Malware anche per linux

[AlexDiste]

Uno dei motivi per cui tantissimi utenti decidono di passare a Linux, è rappresentato dalla sicurezza del sistema operativo e dalla notevole riduzione di incappare in problemi piuttosto fastidiosi legati alle vulnerabilità.
Praticamente fino a ieri, non esisteva nessun malware per la piattaforma del pinguino ma a quanto pare il pericolo è proprio dietro le spalle: uno sviluppatore ha infatti ammesso di aver sviluppato "un pacchetto malware per Unix/Linux".
Si tratta di uno sviluppatore che dichiara di essere stanco ed annoiato di sentir dire che "Linux è sicuro" e ritiene di aver agito per dimostrare che anche i sistemi operativi open source possono risultare vulnerabili.

"Sono stato sempre immerso nella generale convinzione che Linux è estremamente sicuro e non ha malware", afferma uno sviluppatore che si fa chiamare "buchner.johannes".

"Dopo una settimana di lavoro, ho terminato il pacchetto di malware per Unix/Linux", ha dichiarato Johannes, "Lo scopo è quello di aiutare gli hacher a comprendere che un sistema operativo Linux può diventare un client esposto a certe realtà".

Johannes ha comunque affermato che il malware non provoca nessun serio rischio, bensì una semplice perdita delle configurazioni della sicurezza e l’esecuzione di download non verificati senza che l’utente lo abbia scelto.

Sebbene il pacchetto non provochi seri e reali rischi, Johannes ha comunque affermato di essersi imbattuto in crisi etiche prima di rilasciare il tool.

Di fatto, l’unica realtà che veramente emerge è che anche Linux potrebbe essere esposto ad eventuali falle.

Voi cosa ne pensate?

testo preso integralmente da: http://www.crismonblog.org/news/malware ... linux.html

Mi risparmio per ora ogni commento

[De Baimbo]

Prima o poi dovevamo aspettarcelo. È conseguenza della sempre maggior diffusione di linux.
Comunque credo che i software malevoli sfruttino delle debolezze nel codice del sistema, ma essendo linux open source tali debolezze possono essere scoperte e corrette da un sacco di persone (non da me, non ne ho le capacità). Insomma credo che finiremo sempre con l'avere un sistema un po' più sicuro dei closed-source. 

[dj_def]

provate ad usare metasploit e vedrete che linux e varie applicazioni open source hanno già avuto problemi di sicurezza, non ci voleva certo quel tipo per farlo notare (a meno che non si è fanboy  (rotfl) e in quel caso non c'è persona che possa farlo)

[Shishimaru]

lo sapevano tutti che GNU/Linux non è infallibile,ma è vero che è il più sicuro così come sono più sicuri software open source che non.
poteva risparmiarselo... così come io mi risparmio di tradurre il suo nome  (bad)

Johannes ha comunque affermato che il malware non provoca nessun serio rischio, bensì una semplice perdita delle configurazioni della sicurezza e l’esecuzione di download non verificati senza che l’utente lo abbia scelto.

e si,cosa vuoi che sia perdere qualche configurazione di sicurezza e qualche scaricamento di monnezza... e,comunque,se ci sono configurazioni per la sicurezza vuol dire che linux non è esente totalmente da malware,no? mah.

[topadmin]

Che linux non sia immune da virus è vero, in passato sono già state esaltate varie vulnerabilità relative a kde, gnome ed altro ... che sia inutile scrivere tool del genere altrettanto. Poi che qualcuno venga a dire di aver scritto un tool che rimuove configurazioni riguardanti la sicurezza (quali ?) e permette dei download non autorizzati o senza controllo della firma sembra l'ennesiama marmotta che confeziona la cioccolata e vi motivo perchè.

Innanzi tutto domandiamoci come arriva questo malware. Via web ? Ok arriva via web quindi scaricato da firefox, konqueror e compagnia bella. Se ne deduce che questo simpatico ranocchietto una volta sul hd può fare il suo lavoro limitatamente entro la directory home di chi lo ha materialmente scaricato in quanto, fatti salvi altri problemi > i permessi con cui viene eseguito sono gli stessi del utente che lo ha scaricato, ergo nella directory home può fare tutto il casino che vuole, sempre ci riesca e già su questo qualche dubbio lo ho, ma appena prova ad uscire viene bloccato dal meccanismo dei permessi di linux.

Ci sono tuttavia alcune eccezioni a questo. La prima è senza ombra di dubbio un qualche bug nel kernel capace di consentire un escalation di permessi fino ad acquisire quelli di utente root usando 2 sole righe di codice la seconda un uso improprio dei permessi stessi da parte del utente. Nel secondo caso, imho, è un problema suo mentre nel primo vengono rilasciate quasi istantaneamente le patch per il kernel.

Questa è la vera forza di linux ed è accaduto in passato che kernel buggati in questo modo, l'ultimo episodio che ricordo risale forse a un 2/3 anni fa ma non posso escludere altri più recenti, venissero corretti dallo stesso Torvalds nel giro di una manciata di minuti nonostante tali bug fossero sfruttabili si e no da 5 persone sulla faccia della terra, ergo erano si bug reali ma sfruttarli era ed è, posto che possa ricapitare, un qualcosa da marziani e sempre imho non penso che uno sviluppatore che fa una cosa del genere sia proprio una cima.

