Home > GNU/Linux, Riflessioni > Delusione Red Hat, ovvero quando chiarezza fa rima con sicurezza

Delusione Red Hat, ovvero quando chiarezza fa rima con sicurezza

Premessa: il software libero/open source deve molto a Red Hat, così come deve molto a Novell, anche se quest’ultima ha compiuto scelte discutibili.

Red Hat è un’azienda che spende molti soldi nello sviluppo, nell’acquisizione di software che poi rende libero, nella lotta contro i brevetti. Quindi grazie e ancora grazie cappello rosso.

Ma il problema nel quale è incorsa la settimana scorsa la maggiore azienda nel campo open source lascia un bel po’ di amaro in bocca.

Non tanto per il fatto in sé: può capitare anche ai migliori di fare un errore o di configurare male qualcosa. Ma per la scarsa chiarezza. I comunicati di RH sono laconici. Descrivono cosa è successo ma non perché. Rassicurano, dicono che l’intrusione non ha avuto il successo sperato, che stanno controllando tutto e che tutto è ok. C’è da credergli, per carità.

Ma non ci dicono come hanno fatto gli attaccanti ad introdursi nei loro server e ad accedere a certi pacchetti.

Non deve trattarsi di una grave falla di sicurezza, poiché, se così fosse, l’aggiornamento di OpenSSH sarebbe stato ben diverso da quello proposto.

Forse una cattiva configurazione? Forse qualcuno ha staccato la spina a qualche sistema anti-intrusione?

Insomma, cosa è successo, precisamente?

Saperlo sarebbe utile a tanti amministratori di sistema, utenti, aziende. Magari per non ripetere l’errore. Magari per trovare qualche soluzione preventiva efficace.

Chiarezza fa rima con sicurezza. Una delle maggiori lezioni del software libero è proprio questa: più occhi vedono, più è facile accorgersi degli errori. Più persone sanno, più è facile non commetterne altri. L’ignoranza e la chiusura, invece, producono false sicurezze.

Diverso è stato, un po’ di tempo fa, l’atteggiamento di Debian quando – in riferimento a OpenSSL – ha ammesso candidamente di aver compiuto un errore che ha costretto mezzo mondo ad aggiornare software e firme. Per chi non mastica l’inglese: 2 anni fa uno sviluppatore Debian aveva modificato il software OpenSSL (che gestisce i certificati dei siti crittografati, ad esempio quelli per il commercio elettronico) in barbaro modo, rendendo le chiavi crittografiche prevedibili e quindi, inutili. Anche se nessuno se ne era accorto finora e nessuno ha rubato numeri di carte di credito in questo modo, importanti aziende come Verisign hanno avuto grossi grattacapi. Ma un altro sviluppatore Debian si è accorto del fattaccio, ha dato l’allarme e ha corretto il tutto.

Debian insomma, forse perché è una distro community-driven, non ha paura di fare “brutta figura”. I suoi rapporti con gli utenti sono regolati da un contratto sociale, una promessa degli sviluppatori e del team di Debian agli utenti, che dice, tra l’altro:

Non nasconderemo i problemi

Manterremo sempre il nostro intero bug report database aperto alla pubblica lettura. I rapporti che le persone invieranno online saranno prontamente resi visibili a tutti.

Insomma, un contratto sociale sembra qualcosa di più affidabile di un contratto con una società. E sembrano esserne convinte anche molte aziende.

Vai a vedere che anche questa è l’ennesima dimostrazione che nel software libero le cose funzionano al contrario?

About these ads
  1. Barra
    30 agosto 2008 alle 19:10 | #1

    IMHO stai leggermente esagerando. RH ha prima di tutto il dovere di tutelare chi spende, i suoi clienti. Vedrai che dopo un’attenta analisi e dopo aver escluso che si siano ancora rischi per i clienti rilascerà tutte le informazioni necessarie.

