article/us-india-usa/us-india-seal-military-communications-pact-plan-more-exercises-idUSKCN1LM0PD;
- https://thediplomat.com/2018/08/re-shaping-india-us-defense-cooperation-in-the-indo-pacific/;
- https://www.pbs.org/newshour/world/india-signs-deal-for-russian-air-defense-systems-despite-u-s-sanctions-threat;
- https://edition.cnn.com/2018/10/05/asia/india-s400-deal-intl/index.html;
- https://edition.cnn.com/2018/10/05/asia/india-s400-deal-intl/index.html



giovedì 1 novembre 2018

Francia, Europa, Mondo... come tra le due Guerre!

I francesi questa mattina si sono svegliati con le parole tranquillizzanti del loro
presidente: "Il momento che stiamo vivendo assomiglia a quello tra le due Guerre", riferendosi alle guerre mondiali del secolo scorso.
Le dichiarazioni del presidente francese, comparse in una intervista pubblicata su Ouest France, il quotidiano più letto in Francia (considerato di posizione centrista), il più letto al mondo nella comunità francofona, evocano spettri che fanno ancora parte dell'inconscio collettivo, ma a quale scopo?
La frase in effetti riassume bene la situazione politica in Europa, soprattutto se si legge il resto della sua dichiarazione: "l'Europa affronta un rischio: quello di essere smembrata dai nazionalismi e di finire sotto l'influenza di potenze esterne..." e quindi insiste sulla similitudine tra l'Europa dei nostri giorni e quella degli anni '30, in entrambi i casi l'Europa era divisa dalla paura, dalla ripresa dei nazionalismi, dalle conseguenze della crisi economica. Per il presidente Macron l'Europa sta rivivendo quel periodo...
Le dichiarazioni arrivano in un momento storico molto particolare, la celebrazione del centenario della fine della prima guerra mondiale, celebrazioni che si concluderanno con la cerimonia dell'11 novembre presso l'Arc de Triomphe, alla presenza di un centinaio di dirigenti di tutto il mondo.
Ma non solo, sullo sfondo, poco più distanti, le elezioni Europee del maggio 2019 e la campagna elettorale già cominciata.
Nell'intervista, il presidente Macron va oltre affermando che l'Europa rischia di perdere la propria sovranità. Ovvero la sicurezza europea dipendente dalle scelte americane, avere la Cina sempre più presente nel campo delle infrastrutture essenziali e la Russia sempre più influente sui mercati finanziari che oltrepassano i confini nazionali.
La soluzione, per il presidente francese, è una Europa forte e più indipendente ma unita, in questo senso si capiscono anche altre iniziative come la European Intervention Initiative, solo a titolo d'esempio.
Quanto poi le sue parole siano state influenzate da alcuni avvenimenti recenti in campo industriale, come la scelta del Belgio di acquisire gli F35 dal colosso americano Lockheed Martin, in vece che i Rafale o i Typhoon o dalle perdite della Total a seguito della politica estera USA che questa estate hanno spinto la prima società petrolifera francese ad abbandonare i progetti di investimenti in Iran, questo è tutto da accertare.

Alessandro Rugolo



Immagine: sudouest.fr


Per approfondire:
- https://www.ouest-france.fr/politique/emmanuel-macron/info-ouest-france-emmanuel-macron-le-moment-que-nous-vivons-ressemble-l-entre-deux-guerres-6045961;
- https://www.ouest-france.fr/politique/emmanuel-macron/info-ouest-france-emmanuel-macron-le-moment-que-nous-vivons-ressemble-l-entre-deux-guerres-6045961;
- https://www.huffingtonpost.fr/2018/10/31/macron-frappe-par-le-climat-dentre-deux-guerres-qui-sobserve-en-europe_a_23577348/;
- https://www.sudouest.fr/2018/11/01/emmanuel-macron-le-moment-que-nous-vivons-ressemble-a-l-entre-deux-guerres-5530277-7527.php;
- https://www.lci.fr/politique/dans-ouest-france-emmanuel-macron-met-en-garde-contre-la-lepre-nationaliste-et-compare-l-europe-actuelle-a-celle-de-l-entre-deux-guerres-2103212.html;
- https://actu.orange.fr/politique/ciollomb/le-moment-que-nous-vivons-ressemble-a-l-entre-deux-guerres-alerte-emmanuel-macron-avant-les-commemorations-du-11-novembre-francetv-CNT00000182Qnb.html;
- https://www.theguardian.com/world/2018/jun/25/nine-eu-states-to-sign-off-on-joint-military-intervention-force;
- https://www.lesechos.fr/industrie-services/air-defense/0600034653032-la-belgique-choisit-le-f-35-americain-pour-sa-flotte-davions-de-chasse-2216635.php;
- http://www.businessinsider.fr/us/total-pulls-out-of-48-billion-iranian-oil-project-under-us-pressure-2018-8;


domenica 28 ottobre 2018

Il futuro della Siria e la Grande Assente: l’Europa!


