A leggere questo report pubblicato dal blog di BlackBerry e raccontato da ZDNet non c’è troppo da meravigliarsi, anche se i numeri appaiono impressionanti: sono stati portati alla luce una serie di attacchi verso server Linux (oltre che Windows ed Android) in corso da quasi un decennio.
La notizia contiene una componente che certamente piacerà a quanti stanno cavalcando le invettive del presidente americano contro la Cina, infatti gli attacchi sono stati ricondotti a gruppi associati al governo cinese.
Il titolo del report lascia poco all’immaginazione: Decade of the RATs: Cross-Platform APT Espionage Attacks Targeting Linux, Windows and Android, ma alcuni acronimi vanno chiariti:
- con RATs ci si riferisce ad una serie di Remote Access Trojan, cavalli di troia che consentono ad un attaccante remoto di accedere al sistema;
- con APT ci si riferisce ad Advances Persistent Threat gruppi statali o parastatali che guadagnano accesso non autorizzato a reti di computer, mantendendono tale per un periodo esteso di tempo;
Ma sono comunque le riflessioni a monte del report a dover essere tenute in enorme considerazione, per esempio quelle di Eric Cornelius, Chief Product Architect di BlackBerry:
Linux is not typically user-facing, and most security companies focus their engineering and marketing attention on products designed for the front office instead of the server rack, so coverage for Linux is sparse
Linux non è tipicamente rivolto all’utente e la maggior parte delle società di sicurezza concentra la sua attenzione ingegneristica e di marketing su prodotti progettati per il front office invece che per i server da rack, quindi la copertura per Linux è scarsa
Oltre ad un certo stupore derivante dall’associazione di Linux ai soli ed unici Server (quindi no, nemmeno il 2020 sarà l’anno del desktop Linux), la generalizzazione relativa alle “security companies” è particolare. Sentire infatti parlare di “copertura Linux”, verosimilmente intesa come disponibilità di prodotti, fa credere come ci sia in realtà tutto un mondo sconosciuto, che vive al di là delle regole che vengono implementate per la sicurezza dei propri ambienti, popolato da prodotti per la sicurezza di Linux.
Alzi la mano chi ha un antivirus installato sul proprio server Linux.
Facezie a pare, un dato però rimane oggettivo: veicolo di questi attacchi sono tool che risalgono fino al 2012 e la modalità con cui questi malware si diffondono pare non così complicata, almeno ad un occhio esperto: backdoor, rootkit e build groups. Leggere il report per credere: sono almeno cinque le APT identificate ed attive, o rimaste tali, da quasi dieci anni.
Come ne si esce? Al solito, non fidandosi di nessuno ed utilizzando le consuete pratiche di configurazione e prevenzione che sono giudicate dai più come un’inutile scocciatura. Insomma: siamo sempre convinti che SELinux ed AppArmor siano così inutili?
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Lascia un commento