Ciao a tutti,
nel numero 45 di Linux&C. a pagina 12 c'è un interessantissimo articolo intitolato "grsecurity, PaX e sicurezza... o no?", non è firmato, ma dalla posizione e dallo stile penso che è stato scritto da Luigi Genoni o da Matteo Falsetti, quindi da persone serie e competenti.
Affronta un problema molto importante: il sospetto che Linux, per inseguire il mondo desktop, la facilità di utilizzo, insomma... per inseguire Windows sul suo terreno, stia mettendo fortemente a rischio l'affidabilità, la stabilità e la sicurezza della sua struttura. E qui si sta parlando di kernel, non di applicazioni user space.
Sembra che il problema sia diventando molto serio proprio con il kernel 2.6, in quanto da un lato è stato accellerato al massimo l'inserimento nelle release dichiarati stabili di funzioni e codice non sufficientemente testato, dall'altro non vengono prese in dovuta considerazione le segnalazioni (autorevolissime) inviate da esponenti del core team di progetti quali grsecurity e PaX, i quali segnalano gravi bug, fornendo anche gli exploite e le patch di correzione.
Un altro problema serio è la mancanza di un vero e proprio core team. Che succederebbe se domani Thorvald decidesse di farsi monaco tibetano? Per un bel periodo sarebbe l'anarchia, ed in parte lo è già oggi, infatti pare che spesso sulle mailing list degli sviluppatori del Kernel appaiono risposte che evidenziano una scarsa attenzione generale.
Sembrerebbe che Spengler del core team di PaX abbia trovato nel codice contenuto nei sorgenti della directory drivers 4 gravi vulnerabilità in 15 minuti tramite:
Mia conclusione critica:codice:cd drivers grep copy_from_user -r ./ | grep -v sizeof
"Non è che per inseguire Windows, chi vuole lavorare con tranquillità
dovrà passare a *BSD?"