Il 20/12/19 21:04, Davide Prina ha scritto:
On 20/12/19 10:53, Portobello wrote:
"Dagli autori di WannaCry un malware che infetta anche Linux
un malware non è altro che un programma che tenta di fare cose che
l'utente/proprietario della macchina non vorrebbe fossero fatte.
Detto questo è sufficiente che l'utente esegua un eseguibile che può
installare o mandare in esecuzione un malware sulla sua macchina. Dove
per eseguibile si intende tutto ciò che esegue istruzioni, compreso i
javascript (quindi è sufficiente "navigare" il web).
Per proteggersi bisognerebbe compiere azioni per diminuire le
possibilità che il malware possa eseguire quanto è stato programmato a
fare.
Un sistema GNU/Linux è progettato tenendo in conto la sicurezza, poi
naturalmente è chi lo usa che può compromettere quanto previsto in fase
di progettazione, compiendo azioni non corrette.
Fino a poco tempo fa ti avrei consigliato di aggiornare costantemente la
tua macchina Debian, con la frequenza più alta possibile (es:
giornalmente), di evitare di scaricare pacchetti/sorgenti/eseguibili da
siti diversi dal repository ufficiale (o comunque da siti di cui non sei
sicuro), di usare il sistema nel modo corretto (es: non usare root per
eseguire l'ambiente grafico) e cose simili.
Purtroppo ora questo non è più sufficiente a causa dei bug hardware che
stanno uscendo negli ultimi tempi. La maggior parte degli ultimi bug
trovati non possono essere corretti né via software sul sitema operativo
nè via software nell'hardware (con gli aggiornamenti di firmware).
Quello che viene dato sono delle mitigazioni che rendono meno probabile
e/o più complesso riuscire a sfruttare il bug.
Come passato in lista qualche settimana fa, il manutentore del ramo
stable di Linux ha fatto delle dichiarazioni molto pesanti in merito,
indicando che purtroppo bisogna scegliere tra sicurezza (e lentezza) o
prestazioni (e insicurezza) e che verranno disabilitate in Linux delle
funzionalità delle CPU che permettono di avere un sistema performante.
Linus stesso ha detto che è veramente inutile cercare di correre dietro
a tutti queste mitigazioni, dato che è come cercare di correre dietro
qualcosa che è incolmabile poiché appena pensi di aver reso meno
insicuro qualcosa spunta una nuova problematica...
Questi bug sono causati principlamente dal fatto che i produttori
hardware hanno per anni pensato solo a buttar fuori hardware sempre con
maggiori prestazioni (soprattutto rispetto alla concorrenza), in molti
casi, senza badare alla sicurezza.
Dal punto di vista dei produttori hardware ho letto poco tempo fa che
intel iniziava ad ipotizzare una possibile soluzione per risolvere il
problema della vulnerabilità Side-Channel, su cui si basano molti dei
bug trovati.
Questo vuol dire che se compri un PC nuovo, stai comprando un PC con bug
hardware di sicurezza, indipendentemente dal sistema operativo che poi
userai.
Quindi ora non è più sufficiente avere un sistema operativo "affidabile"
per avere sotto controllo i problemi di sicurezza causati da malware, ma
occorre anche un hardware che abbia pochi problemi gravi di sicurezza.
Nota: i problemi dei bug hardware di norma hanno incidenza su tutti i
sistemi operativi, tranne alcuni casi (ora non ricordo, ma avevo letto
che un problema aveva incidenza solo su windows per come era stata
implementata una sua parte core, mentre GNU/Linux non era affetto).
Per avere un'idea dei principali bug di CPU scoperti e se il tuo sistema
è vulnerabile puoi installare il pacchetto:
# apt install spectre-meltdown-checker
Ciao Lista,
Perbacco, pensavo che fosse già installato e invece no. Ma forse lo
avevo messo sulla oldstable.
Comunque ora lo ho installato anche sulla stable di Buster.
ed eseguirlo
# spectre-meltdown-checker
Qui mi da dei risultati preoccupanti nella prima parte.
Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: NO
* CPU indicates IBRS capability: NO
* CPU indicates preferring IBRS always-on: NO
* CPU indicates preferring IBRS over retpoline: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: NO
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: NO
* CPU indicates STIBP capability: NO
* CPU indicates preferring STIBP always-on: NO
* Speculative Store Bypass Disable (SSBD)
* CPU indicates SSBD capability: NO
* L1 data cache invalidation
* FLUSH_CMD MSR is available: NO
* CPU indicates L1D flush capability: NO
* CPU supports Software Guard Extensions (SGX): NO
* CPU microcode is known to cause stability problems: NO (model
0x5f family 0xf stepping 0x2 ucode 0x62 cpuid 0x50ff2)
* CPU microcode is the latest known available version: UNKNOWN
(latest microcode version for your CPU model is unknown)
* CPU vulnerability to the speculative execution attack variants
* Vulnerable to CVE-2017-5753 (Spectre Variant 1, bounds check
bypass): YES
* Vulnerable to CVE-2017-5715 (Spectre Variant 2, branch target
injection): YES
In tutte quelle cose dove mi dice NO, forse si può rimediare in qualche
modo ? Ci sono anche due vulnerabilità a Spectre.
Per il resto del Report dice che è tutto STATUS: NOT VULNERABLE.
Ma lo devo leggere un po meglio e con calma, perché ci sono parecchi
warning.
leggiti anche il disclaimer
Infine, se io dovessi scegliere un sistema guardando dal punto di vista
della sicurezza, allora preferirei di gran lunga GNU/Linux, dove i bug
di sicurezza di solito sono risolti in tempi molto brevi e quando scopri
che c'è quel problema in realtà hai già installato la patch.
Ciao
Davide
Grazie
Saluti