Come annunciato i primi di settembre, il meeting internazionale sul futuro della Siria si è tenuto ad Istambul il 27 ottobre: Russia, Turchia, Francia e Germania seduti intorno al tavolo delle decisioni.

Il primo obiettivo è quello di garantire il mantenimento del fragile cessate il fuoco e favorire la creazione della buffer zone intorno a Idlib, ma gli interessi in gioco sono ben altri.

Il meeting segue di solo qualche mese un altro meeting, dove i protagonisti erano solo in parte differenti: Russia, Turchia e Iran.

Gli interessi in gioco sono enormi. Influenza, armi, petrolio, gas, porti sul Mediterraneo, stabilità della zona e lotte intestine...

Da parte della Russia è importante la possibilità di accrescere la propria influenza sul Mediterraneo orientale attraverso l’acquisizione di uno sbocco sul mare in territorio Siriano ma anche gli interessi economici legati alla promessa di costruire la prima centrale nucleare in Turchia ed estendere così il mercato della tecnologia nucleare ad un paese di 80 milioni di abitanti.

Da parte della Turchia, la necessità di stabilizzare la zona di confine ma anche la consapevolezza di avere un ruolo di rilievo in quanto ponte tra Russia e potenze occidentali, non dimentichiamo che la Turchia, nonostante le polemiche, fa sempre parte della NATO. Sullo sfondo anche le acquisizioni di armamenti hanno la loro importanza, la Turchia è in attesa di ricevere il sistema antimissile S400, proprio dalla Russia, sistema che dovrebbe essere consegnato a metà 2019 con grande disappunto degli USA.

Ma cosa dire su Francia e Germania?

La presenza dei due paesi è sicuramente più difficile da spiegare.

Certo, l’interesse per la stabilizzazione della regione è forte per entrambi, sia dal punto di vista economico che militare, in particolare per l’accesso alle risorse petrolifere e di gas presenti nella zona e che hanno già spinto in precedenza ad azioni avventate che hanno destabilizzato la Libia e che continuano a tenere nel caos tutto l’Oriente. La Germania ha i suoi interessi nell’appoggiare la Russia, come la Francia ha i suoi interessi nell’appoggiare gli USA, interessi economici e di scelte di campo, tutto comprensibile... ma che dire della Grande Assente, l’Europa?

Probabilmente è proprio nella Grande Assente che occorre ricercare le motivazioni nascoste della presenza di Francia e Germania, considerate non tanto singolarmente, ma come motore dell’Europa. Quale che sia il motivo, l’Europa fa una ben magra figura di fronte ai grandi del mondo, ancora una volta assente.

Dove sono finite le aspirazioni a diventare qualcosa di più di un semplice organismo regolatore, visto da tanti paesi principalmente come freno allo sviluppo ed esclusivamente come organo produttore di normative più o meno inutili ma assolutamente inadeguato quando si tratta di prendere decisioni importanti?

Fino a quando l’Europa sarà assente dai tavoli che contano?

Quando si capirà che l’Unione Europea non è una istituzione che vive di vita propria ma che deve essere di qualche utilità ai paesi membri, se si vogliono evitare le Brexit, Franxit, Italexit e così via?

E poi, la mancanza di una Europa forte significa la presenza, talvolta ingombrante, degli amici Occidentali ma anche Orientali…



Restiamo in attesa e per ora accontentiamoci di vedere due rappresentanti al tavolo delle decisioni...



Alessandro RUGOLO

Foto: Reuters/Murad Sezer:



Per approfondire:






sabato 27 ottobre 2018

Cosa fare se anche Linux è insicuro?

Image result for linux bug x.org
Tra le poche certezze che ho sempre avuto in merito ai sistemi operativi posso citare sicuramente "Linux è meglio di Microsoft"... 
Ma è veramente così?

