Home > GNU/Linux > Un “virus” per GNU/Linux? Non proprio…

Un “virus” per GNU/Linux? Non proprio…

Ha fatto un certo scalpore la notizia del ritrovamento di un trojan sul popolare sito gnome-look. Quello che si dichiarava essere uno screensaver era, in realtà, uno script il cui scopo era attaccare un sito web cercando di farlo andare fuori servizio (questo tipo di attacco è chiamato DDoS).

Siamo in pericolo? Un attimo… calma e gesso.

Prima di tutto dobbiamo chiamare le cose con il loro nome: questo è un trojan, non un virus.
La differenza non è una sottigliezza, si tratta di due fattispecie di programmi del tutto differenti.

Non c’è nessun modo sicuro per proteggersi da un trojan in nessun sistema operativo presente, passato o futuro e non ci sarebbe neppure nel caso in cui per installare le applicazioni non fosse necessario essere amministratori, cosa che, peraltro, si può benissimo fare anche adesso (ad esempio basta scaricare Firefox dal sito di Mozilla, scompattarlo e cliccare sul file “firefox”).

Anche SELinux o Apparmor o altre tecniche di sicurezza più esotiche in casi del genere non avrebbero efficacia.

Dico questo perché è completamente fuorviante dire “la sicurezza dipende dell’utente, non dal sistema”. Letteralmente questo è vero, nel senso che se l’utente si comporta in modo del tutto irresponsabile nessun sistema è sicuro, ma se il sistema ci mette del suo, come nel caso di Windows, allora non vale più questo discorso.

Su Windows è molto semplice contrarre malware di vario tipo senza fare nulla di volontario, semplicemente inserendo una pennetta o navigando su Internet con Internet Explorer. C’è una bella differenza tra questo è la volontaria installazione di un trojan.

Certo si può sempre dire che l’utente inesperto si fida e scarica e quindi tutto il discorso va a farsi friggere, ma come ho detto prima non esiste nessun modo efficace, neppure a livello teorico, per difendere l’utente da se stesso. Tutte le tecniche che uno può immaginarsi sono solo palliativi.

Ciò non toglie però che è molto, molto, molto differente un sistema come Windows dove le protezioni non esistono (vedi XP Home) o sono implementate “a posteriori” (UAC su Vista) o ancora sono depotenziate dallo stesso produttore (UAC su Windows 7) rispetto ad altri sistemi (GNU/Linux, Mac OS X, ecc.).

Ricordiamoci che Mac OS X ha una diffusione piuttosto larga (circa il 5%, che sembra poco, ma si tratta di milioni e milioni di macchine) e peraltro tra fasce “ricche” (e quindi più remunerative per i cracker) eppure al massimo si conta qualche trojan simile a questo su gnome-look.
Viceversa per Windows, solo nel 2008, sono stati scoperti 1milione e 600mila malware. Dico 1milione e 600mila in un solo anno.
Anche a voler dare per buono il discorso della maggiore diffusione, le proporzioni non tornano.

Quindi il succo del discorso è: non scaricate roba da dove capita e se trovate un tema per GNOME in formato deb… diffidate: dovrebbe essere un tar.gz. Non scaricare Nero per Linux crackato perché non sapete che cosa può essere. E lo stesso vale per Matlab.

Ma per il resto, non avete di che temere.

  1. 13 dicembre 2009 alle 7:34

    e questo cos’e`? una risposta in crosspost?😀
    intanto sistema l’immagine in cima, c’e` una bella m….a che ti invita a non rubare banda, mi auguro non fosse quella la tua idea.

    ti ho gia` risposto nell’altro articolo ma spiego meglio qui:
    nessuno vuol sollevare una battaglia windows/linux, entrambi i sistemi sono soggetti alle stesse debolezze poiche` un trojan oggi di fatto puo` ingannare l’utente e far eseguire operazioni collaterali.

    l’utente e` fallace, ok. vediamo come posso impedirgli di far guai.
    impedendogli di fatto qualsiasi necessita` di usare root, ad oggi l’utente e` obbligato a diventare root per installare programmi o una stampante.
    un trojan non dovra` far altro che sostituire il collegamento a synaptic/app-install/il-coso-di-karmic con uno che punti ad una propria versione modificata di gksudo che si trova nascosta all’interno della home e, puf, sistema compromesso per sempre.