[shaitan]

Praticamente fino a ieri, non esisteva nessun malware per la piattaforma del pinguino

non mi risulta, basta questo per farmi desistere dalla lettura.

[derma]

...

Ci sono tuttavia alcune eccezioni a questo. La prima è senza ombra di dubbio un qualche bug nel kernel capace di consentire un escalation di permessi fino ad acquisire quelli di utente root usando 2 sole righe di codice la seconda un uso improprio dei permessi stessi da parte del utente. Nel secondo caso, imho, è un problema suo mentre nel primo vengono rilasciate quasi istantaneamente le patch per il kernel.

Questa è la vera forza di linux ed è accaduto in passato che kernel buggati in questo modo, l'ultimo episodio che ricordo risale forse a un 2/3 anni fa ma non posso escludere altri più recenti, venissero corretti dallo stesso Torvalds nel giro di una manciata di minuti nonostante tali bug fossero sfruttabili si e no da 5 persone sulla faccia della terra, ergo erano si bug reali ma sfruttarli era ed è, posto che possa ricapitare, un qualcosa da marziani e sempre imho non penso che uno sviluppatore che fa una cosa del genere sia proprio una cima.

Non è proprio così... leggi qui... in questo forum si puo' parlare solo di ubuntu?.

[topadmin]

Non è proprio così... leggi qui... in questo forum si puo' parlare solo di ubuntu?.

Lo avevo detto che ne ricordavo una di un 2/3 anni fa ma non escludevo episodi più recenti ... ad Agosto poi ero pure in vacanza al estero e rigorosamente senza portatile ...

In ogni caso il concetto che ho comunicato non cambia ma, come giustamente hai segnalato, si aggiorna oltre al confermare che possono accadere certe cose ma anche lasciando da parte la comunità che ruota attorno al pinguino come ad esempio le distro e i loro forum, quando accadono certe cose il patching è immediato specialmente se scende in campo il buon Torvalds che sicuramente non si lascia intimorire da una falla simile e neanche lascia il pupetto in balia di falle simili.

edit: tuttavia dubito fortemente, ma molto fortemente, che da una falla come quella riportata nel tuo link, falla che ha costretto Torvalds a scendere in campo in prima persona, un qualsiasi sviluppatore che non sia mano di un marziano possa trarre un malware > e impiegando una sola settimana di lavoro. Come ho già detto è tanto una marmotta che confeziona la cicciolata il sostenere che linux è immune dai virus quanto il contrario e che falle simile esistono, come anche dei virus, si è sempre saputo .. solo che hanno vita molto breve come anche riportato nel articolo del tuo link.

ciauz

[simag]

beh allora..
leggendo l'articolo originario e non quello postato si capisce che:

1) l'utente per essere colpito deve installare boinc
2) deve configurare male il sistema
3) deve prima essere infettato il server a cui boinc punta

poi sto presunto malware sfrutta configurazioni fatte male e la tendenza degli utenti di fare download senza controllare che fanno...

definirlo pericoloso per il sistema mi sembra veramente una esagerazione.

qua il link:

http://slashdot.org/story/09/12/01/0025 ... ux-Malware

[topadmin]

beh allora..
leggendo l'articolo originario e non quello postato si capisce che:

1) l'utente per essere colpito deve installare boinc
2) deve configurare male il sistema
3) deve prima essere infettato il server a cui boinc punta

poi sto presunto malware sfrutta configurazioni fatte male e la tendenza degli utenti di fare download senza controllare che fanno...

definirlo pericoloso per il sistema mi sembra veramente una esagerazione.

qua il link:

http://slashdot.org/story/09/12/01/0025 ... ux-Malware

grazie per il link.

stessa idea tua, leggendo l'articolo originario il problema viene molto ridimensionato.

[alexinfurs]

"I was fed up with the general consensus that Linux is oh-so-secure and has no malware. After a week of work, I finished a package of malware for Unix/Linux. Its whole purpose is to help white-hat hackers point out that a Linux system can be turned into a botnet client by simply downloading BOINC and attaching it to a user account to help scientific projects. The malware does not exploit any security holes, only loose security configurations and mindless execution of unverified downloads. I tested it to be injected by a PHP script (even circumventing safe mode), so that the Web server runs it; I even got a proxy server that injects it into shell scripts and makefiles in tarballs on the fly, and adds onto Windows executables for execution in Wine. If executed by the user, the malware can persist itself in cron, bashrc and other files. The aim of the exercise was to provide a payload so security people can 'pwn' systems to show security holes, without doing harm (such as deleting files or disrupting normal operation). But now I am unsure of whether it is ethically OK to release this toolkit, which, by ripping out the BOINC payload and putting in something really evil, could be turned into proper Linux malware. On the one hand, the way it persists itself in autostart is really nasty, and that is not really a security hole that can be fixed. On the other hand, such a script can be written by anyone else too, and it would be useful to show people why you need SELinux on a server, and why verifying the source of downloads (checksums through trusted channels) is necessary. Technically, it is a nice piece, but should I release it? I don't want to turn the Linux desktop into Windows, hence I'm slightly leaning towards not releasing it. What does your ethics say about releasing such grayware?"

