Nella nostra azienda abbiamo fatto la scelta di mantenere tutti i dati sensibili su server Linux piuttosto che nei computer basati su sistemi operativi Microsoft. Considerata la recente scoperta delle vulnerabilità Meltdown e Spectre dei processori Intel ci stiamo chiedendo se siano necessarie delle contromisure, oltre che per Windows, anche per il sistema operativo del Pinguino. Vi saremmo quindi grati se vorrete indicarci come procedere per mantenere in sicurezza la nostra infrastruttura informatica.
Lettera firmata, via Internet
Linux è un sistema operativo che spesso anticipa alcune tendenze e non si smentisce anche nel caso delle vulnerabilità Meltdown e Spectre. I suoi sviluppatori già da tempo stavano implementando un nuovo metodo di gestione della memoria chiamato Kpti (Kernel Page Table Isolation) che si proponeva di sostituire alcuni degli schemi di protezione utilizzati in passato. In particolare tutti i sistemi operativi attuali implementano una funzione chiamata Aslr (Address Space Layout Randomization) che prevede che gli indirizzi fisici presso i quali vengono caricate le porzioni di codice eseguibile siano assegnati in maniera casuale. Ciò ha lo scopo di rendere più complicati gli attacchi che richiedono accesso diretto alla memoria come ad esempio buffer-overflow, control-flow hijacking oppure code-injection.
La Kernel Page Table Isolation di Linux separa le tabelle per la traduzione degli indirizzi di memoria utilizzate dal Kernel da quelle per lo spazio dedicato alle applicazioni utente. Con questo schema di funzionamento la gravità delle vulnerabilità Meltdown e Spectre si riduce notevolmente ma al prezzo di un aumento della complessità del sistema operativo e, di conseguenza, un calo delle prestazioni. La gestione Kpti è, di fatto, già disponibile ed è possibile implementarla nel nucleo di Linux applicando apposite patch. L’unico problema è che, a seconda dell’hardware e dell’utilizzo che si fa del computer, il nuovo schema di gestione della memoria può comportare una riduzione delle prestazioni dal 5% al 30%. Nei forum dedicati al sistema operativo del Pinguino il malcontento è evidente e c’è chi si spinge a chiedere che i produttori rimborsino agli utenti i soldi spesi per l’acquisto dei processori malfunzionanti ma, a parte l’insoddisfazione generale, Linux è l’Os che mette già a disposizione molti strumenti in grado di ridurre al minimo i rischi derivanti dalle nuove vulnerabilità.
In base alla situazione attuale (1 marzo), sul sito https://kernel.org sono già state rilasciate le patch 4.15.7, 4.14.23, 4.9.85, 4.4.119, 4.1.49, 3.18.97, 3.16.54 e 3.2.99 che integrano il codice per fare fronte alla vulnerabilità Meltdown. Gli utenti potranno procedere allo scaricamento del kernel da questa fonte oppure utilizzare gli appositi strumenti di aggiornamento messi a disposizione dalle varie distribuzioni. Così facendo sarà possibile installare le patch che saranno di volta in volta rilasciate e mantenere gli elevati standard di sicurezza ai quali il sistema operativo Linux ci ha abituati.
(tratto dalla Rubrica POSTA del numero 323 di PC Professionale, vi ricordiamo che per questioni di tipo tecnico o comunque legate al funzionamento o al malfunzionamento di hardware o software potete scrivere all’indirizzo di posta elettronica: rubrica.posta@pcprofessionale.eu
Compatibilmente con la natura del problema cercheremo di rispondere sulle pagine del giornale. Non vengono fornite risposte dirette via mail.)