Nuovo bug di Samba: Badlock

0

badlockUna pagina sola (badlock.org), con il logo che vedete qui e un messaggio d’avvertimento:

On April 12th, 2016 a crucial security bug in Windows and Samba will be disclosed. We call it: Badlock.

Il 12 aprile 2016 verrà svelato un bug di sicurezza cruciale in windows e Samba. Lo chiamiamo: Badlock.
Fin qui sembra un normale avvertimento, sebbene di qualcosa potenzialmente grave. Ma quando appena due righe sotto si rimarca la cosa, le aspettative diventano da apocalisse Maya:

Admins and all of you responsible for Windows or Samba server infrastructure: Mark the date. (Again: It’s April 12th, 2016.)

Amministratori e responsabili tutti delle infrastrutture server Windows o Samba: segnate la data. (Di nuovo: il 12 aprile 2016)

La pagina riporta chi ha scoperto il bug, Stefan Metzmacher: uno sviluppatore che si occupa di Samba da 15 anni, fa parte del Samba Team e lavora per SerNet (che si occupa di implementazioni Samba pensate per grandi aziende). Ed è SerNet a firmare la pagina: l’avvertimento diventa piuttosto serio, reale.

Allo stesso modo la pagina ci rassicura che gli ingegneri di Microsoft e del Samba Team stanno lavorando assieme per risolvere il problema, e ribadisce che per il 12 aprile sarà pronto il rimedio. Che tutti gli sviluppi della storia saranno pubblicati nella pagina, anche se finora non ci sono stati aggiornamenti.

Ma basta: le informazioni disponibili sul bug finiscono qui. Ora c’è campo solo per le ipotesi.

Per esempio, parlando di bug per Windows e  per Samba, si deduce che il problema non è nell’implementazione del protocollo SMB fatto in Samba, ma proprio nel protocollo SMB. Ripetiamo che sono speculazioni, ma questa ci sembra piuttosto fondata. E la cosa è notevole: SMB è la base dei sistemi di scambio file nelle reti di Windows da 30 anni. Certo, ci sono state varie versioni ed evoluzioni, e quasi ad ogni rilascio di Windows Server corrisponde una qualche modifica del protocollo, ma potrebbe essere un problema di design e non di qualche funzione aggiuntiva: la cosa sarebbe piuttosto grave. Aggiungo una considerazione: OS X (per motivi di licenze) non usa Samba: se il problema è nel protocollo Apple dovrà correre ai ripari dopo che sarà reso pubblico il problema stesso, lasciando tempo a qualche malintenzionato di sfruttare il bug.

Insomma, non ci resta che rimanere in attesa per sapere di cosa si tratta, preparandoci nel frattempo ad installare le patch appena saranno rilasciate. E ovviamente, se ci dovessero essere novità prima della famosa data, non esiteremo a darvele.

P.S. Piccola nota di colore: stanno già fiorendo le teorie complottiste, del genere “prima si crea il problema, poi si vende la cura”. Voi ci credete?

Ho coltivato la mia passione per l’informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.