Il personaggio dei fumetti passato alla storia come storico avversario dello spirito natalizio, ora minaccia anche la serenità di Linux: l’allerta è stato lanciato da Alert Logic , azienda che si occupa di sicurezza informatica, che sul proprio blog ha battezzato così una vulnerabilità individuata nel più celebre tra i sistemi operativi open source. Il rischio che corre la maggior parte delle installazioni in circolazione è legato a privilegi eccessivi concessi per errore a utenti immeritevoli: qualche contromisura per arginare il problema c’è, ma gli esperti invitano comunque a fare attenzione.
Nel corso delle installazioni l’utente predefinito con cui viene avviata la macchina Linux viene quasi sempre assegnato a una speciale categoria denominata “wheel”: a questo gruppo è concesso l’utilizzo secondo alcuni parametri del comando sudo , che permette di guadagnare poteri da superutente (privilegi root) quando le circostanze lo richiedano, ad esempio per eseguire un comando da terminale o per completare alcune procedure. Questo comportamento, del tutto normale e funzionale allo scopo, rischia però di esporre lo stesso sistema a interferenze indesiderate se qualcuno con accesso alla macchina riuscisse a modificare il gruppo “wheel”, o attribuire la paternità di un file a uno dei componenti del gruppo stesso.
Quello che può capitare, spiega Alert Logic, è che tramite uno strumento denominato Polkit (pensato appositamente per gestire con maggiore chiarezza le operazioni svolte con privilegi superiori da utenti comuni) si possa scavare un tunnel per superare le protezioni di base. Occorre provvedere a configurare al meglio Polkit per evitare che una circostanza del genere si verifichi , e occorre anche dare un’occhiata al propri log di sistema per capire se per caso qualcuno non abbia già iniziato a sfruttare questa debolezza intrinseca e indesiderata a nostra insaputa.
Il metodo descritto non è banale da mettere in pratica, mancando soprattutto un exploit noto e magari integrato in uno dei pacchetti in circolazione, e non essendoci la certezza che sia efficace su tutti i sistemi. Sta di fatto che, vista la cospicua presenza di macchine Linux che svolgono compiti pubblici e visto che anche molti servizi di cloud computing e pure Android si basano sulle capacità del Pinguino, non è un rischio da sottovalutare: Alert Logic si spinge fino a comparare questa novità a un serio baco scovato mesi addietro nei sistemi *nix, e soprannominato all’epoca ShellShock . Per quest’ultimo, a settimane di distanza, mancano ancora tutte le patch necessarie: c’è da augurarsi che questo nuovo allarme acceleri le operazioni e che nel 2015 si possa confidare in sistemi Linux ancora più sicuri.
Luca Annunziata