Home > Debian, Gnome, Internet, KDE, Links, Linux, Ubuntu, Varie > Un simpatico virus per Linux

Un simpatico virus per Linux

09 dicembre 2009

Riportano la notizia già un paio di siti, è stato avvistato un simpatico virus per ambienti Linux, studiato e impacchettato per distribuzioni basate su Debian come Ubuntu, vediamo quindi criticamente di cosa si tratta e di cosa bisogna aver paura.

Il primo avviso viene dato da una delle vittime nel forum internazionale di Ubuntu la quale chiede innocentemente se quanto indicato sia normale o meno:

I have installed a deb from a site claiming to be an Screensaver however it looked dodgy however I proceeded.
after I looked into the source I found MYSTERIOS ACTIVITY FOR WHAT SHOULD BE A SCREENSAVER… IS THIS REQUIRED? (below)
(also no screensaver was ever shown in gnome-screensaver)

Che recita testualmente:

Ho installato un deb da un sito che sosteneva essere uno screensaver, sebbene sembrasse ingannevole tuttavia ho proceduto (a installare).
Quindi ho guardato nel sorgente e ho trovato MISTERIOSE ATTIVITA’ PER QUELLO CHE DOVREBBE ESSERE UNO SCREENSAVER… QUESTO E’ RICHIESTO? (vedi sotto)
(inoltre nessuno screensaver veniva mostrato su gnome-screensaver)

Segue al testo il codice del malware che non viene qui riportato per vari motivi. Chi volesse informazioni più dettagliate sono riportate al link sopra citato.

L’origine del malware era un file deb di un presunto screensaver per Linux all’interno del sito gnome-look, uno dei più importanti siti di temi ed estetica per Gnome che ospita le creazioni degli utenti.

Fondamentalmente si tratta di uno script che ogni 4 secondi si aggiorna attraverso un sito (la cui pagina è ormai irraggiungibile) ed avvia uno dei due files scaricati il quale esegue dei ping infiniti verso un determinato sito (www.mmowned.com) usando pacchetti da 64 KB circa, ovvero un modesto DDos (Distributed denial of service), dei poveri aggiungo io.

Fatto bene o fatto male non importa, ciò si definisce malware, un po’ artigianale, realizzato da un principiante ma efficace e impacchettato in modo da ingannare utenti imprudenti.

Freniamo i cavalli prima che scappino: la sicurezza di Linux quindi è a rischio? Quella di Linux no, è a rischio quella degli utenti sciocchi che scaricano pacchetti a caso da internet e li eseguono senza sapere cosa stiano realmente facendo.

Non è stata violata la sicurezza del sistema operativo, non è stato trovato un difetto nel sistema né è stato un bug a causare questi accessi non autorizzati. Si tratta di un semplice inganno (social engineering), più o meno l’equivalente dei truffatori che bussano alle case delle vecchiette spacciandosi per operatori dell’Enel.

Tuttavia, che nessuno si inganni: la sicurezza implicita non esiste, a priori, in nessun sistema.
Linux offre di suo una buona sicurezza di base ma non esiste ad oggi nessuna protezione realmente efficace contro le azioni dell’utente se questo ha poteri amministrativi.

Nel momento in cui un utente scarica un deb (o un rpm o un qualsiasi altro archivio che contenga programmi) e avvia l’installazione, quella operazione viene eseguita con l’utente root, il massimo privilegio che esista sui sistemi *nix.

Il pacchetto una volta installato potrà fare praticamente qualsiasi cosa, dal non fare nulla all’eliminare qualsiasi dato sulla macchina comprese le unità esterne o le macchine in rete o persino nascondersi per tutta la vita e svolgere le attività per le quali è stato studiato. Quanto sia capace a celarsi dipende dalla bravura dello sviluppatore del malware.

Disinstallare il pacchetto non è mai una soluzione sufficiente,  come non lo è su Windows non lo è neanche su Linux. Lo script una volta installato può eseguire ciò che preferisce inclusa la creazione di files aggiuntivi, di modifiche al file system, di sostituzione di files di sistema, ovvero il sistema è ormai compromesso e senza sapere per filo e per segno cosa un malware faccia, è impossibile aver la certezza che il virus sia stato rimosso.

Il gestore di pacchetti farà il suo ruolo, ovvero di togliere ciò che ha installato ma non si occupa di togliere ciò che non ha installato direttamente ma è frutto dell’esecuzione di un altro programma, né tantomeno si occupa di rimettere a posto i files che sono stati alterati da altri programmi.