Grassetto mio.

Dopodichè, per me un malware, per essere definito tale, deve installarsi senza la mia volontà ed agire sui file di sistema sfruttando un buco di sicurezza. Cosa che questo "pacchetto" assolutamente non fa.

[simag]

facciamo uno script, lo mettiamo in un ppa
pubbliciziamo il ppa e facciamo molti più danni

e il ragionamento è il solito

[Danielsan]

Però secondo me il problema è mal posto.
Io i dati sensibili ce li ho nella mia /home, menefregalacippa se il virus/malware entra e mi brasa il sistema male che va lo reinstallo, ma se entra nella /home e mi cancella tutti i dati mi fa dei danni incalcolabili, quindi qualsiasi sistema di protezione deve tutelarmi i dati non protetti e non viceversa!

[simag]

beh...

ma si presuppone sempre che devi scaricare un malware
cosa impossibile se usi solo i repo..

d'altro canto se hai dati irrinunciabili puoi sempre fare un backup.
oppure giocare con i permessi

[Danielsan]

Intendo dire che il principio su cui poggiano le basi della sicurezza di *Nix vanno rivisti. Sembrano legati a un'epoca storica in cui PC facevano solo una cosa specifica per volta e non avevano sufficiente memoria per archiviare i dati, quindi l'obiettivo era il mantenimento del sistema operativo più che dei suoi dati.
Ora i PC sono multi uso, multi utenza e soprattutto servono per archiviare i dati quindi la necessità non è solo di preservare i sistemi operativi, che specie in ambito *Nix si susseguono rapidamente, ma anche di proteggere i dati e le zone di accesso non protette come le /home dei vari "pc desktop".
Si deve integrare alla consueta politica di protezione di tipo server (quella canonica), una politica di protezione desktop.
Una questione che sono solito sollevare è che Wine è una porta di accesso per il malware che nessuno sembra avere intenzione di risolvere.
Finora l'unica politica di protezione di *Nix è che essendo meno a prova di utonto rispetto a Win o Mac, richiede da parte dell'utilizzatore un minimo di alfabetizzazione informatica tale da informarlo su quali pratiche deve evitare per non incappare in rischi. Ma è una politica passiva sulla quale ci si adagia trascurando delle soluzioni concrete all'ipotesi di un rapido sviluppo del malware su GNU.

[simag]

mah...
sinceramente non sono d'accordo

wine lo metti sotto un altro utente ed è già risolto
è confinato nella sua home, game over

i permessi funzionano perfettamente
il software lo scarichi dai repository.
ti togli il 99% dei problemi

se ti serve più sicurezza basta togliere i permessi sulla directory specifica..
e non te la cancellano più

[Danielsan]

Nessuno di quelli che proponi sono soluzioni, ma sono rimedi, dei palliativi più o meno efficaci, che rendono inutilmente complicato l'uso di un PC.

Se io volessi proteggere la mia cartella delle foto delle vacanze poi ogni volta che devo aggiungere foto, creare un album, fare un fotoritocco, che faccio: avvio sempre gThumb come root?

Ti sembra una pratica ortodossa, oppure un palliativo?

[simag]

non sono paliativi, eviti lingresso del malware alla fonte

su windows che fai?
la stessa cosa?
e mac? anche

se la home è compromessa c'é poco da fare

come pensi di proteggerla scusa?

[Danielsan]

Io non sono un informatico ho solo sollevato una questione legittima.

Solitamente la strategia più diffusa è quella di un'antivirus/antimalware che però hanno il fastidioso problema di funzionare bene sempre il giorno dopo.

Per quel che concerne Wine potrebbe bastare una semplice sandbox per AppArmor.

Ma se il problema è evitare la fonte del malware alla fonte perché non utilizzare ubuntu virtualizzato dentro a ubuntu, usando solo un utente senza privilegi?

[smurf]

Danielsan, ti stai avviluppando intorno ad un problema che non esiste.
I tuoi dati sensibili, se sono molto molto importanti, non li devi affidare semplicemente ad una cartella sul tuo disco, questo in nessun sistema informatico, di qualunque marca.
Crei una bella partizione criptata (ci vogliono 5 minuti) e ce li metti dentro, inoltre ne fai un backup periodico su supporto esterno, magari anch' esso criptato. Fine del problema, a questo punto la unica sf@@@ che puoi avere é che in cascata ti si rompano ambedue i supporti...
Finché il tuo computer ha un cavo attaccato alla rete telefonica non esiste la sicurezza 101 %, in certi casi non esiste nemmeno se il computer non é attaccato alla rete telefonica.
Unix e Linux hanno di per se il sistema di protezione piú efficace che si conosca e lo dimostra il massiccio uso di unix/linux sui server e su molti grandi sistemi aziendali. Tu utente non devi avere nessun conoscimento di informatica, devi soltanto stare attento a quello che scarichi da internet, ma questo mi sembra che valga per Linux, come per Mac, come per Windows.