[RISOLTO] Linux e virus

[Mattia300]

Sera!
lo so che questo è un argomento trito e ritrito, ho letto in passato tantissimi articoli sul cattivo rapporto che hanno i virus per linux, compreso gli articoli di guiodic e tanti altri, ma oggi leggendo un articolo che diceva che pochi giorni fa era stato trovato un virus sul famoso sito gnome-look.org mi sono posto altre domandine
La cosa più importante di ogni utente linux (IMHO) è la home, non i file importanti del sistema operativo (quelli in 20 minuti li reinstallo facilmente, i miei file della home no).
Questi file però possono benissimo essere cancellati/modificati/duplicati senza il bisogno dei diritti di amministratore.

A questo punto quello che mi chiedo è: questi benedetti virus, su linux, possono entrare in azione anche senza la password di root? (e quindi cancellarmi i file della home?)
Altra domanda: i virus, per entrare in azione, hanno la necessità di essere eseguiti (con conseguente password di root) o no?

Questa secondo me è una delle chiavi importanti per la sicurezza di un sistema linux, perchè se esistono virus che possono cancellarti i file della home senza essere eseguiti, tutta la sicurezza il sistema linux non ce l'ha ....a voi l'ardua sentenza

[Megatux]

Su Linux, nessun virus agisce autonomamente... sei TU utente che, una volta scaricato un file pericoloso, o quantomeno sospetto, lo devi poi rendere eseguibile... se poi gli dai anche la password di root nel farlo, allora la frittata è fatta...

[Mattia300]

Su Linux, nessun virus agisce autonomamente... sei TU utente che, una volta scaricato un file pericoloso, o quantomeno sospetto, lo devi poi rendere eseguibile... se poi gli dai anche la password di root nel farlo, allora la frittata è fatta...

si, ho capito, ma quindi un virus può entrare in azione anche senza il bisogno della password di root??? è questo quello che non mi è chiaro

[Megatux]

No, non può farlo... ripeto, sei tu che se gliela dai, gli fornisci anche i permessi di agire e installarsi...

[Mattia300]

ah ok mi hai chiarito un bel dubbio (good)
perchè comunque ho letto parecchi commenti in giro, supportati da altri utenti, che dicevano che un virus senza i diritti di amministratore può comunque cancellarti a piacimento i file della /home, dato che per quelli non si ha bisogno di essere root.
quindi tu mi stai dicendo che è il contrario giusto?

[Megatux]

Si... su Ubuntu, e in genere su ogni sistema Unix, a parte Mac OS, nessun virus può agire senza password di root... e ciò vale anche nella Home, a meno che non sei tu stesso a cambiare modalità dei permessi, e soprattutto se, navigando in Internet, scarichi roba di dubbia provenienza...

[Mattia300]

ok grazie mille x la spiegazione

a meno che non sei tu stesso a cambiare modalità dei permessi, e soprattutto se, navigando in Internet, scarichi roba di dubbia provenienza...

si ma comunque da come hai detto tu anche se scarichi malware poi sei tu a dover dargli i permessi per fare quello che vuole quindi....non si corrono glrossi rischi (b2b)

[Megatux]

Esatto... l'importante, qualunque sia il tuo sistema operativo, che sia TU ad essere accorto ed intelligente, e che non scarichi roba a casaccio... affidati sempre ai repo ufficiali di Ubuntu per qualsiasi cosa ti servisse, e scarica sempre gli aggiornamenti di sicurezza e quelli consigliati... e sei a posto.

[Mattia300]

oooook grazie metto risolto nel titolo
>:(  :-*
troppo belle queste faccine col cappello di babbo natale (rotfl)

[Megatux]

oooook grazie metto risolto nel titolo
>:(  :-*
troppo belle queste faccine col cappello di babbo natale

Le hanno messe apposta...  ;D

[kiroken_]

Si... su Ubuntu, e in genere su ogni sistema Unix, a parte Mac OS, nessun virus può agire senza password di root... e ciò vale anche nella Home, a meno che non sei tu stesso a cambiare modalità dei permessi, e soprattutto se, navigando in Internet, scarichi roba di dubbia provenienza...

falso per dare i permessi di esecuzione ad un programma non servono i privilegi di root. Può darglieli "chiunque"  difatti per quanto difficile è possibile infettare un sistema linux da remoto (specialmente nei sistemi desktop dove la sicurezza è minore). Può difatti accadere che chi scopre la falla in un programma non sia uno con buone intenzioni o comunque che se anche venisse scoperta e segnalata qualcuno sfrutti il periodo day-0 per fare casini (periodo prima che la patch venga installata nella maggior parte dei sistemi).

