Tag: sicurezza
FIREFOX BLOCCA IL FLASH PLAYER DI DEFAULT PER MOTIVI DI SICUREZZA
Ricordo che potremo comunque disattivare il plugin o renderlo attivo di default direttamente dalla sezione plugin dalle preferenze di Mozilla Firefox.
via lffl.org
8 miglioramenti sulla sicurezza Linux in 8 anni
Nel corso degli ultimi anni sono stati introdotti dei nuovi modi di operare che hanno notevolmente incrementato la sicurezza del sistema operativo Linux
In questo articolo vi riproponiamo un post che è stato pubblicato qualche giorno fa sul portaleInformationWeek e che mette in evidenza 8 miglioramenti apportati al sistema operativo Linux negli ultimi 8 anni.
Secondo l’autore del pezzo Charles Badcock, Linux ha iniziato a fare sul serio sulla sicurezza a partire dal 2007 e soltanto negli ultimi tre anni ha fatto passi da gigante. Vediamo di seguito quali sono stati gli 8 miglioramenti individuati da InformationWeek.
1. Scansione del codice con Coverity dei progetti Linux
Il Dipartimento di Homeland Security nel 2006 ha stipulato un grosso contratto con il gruppo Computer Science Laboratory della Stanford University al fine di sviluppare un sistema di controllo del codice automatizzato che fosse in grado di eseguire la scansione di C, C++, C# e Java all’interno di diversi progetti open source. È stata così costituita un’azienda dal nome Coverity per capitalizzare il servizio di analisi del codice open source, non appena il contratto con il DHS era terminato.
Nasce così il progetto Coverity Static Analysis Verification Engine (SAVE). Si tratta di un servizio online che può essere utilizzato per effettuare un’analisi statica del codice (ossia del codice non in esecuzione). In particolare il servizio esamina le linee di codice una per una ed esegue differenti test allo scopo di individuare buffer overflow, broken authentication, scross-site scripting, opportunità di code injection e tantissime altre vulnerabilità che potrebbero essere sfruttate da hacker.
2. Scansioni del codice kernel di Linux
Nel luglio del 2013 Dave Jones, Linux kernel developer, ha suddiviso il grande progetto kernel in diversi gruppi di codice ed ha deciso di utilizzare proprio Coverity per la scansione. Questo modo di operare ha riprodotto un quadro chiaro dei punti del kernel dove giacevano dei problemi.
Per anni il numero di difetti introdotti nel kernel è stato sempre in continua crescita, ma a partire dal 2013 il rapporto ha subito una inversione .
3. Maggiore impegno degli sviluppatori per la sicurezza di Linux
L’individuazione tramite Coverity di bugs, difetti e vulnerabilità ha dimostrato come i metodi fino ad allora messi in pratica per aumentare la sicurezza di Linux non fossero sufficienti. Gli sviluppatori hanno impiegato del tempo a comprendere che i bug presenti nel codice non sono mai stati risolti, anzi continuavano ad aumentare.
Le scansioni tramite Coverity hanno risolto in parte il problema. La squadra di Dave Jones, dopo aver dato uno sguardo ai risultati rimandava al mittente la porzione di codice che presentava dei problemi. In tal modo ogni sviluppatore si è dovuto impegnare a risolvere il codice non sicuro. Quando gli stessi developer hanno compreso che il merito non derivava più solo dal fatto di aver contribuito allo sviluppo del codice open source, ma anche e soprattutto dall’aver consegnato codice privo di errori, le vulnerabilità riscontrate da Coverity sono diminuite.
4. Tasso di difetto in declino
In un post sul suo sito Dave Jones ha pubblicato un grafico che mostra il declino del tasso di difetto all’interno del codice kernel Linux. Il tasso di difetto di 1 su 1000 linee di codice è considerato di alta qualità. Il kernel di Linux aveva già un tasso inferiore, pari a 0.7, ma a partire dal 2013 il suo declino ha continuato ad aumentare.
5. Maggiore velocità di individuazione e risoluzione delle vulnerabilità
Sempre a partire dal 2013 la velocità nell’individuare e risolvere difetti e vulnerabilità èaumentatanotevolmente. Con scansione dei codici più volte a settimana, Dave è stato in grado di identificare fin da subito i problemi e rinviare allo sviluppatore la porzione di codice per la risoluzione immediata.
6. 20 milioni di linee di codice e pochi bug
Prima ancora dell’impiego di Coverity, la battaglia per la sicurezza di Linux aveva avuto inizio a partire dal 2007 con Andrew Morton. In quell’anno il kernel di Linux si basava su oltre 3 milioni di righe di codice, presentava oltre 400 bug e solo poco più di 200 sono stati eliminati. Nel 2012 il kernel aveva oltre 7 milioni di linee di codice, presentava poco più di 5800 bug e 5170 sono stati risolti. Nel 2013 si assiste all’inversione di marcia. Il codice kernel si basa su più di 8 milioni di righe di codice, i bug individuati sono scesi a quasi 3300 e sono stati quasi tutti risolti. Ad oggi il kernel può contare su 20 milioni di righe di codice.
7. Altri strumenti oltre a Coverity
Greg Kroah-Hartman, sviluppatore del kernel Linux, ha fatto presente alla redazione di InformationWeek, che oltre a Coverity esistono altre strumenti che aiutano a migliorare la sicurezza di Linux. Ad esempioCoccinelle che genera degli script che consentono di analizzare e correggerre porzioni di codice. Ogni settimana si ottengono nuovi script da aggiungere al Framework ha confermato Kroah-Hartman. Coccinelle viene utilizzato prima che il codice sia scansionato con Coverity.
8. Zero-day Bot
Lo stesso sviluppatore di Linux ha affermato che lo strumento Zero-day Bot, sviluppato da Intel e gestito da Fengguang Wu, attraversa tutto l’albero di sviluppo e gestisce tantissimi strumenti di analisi statica. Zero-day bot invia se riscontra dei problemi invia delle segnalazioni al committer e a volte è in grado di fornire anche delle patch automatizzate.
Tutti questi nuovi modi di operare hanno di certo migliorato la sicurezza di Linux, diminuendo i bug e le vulnerabilità all’interno del codice.
VERIFICARE CHE IL NOSTRO SISTEMA È INFETTO DA SHELLSHOCK
Possiamo inoltre verificare con estrema facilità se il nostro sistema operativo o meno è “infetto” da Shellshock.
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
se avremo come risultato:
vulnerable this is a test
vuol dire che nel nostro sistema è presente il bug Shellshock in bash
se invece abbiamo come risultato
this is a test
possiamo star tranquilli.
Per risolvere il problema basta semplicemente aggiornare Bash digitando da terminale:
Per Debian, Ubuntu e derivate:
sudo apt-get update sudo apt-get install bash
Per Fedora, CentOS, Red Hat e derivate:
sudo yum install bash
Per openSUSE e derivate:
sudo zypper install bash
Per Arch Linux e derivate, Chakra, Manjaro ecc:
sudo pacman -Sy bash
Al termine basta riavviare la verifica, ed ecco risolto il problema Shellshock.
NSA contro gli estremisti di Linux
TOR, Tails e il Pinguino sono software sospetti. Chi cerca informazioni o, peggio, li utilizza è un soggetto pericoloso da tracciare. Le informazioni sono contenute nell’ennesimo leak, ma l’autore della rivelazione pare non essere Edward Snowden.
Roma – Non bastassero le rivelazioni di Edward Snowden sulle attività di spionaggio digitale della NSA, ora ci si mette anche un secondo, ignoto leaker a pubblicare documenti riservati sulle capacità e il modus operandi dell’intelligence statunitense. Una intelligence che a quanto pare prende di mira chiunque provi a informarsi sulle tecnologie di sicurezza rese popolari dal Datagate e dal dibattito che ne è seguito.
Le ultime spifferate sulla NSA arrivano dalle fonti tedesche di Tagesschau e riguardano le regole seguite dall’agenzia per il suo programma di “deep packet inspection” con il tool XKeyscore: il codice svelato dal sito teutonico definisce senza mezzi termini “estremisti” coloro che cercano informazioni e articoli in rete su TAILS, il sistema operativo sicuro (basato su Linux) usato da Edward Snownden, la rete anonimizzatrice di TOR (The Onion Router) e gli utenti stessi del già citato TOR.
Anche leggere un magazine online dedicato a Linux equivale a finire nella blacklist della NSA, dice il codice, e a quel punto l’utente si trasforma in un “obiettivo” su cui l’intelligence raccoglie informazioni, dati e metadati in maniera sistematica, archiviandoli per sempre e senza possibilità di eliminazione come invece dovrebbe capitare – secondo quanto sostiene la stessa NSA – con i dati riferibili al resto dei netizen.
La pubblicazione delle regole seguite da XKeyscore contribuisce ovviamente ad alimentare ancora le polemiche e il dibattito sul Datagate, uno scandalo che assume contorni sempre più inquietanti e difficili da interpretare. Per la Electronic Frontier Foundation si tratta dell’ennesima violazione, da parte della NSA, di un diritto fondamentale come la privacy online, fermo restando che usare Tor è sicuro e più utenti ne fanno uso più la sicurezza complessiva del network se ne avvantaggia.
Un altro aspetto inquietante, questa volta per la stessa NSA, è l’esistenza di una nuova fonte di documenti riservati oltre al già noto Edward Snowden: chi ha accesso al cartiglio di segreti a disposizione di Snowden dice di non aver mai visto il codice di XKeyscore reso pubblico nei giorni scorsi, quindi l’agenzia statunitense dovrà ora fare i conti con una nuova “talpa” dall’identità anonima e potenzialmente pericolosa tanto quanto l’ex-analista della CIA in esilio in Russia.
fonte: http://punto-informatico.it