From Curtis Patranella: [What are your thoughts on the security aspects of] PGP and email encryption in this age of Big Brother and NSA infringement. MB: Encryption to avoid eavesdroppers is a good method. The use of encryption will definitely increase in the upcoming years. There is a downside however, like legitimate email scanning (for viruses, spam) might be less efficient, as these tools can’t “read” the emails either. Next phase will be skepticism about the strength of encryption ciphers being used, especially after the NSA revelations. From Paul Graham: Along the lines of the Flame Virus that 'tricked' Windows into thinking it was a Microsoft Update; how secure is Linux against this sort of attack? MB: Flame used a clever method to convince users the patch was signed by Microsoft. By chaining an invalid certificate type into that of the Microsoft root certificate, updates looked to be signed by Microsoft. If an attacker would like to perform a similar method on Linux systems, the repository (or a mirror) of that distribution would most likely be targeted. Of course it is possible, especially with the help of an insider. Since most Linux distributions use signed packages, the chance for detecting an invalid package is high though. Since most software is open source, it’s a good thing that there are people around who like to dig into the security aspect of it.
Curtis Patranella : [Que pensez vous de la sécurité des] cryptages des courriels par PGP, en cette ère de Big Brother et d'intrusion de la NSA ?
MB : Crypter pour éviter les oreilles indiscrètes est une bonne pratique. L'utilisation du cryptage va certainement se développer dans les années à venir. Il y a cependant une contrepartie : l'analyse légitime des courriels (contre les virus et les pourriels) pourrait être moins efficace, car ces outils ne pourraient pas non plus « lire » les courriels. La phase suivante sera le scepticisme concernant la force de cryptage des clés utilisées, surtout après les révélations de la NSA.
Paul Graham: Au sujet du virus Flame qui a « trompé » Windows en lui faisant croire que c'était une mise à jour Microsoft, quelle est la sécurisation de Linux contre ce genre d'attaque ?
MB : Flame a utilisé une méthode intelligente pour convaincre les utilisateurs que le correctif était signé par Microsoft. En accrochant un type de certificat invalide au certificat racine de Microsoft, les mises à jour semblaient signées par Microsoft. Si un attaquant voulait agir sur Linux avec une méthode similaire, le dépôt central (ou un miroir) de cette distribution serait probablement la cible. Bien sûr c'est possible, surtout avec l'aide de quelqu'un d'initié. Comme la plupart des distributions utilisent des paquets signés, la probabilité de détecter un paquet invalide est, cependant, forte. Puisque la plupart des logiciels sont en code ouvert, c'est une bonne chose qu'il existe des gens qui aiment creuser l'aspect sécurité de ceux-ci.
From Paddy Landau: I would like to know if it's possible to easily configure Apparmor for the everyday user, rather than for a security expert. I have tried reading the manual, but I find it too complicated to follow. MB: Like most new software, it may take a while to learn to use it. But, once configured, not much administration is needed later on. AppArmor is already considered more user friendly than its alternative, SELinux. If configuring is still too challenging, then you might want to search for ready-to-use configurations. For example, searching for “AppArmor MySQL” will provide links explaining what paths to configure and the required permissions. From Ed Eckelmeyer: Whenever I raise the “security” issue, the response is that Linux (i.e. Unix) is stable, and has had years of finding and eliminating any backdoors for the bad guys. I suppose that another reason might be because there are so few Linux users (relative to Windows users) that it is not worth the effort for the bad guys to spend any time on writing malignant code. Am I blind, ill informed, or just plain lucky that I have not had any problems? MB: Like Windows, there is also malware available for Linux and Mac OS. Fortunately, most of it is focused on specific software and often quickly discovered. If an attacker uses a so-called 0-day exploit, sooner or later someone will notice his system acting strange. With enough determination, the related exploit or malware will be discovered, and software can be patched against it. Most (advanced) Linux users have a different mindset and report discovered vulnerabilities. There are many security researchers scanning code for weaknesses and reporting them. Another important component – which makes Linux pretty secure by default – is the type of installation. Usually it’s a minimal (or default) installation, without unneeded services. If some service is needed, like turning the system into a web server, the user can decide to install a package like Apache. Due to so many Linux distributions being available, one might be lucky when some service is considered vulnerable. For example, an exploit on MySQL might work on a system running Fedora, while the same exploit might not work on Ubuntu. Why? Sometimes it’s just a matter of differences in how a kernel is configured, or how binaries were compiled. For the attacker, it’s almost impossible to make the perfect Linux exploit which works on all systems (32/64 bits, Intel/ARM, kernel security options, etc).
Paddy Landau : Je voudrais savoir s'il est possible de configurer facilement Apparmor pour l'utilisateur lambda, plutôt que pour un expert en sécurité. J'ai essayé de lire le manuel, mais je le trouve trop compliqué.
MB : Comme la plupart des nouveaux logiciels, ça peut prendre un certain temps pour apprendre à l'utiliser. Mais, une fois configuré, peu d'administration est nécessaire par la suite. AppArmor est déjà considéré comme plus convivial que son concurrent, SELinux. Si la configuration est encore trop difficile, alors vous pourriez peut-être chercher des configurations prêtes à l'emploi. Par exemple, la recherche de « AppArmor MySQL » fournira des liens expliquant quels chemins configurer et les autorisations requises.
Ed Eckelmeyer : Chaque fois que je soulève la question de la « sécurité », la réponse est que Linux (c-à-d Unix) est stable et, depuis des années, trouve et élimine les portes dérobées utilisées par les pirates. Je suppose que l'autre raison est peut-être que, parce qu'il y a tellement peu d'utilisateurs Linux (par rapport aux utilisateurs de Windows), cela ne vaut pas la peine pour les pirates de passer du temps à écrire du code malicieux. Suis-je aveugle, mal informé, ou tout simplement ai-je eu de la chance de n'avoir pas eu de problèmes ?
MB : Comme pour Windows, il y a aussi des logiciels malveillants disponibles pour Linux et MacOS. Heureusement, la plupart de ceux-ci se concentrent sur des logiciels spécifiques et sont souvent rapidement découvertes. Si un attaquant utilise un soi-disant exploit 0-day, tôt ou tard quelqu'un va remarquer que son système agit de façon étrange. Avec suffisamment de détermination, l'exploit ou le malware en cause sera découvert, et un correctif pourrait être appliqué contre lui. La plupart des utilisateurs (avancés) de Linux ont une mentalité particulière et font un rapport sur les vulnérabilités découvertes. Il y a beaucoup de chercheurs en sécurité qui recherchent des faiblesses dans le code et les signalent en rédigeant des rapports. Un autre élément important (qui rend Linux très sécurisé par défaut) est le type d'installation. Habituellement, c'est une installation minimale (ou par défaut), sans les services inutiles. Si un service est nécessaire, comme transformer un système en un serveur Web, l'utilisateur peut décider d'installer un paquet comme Apache. Puisque beaucoup de distributions Linux sont disponibles, il faut avoir de la chance pour qu'un service soit considéré comme vulnérable. Par exemple, un exploit sur MySQL pourrait fonctionner sur un système Fedora, tandis que le même exploit pourrait ne pas fonctionner sur Ubuntu. Pourquoi ? Parfois, c'est juste une question de différences dans la façon dont un noyau est configuré, ou comment les binaires ont été compilés. Pour l'attaquant, il est presque impossible de faire l'exploit Linux parfait qui fonctionne sur tous les systèmes (32/64 bits, Intel/ARM, options de sécurité du noyau, etc.).