    e` uno dei tantissimi modi di demolire totalmente la funzionalita` di un sistema.
    altri non vengono citati per non far ingegnare troppo i cretini.

    quel che ho proposto io (privilegio intermedio per installazioni, chroot/jail, acl per processi) tu puoi chiamarli palliativi, sono soluzioni ipotetiche che consentono l’esecuzione volontaria una volta di un trojan ma non compromettono il mio sistema ne` provocano danni collaterali come l’esecuzione automatica di cose che non voglia o la sostituzione di altre parti.

    rumors dicono che a microsoft stiano pensando all’uso di sandbox per processi singoli, per il momento son solo idee.

    • 13 dicembre 2009 alle 8:11

      sì ok. Allora ti rispondo come ti ho risposto su ubuntutrucchi. Metto sul mio repository o su gnome-look una versione delle gtk che implementa la trasparenza stile Windows Vista. Quale utente non darebbe la password di root?
      L’unico modo sarebbe non averla proprio ma a quel punto non puoi manco aggiornare il s.o. o una libreria… insomma hai una specie di iphone.
      Abbiamo già visto il fallimento di questo modello sui computer: Windows 7 ha quasi eliminato UAC perché gli utenti si infastidivano.
      Oppure considera il fallimento di linux sugli eeepc, per il semplice motivo che per installare amsn ci voleva una laurea in informatica🙂

      (p.s. volevo citarti in questo post ma poi m’è sembrato che potesse essere intesa come una polemica nei tuoi confronti, quindi ho evitato).

      In ogni caso, per chi volesse leggere il post di Muflone: http://ubuntrucchi.wordpress.com/2009/12/09/un-simpatico-virus-per-linux/

      • 13 dicembre 2009 alle 8:24

        intanto grazie, non ho detto nulla sulla citazione perche` non bado nemmeno a queste cose, sono un distratto disinteressato.

        i sistemi ipotetici per migliorare ci sono, richiederebbero un gran bel lavoro, ne sono cosciente ma prima o poi diverra` obbligatorio investirci sopra.

        l’attivita` dell’utente deve restare attivita` dell’utente e questo
        a) non dovrebbe *mai* aver bisogno di diventare root
        b) non dovrebbe poter essere ingannato, nemmeno dopo aver eseguito un trojan. cio` implica che un trojan quindi non possa mettersi in avvio automatico o modificare menu o path o altro atto a ingannare nuovamente.

        • 13 dicembre 2009 alle 8:34

          a) ma se devo aggiornare i driver della scheda grafica?
          b) e come lo eviti? chiedendo all’utente di autorizzare l’avvio automatico? stiamo sempre lì…. non è che fare 10 domande aumenti la sicurezza rispetto ad una domanda sola. Se l’utente desidera installare quella roba lo farà, punto e basta. Gli puoi mettere filtri, avvisi, gli puoi bloccare il pc 24 ore per farlo riflettere, ma alla fine quello lo fa.

          • 13 dicembre 2009 alle 9:14

            sudo apt-get install amsn
            …blablabla…
            Il programma ‘/usr/bin/amsn’ chiede il permesso di avviarsi automaticamente.
            Vuoi consentire al programma di avviarsi automaticamente, rispondere no se non si e` certi. [s/N]
            se installo una calcolatrice di certo non mi fara` sta domanda!

            oltre questo proteggiamo ~/.bash*, .config/autostart, .local/share/applications in modo che i programmi e gli installer non possano metterci mani senza passare esplicitamente da gnome-session-properties.
            sia impedito a un .desktop l’override di un altro file esistente a meno di duplicarlo (o altro) e gia` hai tolto un buon 70% di problemi di trojan.

            onestamente da utente linux mi spiace dover dire queste cose che sembrano basilari e qualsiasi utente impreparato potrebbe chiedersi con un minimo di ragionamento.

          • 13 dicembre 2009 alle 9:56

            sì ho capito il discorso dell’autorizzazione ma appunto basta dirgli che il programma è amsn invece che la calcolatrice e buona notte: la gente è abituata ad avere MSN su Windows che parte in automatico, quindi non troverebbe nulla di strano.