Il consiglio non sarà di certo quello della prudenza, dopotutto chi non ha avuto prudenza in passato non l’avrà in seguito.

Chiunque scarichi software dai repository non ufficiali (di Ubuntu, di Debian, Fedora o qualsiasi altra distribuzione) è soggetto ai rischi che esistono nel mondo, gli stessi rischi che puniscono pesantemente gli utenti Windows. Basta installare un pacchetto contraffatto per distruggere totalmente e irreparabilmente la sicurezza di qualsiasi sistema operativo.

Quindi pensaci due volte prima di installare/eseguire un programma da un sito che non sia un repository ufficiale. La colpa non è di Linux che è insicuro, la colpa è soltanto tua che sei stato sciocco e il sistema operativo non può impedirti di comportarti in maniera stupida.

Fonti:

YOU THERE!! Malicios script installed as a DEB, please read!
Malware Hidden found inside screensaver on gnome-look
And so it begins…

Annunci
  1. superlex
    09 dicembre 2009 alle 21:42

    sì in effetti chiunque potrebbe fare uno script che faccia qualunque cosa, come eliminare dati/file, siano essi del sistema (richiederebbe la password) o dell’utente (che magari non aveva un backup di essi). Però un minimo di sicurezza ci dovrebbe essere, almeno in siti come gnome-look ..

  2. Danielsan
    09 dicembre 2009 alle 22:56

    Non sono per niente convinto che declinare le responsabilità, oggettive per carità, all’utonto sia un modo costruttivo di porre la questione.

    Perché sotto questo aspetto il mito di GNU crollerebbe in pochi istanti se un’orda di utonti provenisse in massa da Win. Sai quanto ci vuole a camuffare un .deb per far credere che sia una richiesta d’aggiornamento, che serva per vedere i film a gratis, che è lo screen saver della più gnocca del mondo etc.

    Piuttosto da un sistema operativo che ha degli avanzati criteri di protezioni mi aspetterei una politica che inizi a valutare come porre rimedio ad atteggiamenti inopportuni da parte degli utenti.

    • 10 dicembre 2009 alle 20:07

      Danielsan

      non si tratta di declinare, l’invito è a smettere di urlare ai quattro venti LINUX E’ IMMUNE DA VIRUS, NON SERVE ANTIVIRUS, WINDOWS INVECE FA SCHIFO E BLA BLA.

      per esporre un giudizio in merito alla sicurezza serve una certa competenza, non un preconcetto dettato unicamente dalla statistica e dal passaparola.
      un sistema linux in mano a un inesperto è insicuro almeno quanto windows.
      ben conclude il commento di Telperion che avvisa della pura incidentalità della poca diffusione di virus su ambienti non windows.

      il sistema operativo inizia già ad introdurre alcuni comportamenti restrittivi (ma non abbastanza ancora) per limitare gli accessi non autorizzati, ovvero selinux e apparmor.

      gioirò con te il giorno che linux implementerà un sottosistema per l’installazione di applicazioni, ad un livello inferiore da quello di root.
      ciao

      • Danielsan
        10 dicembre 2009 alle 20:09

        Spero vivamente che ciò accada prima della grande invasione. 😀

  3. Sov
    10 dicembre 2009 alle 0:51

    Per favore pero’, chiamiamo le cose col loro nome! Il titolo “Un simpatico virus per Linux” e’ del tutto fuori luogo; non si tratta di un virus bensi’ di un malware e neanche particolarmente “feroce”, siamo tutti daccordo sul fatto che la sicurezza totale non esiste, ma un virus e’ un programma che utilizza particolari debolezze o bachi del sistema operativo mentre un malware sfrutta la faciloneria dell’utente. Il titolo senzionalistico non fa altro che buttare benzina sul fuoco dei detrattori di Linux e non me lo aspetto da un sito dedicato proprio ad ubuntu… poi il fatto che sia grave che tale programma sia comparso proprio su gnome look e’ sicuramente gravissimo tanto piu’ che se ne appena scoperto un’altro sempre sullo stesso sito!