E' di questi giorni la scoperta di un bug che consente di fare Priviledge escalation sui principali server Linux.
Il bug è identificato con il codice CVE-2018-14665 e sembra sia stato identificato da Narendra Shinde.
Il problema non si trova nel codice del kernel di Linux ma, almeno così sembra, nel codice delle interfacce grafiche più usate sulle distribuzioni Linux, X.org server, a partire dalla versione 1.19.0.
Ciò significa che da circa due anni a questa parte tutti i sistemi che usano X.org server potenzialmente sono soggetti ad attacchi basati su priviledge escalation.
Per essere chiari, i sistemi affetti da questa vulnerabilità sono OpenBSD, Debian Ubuntu, Fedora, Red Hat Enterprise Linux e CentOS!

Non penso sia opportuno ne necessario proseguire nella analisi tecnica del problema, nei link di approfondimento a fine articolo è possibile trovare le informazioni occorrenti e i suggerimenti per la risoluzione del problema. 
Ciò che mi interessa è invece approfondire alcuni aspetti spesso sottovalutati e per farlo cercherò di porre alcune semplici domande alle quali tenterò di dare risposta.
In primo luogo, cosa è successo a Unix, poi Linux negli anni passati?
E poi, chi decide se e come applicare le patch di un sistema in uso o il passaggio alla versione successiva?

Senza dubbio chi, come me, ha una certa età, si è scontrato con la necessità di utilizzare la linea di comando di Unix o di Linux o entrambe, cosa che oggi è molto spesso sostituita dall'impiego di una versione grafica. 
L'introdizione della grafica è stata un successo per i sistemi, avvicinando molti utenti potenziali, rendendo i sistemi Unix/Linux più simili ai sistemi Windows, ma allo stesso tempo è stato necessario incrementare la complessità. In poche parole, mentre prima si avevano a disposizione sistemi potenti e relativamente leggeri, l'introduzione della grafica ha appesantito il codice.  

I SO Linux sono generalmente appannaggio dei tecnici, sono impiegati all'interno dei data center per la gestione delle reti e dei sistemi informatici che necessitano di alte prestazioni, questa è la loro caratteristica, ma spesso sono poco conosciuti dai manager e dai decisori che si affidano ai tecnici. Comportamento corretto o meno, difficile da dire. Chi meglio di un bravo tecnico può dire cosa occorre ad un sistema perchè funzioni meglio? Probabilmente nessuno. Ma chi ha la responsabilità dell'azienda?
Chi risponde giuridicamente degli errori?
Chi paga in caso di mancatto rispetto della normativa sulla privacy o in caso di sottrazione di segreti industriali, militari o di Stato?

Ora, credo sia chiaro che i tecnici devono avere la loro autonomia ma penso sia altrettanto chiaro che  in una organizzazione seria debba essere impiegato un sistema di analisi del rischio che prenda in considerazione anche il rischio tecnologico e l'analisi delle patch (funzionali e di sicurezza) deve essere tenuta in considerazione, come l'analisi del rischio nel passaggio da una versione alla successiva.

Il processo che ha spinto verso la grafica è molto simile a quello che ha spinto e spinge tuttora in direzione della virtualizzazione... mi auguro che chi ha scelto la virtualizzazione l'abbia fatto consapevolmente!

Ciò che mi è sempre più chiaro è il fatto che occorre fare le cose semplici, affinchè sia possibile esercitare un controllo efficace, e questa è una regola che credo possa essere sempre valida, a maggior ragione nel campo informatico.
Sicuramente in ambiente critico occorre fare in modo che il personale tecnico sia in grado di lavorare impiegando strumenti sicuri e seguendo procedure chiare.
La capacità di impiegare sistemi operativi Linux like da linea di comando è dunque, a mio parere, una capacità da preservare, senza farsi attirare troppo dal sbandierata facilità di sistemi grafici che come contropartita aumentano la complessità del codice e la superficie di attacco.  

Alessandro RUGOLO

Per approfondire:
- https://www.nushinde.com/
- https://www.bleepingcomputer.com/news/security/trivial-bug-in-xorg-gives-root-permission-on-linux-and-bsd-systems;
- https://bugs.debian.org/cgi-bin/pkgreport.cgi?pkg=xserver-xorg-video-intel;dist=unstable;
https://www.theregister.co.uk/2018/10/25/x_org_server_vulnerability/