L’ attacco subito nel mese di febbraio ha costretto la community di Linux Mint a meditare sulle misure a tutela della sicurezza degli utenti che operano sulle piattaforme web dedicate alla distro: il creatore di Linux Mint Clem Lefebvre ha così annunciato nuove policy per minimizzare il rischio di intrusioni.
L’aggressione subita di recente ha comportato la distribuzione di una ISO compromessa di Linux Mint 17.3 Cinnamon edition, a cui i cracker indirizzavano con uno script PHP, e una violazione del forum che aveva permesso agli aggressori di accedere, oltre che ai messaggi privati, alle password di accesso cifrate e ai nomi account con le relative email. La breccia è stata rilevata tempestivamente, e tempestivamente vi si è posto rimedio, anche con un reset delle password di accesso ai forum e la raccomandazione di sostituire le password qualora gli utenti fossero abituati a riciclarle altrove.
Ora, oltre a misure preventive per scongiurare altri attacchi, la community di Linux Mint si è dotata di soluzioni volte a “ridurre il valore delle informazioni ospitate sui nostri server”, in particolare delle password, peraltro già cifrate. È così stata irrigidita la policy in materia di chiavi d’accesso ai forum: saranno ammesse password con almeno 10 caratteri, contenenti simboli, numeri e maiuscole. Per il sito, inoltre, si è scelto di rifiutare le password personalizzate e di concedere accesso all’utente solo sulla base un codice casuale generato e recapitato via email, che difficilmente gli utenti sceglieranno di riutilizzare presso altri servizi.
Fra gli utenti c’è chi diffida di questa ultima soluzione: accedere ai dati scambiati attraverso una email, tanto per i malintenzionati quanto per gli stessi gestori dei servizi, è operazione affatto complessa.
Gaia Bottà