Il continuo impegno per potenziare la sicurezza di OpenSSH ha portato allo sviluppo di una nuova importante funzionalità : l’introduzione del binario (codice eseguibile) sshd-auth. Questo aggiornamento si inserisce nella più ampia strategia adottata da OpenBSD per rendere l’implementazione di OpenSSH più sicura ed efficiente.
Un aggiornamento verso la sicurezza
L’aggiornamento è stato recentemente inserito da Damien Miller, uno degli sviluppatori di OpenBSD, con l’obiettivo di migliorare ulteriormente la separazione delle funzioni all’interno di OpenSSH, in particolare con la creazione di un binario dedicato esclusivamente all’autenticazione degli utenti.
Nel messaggio associato all’inserimento del nuovo codice, è stato spiegato chiaramente lo scopo dell’operazione:
La suddivisione di questo codice in un binario separato garantisce che la superficie di attacco legata alla fase di pre-autenticazione abbia uno spazio di indirizzamento completamente distinto dal codice usato per il resto della connessione.
Questo significa che, separando la fase di pre-autenticazione dal resto del processo, si riducono significativamente i rischi legati alla sicurezza. La superficie di attacco è ridotta, in quanto il codice responsabile dell’autenticazione opera in uno spazio di memoria isolato rispetto alle altre fasi della connessione.
Vantaggi in termini di prestazioni
Oltre ai benefici in termini di sicurezza, questa nuova struttura offre anche un vantaggio in termini di gestione della memoria. Una volta completata la fase di autenticazione, il codice relativo a questa funzione viene scaricato, liberando memoria che può essere utilizzata per altre operazioni. Questo si traduce in un risparmio di memoria durante l’esecuzione del servizio.
Integrazione e test nel progetto OpenBSD
Questo nuovo binario è già stato integrato nelle versioni sperimentali di OpenBSD (note come snapshot) ed è stato testato a partire dalla settimana scorsa. Proprio come avviene per altri componenti di OpenSSH, come sshd, ssh-session e ssh-agent, anche il nuovo sshd-auth sarà rilinkato casualmente ad ogni avvio del sistema, aggiungendo così un ulteriore livello di protezione contro eventuali tentativi di attacco.
OpenSSH e la sua diffusione su altre piattaforme
OpenSSH, parte del progetto OpenBSD, è largamente utilizzato anche su altri sistemi operativi, inclusi quelli basati su Linux. Questo significa che, quando vengono introdotti miglioramenti nell’implementazione di OpenBSD, è molto probabile che questi aggiornamenti vengano progressivamente incorporati anche nelle versioni di OpenSSH distribuite su altre piattaforme, come appunto GNU/Linux.
La segregazione delle funzionalità in binari distinti, come nel caso di sshd-auth, rappresenta un approccio che sarà probabilmente implementato anche nelle versioni di OpenSSH utilizzate su GNU/Linux, migliorando così la sicurezza complessiva del sistema anche in questo contesto.
Perché la suddivisione dei binari migliora la sicurezza
Il principio che guida queste modifiche è quello di ridurre la superficie di attacco, ovvero l’insieme delle componenti di un sistema esposte a potenziali rischi. Nel contesto della sicurezza informatica, la riduzione della superficie di attacco è uno dei principali metodi per proteggere un sistema da possibili intrusioni.
Suddividere il processo di autenticazione in un binario separato come sshd-auth significa che, se un attacco riuscisse a sfruttare una vulnerabilità nella fase di pre-autenticazione, questa non comprometterebbe necessariamente le altre funzioni del demone SSH (che rimarrebbero isolate). L’autenticazione, essendo una delle prime fasi di una connessione SSH, rappresenta un punto critico in cui è essenziale garantire il massimo livello di protezione.
Sviluppi futuri
Considerando che OpenSSH è il software di connessione remota tramite terminale più utilizzato al mondo, questi cambiamenti avranno un impatto significativo anche su altre distribuzioni e sistemi operativi. Il progetto OpenBSD continuerà sicuramente a lavorare su ulteriori ottimizzazioni per migliorare la sicurezza e le prestazioni di OpenSSH. Per gli utenti e gli amministratori di sistemi GNU/Linux, è importante rimanere aggiornati su queste innovazioni, che potrebbero presto essere integrate nelle loro versioni della distribuzione.
Per ulteriori informazioni e dettagli, puoi consultare l’annuncio ufficiale nel Journal di OpenBSD, il quale contiene un registro di sistema (changelog) dettagliato delle modifiche implementate.
Fonte: https://linuxiac.com/openssh-unveils-new-authentication-binary/
Source: Read More