Durante tutti questi anni Linux ci ha abituati a contare su di lui per un sistema operativo stabile e sicuro. Ma è veramente così? Certo probabilmente (e personalmente ne sono abbastanza sicuro) il modello di sviluppo Open Source è in grado di fornire prodotti che sono mediamente più stabili e sicuri di alternative closed source.
Nonostante questo non sia da sottovalutare, resta comunque il fatto che il software per definizione non può mai essere considerato sicuro al 100%. Detto in altre parole: a ognuno è concesso di sbagliare. Per questo il solo utilizzo a priori di software libero piuttosto che chiuso non dà molte garanzie di sicurezza in più se non si prestano le dovute attenzioni che solo un amministratore esperto può dare.
Il rapido diffondersi di worm e virus per Windows sembra avvalorare la tesi di chi vede i sistemi operativi Microsoft poco sicuri. Tuttavia alla luce degli ultimi avvenimenti è d'obbligo constatare come la situazione si stia "evolvendo" anche nel mondo del Free Software.
Dopo Ramen, Lion (tra l'altro è di questi giorni anche l'arresto, molto discutibile, del creatore di T0rn, il rootkit sul quale si basa questo worm) e Adore/RedWorm è arrivato il momento di Slapper.
Cos'è un worm?
Un worm, a differenza di un virus, sfrutta una vulnerabilità già presente sul sistema per farsi strada, "appoggiandosi" ai sistemi appena infettati per propagarsi in Rete. Il funzionamento di un virus è più banale e ha bisogno di un "portatore" rappresentato da un programma fino a quel momento sano, rendendo di fatto rispetto ai worm molto più lenta la sua diffusione.
Difendersi da Slapper
Quello che rende particolare questo worm, scoperto lo scorso 13 Settembre, è il fatto che sfrutti un noto bug di OpenSSL per cercare di creare una vasta rete di tipo peer-to-peer (p2p) da sfruttare per attacchi di tipo DDOS (Distributed Denial Of Service) o per eseguire del codice arbitrario.
Quello che lo rende particolarmente pericoloso è il fatto che sfrutti un bug potenziamente molto diffuso, quello di Apache con modulo ssl, il cui uso è stimato intorno al milione di server sparsi per il mondo. Il bug in questione, scoperto l' 1 Agosto 2002 e patchato in brevissimo tempo, consente a un potenziale attaccante di eseguire codice arbitrario o di attuare un denial of service sfruttando un buffer overflow. Le versioni incriminate sono quelle precedenti la 0.9.6e e la 0.9.7-beta3.
Il modo migliore per essere immuni a questo attacco è quindi quello di aggiornare (se presente) OpenSSL all'ultima versione disponibile (attualmente la 0.9.6g). Come è risaputo Apache è il server HTTP più diffuso (con oltre il 60% dei siti Internet) e il modulo di OpenSSL è proprio uno dei più utilizzati da Apache. Dopo qualche giorno la diffusione di Slapper contava già diverse migliaia di vittime.
Come agisce Slapper?
Il worm, dopo aver fatto lo scan alla ricerca di un server HTTP in ascolto tra un vasto numero di classi A, mandando la seguente richiesta malformata:
Che ovviamente restituisce un errore (400), fornendo però anche il nome del server web utilizzato. Se si tratta di Apache il worm tenta l'exploit per OpenSSL cercando di infettare il computer vittima dell'attacco, copiando il file .uubugtraq /tmp .bugtraq.c prima cosa da controllare
Dopo una prima diffusione il fenomeno sembra attenuarsi, probabilmente grazie allo scalpore che ha destato e alla disponibilità già da oltre un mese delle patch per OpenSSL. Ciò nonostante sono presenti anche delle varianti, chiamate appunto Slapper.B e Slapper.C che operano allo stesso modo.
Le differenze sono nel nome di file utilizzati (/tmp/httpd, /tmp/update /tmp/.unlock Slapper.B /tmp/.cinik /tmp/.cinik.c /tmp/.cinik.uu /tmp/.cinik.go Slapper.C
Slapper.B
Slapper.C .cinik
Conclusione
Ma allora è vero che Linux e il free software in generale non sono tanto sicuri come si è voluto far credere fino ad ora? Personalmente credo che ora stia scontando il prezzo dovuto all'aumento di popolarità: la diffusione sempre maggiore lo espone di fatto a essere vittima di worm. D'altronde i worm per Unix non sono di certo una novità: è del 1988 il worm Morris che sfruttava tra l'altro anche una vulnerabilità di Sendmail, tutt'ora uno dei più diffusi server SMTP. In fondo poi i worm puntano sulla distrazione e poca competenza degli amministratori di sistema che dovrebbero patchare nel più breve tempo possibile i server buggati. E certamente il modello di software libero ha dimostrato come siano più funzionali e veloci nella correzione di bug rispetto alla maggior parte del software closed source. Per concludere: probabilmente il Free Software è mediamente più sicuro e stabile, ma questo non deve fare abbassare la guardia agli amministratori di sistema che sono sempre tenuti a svolgere bene il proprio lavoro.
