Andamos otra vez a vueltas con la seguridad en Linux, y todo a raíz de un artículo publicado ayer en The Washington Post en que se cuestionaba la fiabilidad del sistema del pingüino en ese aspecto.
Aunque se ve que el periodista no controla demasiado del tema –llega a echar a Linux la culpa de hacking de Ashley Madison porque corría en sus servidores…–, el artículo es interesante porque participan varios expertos de seguridad, además del propio Linus Torvalds, que se defiende de las acusaciones de tener un enfoque demasiado pasivo, casi indiferente en ese aspecto.
Los que seguimos a Torvalds desde hace tiempo, sabemos que lo que realmente le preocupa es la calidad del código (tiene momentos de ira legendarios debido a eso) y que se rebela ante lo que el llama el “circo de la seguridad” y algunos charlatanes que anidan en esa industria.
Para Linus la seguridad nunca va a ser perfecta y ese aspecto es solo uno más de los que constituyen el sistema operativo (en ese punto coincido con el…para mi es igual de hacker uno que domina Krita que el que juega con nmap y metasploit…sin necesidad de ser un tarado social como el de Mr. Robot), y todo debe moverse en el justo equilibrio de permitir que el sistema se pueda utilizar con comodidad.
Linux es robusto, bien construido pero no inmune a tener sus bugs o fallos de seguridad, por una mala implementación de código en un momento dado.
Si nos fijamos en lo que ha sido su desarrollo desde que apenas tenía 10 000 lineas de código a los 20 millones de ahora, siempre ha respondido a cualquier fallo con el clásico “fallo detectado / vamos a parchear lo antes posible” (en la mayoría de dispositivos Android ni eso…pero eso ya es culpa de los fabricantes principalmente).
Lo normal y correcto, me diréis…bueno en realidad no tanto, las cosas se pueden hacer todavía mejor. Por ejemplo vemos que en el espacio del usuario se dispone de una segunda capa de seguridad (SELinux o AppArmor) provista por el propio kernel, por si algunas de las aplicaciones se desmadra y tienen comportamientos no deseados.
Algo parecido es lo que se pretende hacer ahora en el núcleo, adelantarse a los acontecimientos y no depender de que en un momento dado, y en ocasiones dependiendo de la suerte, se descubra una vulnerabilidad, para corregirla y ser inmune a ella.
Para ello se acaba de lanzar un proyecto llamado Kernel Self Protection Project, que pretende endurecer Linux, luchando de forma genérica contra los métodos de explotación y clases de errores más habituales, automatizando mucho más todo el tema de la seguridad..
Algo similar se había intentado antes con proyectos como PaX y Grsecurity, que no tuvieron la acogida esperada entre los principales desarrolladores del Kernel.
En este caso es diferente ya que el Kernel Self Protection Project, estará bajo los auspicios de la Core Infrastructure Initiative, una iniciativa de la Fundacion Linux que cuenta con el patrocinio de algunas de las principales empresas tecnológicas –Amazom, Google, Facebook, Dell, IBM,…– y que ya ha dado soporte económico a varios proyectos como: openSSL, GnuPG, ntp, la gente que trabaja en los reproducible builds, etc…
Además vemos que cuenta con el beneplacito de gente muy influyente en linux como Greg Kroak-Hartman, que ya ha felicitado públicamente al impulsor del proyecto, un desarrollador que trabaja para Google llamado Kees Cook.
Podéis encontrar más información sobre todo esto, en la wiki del Kernel Self Protection Project.
Fuente: lamiradadelreplicante
