Quanto è sicuro un bootloader?

Sicuramente avrete letto o sentito di un bug di Linux (in realtà il bug è di Grub2, il bootloader usato in quasi tutte le distribuzioni Linux) che permette l’accesso al sistema senza alcuna autenticazione.

Semplicemente premendo 28 volte il tasto backspace!

Il bug si trova in GRUB2 (dal 2009), nelle versioni dalla 1.98 alla 2.02, e causa l’apertura forzata di una shell d’emergenza per il recupero del sistema. Da lì è possibile avere accesso al filesystem e potenzialmente a tutto il sistema.

Può sembrare un problema gravissimo, ma in realtà è un non problema: prevede di avere accesso fisico al sistema (la console può essere acceduta solo fisicamente, salvo casi di remotizzazione seriale o tramite KVM IP) e quando c’è questo accesso, bootloader o no, basta partire da un CD live e il gioco è fatto!

Solo due approcci alla sicurezza possono mitigare questo problema: l’uso di filesystem cifrati (ma molto dipende dove si mette la chiave simmetrica di cifratura/decifratura) e/o l’uso di boot sicuri (utilizzando la piattaforma TPM e il boot in modalità UEFI).

Quindi è veramente un non problema?

Beh… non direi… mi spiace dirlo ma per l’ennesima volta (si pensi a OpenSSL o a OpenSSH) si è dimistrato come un sistema che può essere intrinsecamente più sicuro (grazie alla disponibilità di codice aperto), alla fine non lo è, o comunque la sicurezza non viene considerata per quello che è e non in modo professionale.

Molti programmatori magari non sanno neppure di cosa si tratti e ci può stare, ma allora perché fargli gestire progetti OpenSource o FreeSoftware vitali dal punto di vista della sicurezza (Grub in realtà, per quanto detto prima, non lo classifico in questa categoria, ma OpenSSL sicuramente sì!)?

E quando è veramente vero che l’accesso al codice permette di verificare e validare la sicurezza? Molti bug sono in realtà stati scoperti per caso (quello di Grub ne è un esempio) e molti (oserei dire troppi) anni dopo! Qua parliamo di un bug presente da 6 anni!

Vedere anche:

• Hackerare un PC con Linux? Basta premere backspace 28 volte
• You Can Break Into a Linux System by Pressing Backspace 28 Times. Here’s How to Fix It

Questo post è stato visto 2600 volte!

• Categorie

  • Generale (88)
  • Licenze (26)
    • OpenSource (16)
    • Software Libero (11)
      • GPL (4)
  • Tipi di dispositivi (94)
    • Cellulari (39)
    • Laptop (11)
    • PC (15)
    • Server (11)
    • Tablet (42)
  • Tipi di SO (162)
    • Apple (31)
    • Linux (48)
      • Android (27)
      • Mobile (9)
    • Windows (94)
      • Mobile (15)

• Archivi

  • Agosto 2019 (1)
  • Maggio 2019 (1)
  • Marzo 2019 (1)
  • Novembre 2018 (1)
  • Ottobre 2018 (5)
  • Settembre 2018 (1)
  • Agosto 2018 (3)
  • Luglio 2018 (1)
  • Aprile 2018 (3)
  • Marzo 2018 (2)
  • Febbraio 2018 (2)
  • Gennaio 2018 (4)
  • Dicembre 2017 (3)
  • Ottobre 2017 (1)
  • Agosto 2017 (3)
  • Aprile 2017 (2)
  • Febbraio 2017 (1)
  • Dicembre 2016 (2)
  • Ottobre 2016 (1)
  • Settembre 2016 (1)
  • Agosto 2016 (1)
  • Luglio 2016 (2)
  • Maggio 2016 (1)
  • Aprile 2016 (4)
  • Marzo 2016 (1)
  • Gennaio 2016 (2)
  • Dicembre 2015 (2)
  • Novembre 2015 (3)
  • Settembre 2015 (2)
  • Agosto 2015 (3)
  • Luglio 2015 (2)
  • Giugno 2015 (2)
  • Aprile 2015 (3)
  • Marzo 2015 (2)
  • Gennaio 2015 (2)
  • Ottobre 2014 (1)
  • Settembre 2014 (2)
  • Luglio 2014 (2)
  • Giugno 2014 (2)
  • Maggio 2014 (3)
  • Aprile 2014 (1)
  • Marzo 2014 (2)
  • Febbraio 2014 (2)
  • Gennaio 2014 (2)
  • Dicembre 2013 (2)
  • Novembre 2013 (2)
  • Ottobre 2013 (2)
  • Settembre 2013 (2)
  • Agosto 2013 (1)
  • Luglio 2013 (2)
  • Giugno 2013 (3)
  • Maggio 2013 (3)
  • Aprile 2013 (4)
  • Marzo 2013 (2)
  • Febbraio 2013 (2)
  • Gennaio 2013 (1)
  • Novembre 2012 (2)
  • Ottobre 2012 (5)
  • Settembre 2012 (7)
  • Agosto 2012 (6)
  • Luglio 2012 (3)
  • Giugno 2012 (6)
  • Maggio 2012 (4)
  • Aprile 2012 (6)
  • Marzo 2012 (4)
  • Febbraio 2012 (13)
  • Gennaio 2012 (15)
  • Dicembre 2011 (15)
  • Novembre 2011 (26)
  • Ottobre 2011 (25)
  • Settembre 2011 (12)
  • Agosto 2011 (1)
  • Luglio 2011 (1)

• Tag

  Android Apple Bada DennisRitchie Eventi iOS iPad Linux LinuxDay MeeGo MetroUI Mobile ReactOS RIM SocialNetwork SteveJobs Tablet Tizen TV WebOS Windows8 Windows10 WindowsPhone

• Articoli più letti

  • No results available

• Articoli recenti

  • Hardlink, symlink e reflink
  • Linux Kernel 5.1
  • Linux Kernel 5.0
  • Windows 10 Insider Preview build (19H1)
  • IBM acquista Red Hat
  • Ripristinare il bootloader di Windows 10
  • Ripristinare i file di sistema di Windows
  • Gestire Windows BitLocker da riga di comando
  • Nuovi modelli di Surface
  • Nuovo hardware, nuovi processori, nuovi sistemi operativi?
• Tweet su "@SistemiOperativ"
•