            Riguardo il discorso di bashrc et similia, invece, hai ragione, dovrebbero essere protetti in qualche modo. Però anche qui vale in discorso di prima, il trojan-writer non userebbe bashrc ma i .desktop in autostart.

            Ripeto, tutto quello che proponi va benissimo contro attacchi “automatizzati” ma contro l’utente la vedo dura🙂

            Sarà che forse ho meno fiducia di te nel genere umano!😉

          • 13 dicembre 2009 alle 10:13

            sì ho capito il discorso dell’autorizzazione ma appunto basta dirgli che il programma è amsn invece che la calcolatrice e buona notte: la gente è abituata ad avere MSN su Windows che parte in automatico, quindi non troverebbe nulla di strano.

            qui tu, forse involontariamente, sollevi un problema MOLTO piu` grave che e` il funzionamento di gksu/gksudo.

            gksu –description /usr/share/applications/synaptic.desktop /tmp/virus
            e sia gksu/gksudo ti dira` innocentemente che sta avviando synaptic quando in realta` avvia /tmp/virus.
            idem col parametro –message

            aggiungi pure che il token concesso da gksudo non e` ritirabile come avviene con sudo -K e puoi trovare almeno altri 10 modi per combinare disastri.
            cmq chiudo qui, ho gia` fornito tanto materiale agli aspiranti lamer🙂

          • 13 dicembre 2009 alle 10:26

            be’ volendo aggiungiamoci anche che sudo su debian è compilato in modo da permettere la conservazione dell’ambiente dell’utente chiamante cosa che permette di cambiare al volo l’editor associato a visudo…. quello sì che è un bel buco di sicurezza!

        • Scugnizzo
          15 dicembre 2009 alle 14:28

          Leggo solo oggi questo interessante post/dibattito fra due persone che seppu non conosco personalmente stimo moltissimo.
          Quindi permettetemi di dire la mia (e scusate l’immane cavolata che forse sto per scrivere).
          Muflone secondo me vede il discorso con gli occhi dell’utente esperto….mi spiego….l’utente…parliamo di quelli come me cioè non esperto….se all’avvio vede la lista delle cose che si avviano in automatico si domanda….ma se funziona perchè devo modificare? Se poi levo sto processo e non funziona più una cippa? Cioè…a noi il panico viene quando dobbiamo disabilitare un processo…non se lo vediamo come autoavviante e sappiamo che il sistema parte.
          Poi…scusate se non capisco…ma se un programma per funzionare come deve richiede che si avvi qualcosa in automatico….se questo qualcosa non si avvia perchè bloccato da un sistema di sicurezza….il programma non funge o sbaglio? Così facendo per bloccare un malware si blocca pure tutto il resto.

  2. carlotux
    13 dicembre 2009 alle 7:55

    Questo e buono a sapersi, l’unico pacchetto in deb che ho scaricato 6 mesi fà e stato
    il tema di ultimate edizion,ora grazie alla tua segnalazione scaricherò solo tar.gz

    • 13 dicembre 2009 alle 8:32

      non e` solo una questione di formati, ci sono tar.gz contenenti temi e tar.gz contenenti programmi

      se un tar.gz contiene programmi o anche script per installare il tema quelli non andrebbero eseguiti o installati se non sai precisamente cosa facciano.

      • 13 dicembre 2009 alle 8:35

        sì ma i tar.gz dei temi (parlavo di quello) non sono eseguibili, si trascinano nella finestra dell’aspetto e basta. Anche se contenessero un malware non è che verrebbe eseguito.

        • 13 dicembre 2009 alle 8:59

          ho voluto precisarlo visto che proprio ieri su lqh chiedeva come installare un tema al cui interno c’era un simpatico install.sh.

          • 13 dicembre 2009 alle 9:01

            ho inviato per sbaglio!
            intendevo dire c’era un utente che chiedeva
            non che carlotux chiedesse.

          • 13 dicembre 2009 alle 9:52

            brrrr….🙂
            sì queste cose non ci dovrebbero essere.

