Linux vulnerabile al bug “Gotofail” di Apple

Nel tardo pomeriggio di un venerdì di metà di febbario, Apple ha silenziosamente rilasciato un aggiornamento per un bug che si inseriva nel processo di controllo della catena dei certificati nei sistemi iOS. Tale bug permette a un malintenzionato di connettersi e spiare connessioni in teoria sicure.

Nel tardo pomeriggio di un venerdì di metà di febbario, Apple ha silenziosamente rilasciato un aggiornamento per un bug che si inseriva nel processo di controllo della catena dei certificati nei sistemi iOS. Tale bug permette a un malintenzionato di connettersi e spiare connessioni in teoria sicure.

Sebbene il bug fosse critico, l’annuncio, uscito nel tardo pomeriggio di venerdì, è passato un po’ in sordina. Ma questo è il modus operandi di Apple: il gigante di Cupertino è famoso per operare in segreto.

Tuttavia, l’interesse generale si è risvegliato improvvisamente quando, il giorno dopo, si è venuto a sapere che il bug non interessava solo il sistema operativo dei dispositivi mobili Apple, ma anche il suo sistema operativo tradizionale, OS X. La trama poi si è complicato ulteriormente quando la scorsa settimana si è scoperto che una falla simile aveva colpito anche GnuTLS, un software gratuito open-source usato per implementazioni crittografiche su Linux e altre piattaforme.

Nella misura in cui la notizia ha incominciato a diffondersi tra gli utenti (in particolare quelli di Apple), sempre più mezzi di comunicazione e ricercatori hanno iniziato a pubblicare opinioni e ipotesi di complotti. Bruce Schneier, uno dei più noti esperti di sicurezza informatica e crittografia, ha parlato della vulnerabilità nei seguenti termini:

“La falla è sottile e difficile da individuare durante la scansione del codice. È facile immaginare che questo possa essere successo per errore. E sarebbe stato molto facile per una persona aggiungere la vulnerabilità.

E se fosse stato fatto apposta? Io non so come siano andate le cose, ma se volessi fare una cosa del genere, la farei esattamente così.”

“La falla è sottile e difficile da individuare durante la scansione del codice. È facile immaginare che questo possa essere successo per errore. E sarebbe stato molto facile per una persona aggiungere la vulnerabilità.

Altri ricercatori sono stati più  diretti, ipotizzando che gli errori nel codice che portano al bug di Apple – chiamato “gotofail”  per via del comando riportato nella linea del codice – sarebbero quasi impossibili da realizzare e ancora più difficile sarebbe non vedere l’errore nel processo di revisione del codice. Naturalmente, dato il clima generale e il possibile utilizzo della vulnerabilità, i bug di Apple e GnuTLS hanno attirato l’attenzione di chiunque lavori nel mondo dello spionaggio.

Sebbene senza dubbio simili, i bug sono nati in modi diversi. Un altro esperto di crittografia, Matthew Green di Johns Hopkins University, ha esaminato il bug di GnuTLS e ritiene si tratti di un “onesto”, sebbene sciocco, errore di codice.

Al di là di tutte le teorie cospiratrici, l’errore nel processo di verifica dei certificati  di GnuTLS fa in modo che tutti i desktop Red Hat e i prodotti server, così come tutte le installazioni Debian e Ubuntu (Linux) contengano un bug che potrebbe essere sfruttato per monitorare le comunicazioni che passano attraverso questi dispositivi. Gli impatti del bug coinvolgono le macchine da cima a fondo. Non vengono coinvolte solo le sessioni del web browser (come indicato dall’HTTPS), ma anche le applicazioni, i download e praticamente qualsiasi altra comunicazione, in teoria criptata, che implementi GnuTLS.

Per poter sfruttare uno di questi bug, un hacker dovrebbe trovarsi su di una rete locale insieme al suo target. Tuttavia, in determinate circostanze, i bug potrebbero permettere a un hacker di realizzare un attacco man-in-the-middle: in questo caso la vittima crederà di star comunicando con un service provider online affidabile, mentre in realtà starà inviando pacchetti di dati all’hacker. Entrambi i bug rappresentano un modo efficace per rubare le credenziali di login e spiare le comunicazioni a livello locale.

“Bisogna ammettere che non poteva andare peggio”, afferma Kenneth White, esperto di sicurezza e scienziato presso Social & Scientific Systems, North Carolina. “Un hacker potrebbe falsificare trivialmente ogni dominio e farlo apparire ufficiale e affidabile. In questo modo, non solo [sovvertirebbe] le intercettazione di canali sensibili, ma anche il processo dei pacchetti delle signature di fiducia”.

In altre parole, è possibile falsificare via spoofing le informazioni del certificato che permette a un utente di sapere chi ha sviluppato il software o l’applicazione che sta per scaricare.

Se usate Linux, il vostro sistema potrebbe essere vulnerabile. Vi raccomandiamo di installare gli aggiornamenti più recenti non appena disponibili. Se non usate Linux, non significa necessariamente che siate al sicuro. GnuTLS è un software open-source ampiamente diffuso e funziona su di un numero molto alto di sistemi operativi. Qual è la morale della storia? Installate sempre le patch e gli aggiornamenti.

Consigli