Segurança Linux

Linux tem 60 CVEs semanais, reportado pela equipe de segurança

Com cerca de 60 CVEs semanais, a segurança do Linux pode parecer desafiadora. Descubra como a equipe de segurança do kernel lida com essas vulnerabilidades e por que é crucial manter o kernel atualizado para proteger seu sistema.

Com cerca de 60 CVEs semanais, a segurança do Linux pode parecer desafiadora. Descubra como a equipe de segurança do kernel lida com essas vulnerabilidades e por que é crucial manter o kernel atualizado para proteger seu sistema.

No mundo do Linux, é comum que a equipe de segurança emita cerca de 60 boletins de segurança de Common Vulnerabilities and Exposures (CVE) por semana. Embora esse número possa parecer alarmante, não há necessidade de pânico. Este é simplesmente o “modus operandi” no universo do Linux.

O que são CVEs e por que tantos?

Os CVEs são identificadores usados para rastrear vulnerabilidades conhecidas em softwares. No caso do Linux, um CVE é atribuído apenas a problemas realmente críticos, como falhas que podem derrubar servidores ou comprometer seriamente a segurança de um sistema. Problemas menores, como bugs que causam perda de desempenho ou pequenos incômodos, não são classificados como CVEs.

Desde fevereiro de 2024, a equipe de desenvolvedores do kernel Linux assumiu a responsabilidade de atribuir CVEs para o kernel. Essa mudança foi motivada por novas regulamentações governamentais, especialmente na União Europeia, que exigem que projetos de código aberto assumam a responsabilidade por vulnerabilidades conhecidas. Além disso, essa medida garante que o processo seja mais eficiente e que os próprios desenvolvedores do kernel tenham a palavra final sobre as vulnerabilidades que afetam o sistema.

A complexidade do kernel e a importância dos CVEs

Greg Kroah-Hartman, mantenedor do kernel estável do Linux, destaca que o kernel Linux possui atualmente cerca de 38 milhões de linhas de código. No entanto, a maioria dos sistemas usa apenas uma pequena fração desse código. Por exemplo, um laptop típico pode usar cerca de um milhão e meio de linhas de código, enquanto um smartphone pode usar cerca de 4 milhões. Isso significa que, embora o kernel seja vasto, cada dispositivo utiliza apenas uma pequena parte dele, o que pode ou não incluir o código vulnerável relatado em um CVE específico.

O desafio, segundo Kroah-Hartman, é que cada sistema Linux é único, com configurações e usos específicos, tornando difícil determinar quais partes do kernel são mais críticas para cada caso. Como Ben Hawkes, ex-gerente do Project Zero do Google, apontou, “um bug pode ser super sério em um tipo de implantação, algo importante em outro, ou não ter importância nenhuma — e pode ser tudo isso ao mesmo tempo”. Isso exemplifica a dificuldade em capturar a verdadeira gravidade das vulnerabilidades no ecossistema do kernel Linux.

Por que é crucial manter o kernel atualizado?

As versões estáveis do kernel Linux incluem correções de bugs e questões de segurança que são retroportadas do kernel principal. Para garantir que essas versões sejam estáveis e seguras, a equipe de desenvolvimento conta com uma ampla comunidade de testadores, que inclui tanto empresas quanto indivíduos.

Kroah-Hartman afirma que a regra é simples: “Se você não está usando a versão mais recente do kernel estável/de longo prazo, seu sistema está inseguro.” Isso significa que, para garantir a segurança do seu sistema, é essencial atualizar o kernel quase toda semana.

Embora a ideia de atualizar o kernel com tanta frequência possa parecer assustadora, especialmente considerando os 60 CVEs semanais, Kroah-Hartman ressalta que há provas de que essa prática é viável. O Debian, por exemplo, que roda em mais de 80% dos servidores do mundo, adota atualizações estáveis do kernel. O Android, que está presente em bilhões de dispositivos, também realiza essas atualizações com um pequeno atraso de alguns meses, mas mantém seus dispositivos seguros.

Por que a estabilidade real vem com mudanças

Kroah-Hartman espera que, eventualmente, todos comecem a usar os kernels estáveis do Linux, que são rapidamente atualizados e cada vez mais seguros. Ele enfatiza que a ideia de que “a falta de mudanças é estável” só é verdadeira se o mundo ao seu redor também não mudar.

Ele cita os infames bugs Spectre e Meltdown da Intel como exemplo. Embora o hardware em si não tenha mudado, o mundo percebeu que esse hardware estava quebrado. Portanto, se você está em um sistema fechado que nunca muda, como alguns mainframes em bancos que nunca se conectam ao mundo exterior, talvez seja seguro mantê-lo para sempre. Caso contrário, se o seu sistema estiver conectado ao mundo em constante mudança, é melhor mantê-lo atualizado.

Como a equipe de segurança do linux lida com essas vulnerabilidades

A equipe de segurança do kernel Linux adota uma abordagem reativa. Eles não procuram ativamente por bugs, mas respondem aos relatórios de vulnerabilidades que recebem. Assim que uma vulnerabilidade é confirmada e corrigida, a solução é integrada às versões estáveis semanais do kernel, que são então disponibilizadas para os usuários. Cabe aos usuários testar e determinar se um problema específico afeta seu sistema.

Diferentemente de outras práticas de segurança, a equipe do kernel não utiliza embargos ou pré-anúncios de vulnerabilidades. Eles acreditam que essas práticas só levam a vazamentos de informações. Em vez disso, o objetivo é disponibilizar as correções para os usuários o mais rápido possível, geralmente dentro de uma semana após a criação do patch.

Conclusão

Gerenciar 60 CVEs por semana e manter o kernel do Linux atualizado regularmente pode parecer uma tarefa assustadora, mas com a abordagem certa, é possível garantir a segurança do seu sistema Linux sem estresse. Entender o contexto das vulnerabilidades, manter o sistema atualizado e priorizar as correções mais críticas são passos essenciais para manter seu ambiente seguro e estável.