          • 13 dicembre 2009 alle 10:03

            e l’ha pure eseguito…

          • 13 dicembre 2009 alle 12:43

            Come dicono qualche centinaio di km da dove sto scrivendo: “nessuno nasce imparato”.
            Anche chi passa a gnu/linux e dimostra una certa “maturità” in questo ambito, deve ancora capire tante cose, e per capirle deve sbagliare!
            La prossima volta che questa persona eseguirà un file .sh, FORSE, si chiederà cosa sta combinando, oppure continuerà a sporcarsi come se usasse windows….

          • c.realkiller
            13 dicembre 2009 alle 14:01

            ma non basterebbe dare un occhiata al codice del file install.sh per accorgersi che sta facendo qualcosa di poco carino?

          • 13 dicembre 2009 alle 16:28

            sì ma devi saperlo… un utente medio non lo sa. Poi in alcuni casi (vedi ad esempio gli installer dei driver nvidia) non ce l’hai il codice sorgente.

          • 13 dicembre 2009 alle 16:31

            E se questa persona pensa che lo scripting bash sia una pratica sessuale sodomita?
            E le righe di codice che legge dentro al file sh per lui sono incomprensibili codici alieni?
            Pensa in grande…

  3. Shishimaru
    13 dicembre 2009 alle 11:24

    tanto di cappello.

  4. Tommaso
    13 dicembre 2009 alle 13:24

    Se posso dire la mia, dal basso della mia inesperienza, credo che abbia ragione Guiodic quando dice che all’utente puoi mettere anche 1000 avvisi ma se vuole installare il programma che ha scaricato lo farà. Lo dico perchè io sono uno di quelli. Probabilmente davanti a un caso come quello citato di un tema con install.sh mi sarei fatto qualche domanda ma in mille altri casi (vedi quello di avviare aMsn in automatico) acconsentirei senza sapere quello che sto facendo (per fortuna uso emense :-))
    In pratica si deve trovare un modo per difendere l’utente da se stesso e allo stesso tempo non limitare il suo campo d’azione.
    Non mi resta che augurare buona fortuna a voi che ci capite qualcosa!!

  5. 16 dicembre 2009 alle 4:58

    Non c’è un link a questo pseudo screensaver? O alla notizia della scoperta?😉
    Forse il primo messaggio di Divilinux su questo blog…
    Ciao Guiodic.

  6. Mattia
    21 dicembre 2009 alle 23:09

    Sera ragazzi, scusate la domanda che può sembrare banale per un utente con qualche esperienza, ma a me darebbe qualche spiegazione e certezza in più:
    ad un virus se gli viene fornita la password di root ti infetta il sistema, ovvero ti infetta quei file indispensabili, che per la modifica necessitano della password di root, ma invece gli altri file, quelli per esempio contenuti nella cartella documenti della home? possono benissimo essere modificati/cancellati senza il bisogno di diventare amministratore giusto? oppure un virus per essere eseguito deve per forza essere installato? non esistono virus che non necessitano dell’installazione, ma che vengono eseguiti non appena si apre il file infetto?
    Saluti.

    • 22 dicembre 2009 alle 1:43

      ovviamente i tuoi file nella home non sono al sicuro, ma contrarre un malware è alquanto improbabile (leggi: quasi impossibile) se usi firefox per navigare e thunderbird o evolution per la posta, che sono programmi sicuri.
      Certo se poi ti scarichi qualcosa da un sito qualsiasi e la esegui apposta…

      • Mattia
        22 dicembre 2009 alle 15:52

        si esatto è improbabile ma non impossibile, ma quello che chiedevo io principalmente è: esistono virus che per funzionare non hanno bisogno di essere eseguiti? che per esempio li prendi semplicemente navigando per la rete e quindi ti vanno ad infettare i file della home?
        Grazie ancora.

        • 22 dicembre 2009 alle 16:13

          si esatto è improbabile ma non impossibile

          Una probabilità prossima allo zero è statisticamente identica all’impossibilità.
          In 40 anni di Unix è capitato solo un episodio “grave” agli inizi, un famoso worm che fece storia. Poi per il resto s’è sempre trattato di cavolate che non hanno mai avuto una reale diffusione o di malware che per essere installati richiedono l’accesso alla macchina da remoto e cosa davvero difficile da realizzare a meno che non si sbagli a configurare il servizio ssh sul proprio server (sui desktop manco c’è di default, quindi nessun problema) o proprio in caso di una gravissima falla nello stack di rete.
          Ma ripeto, sono discorsi che riguardano più gli amministratori di server e comunque ci sono in questi casi precauzioni specifiche (apparmor, selinux e altre).

          he per esempio li prendi semplicemente navigando per la rete e quindi ti vanno ad infettare i file della home?