Per fare danni a livello di sistema invece ha bisogno dei privilegi di root che sono difficili da ottenere ma anche qua non è impossibile farlo si potrebbe sfruttare una seconda falla oppure fregare l'utente (sistema decisamente più facile e molto più efficace) ad esempio infettando un deb scaricato e non ancora installato.

Qua però più che di virus si parla di malware in generale (se vuoi vedere le varie differenze c'è wikipedia).

I sistemi unix (spece se opensource e con una grande quantità di sviluppatori) sono comunque molto sicuri ma non bisogna per questo abbassare la guardia.

[FMJ]

Si... su Ubuntu, e in genere su ogni sistema Unix, a parte Mac OS, nessun virus può agire senza password di root... e ciò vale anche nella Home, a meno che non sei tu stesso a cambiare modalità dei permessi, e soprattutto se, navigando in Internet, scarichi roba di dubbia provenienza...

se mi è permesso intromettermi, vorrei sottolineare che si parla di Mac OS Classic (per macintosh) e non di Mac OS X (dove oltre a non poter agire senza root il virus è sandboxato)

[Megatux]

Beh... logicamente, si, esistono anche pochi virus per linux, ma sono ormai vecchi e comunque, è sufficiente il buon senso dell'utente per evitare di beccarsene uno... ciò premesso, ritengo comunque Linux un sistema estremamente sicuro, se viene usato coi dovuti accorgimenti...

[derma]

ah ok mi hai chiarito un bel dubbio (good)
perchè comunque ho letto parecchi commenti in giro, supportati da altri utenti, che dicevano che un virus senza i diritti di amministratore può comunque cancellarti a piacimento i file della /home, dato che per quelli non si ha bisogno di essere root.
quindi tu mi stai dicendo che è il contrario giusto?

Si... su Ubuntu, e in genere su ogni sistema Unix, a parte Mac OS, nessun virus può agire senza password di root... e ciò vale anche nella Home, a meno che non sei tu stesso a cambiare modalità dei permessi, e soprattutto se, navigando in Internet, scarichi roba di dubbia provenienza...

Non è così.

[Mattia300]

ah ok mi hai chiarito un bel dubbio (good)
perchè comunque ho letto parecchi commenti in giro, supportati da altri utenti, che dicevano che un virus senza i diritti di amministratore può comunque cancellarti a piacimento i file della /home, dato che per quelli non si ha bisogno di essere root.
quindi tu mi stai dicendo che è il contrario giusto?

Si... su Ubuntu, e in genere su ogni sistema Unix, a parte Mac OS, nessun virus può agire senza password di root... e ciò vale anche nella Home, a meno che non sei tu stesso a cambiare modalità dei permessi, e soprattutto se, navigando in Internet, scarichi roba di dubbia provenienza...

Non è così.

O mio dio riapro la discussione con mostruoso ritardo non mi ero accorto di nuove risposte.
Scusatemi ragazzi ma allora non ho capito bene il funzionamento di un virus.
I virus sono programmi giusto? e come tali devono essere eseguiti giusto?
Oppure esistono virus che entrano in azione senza il bisogno di essere eseguiti? se si, quali virus e come agiscono?
Altra domanda: un virus sotto quale forma può essere trovato? se si trova sotto la forma di un .deb ha bisogno della password di root, ma voi mi state dicendo che non è così.
Scusatemi ma sono un po' confuso adesso. ::)

[Mattia300]

Codice: Seleziona tutto

per dare i permessi di esecuzione ad un programma non servono i privilegi di root. Può darglieli "chiunque"  difatti per quanto difficile è possibile infettare un sistema linux da remoto (specialmente nei sistemi desktop dove la sicurezza è minore).

come? solo se si trova un buco in un software o anche in altri modi? intendo sempre a livello di home, quindi dove non serve la password di amministratore.

