A metà febbraio parte dei sorgenti di Windows 2000 e NT sono stati immessi sulla rete e qui si sono diffusi molto velocemente tramite i sistemi peer-to-peer. Uno studio attento delle linee di codice pubblicate potrebbe portare, tra qualche tempo, alla scoperta di nuove vulnerabilità. Nei sistemi operativi open source questa possibilità è insita nella formula stessa di distribuzione del software. Nei mesi scorsi sono state pubblicate diverse vulnerabilità sul kernel di Linux che consentono ad un utente di elevare i propri privilegi su un sistema e sono stati violati proprio i server di due importanti organizzazioni del mondo Open Source, Debian e Gentoo.Per Debian è stata utilizzata un’utenza locale dalla quale si è ottenuta una “root” tramite una vulnerabilità non conosciuta sul kernel di Linux. Nel caso di Gentoo sembra siano state utilizzate prima una vulnerabilità non pubblica su “rsync”, e successivamente un’altra, locale, sul kernel. In entrambi i casi sono stati utilizzati degli exploit conosciuti come “0-day” ovvero di codici che sfruttano delle vulnerabilità non pubbliche. Le conseguenze di questi attacchi avrebbero potuto essere ben più drammatiche: gli attaccanti avrebbero potuto modificare i repository dei pacchetti delle distribuzioni e tramite le funzionalità di aggiornamento “backdorare” tutte le macchine che usano queste distribuzioni. Gli 0-day lavorano quindi su informazioni tecniche che non sono ancora a disposizione del pubblico e/o dei produttori dei software, ma sono noti soltanto ai loro scopritori. Questo aspetto sembra non lasciare possibilità di difesa ai sistemisti impegnati nella difesa delle reti, tuttavia non è così. Tra le tecniche di difesa possibili, si può intervenire sul metodo con cui agiscono le vulnerabilità più che sul software specifico, ad esempio per prevenire il successo di un attacco di tipo buffer overflow, potremmo utilizzare nei nostri sistemi un kernel con lo stack randomico al posto di affidarci all’installazione di una patch per “fixare” un una certa vulnerabilità. In alternativa o aggiunta potremmo adottare un kernel che non permetta di accedere in esecuzione a tutte le zone di memoria. Ulteriore elemento di sicurezza è operare un’oculata scelta dei software da utilizzare: meglio lavorare con programmi scritti da aziende che effettuano del source auditing sui codici e pubblicano patch e advisory: queste sono indicazioni di attenzione verso le tematiche di security.Un aspetto che deve essere sempre presente nei piani di protezione è operare un corretto hardening delle macchine, a tal proposito si ricorda che dei server della Forze Armate americane sono stati violati attraverso una vulnerabilità nota “in the wild”,(http://msnbc.msn.com/id/3078482/ - http://www.tecrime.com/llartH12.html )in particolare si trattava di un buffer overflow exploitabile tramite webdav di IIS; disabilitare webdav avrebbe protetto le macchine contro quest’attacco; in generale disabilitare tutto ciò che non è strettamente necessario al corretto funzionamento dei sistemi elimina sempre possibili fonti di problemi.