Linux e sicurezza

[mick68]

Vorrei porvi un quesito in merito ai problemi connessi alla sicurezza in Linux.
Gli rpm che si scaricano dai soliti siti intenet, come ad esempio rpmfind.net, da chi sono compilati? Perché dovrei sentirmi sempre e comunque sicuro di ciò che scarico? Tutti questi file vengono testati da qualcuno, perlomeno ai fini della sicurezza? Oppure chiunque può distribuire su internet un file compilato ad arte per creare danni?
Insomma, in termini di sicurezza, siamo proprio certi che l’installazione dei programmi compilati da non si sa bene chi, possa essere considerato un comportamento virtuoso?
Altra questione che recentemente si è posta è se un software di cui si conosce il codice sorgente sia più o meno sicuro di uno cui il codice è ignoto. Secondo voi, da un punto di vista strettamente tecnico è più sicuro o no?
Fatemi sapere.
Ciao
mick

[pjfry]

1) di solito quando si scaricano file da internet è disponibile anche l'hash dello stesso. Questo ti permette di essere sicuro che un file scaricato da un mirror sia identico al file scaricato da un sito ufficiale, per esempio.
ovviamente se la fonte è una sola l'hash serve a poco, in quel caso bisogna fidarsi, credo

2) in un contesto 'statico', conoscere i sorgenti permette facilita sicuramente il compito dei cracker, perchè è + facile trovare buchi esaminando il codice che tramite reverse engineering.
in un contesto dinamico come il mondo linux, però, non sono solo i cracker ad esaminare il codice, ma tutta una comunità di appassionati e sviluppatori. Questo fa si che eventuali buchi saltino all'occhio prima, e anche le soluzioni vengono trovate + velocemente.

[zello]

la security by obscurity non funziona, e infatti nessun algoritmo di hashing o di cifratura è affidabile se non ne sono noti i sorgenti.
Tempo fa, qualcuno ha piazzato (per errore o per malevolenza), all'interno di una syscall del kernel di linux, una cosa del genere:

Codice: Seleziona tutto

if((flags & SOME_FLAG) && uid=0)
   do_something();


Per chi mastica di C, *sembra* che il codice testi se flags contiene il valore SOME_FLAG e se l'utente è root (uid=0). In tal caso si eseguirebbe la funzione do_something().
Se però ci si guarda meglio, c'è scritto uid=0, e non uid==0. E' un'assegnazione, non un testing del valore: si assegna a uid il valore 0. Questo significa che chiunque esegua la chiamata con flags=SOME_FLAG, al ritorno sarà root sulla macchina.
Il bug è stato trovato e fissato in meno di 24 ore.

[pjfry]

Se però ci si guarda meglio, c'è scritto uid=0, e non uid==0.

questo almeno dimostra che le min***ate non le fanno solo a redmond

[zendune]

Per i file che scarichi da internet, in qualsiasi formato siano, dal punto di vista sicurezza, possono essere tutti potenzialmente pericolosi . Chi ti dice che Mandrake o Red Hat non abbiano inserito delle backdoor ?
Scherzi a parte, ogni file che scarichi, in particolare in formato RPM, deve essere firmato e la firma corrispondere a chi lo rilascia. Parlando quindi strettamente dal lato 'sicurezza', i pacchetti di aggiornamento del sistema dovrai scaricarli dai mirror 'certificati' dalla distribuzione che usi.
Per quanto riguarda gli altri programmi, devi 'fidarti' di chi li distribuisce. In particolare, il rilascio anche dei sorgenti è già un buon indice di 'sicurezza': hai sempre la possibilità di rigenerare i pacchetti dai sorgenti dopo magari averli attentamente verificati e testati.
E con questo ho risposto anche parzialmente alla seconda domanda Infatti, utilizzare come 'sistema di sicurezza' il fatto di non far conoscere il codice sorgente è il primo passo per essere violati. Chi cerca una falla, la trova, indipendentemente dal codice sorgente o no. La falla scoperta viene resa pubblica dopo molto tempo (all'inizio è di appannaggio a pochi ed ai loro interessi) e la patch ancora dopo molto tempo. Si pensi ai vari bachi di IE. Una delle forze dell'open source e del mondo di Linux in generale è proprio questa. Chi mi critica dicendo che ogni giorno esce una patch per Linux (inteso come pacchetti che compongono una distribuzione) rispondo che questo è Linux: si scopre un errore e subito vi si pone rimendio. In altri casi, si scopre un errore e.... dopo sei mesi lo risolvono (spesso creandone un'altro).
bye

[mick68]

Grazie mille per le risposte.
Visto che ho una esperienza limitata, mi sapreste dire come devo fare per verificare questo hash o comunque la firma di chi ha compilato il software?
Grazie di nuovo.
Ciao
mick

[zendune]

Il valore hash di un file è il valore univoco che solo quel file, sottoposto a dei calcoli matematici, può dare. Basta dare il comando
md5sum nome_file
ed il programma ritornerà un valore esadecimale del genere:
01561484684864f8c48wse6vfs6f10846ave648qa pippo-1.0.0-1mdk.rpm
Confrontando questo valore con quello disponibile sul sito ed eventualmente su altri mirror si ha la certezza sull'integrità del file, senza però indicare chi l'abbia 'preparato'.
Nel caso di file *.rpm (programmi o file pacchettizzati) vi sono opzioni ben più potenti che controllano integrità ed origine del file.
Infatti, prendo ad esempio la Mandrake, è possibile importare la chiave pubblica della distribuzione con il comando
gpg --recv-keys --keyserver pgp.mit.edu 0x22458A98
Quindi ottenuto un pacchetto nuovo o aggiornato distribuito dalla Mandrake, è possibile verificarlo mediante il comando
rpm --checksig nome_pacchetto

[mick68]

Grazie molte, mi metterò presto a fare qualche verifica.
Ciao.
mick