Was tun, wenn auch Linux unsicher ist?

(Di Alessandro Rugolo)
29/10/18

Unter den wenigen Gewissheiten, die ich immer über Betriebssysteme hatte, kann ich sicherlich erwähnen: „Linux ist besser als Microsoft“.
Aber ist es wirklich so?
Es ist in diesen Tagen die Entdeckung eines Fehler das ermöglicht es Ihnen, zu tun Eskalation von Privilegien auf großen Linux-Servern.
Il Fehler Es trägt den Code CVE-2018-14665 und scheint von Narendra Shinde identifiziert worden zu sein.
Das Problem liegt nicht im Linux-Kernel-Code, sondern, zumindest so scheint es, im Code der am häufigsten verwendeten grafischen Schnittstellen auf Linux-Distributionen, dem X.org-Server, ab Version 1.19.0.
Dies bedeutet, dass seit etwa zwei Jahren alle Systeme, die X.org-Server nutzen, potenziell basierten Angriffen ausgesetzt sind Eskalation von Privilegien.

Um es klarzustellen: Die von dieser Schwachstelle betroffenen Systeme sind OpenBSD, Debian Ubuntu, Fedora, Red Hat Enterprise Linux und CentOS!

Ich halte es nicht für angemessen oder notwendig, mit der technischen Analyse des Problems fortzufahren, in den vertiefenden Links am Ende des Artikels ist es möglich, die notwendigen Informationen und Vorschläge zur Lösung des Problems zu finden. 
Was mich interessiert, ist, auf einige Aspekte einzugehen, die oft unterschätzt werden, und dazu werde ich versuchen, einige einfache Fragen zu stellen, die ich zu beantworten versuche.
Was ist in den vergangenen Jahren zuerst mit Unix und dann mit Linux passiert?
Und wer entscheidet dann, ob und wie das angewendet wird? Flicken eines aktuellen Systems oder ein Upgrade auf die nächste Version?

Zweifellos sind Menschen wie ich in einem bestimmten Alter auf die Notwendigkeit gestoßen, die Befehlszeile von Unix oder Linux oder beiden zu verwenden, die heute sehr oft durch die Verwendung einer grafischen Version ersetzt wird. 
Die Einführung von Grafiken war für die Systeme ein Erfolg, da sie viele potenzielle Benutzer näher zusammenbrachte und Unix/Linux-Systeme mehr wie Windows-Systeme aussehen ließen, gleichzeitig war es jedoch notwendig, die Komplexität zu erhöhen. Kurz gesagt: Während früher leistungsstarke und relativ leichte Systeme verfügbar waren, hat die Einführung von Grafiken den Code schwerer gemacht.  
Linux-Betriebssysteme sind in der Regel Technikern vorbehalten, sie werden in der Software eingesetzt Rechenzentrum. Für die Verwaltung von Netzwerken und Computersystemen, die eine hohe Leistung erfordern, ist dies ihr Merkmal, aber sie sind bei Managern und Entscheidungsträgern, die auf Techniker angewiesen sind, oft wenig bekannt. Richtiges Verhalten oder nicht, schwer zu sagen.

Wer könnte besser als ein guter Techniker sagen, was erforderlich ist, damit ein System besser funktioniert? Wahrscheinlich keine.

Doch wer trägt die Verantwortung für das Unternehmen? Wer haftet gesetzlich für Fehler? Wer zahlt bei Nichteinhaltung der Datenschutzgesetze oder bei Diebstahl von Betriebs-, Militär- oder Staatsgeheimnissen?

Nun, ich denke, es ist klar, dass die Techniker ihre Autonomie haben müssen, aber ich denke, es ist ebenso klar, dass in einer seriösen Organisation ein Risikoanalysesystem verwendet werden muss, das auch das technologische Risiko und die Analyse berücksichtigt Flicken (Funktionalität und Sicherheit) müssen berücksichtigt werden, beispielsweise die Risikoanalyse beim Übergang von einer Version zur nächsten.

Der Prozess, der zur Grafik führte, ist dem sehr ähnlich, der zur Virtualisierung drängte und immer noch drängt ... Ich hoffe, dass diejenigen, die sich für Virtualisierung entschieden haben, dies bewusst getan haben!

Was mir immer klarer wird, ist die Tatsache, dass es notwendig ist, die Dinge einfach zu halten, um eine wirksame Kontrolle ausüben zu können, und das ist eine Regel, die meiner Meinung nach immer gültig sein kann, umso mehr im IT-Bereich.
In einer kritischen Umgebung muss unbedingt sichergestellt werden, dass das technische Personal mit sicheren Werkzeugen und nach klaren Verfahren arbeiten kann.

Die Fähigkeit, Betriebssysteme zu verwenden Linux-ähnlich aus der Befehlszeile heraus ist daher meiner Meinung nach eine Fähigkeit, die es zu bewahren gilt, ohne sich zu sehr von der gepriesenen Einfachheit grafischer Systeme anziehen zu lassen, die im Gegenzug die Komplexität des Codes und der Angriffsfläche erhöhen.

Um mehr zu erfahren:

- https://www.nushinde.com
- https://www.bleepingcomputer.com/news/security/trivial-bug-in-xorg-gives...
- https://bugs.debian.org/cgi-bin/pkgreport.cgi?pkg=xserver-xorg-video-int...
https://www.theregister.co.uk/2018/10/25/x_org_server_vulnerability

(Foto: US-Verteidigungsministerium)