    • 10 dicembre 2009 alle 19:58

      nel mio dizionario malware è una sottofamiglia dei virus
      come lo sono i documenti con macro

      quanto alla ferocia è stato indicato palesemente che si tratta di uno script giocattolo scritto peraltro molto male
      l’articolo vuole porre il dito sulla falsa sicurezza dei veri detrattori di linux, ovvero quelli convinti della sicurezza a prescindere.

      paradossalmente considero la presenza del $roba su gnome-look puramente casuale e non addosso in alcun modo la colpa al sito (e infatti non l’ho neanche accennato). manca una cultura della sicurezza e ci si appoggia troppo su una presunta invincibilità

      • Sov
        10 dicembre 2009 alle 22:23

        Non sono in accordo con il tuo dizionario, anche se su wikipedia si dice:

        “The term “computer virus” is sometimes used as a catch-all phrase to include all types of malware, including true viruses.”

        quello che volevo dire pero’ e’ che bisogna fare attenzione ai termini che si usano proprio perche si rischia semplicemente di dare credibilita’ a certe tecniche di “FUD”.

        Detto questo non mi ritengo un fanboy linuxaro e, a parte il titolo, ho apprezzato il tuo articolo e l’immagine allegata molto in tema 🙂

        sono di nuovo in disaccordi invece sulla “colpa” di gnome-look che e’ un sito molto trafficato e come tale ha la responsabilita’ di controllare il software che ridistribuisce. Se scaricassi un malware per windows su tucows mi incazzerei non poco.

        Ma forse in questi casi l’unica via e’ rendere molto difficile installare pacchetti con firmati con chiavi diverse da quelle predisposte dalla distribuzione in maniera che solo un utente veramente esperto possa installare pacchetti non “sicuri”

      • 10 dicembre 2009 alle 23:00

        l’unico appunto che mi sento di fare a gnome-look è di consentire la diffusione di programmi e pacchetti deb

        essendo un sito di temi e altre chicche non vedo perchè ci siano programmi eseguibili e installabili e se proprio per forza devono esserci, dovrebbero distribuirli in formato sorgente.

  4. telperion
    10 dicembre 2009 alle 2:30

    Finchè fa uno script, si può vedere quel che fa.
    Quando invece nei binari ci sarà codice malevolo compilato (esattamente come nei binari di windows) allora sarà molto più difficile da scoprire.
    Che per ora il segmento desktop linux non sia minimamente interessante per i virus writer, è puramente accidentale.

    • 10 dicembre 2009 alle 19:55

      purtroppo la difesa a priori dei fanboys è sempre fuori luogo
      non basta un sistema operativo a impedire la diffusione dei virus, sia esso windows, linux od osx

      ci sono aspetti positivi e negativi in tutti
      la mancanza di un gestore di pacchetti (de facto!) su windows è sicuramente un aspetto terrificante che incide molto pesantemente sulla sua sicurezza, per cui per installare un programma bisogna avviare un altro programma.

  5. Mondonauta
    10 dicembre 2009 alle 13:58

    sono d’accordo sulla prudenza, ma sono altrettanto d’accordo con superlex quando dice ke su siti come gnome-look dovrebbe esserci un minimo di controllo!

  6. 10 dicembre 2009 alle 15:37

    Detto questo pensateci due volte prima di installare i programmi dal repository ubuntrucchi di muflone! visto che non è ufficiale! 😀

    • 10 dicembre 2009 alle 19:53

      non posso che essere d’accordo con te
      e non scherzo mica

    • 10 dicembre 2009 alle 20:09

      l’unico aspetto buono del mio repo è che gli script python SONO i sorgenti stessi, basta nulla per ispezionarli, non sono nemmeno compilati.

  7. Perleme
    10 dicembre 2009 alle 19:21

    Ecco articoli come questo http://www.programmazione.it/index.php?entity=eitem&idItem=41368 che effetti può avere.
    Muflone ha scritto un vero articolo di informazione, però i programmi fuori dai repository ufficiali si possono installare se si ha la sicurezza di sapere che cosa si sta installando, se il programma è consigliato da qualcuno che lo conosce e l’ha già provato non c’è nessun problema.

  8. yuriambrosio
    12 dicembre 2009 alle 18:42

    Linux, Windows, o Mac… la sicurezza dipende dell’utente, non dal sistema.

  9. 13 dicembre 2009 alle 1:29

    Muflone non sono per nulla d’accordo. Prima di tutto dobbiamo chiamare le cose con il loro nome: questo è un trojan, non un virus.
    La differenza non è una sottigliezza, si tratta di due fattispecie di programmi del tutto differenti.

    Non c’è nessun modo sicuro per proteggersi da un trojan in nessun sistema operativo presente, passato o futuro e non ci sarebbe neppure nel caso in cui per installare le applicazioni non fosse necessario essere amministratori, cosa che, peraltro, si può benissimo fare anche adesso (scarica Firefox dal sito di Mozilla, scompattalo e clicca sul file “firefox).