          In teoria è possibile che esistano, se sfruttano una falla del browser, ma “infetta i file nella home” non ha molto senso, falle di questo tipo permettono l’esecuzione di codice limitato in genere e poi nella home non ci sono eseguibili.

          Ripeto parliamo di cose del tutto teoriche perché richiedono una concatenazione di fatti piuttosto difficile in ambito desktop.

          • Mattia
            22 dicembre 2009 alle 18:15

            ok ti ringrazio per il chiarimento.
            Ciao!😀

  7. Mailer
    5 gennaio 2010 alle 7:01

    I virus su Linux potevano solo capitare in un sistema come Ubuntu/Debian, lo dicevo anni fa ed ora ne ho la piena conferma…

    – Cominciando dal fatto che un sistema che chiede in default la password utente per fare operazioni amministrative non è stupido, ma completamente idiota (è in pratica l’esatto comportamento di Windows);
    – che il luogo “più sicuro” da sempre (ovvero i repository) forniscano trojan è cosa ancor più grave, altro che il contrario! Con un troian chiunque voglia accedere da remoto al vostro pc ha una bella backdoor spalancata sul mondo, se ci entra sperate solo di non averci le foto con la vostra morosa mentre fate sesso, altrimenti ve le trovate su internet e non saprete mai il perché(…);
    – Usare firefox e thunderbird per stare tranquilli? Sarebbe vero se non fosse che sia Ubuntu che Debian grazie alla loro Grande Politica restano sempre indietro di versione nei programmi (per non parlare dei bug unici di queste 2 distro, OPENSSL per dirne una… rido a distanza di anni), usare un programma dai loro repo mette a rischio MIGLIAIA di utenti ed ancora vi ostinate ad usarli? contenti voi…
    – Credere che usare un sistema come Linux (in qualsiasi distro) renda immuni da virus è completamente da pazzi, oltretutto è vero che i virus di Windows sono milioni, ma qui ci si è dimenticati di dire che i sistemi LINUX compromessi da root-kit e/o comunque bucati sono dalle 3 alle 6 volte più di quelli Windows (queste sono statistiche pubbliche di anni!) ed il brutto è che in questo caso difficilmente mi accorgerete (a meno di conoscere il sistema ed aver preventivamente creato un’insieme di regole per iptables…), de facto in questo caso chi ve lo piazza assume il controllo reale e totale del pc ed a quel punto sono cavoli vostri (esempio estremo: se lo usasse per farci pirateria verso un banca verrebbero a prendere voi dato che partirebbe da li…);

    Proseguo ancora o mi fermo (potrei citarne a centinaia…) ?

    A chiunque volesse entrare nel mondo linux un caloroso benvenuto, ma diffidate da chiunque vi mostri questo sistema come infallibile od inattaccabile e soprattutto, la cosa più importante, imparate ad usarlo seriamente se non volete rogne o piuttosto usate Windows!

    • 5 gennaio 2010 alle 19:48

      una caterva di cazzate così è difficile leggerla.

    • 5 gennaio 2010 alle 21:08

      dimmi cosa fumi e ti diro` chi sei

    • 6 gennaio 2010 alle 10:10

      <>
      i repository ufficiali?? Cosa hai voluto dire con questa frase?? Cita le fonti.

      <>
      Cita le fonti.

      <>
      Proponi un’alternativa…

      <>
      qualsiasi cosa va imparata ad usarla seriamente, anche un frullatore se non vuoi un moncherino!

      E comunque, sei davvero uno sfigato…

  8. Free_alucarD
    9 luglio 2010 alle 12:57

    cancellate quel post….se no magari qualcuno ci crede anche alla valanga di cazzate che ha scritto…

  1. 15 dicembre 2009 alle 1:24
  2. 15 giugno 2010 alle 19:12
  3. 5 agosto 2010 alle 13:09
  4. 12 dicembre 2013 alle 9:27

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: