Linux È UN SISTEMA OPERATIVO
Per Richard Stallman e per i sostenitori del movimento del Software libero non è affatto una questione di lana caprina. Nel 1991, Linus Torvalds presentò la primissima versione del kernel Linux, pubblicato sotto licenza GNU GPL, quindi come software libero. Fu un evento storico perché il kernel Linux, di fatto, si univa con il software libero GNU (GNU’s Not Unix) andando a formare un sistema operativo completo.
Come spiegano anche le FAQ sul progetto GNU, il sistema operativo nella sua interezza dovrebbe essere chiamato GNU/Linux mentre il termine “Linux” andrebbe usato solo per riferirsi al kernel. Nel quotidiano, alla fine, questo non succede quasi mai e si insiste nell’usare il termine Linux come “sistema operativo”. Gli ideatori di GNU hanno sempre rivendicato un ruolo centrale ed essenziale: è quindi bene conoscere le differenze tra Linux e GNU/Linux.
LINUX È IMMUNE AI VIRUS
La seconda, peraltro diffusissima falsa credenza, è che le distribuzioni Linux siano sostanzialmente immuni ai virus. Come regola generale, va tenuto presente come nessun sistema operativo possa essere ritenuto esente dall’azione dei malware. Anzi, tenere la guardia troppo bassa – semplicemente perché una piattaforma è poco bersagliata dalle minacce informatiche – può essere un errore gigantesco. Dare per scontata una Sicurezza intrinseca a vantaggio di Linux, potrebbe aprire le porte all’azione degli aggressori.
Linux trae vantaggio da solide pratiche di sicurezza integrate a livello di design design. Funzionalità come quelle per la gestione dei permessi utente, l’isolamento dei processi, accesso root disattivato per impostazione predefinita e il principio del privilegio minimo, aiutano senza dubbio a godere di un sistema nel complesso sicuro. Le distribuzioni Linux immutabili portano la protezione al livello successivo, impedendo modifiche non autorizzate. Ma è soltanto la punta dell’iceberg.
I sistemi Linux possono comunque essere colpiti da varie tipologie di malware. Anche ransomware e cryptojacking presentano rischi significativi.
Ovvio che Windows e macOS sono bersagli preferiti e prioritari per i criminali informatici: la loro diffusione è enormemente superiore a Linux che, per quanto riguarda le installazioni desktop, supera di poco il 4% (fonte: StatCounter, giugno 2024). Il discorso è diverso nel caso dei server: nel 2023 le distro Linux hanno continuato a dominare il mercato con il 63% delle installazioni totali. Windows Server, in seconda posizione, è largamente distaccato (fonte: Fortune Business Insights).
LA QUESTIONE DELLA SICUREZZA LATO SERVER LINUX
Vulnerabilità di sicurezza vengono periodicamente corrette sia a livello kernel che nelle applicazioni integrate o installabili manualmente, attraverso il package manager, su qualunque distribuzione Linux. Pensate che lasciare un componente server vulnerabile, in ascolto su una certa porta esposta pubblicamente sulla rete Internet, può facilmente esporre a rischi di attacco.
Per questo motivo gli amministratori IT sono costantemente al lavoro per aggiornare i server Linux e applicare le patch di sicurezza via via rilasciate. L’utilizzo di politiche firewall efficaci (ad esempio per rendere visibili le porte solo a determinati indirizzi IP), l’utilizzo di server VPN (che vanno comunque, essi stessi, aggiornati e configurati in modo sicuro…), la segmentazione della rete, aiutano però a difendere le macchine Linux così come i sistemi (server e non) basati su qualunque sistema operativo.
Non per niente, lato server esistono diversi strumenti automatizzati per effettuare l’auditing dei sistemi e far emergere eventuali problematiche di sicurezza. Tra i più famosi c’è Lynis, uno strumento che effettua una scansione profonda e indica se gli amministratori avessero lasciato attive delle impostazioni che potrebbero risultare troppo permissive.
Citiamo anche CrowdSec, un IPS (Intrusion Prevention System) collaborativo progettato per rilevare, prevenire e mitigare attacchi informatici attraverso la collaborazione della comunità. Il sistema utilizza una combinazione di pattern matching, algoritmi di machine learning e regole specifiche per individuare potenziali minacce. When un’istanza di CrowdSec rileva un attacco, questa informazione viene anonimizzata e inviata alla “Central API” di CrowdSec. In questo modo, altre istanze di CrowdSec possono beneficiare di queste informazioni per migliorare la propria capacità di rilevamento. Una volta rilevata una minaccia, CrowdSec può prendere misure per mitigarla. Queste misure possono includere il blocco degli indirizzi IP malevoli, l’attivazione di regole firewall e altre azioni preventive.
Altri tool che svolgono il ruolo di IPS sono, ad esempio Snort e OSSEC. Ma ce ne sono diversi altri. Proprio a dimostrazione che Linux è tutt’altro che immune alle minacce informatiche.