Il più segreto e inquietante National Security Agency (Nsa), una sorta di agenzia di stato americana per la protezione delle comunicazioni amiche e per lo spionaggio di tutto il resto (Echelon e il Grande Fratello insegnano), ha mostrato un cert …
Il più segreto e inquietante National Security Agency (Nsa), una
sorta di agenzia di stato americana per la protezione delle
comunicazioni amiche e per lo spionaggio di tutto il resto (Echelon e
il Grande Fratello insegnano), ha mostrato un certo interesse per
Linux, per apportare una maggior sicurezza al sistema operativo open
source. Il risultato, scaricabile gratuitamente on-line e sotto
licenza Gpl, è stato chiamato Security-Enhanced Linux (Sel). Questo
dovrebbe garantire a Linux un grado di sicurezza finora riservato a
qualche raro sistema operativo sperimentale. Ciò significa una
riduzione dei rischi di fermo del sistema causa virus, una
diminuzione degli effetti dei codici non legali e un rischio di
intrusione (furto di dati, sottrazione delle risorse e modifica degli
eseguibili) ristretto. L’insieme dovrebbe essere fatto con
sufficiente scioltezza, perché le risorse di sistema non siano
devolute interamente alla gestione della sicurezza. Per effettuare
questi sviluppi l’Nsa si basa sui lavori realizzati internamente, in
numerosi anni, attorno a sistemi operativi sicuri come Dtos o Flask.
Il principio di base, ripreso da Flask, consiste nell’installare un
server di sicurezza che si interfaccia tra il microkernel del sistema
operativo e tutte le richieste esterne (sistema, applicazioni,
utenti). Questo server comporta un certo numero di tabelle,
aggiornate continuamente (si parla di riconfigurazione dinamica).
Queste tabelle precisano quali siano i diritti o i tipi di richiesta,
su elaborazione del kernel, in funzione della loro provenienza. Per
esempio, quando si esegue uno script, il server di sicurezza consulta
le tabelle e se nota che i comando lanciato dallo script non è
autorizzato (formattare l’hard disk, spedire i dati verso un server
Ftp esterno e via dicendo), intercetta la richiesta ed evita al tempo
stesso la sua esecuzione. Lo stesso filtro viene applicato alle
richieste degli utenti o del sistema. In effetti, il server di
sicurezza permette di proteggere un certo numero di operazioni del
kernel, il che significa che non risponde a richieste se non in
circostanze estremamente precise. I primi esempi di funzionalità di
Sel sono stati inseriti in una distribuzione di Red Hat 6.1 per
Intel, col kernel 2.2.12. Il codice sorgente di Sel è disponibile per
essere analizzato dagli sviluppatori e verificare se l’onorevole
organismo statunitense non si sia dimenticato di qualche "pecca" che
permetta di accedere al sistema. Non si sa mai…