    Da una parte ci si lamenta del troppo tempo impiegato nel comunicare queste questioni, dall’altro in certi casi la fretta non ha lasciato la possibilità di correre ai ripari prima che tutto fosse reso pubblico.

  2. 30 agosto 2008 alle 19:38 | #2

    Fin da quando ho conosciuto l’open source mi sono sempre domandato se fosse un bene che tutti i bug siano subito pubblicati.

    Mi sono sempre chiesto cosa succede se un bug una volta individuato e subito pubblicato viene sfruttato dai “cattivi” prima che i “buoni” lo risolvano.

    Penso che problemi gravi, sopratutto, se risolvibili in breve tempo e con semplici modifiche sia meglio sistemarli in privato, visto che comunque non c’è bisogno del lavoro di tutta la comunità per risolverli, evitando quindi che qualcuno faccia danni utilizzando un bug appena segnalato.

    Ho questo strano incubo di un lamer che gira per il bug tracker di debian in cerca di qualche bug fresco da sfruttare.

    Resta comunque giusto ammettere i propri errori e non nasconderli, poi il fatto di chi stia realmente difendendo RH (Se stessa o i propri clienti) è un altro discorso…

  3. 30 agosto 2008 alle 20:49 | #3

    @urturino, gli 0 days sono sempre esistiti, indipendentemente dal bug tracker che usi.

    Personalmente preferisco sapere che ho le natiche al vento (ed eventualmente, se posso, appoggiarmi a un muro) rispetto al non saperlo e scoprirlo solo quando uno è entrato…

    Però rispetto, ovviamente, anche pensieri (gusti ^_^) diversi in tal senso.

  4. 30 agosto 2008 alle 21:57 | #4

    @Barra e urturino: il ragionamento che fate è fondato, ma non tenete conto che Red Hat ha già rilasciato le nuove chiavi e ha fatto un aggiornamento di OpenSSH.
    Adesso potrebbe raccontare cosa è successo, no?
    Giustamente come dice shaitan sarebbe meglio sapere se gli utenti di RH possono, anche solo potenzialmente, essere in pericolo oppure no.
    Al 99% non lo sono e non lo sono mai stati, ma sarebbe meglio togliere ogni velo di dubbio. Tenete conto che RHEL è usato da banche, aeroporti, ministeri… non si può scherzare neppure un secondo su queste cose.

  5. sphinx
    30 agosto 2008 alle 22:33 | #5

    Non commento la notizia perchè si commenta da sola,voglio solo fare i miei complimenti a Guiodic per la coerenza.Quasta notizia è qualche giorno che circola ma,dei soliti Linux-man che sono solo capaci di fare i fighi quando le cose vanno bene,nessuno ha osato commentare più del necessario quanto accaduto. Solo qualche commento qua e la che poi sfociava sempre nel solito “Linux è più figo”.
    Complimenti perchè non hai negato l’evidenza:è un fatto grave e non hanno ancora spiegato bene cosa cavolo è successo,inutile nascondersi facendo finta di niente (solo chuck norris non sbaglia mai ;D )

    Bravo,open è anche quando si sbaglia

  6. jp
    31 agosto 2008 alle 1:33 | #6

    Commenti laconici?

    Credo che purtroppo sia la normalità…

    RedHat è attualmente l’azienda con la distro commercialmente più rilevante nel mondo Linux ossia ha la fetta più grande in questo mercato, fetta che deve difendere a ogni costo (se no chi li sente gli azionisti?).

    Naturale che quindi RH ragioni come tutte le altre aziende strettamente commerciali nel senso che tenda (e tenderà sempre) a nascondere e/o minimizzare i problemi (inclusi quelli di sicurezza)…

    Ciao. ^^

  7. gilean
    31 agosto 2008 alle 10:47 | #7

    @Guiodic

    Potrebbe dire quel che le e’ successo dopo gli aggiornamenti….sempre che questi aggiornamenti risolvano il problema del tutto…

  8. Barra
    31 agosto 2008 alle 16:36 | #8

    @guiodic

    E magari invece potrebbero sospettare che un attacco fatto con così tanta abilità possa aver creato altri problemi, o ancora peggio potrebbero esserci altri problemi generati dall’attacco e per tutelare i proprio partner non rilasciano informazioni

  9. 31 agosto 2008 alle 18:42 | #9

    @barra: così facndo i loro clienti sarebbero preda facile per gli stessi attaccanti.

