Per essere veramente a una soLa comunità pacchetto di codice scelto da
prova di bomba un computer deve avere due requisiti: un
hardware "pulito", cioè privo
di chip spioni (perché se la cimice è a livello hardware, non c'è niente da fare), e un sistema operativo con gli attributi giusti. Nel mondo degli esperti di sicurezza le distribuzioni
di Linux più aggressive e meglio configurate permettono
di raggiungere livelli di impenetrabilità che Windows
e macOS se li sognano. C'è però un sistema operativo ancora più sicuro, soprattutto quando si impara a pilotarlo a modo: OpenBSD. Niente a che vedere con Ubuntu o simili distro vanilla, dimentichiamo le “install fest” con nuove funzionalità ogni tre mesi. OpenBSD è stabile, sicuro, ogni riga di codice è stata testata quattro volte da gruppi diversi di esperti e la documentazione è la migliore che è possibile trovare su qualsiasi sistema operativo. Perché con OpenBSD abbiamo tra le mani quella che viene definita la macchina più sicura del pianeta.
Nel numero 226 di Hacker Journal abbiamo già parlato di Unix e dei suoi eredi, le Berkeley Software Distribution dell'Università della California, cioè le BSD.
A differenza di Linux, che mette assieme un kernel con una serie di strati software eterogenei, le release BSD vengono sviluppate organicamente dalla stessa comunità. Questo permette una maggiore integrazione e un approccio molto più centrato sulla filosofia stessa della distribuzione. Realizzata da un team mondiale di volontari, OpenBSD si fa vanto della sua portabilità, standardizzazione, mancanza assoluta di bug, sicurezza e crittografia integrata da sempre. Uno dei punti di forza di OpenBSD è la sua politica
di completa trasparenza: gli sviluppatori non nascondono nessun problema di sicurezza, che comunque negli anni sono stati veramente pochissimi, praticamente zero.
Oggi OpenBSD è la scelta di riferimento per firewall, web server, mail server, fa parte del
Microsoft per le estensioni Unix di Windows 10. OpenBSD è minimale, non ha una modalità di installazione a pacchetti semplificata: ci vogliono dieci minuti per installarlo ma bisogna sapere cosa si sta facendo. Infatti OpenBSD richiede che l'utente sappia già tutto e decida passo per passo cosa fare soprattutto nell'ambito della sicurezza.
Dalla crittografia alla firma del codice fino a un controllo fanatico delle connessioni, non si fa mancare niente.
Il repository di software comprende ottomila pacchetti, tra i quali ci sono Gnome, Plasma 4, Xfce. Come browser i soliti noti Firefox e Chromium, mentre i Windows manager compresi nelle distribuzioni del progetto sono cwm, FVWM (che fa parte di Xenocara come default) e twm.
PercHé instaLLarLo
Se abbiamo già configurato un sistema come firewall, un gateway per VPN o IDS (Intrusion Detection System), abbiamo lavorato quasi sicuramente con OpenBSD. Equesto è un ottimo motivo per pensare di installarlo sulla nostra macchina e farne uno dei propri sistemi operativi di riferimento, se non il principale. Ci sono vari scenari di utilizzo, vediamoli.
Il primo è difensivo: se si viaggia
o ci si muove in ambienti potenzialmente ostili (e basta la connessione WiFi gratuita di un bar o di un treno per creare un rischio di sicurezza) OpenBSD è il carro armato che vogliamo avere installato sulla nostra macchina. Configurare la parte di PF (packet filtering), Firewall e crittografia della memoria e del disco, unita alla sua randomizzazione, oltre al sistema di verifica dell'integrità del codice, è una garanzia per avere un computer a prova di bomba. OpenBSD pone problemi differenti come macchina da usare per forensics o per pen-test, perché mette talmente tanti vincoli e ostacoli da risultare poco pratica. Ma niente impedisce di creare una macchina virtuale con Arch e utilizzarla per fare le cose "più leggere" senza rischiare di compromettere il proprio hardware. Il secondo uso di
OpenBSD è per le appliance di casa: perché non dotarsi di una VPN con un gateway a prova di bomba e di un firewall con tutti gli attributi del caso? Ovviamente OpenBSD è disponibile anche per architettura Arm e c'è chi l'ha portato su Raspberry Pi.
Terzo scopo, conosci il tuo nemico. Perché se iniziamo a lavorare con OpenBSD dobbiamo imparare per forza la logica delle configurazioni del sistema e gli strati difensivi disponibili. OpenBSD è a prova
di bomba ma solo se ben configurato. E questa unica debolezza è tutta dell'operatore umano: il modo per capirla e fare un pen-test come si deve è avere una enorme familiarità con OpenBSD: ad esempio con le alternative alle librerie standard di sicurezza del C, che sotto OpenBSD sono ad esempio strlcat() al posto di strcat() e strlcpy() al posto di strcpy(). Ma anche la "purificazione" della memoria protetta: WX, .rodata, randomizzazione di malloc() e mmap(), separazione e revoca dei privilegi, il jailing del Chroot, nuove UID e via dicendo.
è tutta geoPoLitica
La guerra epocale per le tecnologie in corso tra l'America e la Cina è una guerra di spionaggio.
Gli americani non vogliono apparecchiature cinesi perché sanno che sarebbero buggate. Ma la verità è che anche l'hardware Made in Usa è a sua volta buggato. I colossi come Intel e Qualcomm sicuramente collaborano con la NSA americana. Le backdoor hardware sono un problema enorme per gli esperti di sicurezza, perché si attivano a un livello impossibile dai bloccare dal sistema operativo. L'unica risposta è cambiare il firmware della macchina avendo la certezza che il chipset sia "pulito". È per questo che tanti esperti di sicurezza utilizzano come portatili i ThinkPad di Ibm e poi Lenovo. Hanno pre-chip di sicurezza (fino al 2012), è possibile cambiare il firmware con uno open source e utilizzano un sistema operativo leggero e potente (vista anche l'età dell'hardware), vale a dire OpenBSD. È come uscire dalla matrice: si diventa invisibili e si vive liberi. Ma bisogna saperlo fare.
