Altro caso di software closed-source con problemi di sicurezza, e che viene corretto con lentezza. La storia è riportata da Andrew Fasano, che ha scritto un post molto dettagliato, che vi riassumiamo velocemente.

Andrew fa parte di un progetto di ricerca federale americano impegnato nella scoperta di buchi di sicurezza nei software usati, ed individua nell’antivirus per Linux del celeberrimo McAfee il candidato ideale per individuare buchi pericolosi:

• gira con l’utenza di root;
• afferma di rendere la macchina più sicura;
• non è particolarmente diffuso;
• sembra non venga aggiornato da molto tempo;

Scopre così 10 vulnerabilità, che prese singolarmente sono già piuttosto gravi, ma usate assieme permettono l’esecuzione di codice arbitrario come utente root: il peggio del peggio, dal punto di vista della sicurezza.

Andrew intraprende la strada che normalmente si prende in questi casi: informare del problema il produttore in modo da far rilasciare un aggiornamento che risolva la situazione prima di rendere pubblica la scoperta. Il 23 giugno quindi McAffe viene contattata; dopo un mese (19 luglio) risponde prendendosi tempo fino ad almeno settembre, riservandosi la possibilità di arrivare a Dicembre. Poi, il silenzio.
Il 5 dicembre Andrew, non dimenticandosi della faccenda, riscrive al produttore avvertendolo che avrebbe pubblicato comunque tutto il 12 dicembre; di tutta risposta McAfee il 9 dicembre pubblica le patch, e il 12 (in contemporanea con Andrew) la descrizione delle criticità.

Passano quindi 6 mesi dalla scoperta alla risoluzione di problemi gravi, e non possiamo non credere che l’insistenza di Andrew non abbia giocato un ruolo chiave: senza di lui probabilmente i tempi si sarebbero allungati ancora.

Questa storia ci suscita anche un’altra considerazione: ogni software installato su una macchina è una superficie di attacco. I software che, come gli antivirus, per design devono avere la libertà di intervenire (leggi: utenza root) su qualunque file sono doppiamente critici, in quanto qualunque difetto minaccia l’intero sistema. Quindi, che siate utenti sul vostro pc o amministratori di grandi installazioni, pensate sempre bene prima di installare un software alle implicazioni.

P.S. Visto il caso specifico antivirus facciamo una precisazione.
Non siamo tra quelli che sostengono Linux sia immune a tutti i virus, ma nemmeno che sia sempre necessario installare un antivirus: (per quanto scritto sopra) valutare sempre.

Marco Bonfiglio

Ho coltivato la mia passione per l’informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.