    Anche selinux o apparmor in casi del genere non avrebbero efficacia.

    Dico questo perché è completamente fuorviante dire “Linux, Windows, o Mac… la sicurezza dipende dell’utente, non dal sistema.”.

    Su Windows è molto semplice contrarre malware di vario tipo senza fare nulla di volontario, semplicemente inserendo una pennetta, navigando su Internet con Internet Explorer, ecc. C’è una bella differenza tra questo è la *volontaria* installazione di un trojan.

    Certo si può sempre dire che l’utente inesperto si fida e scarica e quindi tutto il discorso va a farsi friggere, ma come ho detto prima non esiste nessun modo efficace, neppure a livello teorico, per difendere l’utente da se stesso. Tutte le tecniche che uno può immaginarsi sono solo palliativi.

    Ciò non toglie però che è molto, molto, molto differente un sistema come Windows dove o le protezioni non esistono (vedi XP) o sono implementate “a posteriori” (Vista) o ancora sono depotenziate dallo stesso produttore (Windows 7) rispetto ad altri sistemi (GNU/Linux, Mac OS, ecc.).

    Ricordiamoci che Mac OS X ha una diffusione piuttosto larga (circa il 5%, che sembra poco ma si tratta di milioni e milioni di macchine) e peraltro tra fasce “ricche” (e quindi più remunerative per i cracker) eppure al massimo si conta qualche trojan come appunto questo su gnome-look.
    Viceversa per Windows, solo nel 2008, sono stati scoperti 1milione e 600mila malware. Dico 1milione e 600mila in un solo anno.
    Anche a voler dare per buono il discorso della maggiore diffusione, le proporzioni non contano.

    • 13 dicembre 2009 alle 1:45

      trojan, malware, documenti con macro sono tutti della famiglia dei virus. peraltro e` stato spiegato bene che si tratta di poco piu` di un giocattolo fatto male.

      il sistema di sicurezza tra i tre maggiori os e` molto differente ma puo` portare a risultati comuni:

      un sistema windows che esegue attivita` da amministratore e` fortemente a rischio sicurezza mentre un sistema windows a livello utente ha un livello di rischio medio-basso.

      un sistema linux con accesso root e` estremamente piu` pericoloso che operare come administrator su windows perche` root ad oggi non ha freni su nulla.

      su windows l’administrator invece non e` il massimo privilegio e non puo` eseguire alcuni accessi come fare l’hijack dei servizi in esecuzione o la scrittura in aree di memorie di altri processi.

      un utente che opera senza root il massimo danno che potra` fare e` corrompere la propria home e nulla piu` ma poiche` per installare anche il piu` stupido programma serve l’accesso root l’intera sicurezza del sistema e` a rischio.

      sistemi implementabili per aumentare questa sicurezza ci sono e possono essere un livello intermedio dedicato esclusivamente all’installazione delle applicazioni senza necessariamente toccare files estranei oppure un chroot by-design per ogni applicazione o ancora meglio acl singole per processo con negazione alla scrittura a qualsiasi cosa esclusa la home.

      non dico che sia facile, tuttavia bisognerebbe lavorarci, prima o poi verra` il giorno che questi rischi diventino concreti.

      i difetti dei software sono inevitabili, ne e` la prova mozilla firefox che regolarmente sistema i suoi difetti e tante altre applicazioni con minor diffusione o con staff meno efficienti probabilmente proliferano di problemi di sicurezza che non vengono a galla per la bassa diffusione.

    • 13 dicembre 2009 alle 1:51

      per curiosita`, perche` dici che le protezioni su xp non esistono? ntfs di serie ha le acl, cos’hanno le acl che non vadano bene?

      che poi la gente lavori come administrator e usare utenti normali e` complicato, e` un altro paio di maniche.

      • 13 dicembre 2009 alle 2:12

        su XP Home non ci sono e XP Home è almeno il 90% dell’installato XP.

      • 13 dicembre 2009 alle 6:54

        le acl sono integrate su ntfs e xp home utilizza ntfs

        hanno soltanto castrato la possibilita` di impostarle da UI forzando la cosiddetta condivisione semplice, tuttavia le acl ci sono e sono anche utilizzate di serie all’interno dei profili ad esempio o nella system volume information che contiene i punti di ripristino.

      • 13 dicembre 2009 alle 7:22

        sì ok, ma è come se non ci fossero. Ogni utente su XP Home è amministratore, fa quello che vuole e non ha limitazioni. E’ come se su Linux fossi sempre root: certo i permessi nel file system continuano ad esistere ma tu potendo fare tutto neppure te ne accorgi.