  10. 31 agosto 2008 alle 19:06 | #10

    io ritengo il comportamente assunto dai responsabili Red Hat corretto… mi spiego con un paragone: tempo fa successe che TopHost ebbe dei problemi di sicurezza relativi forse proprio all’ssh, ora non ricordo bene… annunciò che c’erano problemi e che erano in movimento per risolverli, solo qualche giorno dopo decisero di rendere pubblici anche i dettagli, perchè se lo avesserò fatto prima avrebbero chiamato a loro i lamer…

    Idem per Red Hat, che prima di tutto deve tutelare le aziende che usano tale sistema, non deve rilevare ogni dettaglio dei problemi, soprattutto perchè noi non siamo certi che sia tutto completamente risolto. probabilmente piu avanti verrà tutto a galla, ma per ora anche io preferirei il silenzio… Che poi magari i diretti interessati sono stati prontamente informarti, entro certi limiti ovviamente :)

  11. Barra
    31 agosto 2008 alle 21:47 | #11

    ? non capisco cosa intendi!
    Possono esserci 1000 motivi x giustificare RH. Sono certo che a tempo debito RH comunicherà tutto. Magari è solo un eccesso di zelo però potrebbero avere qualche dubbio sulla attuale sicurezza della loro rete. Figurarsi se dichiarano una cosa del genere. Otterrebbero la fuga dei clienti e l’accanimento da parte di hacker vogliosi di mettersi in mostra!

  12. 31 agosto 2008 alle 22:06 | #12

    @barra: ho capito quello che intendi, ma il tempo è passato, la stessa RH ha dichiarato di aver finito i controlli e che è tutto ok, quindi il momento è arrivato, direi.
    Tutto qui, non è che voglio accanirmi contro RH, anzi, però in rete ormai escono articoli contro Linux che potrebbero essere facilmente stoppati se RH dicesse: “ragazzi, è successo che un admin demente ha messo “redhat” come password di root. Scusate, non accadrà più, il tipo lo abbiamo già licenziato”
    (ovviamente è un esempio banale).

  13. 1 settembre 2008 alle 10:47 | #13

    Non commenterò sull’accaduto, ma sulla differenza di commenti sulla notizia tra questo blog e ossblog.
    Lì subito pronti ad attaccare Linux, qui invece si discute sul fatto che RH non abbia subito messo in evidenza l’errore che c’è stato.
    Insomma: lì subito pronti ad attaccare linux, qui invece si parla di “filosofia GNU”.
    E non è roba da poco eh.

  14. ienabellamy
    27 ottobre 2008 alle 13:44 | #14

    D’accordissimo con l’autore del post.
    Tenete bene presente una cosa però: “bug” non è sinonimo di “exploit”.
    Qualcuno ha fatto l’esempio del lamer che si aggira su bugtrack alla ricerca di qualche bug da sfruttare. Beh, considerando che la stragrande maggioranza dei sysadmin seri ha uno script che spara apt-get update && apt-get upgrade ogni 2 ore, non è facile per il lamer in questione scrivere un exploit così velocemente.

    Insomma, se si rispettano alcune regole di base e si tiene il sistema aggiornato, è molto più facile venire bucati da uno 0day che da un bug noto su un sistema non aggiornato.

    i 0days sono quelli che fanno paura.

  1. No trackbacks yet.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Iscriviti

Ricevi al tuo indirizzo email tutti i nuovi post del sito.

Unisciti agli altri 724 follower

%d blogger cliccano Mi Piace per questo: