Roma – L’attenzione alla sicurezza e la lotta ai bug del codice sono le due massime priorità per Trusted Debian , un progetto nato lo scorso ottobre con lo scopo di sviluppare la distribuzione Linux più sicura in circolazione.
Il progetto ha appena annunciato il rilascio della versione 1.0 di Trusted Debian, una sistema operativo basato sulla famosa distribuzione Debian che ha per obiettivo quello di correggere molti – “ma non tutti”, si sottolinea in una nota – “i problemi derivanti dai buffer overflow”, un temibile tipo di bug che viene spesso sfruttato dai cracker per penetrare le difese dei sistemi connessi ad una rete.
Trusted Debian afferma di essere il primo progetto a portare questo tipo di protezione su di una diffusa distribuzione Linux.
“Non c’è nessun altro sistema Unix – si legge in una nota del progetto – che aggiunge questo tipo di protezione contro i buffer overflow e allo stesso tempo protegge contro alcuni problemi meno conosciuti o del tutto sconosciuti. Eccetto per OpenBSD, che però offre un livello di protezione inferiore al nostro”.
Il leader del progetto OpenBSD, Theo de Raadt, ha di recente dichiarato di essere molto vicino a sconfiggere gli errori di buffer overflow. La stessa Microsoft, annunciando il suo nuovo Windows Server 2003, ha descritto alcune tecniche di sviluppo e debugging che le consentirebbero di eliminare dal proprio codice la maggior parte dei buffer overflow prima che i suoi prodotti arrivino sul mercato.
Il principale tool utilizzato da Trusted Debian è PaX, un add-on per il kernel di Linux che offre diversi meccanismi di protezione contro alcuni tipi di attacco che sfruttano i buffer overflow: la tecnica principale è quella di rendere casuale la zona di memoria in cui un programma viene caricato. Secondo Trusted Debian, la più grande differenza con OpenBSD starebbe proprio nel modo in cui viene implementata questa forma di protezione: mentre quest’ultimo sistema operativo utilizza un tool che “randomizza” solo una porzione della memoria, lo stack, PaX è in grado di rendere casuale la posizione di quattro diverse entità: stack, heap, librerie e l’eseguibile principale. In più PaX farebbe del suo meglio per tenere codice e dati separati e prevenire che un cracker possa eseguire del codice all’interno dell’area riservata ai dati.
Il secondo tool utilizzato da Trusted Debian è una versione modificata del compilatore GCC sviluppata in seno ai laboratori di IBM e capace di piazzare all’interno del codice C/C++ delle speciali “trappole per bug” in grado di scattare quando viene rilevato un buffer overflow: in questo modo, secondo Trusted Debian, il programma viene terminato prima che l’overflow causi alcun danno. Questo meccanismo viene già adottato da OpenBSD e da alcune distribuzioni Linux commerciali, tuttavia Trusted Debian afferma di essere il primo progetto ad averlo implementato in una distribuzione general purpose e attraverso un tool privo di licenze proprietarie.
Accanto alle tecniche scaccia-bug, Trusted Debian adotta alcune tecnologie per migliorare la sicurezza generale del sistema operativo come l’infrastruttura di accesso RSBAC e il sistema di criptazione FreeS/WAN utilizzabile, in particolar modo, per instaurare comunicazioni TCP/IP sicure e per creare reti private virtuali (VPN).
Trusted Debian 1.0 include poi il supporto alle comunicazioni wireless sicure, un server Internet e intranet, diversi firewall, una suite di Intrusion Detection System (IDS), un server proxy e altri tool di sicurezza.