      • 13 dicembre 2009 alle 7:38

        su quello sono d’accordo e si tratta di una voluta limitazione alla versione piu` economica del sistema operativo.

        lungi da me dal difenderlo, non e` tuttavia corretto alzare le barricate e dire xp non ha protezioni.

        xp home per ragioni commerciali ha le protezioni non configurabili con semplicita`, se uno vuol farlo lo fa a manina (ma non so se violi la licenza).

      • 13 dicembre 2009 alle 7:49

        scusa ma a manina come? io non ho mai visto la possibilità di creare utenti non administrator (a parte l’utente guest ma non sono manco sicuro che poi fosse davvero guest…)
        Io usavo sempre il 2000 o XP Professional, visto che peraltro mi serviva IIS, lì c’è tutto abilitato e puoi decidere ogni privilegio.

      • 13 dicembre 2009 alle 9:51

        ho perso un po’ di tempo per risponderti a questo in quanto non avevo xp home davanti, ora l’ho e ho verificato tutto quanto segue.

        all’installazione viene creato un account administrator senza password.
        dalla gestione utenti c’e` la possibilita` di creare utenti con permessi limitati il che significa classe users di NT, puo` essere che prima del sp3 non lo facesse ma cmq si poteva fare col comando net user.

        inoltre usando qualsiasi account, anche quello limitato c’e` la possibilita` di far tasto destro e scegliere esegui come in modo da eseguire il comando come amministratore (questo disattivabile a discrezione attraverso il servizio seclogon).

        quanto alle acl, innanzitutto assegnando una password viene chiesto se rendere i documenti privati, cio` significa che saranno cambiate le acl per quell’utente nella sua home.

        fino a qui e` tutto semplificato senza operare a manina. se vuoi acl personalizzate su files/directory c’e` lo strumento cacls da riga di comando.

        per il resto delle policy non c’e` secpol.msc ne` gpedit.msc ma bisognera` operare a manina via regedit, le policy stanno tutte li` dentro.

        e fino a qui non si e` violata nessuna licenza.

        se non ti basta ci sono i trucchi per ottenere gli strumenti che ci sono sul professional ma questi credo violino la licenza d’uso.

  10. 13 dicembre 2009 alle 2:10

    trojan, malware, documenti con macro sono tutti della famiglia dei virus.

    Non proprio. Malware è un termine-ombrello per definire virus, trojan, worm, macrovirus e qualsiasi programma malevolo. Tuttavia le differenze tecniche tra questi tipi di malware sono notevoli e anzi è persino fuoriviante metterle insieme.

    un sistema linux con accesso root e` estremamente piu` pericoloso che operare come administrator su windows perche` root ad oggi non ha freni su nulla.

    Be’ questo non è vero in RH/Fedora, Suse/OpenSuse, Ubuntu. Cioè le distribuzione che insieme raccolgono probabilmente almeno l’80% delle installazioni GNU/Linux.

    su windows l’administrator invece non e` il massimo privilegio e non puo` eseguire alcuni accessi come fare l’hijack dei servizi in esecuzione o la scrittura in aree di memorie di altri processi.

    La code injection è una tecnica piuttosto comune nei malware su Windows. Nel caso di Windows 7, poi, non richiede neppure di essere administrator. Nel caso di Vista la stessa Microsoft ha dimostrato come è possibile realizzarla sullo stesso UAC.

    ma poiche` per installare anche il piu` stupido programma serve l’accesso root l’intera sicurezza del sistema e` a rischio.

    ma lo sarebbe persino di più se non fosse così (e comunque ripeto: non è così, si possono installare programmi senza essere root).

    sistemi implementabili per aumentare questa sicurezza ci sono e possono essere un livello intermedio dedicato esclusivamente all’installazione delle applicazioni senza necessariamente toccare files estranei oppure un chroot by-design per ogni applicazione o ancora meglio acl singole per processo con negazione alla scrittura a qualsiasi cosa esclusa la home.

    ok, ma non vedo come questo risolva il problema o anche solo lo tamponi. Esempio 1: ho questo livello intermedio: continuo ad essere abilitato ad installare un trojan. Esempio 2: ho le applicazioni che girano in una chroot: continuo ad essere vulnerabile a un trojan. Esempio 3: ho queste acl: continuo ad essere vulnerabile “a me stesso”.
    In ambito aziendale come sai molto meglio di me visto che ci lavori, cose del genere già ci sono da decenni, ma non servono contro i trojan (visto che si suppone che un sysadmin non sia tanto stupido da scaricare un pacchetto da un sito).
    Tanto per fare un esempio soyuz su launchpad funziona in una serie di server virtuali xen e tanto per stare più sicuri ogni build è eseguita dentro una chroot. Su FreeBSD e su Mac OS X hai anche jail che è decisamente più sicuro di chroot.

