Nelle ultime settimane il mondo del free software è stato scosso dalla compromissione di alcuni server del Progetto Debian, Savannah, e Gentoo. Non si tratta di uno scherzo, qualcuno è riuscito infatti a ottenere i permessi di root su alcuni server utilizzati da centinaia di migliaia di utenti GNU/Linux sparsi per il mondo. Non bisogna però neanche creare falsi allarmismi: sono cose che possono succedere, ed è certamente ammirevole il fatto che sia gli uomini del team di Debian che quelli di Gentoo se ne siano accorti praticamente subito.
Per quanto riguarda Gentoo e Savannah (servizio offerto dalla Free Software Foundation per gli sviluppatori, contenente moltissimi progetti di software libero) non si sa ancora nulla di certo e gli esperti di sicurezza stanno ancora lavorando per cercare di capire cosa è accaduto esattamente.
La causa principale è da attribuire a un bug del kernel Linux scoperto a settembre da Andrew Morton ma non ritenuto così grave da meritare l'uscita di una nuova release del kernel. Uscita che è avvenuta prontamente non appena il team di sviluppo di Linux si è reso conto della gravità della situazione.
È possibile fare un'analisi un pò più tecnica e dettagliata di quanto successo sui server Debian. Il 19 novembre alcuni server del progetto (quattro per la precisione, utilizzati per l'archivio "security", mailing list, bug tracking, pagine web) sono stati compromessi dopo che l'attaccante è riuscito ad accedervi come normale utente utilizzando una password "sniffata". Una volta dentro, è stato sfruttato il sopracitato bug nella funzione do_brk() del kernel per ottenere i privilegi di root e installare quindi un root kit (SucKIT). A distanza di un giorno l'intromissione è stata scoperta, sono stati bloccati gli account e interrotto i servizi per consentire l'analisi di quanto era appena successo. A seguito di attenti controlli è stato appurato che l'attaccante non ha avuto modo di modificare gli archivi dei pacchetti presenti.
Lo stesso bug del kernel è stato probabilmente sfruttato da chi si è intromesso in un server di Gentoo contenente un mirror degli archivi. Qui probabilmente è stato sfruttato un bug di rsync per riuscire ad accedervi per ottenere i permessi di root in seguito utilizzando lo stesso exploit usato con Debian.
Analogamente su savannah.gnu.org è stato trovato installato il medesimo rootkit, cosa che farebbe pensare a un'unico cracker per le tre intromissioni. Qui però i server sono stati compromessi per praticamente un mese, dal 2 Novembre all'1 Dicembre.
Prima di puntare il dito sulle politiche di sicurezza di Debian e Gentoo (Savannah non è una distribuzione) è bene fare alcune considerazioni: probabilmente non è stato un caso che le distribuzioni che hanno reso pubblico quanto accaduto siano non commerciali. È stato ammirevole il comportamento di Debian e Gentoo, totalmente trasparenti nei confronti della propria utenza. Probabilmente realtà commerciali non si sarebbero comportate allo stesso modo, preferendo magari non rendere pubblica la vicenda per evitare brutte figure. Ma non dimentichiamoci che si tratta di un bug del kernel, e come tale comune a tutte le distribuzioni Linux. Per gettare un pò di acqua sul fuoco è comunque importante ribadire che si tratta di un exploit locale, e come tale abbastanza inutile se chi attacca non dispone già di un accesso al computer.
Si potrebbe pensare a un tentativo da parte di qualcuno di screditare il mondo del Free Software attaccandolo su uno dei suoi punti forti: la sicurezza. In realtà ci sono alcuni elementi che fanno pensare a poco più di una bravata. Prima di tutto non sono stati compromessi gli archivi software: se fossero stati sostituiti dei pacchetti dalla versione ufficiale (e tra l'altro il giorno dell'intrusione era prevista l'uscita della nuova versione di Debian, la 3.0r2) l'attaccante avrebbe potuto ottenere potenzialmente l'accesso a tutti i computer che utilizzano Debian. Ma questo non è stato fatto, probabilmente perché non c'erano dietro secondi fini, oppure non c'è stato il tempo.
Gentoo del resto non ha aggiornato in tempo quel server (l'attacco è avvenuto quando già il kernel nuovo era stato rilasciato), cosa che le costata cara.
Non credo che si tratti di un tentativo a priori di screditare Linux, o peggio ancora di una manovra organizzata da qualcuno per infangare la reputazione di un sistema operativo scomodo. Sono convinto che episodi del genere possano succedere a qualunque società che sviluppa software (commerciale o opensource). Di certo però non è da tutti avere il coraggio per essere trasparenti e sinceri con i propri utenti.
