Dirty Frag, Copy Fail e il solito teatrino del 'da noi non succede'. La sicurezza Linux è il conto che non volevi pagare.

Ore 3 del mattino. Il rumore bianco del server è l'unica ninna nanna.

Poi arriva la notifica. E dopo un'altra. E un'altra ancora. Non è un cliente bisognoso, è il kernel Linux che sta urlando in silenzio da chissà quante ore. Benvenuti nel 2026, dove ogni settimana c'è una nuova vulnerabilità con un nome accattivante pronta a far saltare il banco. Questa volta il duo comico si chiama "Dirty Frag" e "Copy Fail". Non parliamo di astrusi problemi teorici, ma di una falla che trasforma un utente qualunque in Dio, o meglio, in root. Un passaporto per il disastro.

L'altro giorno a Rosignano, un cliente ci ha confidato: "Ma noi usiamo Linux, siamo una botte di ferro". Una frase che sentiamo spesso. È il preludio a una telefonata nel panico qualche mese dopo. Nel frattempo, i nostri ragazzi a Kampala devono mettere pezze su sistemi che davano per scontati, perché la realtà è che il silenzio del server non è pace. È solo il respiro prima dell'urlo.

Il costo del sonno (perso): quando ignorare una CVE ti presenta il conto

C'era una volta la favola di Linux fortezza inespugnabile. Bella, eh? Peccato sia finita da un pezzo. La realtà è un bollettino di guerra: nel 2025 abbiamo contato 5.530 CVE solo per il kernel. Fate voi la media giornaliera, a noi viene il mal di testa. Non sono graffi superficiali, sono voragini che permettono a chiunque di prendersi le chiavi di casa vostra.

Ma il vero dramma, quello che nessuno racconta ai piani alti, è il "patch gap". Il kernel team di Linux, gente che non dorme la notte, rilascia una toppa in 24-48 ore. Le aziende? Ci mettono in media dai 60 ai 90 giorni per applicarla. Il problema è che un malintenzionato impiega circa 5 giorni per trasformare quella vulnerabilità in un'arma. Vedete la forbice? Lì in mezzo ci sono i vostri dati, la vostra reputazione e un sacco di soldi che stanno per cambiare proprietario.

E qui arrivano i numeri, quelli che fanno male al fegato. Il costo medio di una violazione dati oggi è di 4,44 milioni di dollari a livello globale. Negli Stati Uniti si arriva a 10,22 milioni. Il ransomware, quel simpatico software che prende in ostaggio i tuoi file, ha visto un'impennata del 62% contro i sistemi Linux. Richieste di riscatto per server ESXi? Circa 5 milioni di dollari. E non pensate di essere al sicuro: Linux gestisce quasi la metà dei carichi di lavoro cloud e il 100% dei supercomputer più potenti al mondo. Siete un bersaglio, che vi piaccia o no.

Smettiamola di parlare di patch. Parliamo di sopravvivenza.

Non è più il malware di tuo cugino

Dimenticatevi lo stereotipo dell'hacker incappucciato che lancia virus a casaccio. Gli attacchi seri, quelli che fanno davvero male, sono diventati invisibili. Il 79% delle offensive informatiche nel 2024 non ha usato malware, ma si è basato su credenziali valide e tecniche di "living off the land". In pratica, usano i vostri stessi strumenti contro di voi. I webshell su server Linux sono quasi la metà di tutti gli exploit. L'attacco più stupido e vecchio del mondo? Il brute-force su SSH. Funziona ancora, e rappresenta quasi il 90% dei comportamenti anomali. Il nemico non bussa alla porta. È già in salotto che si beve il caffè.

