Linux: un forat de seguretat que ha ‘dormit’ durant 15 anys

Imatge de l'usuari Kovah a Flickr sota llicència Creative Commons
Compartir

La periodista Mercè Molist ens informa de la descoberta d’un important forat de seguretat en el cor del sistema operatiu del pingüí que s’hi ha estat sense ser detectat durant 3 quinquennis. Posa això en dubte la seguretat de la plataforma lliure?

Linux és més segur i estable que Windows” ha estat, des de fa molt temps, una de les màximes que la comunitat del programari lliure i, més concretament, la dels amants de la plataforma creada per Linus Torvalds (perquè, de sistemes operatius lliures, n’hi ha més) han recitat davant d’aquells qui en criticaven els defectes o, més apropiadament, el que ells consideraven com a defectes de Linux.

Aquesta gran seguretat s’ha vist en dubte algunes vegades, com amb el descobriment de la fallada Heartbleed i, més tard, amb el d’una falla en l’intèrpret de comandes bash. I ara, ens n’arriba un altre.

Segons podem llegir en el blog de la Mercè Molist, periodista especialitzada en noves tecnologies i, més concretament, en les àrees del hacking, el hacktivisme i la seguretat informàtica, el forat de seguretat que s’ha trobat a la llibreria glibc de GNU/Linux s’ha anomenat GHOST, i ha estat “dormint” durant quinze (15) anys. Si, heu llegit bé: tres quinquennis sense que (gairebé) ningú se n’adonés de que hi era.

De fet, i com continúa explicant Molist, l’errada en el codi va ser detectada, però se la va considerar un problema menor la solució del qual no va arribar mai. S’havia corregit en les versions anomenades inestables de les distribucions, però el pegat no arribava a les versions estables.

La perillositat de la vulnerabilitat ha estat anunciada sense esperar a què els productors de distribucions i solucions basades en GNU/Linux la tapessin amb un pegat de seguretat per als seus sistemes, deixant així exposats centenars de milers d’ordinadors.

La llibreria glibc és un programa que aplega el que es coneixen com crides al sistema, una sèrie de recursos emprats pels programadors per fer que els seus programes “dialoguin” amb el sistema operatiu (el Linux) i, en definitiva, amb l’ordinador.

Està vinculada a l’ús del llenguatge de programació C (si, el seu nom és una sola lletra) i derivats, i degut a la popularitat d’aquesta familia de llenguatges de programació, pràcticament tots els programes de GNU/Linux l’empren. Per tant, la fallada GHOST és molt greu, i compromet la seguretat de moltes màquines.

Tal i com continúa explicant la Mercè Molist al seu blog, les empreses proveïdores de serveis d’Internet i les que ofereixen serveis d’emmagatzematge en el núvol i altres en línia, fan servir el sistema operatiu del pingüí per allotjar aquestes solucions. Per tant, moltes d’aquestes són vulnerables.

Les solucions s’han començat a publicar, pel que des d’aquestes ratlles recomanem a tots els usuaris de GNU/Linux que s’actualitzin el més aviat possible a través de les eines de la seva distribució. Els administradors de sistemes en empreses ja deuen estar tots avisats de la fallada i treballant en la seva solució, ja sigui manualment o a través de les empreses que els subministren el programari i el servei.

Amb la descoberta d’aquesta nova fallada de seguretat, novament trontolla el model de la seguretat basada en el codi obert. Un important forat de seguretat s’ha passat una dècada i mitja inadvertit en el codi font de GNU/Linux. En el cas del Heartbleed, i segons podem llegir també a l’article de la Mercè Molist, a posteriori es va saber que el programa OpenSSL (que és on es va trobar aquest forat de seguretat) era mantingut per un sol responsable, amb l’ajut de pocs col·laboradors, i sense cap aportació econòmica. Un objectiu ideal per amagar-hi una porta del darrere que no fos detectada en molt de temps.

¿Tots aquests problemes que s’estan descobrint són forats de seguretat provocats fortuitament, o bé ens estem trobant amb codi font introduït expressament en programes i llibreries de GNU/Linux que no disposen de tot el personal que caldria per a revisar-los i garantir-ne la seguretat? I, si es tracta d’aquest darrer cas, qui ho fa?

Els més amants de les teories de la conspiració ràpidament parlarien de la NSA i d’altres agències de seguretat i intel·ligència depenents de governs nacionals però, podrien ser altres organitzacions? Les màfies que es dediquen al cibercrim podrien haver estat actuant des de molt abans del que es pensa?

Des d’aquestes ratlles, vull agraïr a na Mercè Molist la seva gentilesa en comunicar-nos l’existència d’aquest problema de seguretat, així com aprofitar l’avinentesa per recomanar a tots els nostres lectors que també us feu seguidors del seu blog, on hi podreu trobar molts continguts d’interès explicats d’una manera planera i didàctica.

Imatge de portada de l’usuari Kovah a Flickr sota llicència Creative Commons

Guillem Alsina
Etiquetes: