GNU/Linux e Bsd insieme in un articolo scientifico che li accusa di gravi vulnerabilità
All’Università dell’Arizona devono avere qualche rotella fuori posto visto l’articolo scientifico che tra qualche giorno dovrebbe essere pubblicato da alcuni ricercatori dello stesso ateneo.
Nel pezzo vengono descritte alcune gravi vulnerabilità riguardanti Linux e Bsd ed i loro rispettivi gestori dei pacchetti.
Più in particolare sono stati presi in esame i gestori APT, APT-RPM, Pacman, Portage, Ports, Slacktool, Stork, Urpmi, Yast, YUM e nessuno di questi è stato in grado di superare i criteri di sicurezza richiesti.
L’accusa mossa verso questi stupendi esempi di codice aperto riguarda la possibilità di reperire software su di server appositamente creati per diffondere vulnerabilità all’interno dei sistemi operativi sopra citati.
Gli “attacchi” portati potrebbero compromettere la sicurezza delle macchine in questione attraverso l’apertura di backdoor, la lettura e la cancellazione di file di log o il reperimento di password.
I metodi usati per ottenere tali privilegi sono l’installazione forzata di pacchetti obsoleti recanti gravi vulnerabilità o l’impedimento all’aggiornamento di pacchetti nuovi e corretti.
Creare quindi un repo diverso da quello ufficiale per non permettere aggiornamenti importanti per la sicurezza sarebbe alla portata di tutti ma questa è ormai storia vecchia e non penso che esista qualche utente che liberamente provveda a dare accesso libero al suo gestore di pacchetti a server di dubbia provenienza.
Da rilevare però una critica giusta al sistema di gestione delle firme digitali il quale cade facilmente preda di errori visto che le firme dei pacchetti non vengono cambiate dopo un aggiornamento del pacchetto.
Ora il consiglio è sempre lo stesso e cioè fare attenzione a cosa si da in pasto alla propria installazione GNU/Linux o Bsd.
Possiamo però concludere che in genere gli utenti che usano questi due sistemi operativi non sono certamente degli sprovveduti e quindi per natura molto attenti a cosa fanno le loro macchine anche se l’articolo stesso pone dei dubbi circa questa affermazione in quanto i ricercatori hanno costruito dei repo maligni facendo richiesta alle varie distro di includerli tra i repo ufficiali e, che ci crediate o no, questi sono stati inclusi e contattati da migliaia di macchine per i loro aggiornamenti.
In attesa di leggere l’articolo completo per analizzare meglio la situazione e le tecniche utilizzate consiglio prudenza per la scelta dei vostri archivi o magari potete adottare un archivio mobile ultrasicuro come quello proposto in questa pagina.
Ciao a tutti.
P.S.: ovviamente scherzando potremmo dire che Torvalds aveva ragione dando dei ***** hai ragazzi di Bsd
Bah. Gente che perde tempo buttando fango su software eccellente. Vorrei vedere se loro hanno mai programmato un gestore di pacchetti. Capirai. Se su Windows installo di mia spontanea volontà un Virus, non è la stessa cosa? Ma dai…