La filiera del software è marcia (e forse non lo sai)

L'attacco alla supply chain è la nuova frontiera della paranoia. Non ti attacco direttamente, ma avveleno il pozzo da cui bevi. Infilo codice marcio in una libreria open-source che usi da anni. Il caso della backdoor in XZ Utils di inizio 2024 dovrebbe aver insegnato qualcosa. Un attacco paziente, sofisticato, che ha quasi compromesso l'autenticazione SSH a livello mondiale. È stato scoperto per un colpo di fortuna. Quanti altri non lo sono stati? Fidarsi delle repository pubbliche è come giocare alla roulette russa. Bisogna verificare tutto: firme del codice, SBOM (la lista degli ingredienti del vostro software) e usare strumenti come Sigstore. A Rosignano abbiamo visto clienti andare a gambe all'aria per una dipendenza software che non sapevano nemmeno di avere.

Kernel Hardening: non è un'opzione, è dovere morale

Quindi, che si fa? Si smette di correre dietro alle patch come criceti sulla ruota e si inizia a blindare la macchina. Il "kernel hardening" non è una parolaccia per nerd, è l'unica cosa sensata da fare. Significa mettere delle regole ferree al cuore del sistema:

• SELinux e AppArmor: Gabbie di contenimento. Se un'applicazione viene compromessa, non può fare danni al resto del sistema. Fine della storia.
• KASLR: Rimescolare le carte. Gli indirizzi di memoria del kernel cambiano a ogni avvio, così chi attacca non sa mai dove colpire.
• Kernel Lockdown: Chiudere le porte di servizio. Blocca l'accesso a funzioni di debug che possono diventare una porta di ingresso.
• Module Signing: La carta d'identità. Solo i moduli firmati e autorizzati possono essere caricati nel kernel. Niente accrocchi improvvisati.

Ultimamente si parla persino di un "kill switch" per il kernel: un interruttore per disattivare al volo una funzione vulnerabile in attesa della patch. È il segnale che la rincorsa è finita. Ora si gioca in difesa, ma sul serio.

La nostra ricetta: un po' di cinismo toscano e molto pragmatismo ugandese

In ThinkPink Studio abbiamo smesso di credere alle favole da un pezzo. La sicurezza non è un prodotto che compri, è un processo mentale. È il conflitto perenne tra il capo che vuole la feature "per ieri" e lo sviluppatore che sa di doverla scrivere come si deve. Il nostro lavoro è mediare in questa guerra, con la precisione di un artigiano di Rosignano e l'arte di arrangiarsi di un dev di Kampala.

Non vendiamo fumo. Vendiamo metodo:

• Automazione, ma con la testa: Applicare patch a mano è roba da museo. Usiamo strumenti di patching rebootless (tipo KernelCare) per aggiornare il cuore del sistema senza spegnere la macchina. A Kampala, dove ogni minuto di uptime è sacro, questa non è un'opzione, è l'unica via.
• Gestione del rischio, non delle allerte: Basta annegare negli avvisi di sicurezza. Usiamo strumenti, anche con AI, che ci dicono quale vulnerabilità è davvero un proiettile in canna e quale è solo un petardo. Le aziende che lo fanno, riducono i tempi di gestione di una violazione di quasi 80 giorni.
• Blindatura continua: La sicurezza non si fa una volta all'anno per avere il bollino della certificazione. È un'ossessione quotidiana fatta di controlli, monitoraggio e analisi dei log.
• Paranoia sulla supply chain: Verifichiamo l'integrità di ogni pezzo di software che entra in un progetto. Generiamo SBOM per sapere sempre cosa c'è dentro la scatola.

Il mercato italiano si sta riempiendo la bocca con le parole "cloud" e "AI". Benissimo. Ma queste parole poggiano su un'infrastruttura, e quell'infrastruttura è quasi sempre Linux. Per le PMI italiane, blindare quella base non è un lusso, è l'unica assicurazione sulla vita che abbia senso stipulare. Noi siamo quelli che vi dicono la verità scomoda, con un po' di sarcasmo e una vagonata di competenza sul campo. C'è una regola non scritta: solo l'1% delle aziende affronta la sicurezza in modo proattivo. Volete restare nel restante 99% a sperare che non succeda nulla?

Avete un progetto che fa acqua da tutte le parti? Scriveteci. Non promettiamo miracoli, solo duro lavoro.