Entre las pocas certezas que siempre he tenido acerca de los sistemas operativos, puedo mencionar que "Linux es mejor que Microsoft".
¿Pero es realmente así?
Es en estos días el descubrimiento de un error eso te permite hacer escalada de privilegios En los principales servidores de Linux.
Il error se identifica con el código CVE-2018-14665 y parece haber sido identificado por Narendra Shinde.
El problema no se encuentra en el código del kernel de Linux, pero, por lo que parece, en el código de las interfaces gráficas más utilizadas en las distribuciones de Linux, el servidor X.org, a partir de la versión 1.19.0.
Esto significa que durante casi dos años, todos los sistemas que usan servidores X.org están potencialmente sujetos a ataques basados en escalada de privilegios.
Para ser claros, los sistemas afectados por esta vulnerabilidad son OpenBSD, Debian Ubuntu, Fedora, Red Hat Enterprise Linux y CentOS.
No creo que sea recomendable continuar con el análisis técnico del problema, en los enlaces detallados al final del artículo es posible encontrar la información necesaria y las sugerencias para resolver el problema.
Lo que me interesa es profundizar algunos aspectos a menudo subestimados y, para hacerlo, intentaré hacer algunas preguntas simples a las que intentaré responder.
Primero, ¿qué pasó con Unix, luego Linux en el pasado?
Y luego, quién decide si y cómo aplicarlos. parche ¿De un sistema en uso o de cambiar a la siguiente versión?
Sin duda, aquellos que, como yo, tienen cierta edad, chocaron con la necesidad de usar la línea de comandos de Unix o Linux, o ambos, que en la actualidad es muy a menudo reemplazada por el uso de una versión gráfica.
La introducción de los gráficos fue un éxito para los sistemas, que reunió a muchos usuarios potenciales, haciendo que los sistemas Unix / Linux fueran más similares a los sistemas Windows, pero al mismo tiempo era necesario aumentar la complejidad. En resumen, mientras que anteriormente había sistemas potentes y relativamente ligeros disponibles, la introducción de gráficos ha afectado el código.
Los sistemas operativos de Linux son generalmente una prerrogativa de los técnicos, se utilizan dentro de en el centro de datos Para la gestión de redes y sistemas de TI que necesitan un alto rendimiento, esta es su característica, pero a menudo son poco conocidos por los gerentes y tomadores de decisiones que dependen de los técnicos. Comportamiento correcto o no, difícil de decir.
¿Quién mejor que un buen técnico puede decir lo que se necesita para que un sistema funcione mejor? Probablemente ninguno.
¿Pero quién tiene la responsabilidad de la empresa? ¿Quién responde a los errores jurídicos? ¿Quién paga en caso de incumplimiento de la legislación de privacidad o en caso de restar secretos industriales, militares o de estado?
Ahora, creo que está claro que los técnicos deben tener su autonomía pero creo que es igualmente claro que en una organización seria se debe utilizar un sistema de análisis de riesgos que también tenga en cuenta el riesgo tecnológico y el análisis de parche (funcional y de seguridad) debe tenerse en cuenta, como el análisis de riesgos en la transición de una versión a la siguiente.
El proceso que ha empujado hacia los gráficos es muy similar al que ha empujado y sigue empujando hacia la virtualización ... ¡Espero que aquellos que han elegido la virtualización lo hayan hecho conscientemente!
Lo que me queda cada vez más claro es el hecho de que necesitamos hacer cosas simples, para que sea posible ejercer un control efectivo, y esta es una regla que creo que siempre puede ser válida, incluso más en el campo de la tecnología de la información.
Seguramente, en un entorno crítico, es necesario asegurarse de que el personal técnico pueda trabajar utilizando herramientas seguras y siguiendo procedimientos claros.
La capacidad de utilizar sistemas operativos. Linux como desde la línea de comandos es, en mi opinión, una capacidad para ser preservada, sin ser atraída demasiado por la inefable facilidad de los sistemas gráficos que, como contrapartida, aumentan la complejidad del código y la superficie de ataque.
Para saber más:
- https://www.nushinde.com
- https://www.bleepingcomputer.com/news/security/trivial-bug-in-xorg-gives...
- https://bugs.debian.org/cgi-bin/pkgreport.cgi?pkg=xserver-xorg-video-int...
https://www.theregister.co.uk/2018/10/25/x_org_server_vulnerability
(foto: US DoD)