[tonywhite]

Non è sol un buco, ma deve essere un buco che può servire a scalare i privilegi.

Esempio:
Immagina di dover entrare in una villa sorvegliata da videocamere. Se trovi una videocamera rotta, non è detto che ci puoi entrare. Devi fare i conti con le altre videocamere, il buttafuori, Bruce Lee clonato e l'enciclopedia treccani(chiamata per l'occasione Cerbero).

Non è facile trovare un buco e lo è ancora meno riuscire a sfruttarlo.

[kiroken_]

salva in un file questo

Codice: Seleziona tutto

echo ciao

poi dai

Codice: Seleziona tutto

chmod +x nomefile

ed ecco i permessi di esecuzione senza scomodare root.

Tra le varie cose che puoi fare senza i privilegi di root rientrano manipolare in qualunque modo i file presenti nella home, le periferiche di archiviazione montate e creare connessioni con l'esterno. Quindi potrebbe fregarti parecchi dati personali (come il permesso ad accedere a questo forum per un pò tramite i cookie). Comunque qualcuno lo deve mandare in esecuzione o te o qualcuno che sfrutta una falla.

[Mattia300]

salva in un file questo
Codice:

echo ciao

poi dai
Codice:

chmod +x nomefile

ed ecco i permessi di esecuzione senza scomodare root.

Tra le varie cose che puoi fare senza i privilegi di root rientrano manipolare in qualunque modo i file presenti nella home, le periferiche di archiviazione montate e creare connessioni con l'esterno. Quindi potrebbe fregarti parecchi dati personali (come il permesso ad accedere a questo forum per un pò tramite i cookie). Comunque qualcuno lo deve mandare in esecuzione o te o qualcuno che sfrutta una falla.

uhmmm è vero....
quindi non esistono virus che vengono eseguiti senza eseguirli direttamente, per esempio tu apri un file e il virus entra in azione? già questo sarebbe tanto...

mi hanno demolito le certezze di una vita nel giro di 5 minuti

[kiroken_]

nono deve andare in esecuzione non basta scrivere o scaricare un programma malevolo perchè abbia effetto. Dopo aver salvato quel file devi anche doppiocliccarci sopra e dirgli esegui (se sei su gnome, su kde o xfce sarebbe già più subdolo perchè senza estensione e con i permessi va in esecuzione subito in seguito al doppioclick come azione di default). Oppure eseguire l'operazione speculare da terminale.

Quello che volevo farti capire è che per dare i permessi di esecuzione o mandare in esecuzione un eseguibile deve esserci un "entità" nel sistema che lo faccia partire. Anche navigando nelle pagine internet va spesso in esecuzione del codice tramite linguaggi più o meno pericolosi (come numero di falle che potrebbero avere) che però senza falle viene tipicamente ingabbiato e fatto girare in un ambiente controllato (flash ad esempio è quello che mi spaventa di più dal punto di vista della sicurezza sia per il rapporto che Adobe ha con la sicurezza sia per il rapporto che ha con linux).

A volte capita che certi programmi abbiano delle vulnerabilità tali che permettono l'esecuzione di codice malevolo che può fare tutto quello detto sopra. Persino un pdf "confezionato" per sfruttare un eventuale falla presente mettiamo in evince potrebbe far scattare del codice malevolo nel sistema.

Rimedi un pò esagerati per ora per un utenza desktop sono AppArmor e SELinux mentre sono molto scettico sull'efficacia di antivirus (intesi come programmi che analizzano gli eseguibili) sono in giro da un pò algoritmi "intelligenti" che non si limitano a trovare minacce già scoperte ma a trovarne anche di sconosciute durante l'analisi. Ma per ora non sono ancora molto efficaci come sistemi difatti per fare un trojan abbastanza sempliciotto ma efficace e che superi i controlli degli antivirus è richiesta una conoscenza veramente minima di programmazione.