    • 13 dicembre 2009 alle 7:15

      mi sfugge questo paravento dietro l’uso del termine trojan.
      il danno che possa fare un utente a se stesso e` infinitesimale a quello che possa essere causato dall’obbligo di usare root per installare programmi.

      io parlo di livello intermedio come un privilegio a installare pacchetti che possano essere si trojan ma non possano compromettere la sicurezza modificando parti del sistema.

      all’interno di una chroot sono esposto al trojan che tuttavia cos’altro puo` fare se non un po’ di traffico e rumore di fondo? viola le mie policy di sicurezza? si sostituisce o infetta altre parti del sistema?
      che un trojan possa eliminare la home intera di un utente non costituisce un danno e all’interno di una jail non potrebbe far neanche quello.

      ad esempio su i5/os un ipotetico trojan il massimo danno che farebbe e` cancellare i files di mia proprieta`, le stampe, senza potersi imporre all’avvio, senza sostituire applicativi, senza mettere a rischio la funzionalita` di altri utenti, senza ingannarmi per il futuro, senza intaccare le policy di amministrazione.

      su linux (e windows) invece basta nulla per
      1) sostituire gli applicativi ingannando l’utente, semplicemente modificando i menu di gnome dell’utente
      2) sostituire il path in modo che ogni comando ne richiami uno analogo che faccia tutt’altro e nel caso di sudo/gksudo/gksu, con effetti distruttivi
      3) imporsi all’avvio
      4) accedere in scrittura a qualsiasi file nella mia home

      oggi *di fatto* gli utenti sono obbligati a usare root anche per attivita` che non dovrebbero richiederlo, come appunto installare programmi.

      una acl sui processi (come apparmor) resa obbligatoria di serie puo` limitare la vita al trojan esclusivamente all’esecuzione volontaria, di volta in volta.
      di certo non me lo troverei su un nessun file di sistema, di configurazione o di avvio automatico di processi.

      il secondo paravento ovvero che non si opera attraverso root e` meno di una consolazione, di fatto invece si opera da root poiche` per installare programmi devo essere root e avviata un’installazione malevola nemmeno un file nel sistema sara` piu` al sicuro.
      oltretutto ci sono mille altri motivi per dover diventare root che possono essere manovrate da un trojan.

      • 13 dicembre 2009 alle 7:45

        mi sfugge questo paravento dietro l’uso del termine trojan.

        Non è un paravento, l’oggetto di questo post è un trojan, quindi mi pare di essere in topic 🙂

        io parlo di livello intermedio come un privilegio a installare pacchetti che possano essere si trojan ma non possano compromettere la sicurezza modificando parti del sistema.

        Credo che tu stia ragionando troppo da sysadmin. Per un utente normale il fatto che il sistema in sé non venga compromesso cambia relativamente poco. Una volta che tu hai contratto il trojan e quello manda in giro i tuoi dati, oppure ti sfrutta per un DDoS, o altro, cosa cambia se /bin non è compromessa? Cambia solo che è più facile rimuovere il problema una volta scoperto, tutto qui. Ok è una buona cosa ma non previene.

        oggi *di fatto* gli utenti sono obbligati a usare root anche per attivita` che non dovrebbero richiederlo, come appunto installare programmi.

        In parte è vero ma per evitarlo vai incontro ad altri problemi, senza avere peraltro un incremento così considerevole della sicurezza. Inoltre considera che una marea di programmi installa librerie condivise, queste andrebbero tutte separate… sì ok si può fare (mac os x fa così) ma non è il massimo dell’eleganza.

        Inoltre considera questo, anche nel caso di questo livello intermedio: supponiamo che io metta nel mio repository o sul mio sito un pacchetto deb dicendo che è una nuova e magnificente versione delle GTK che ti fa la trasparenza stile AERO di Windows Vista. Essendo GTK+ una libreria di sistema si suppone che venga richiesto il livello di root. Pensi che l’utente medio non digiterebbe la password?

        Insomma quello che dici si potrebbe anche fare, ma l’unico vantaggio reale è solo nella fase di rimozione se e solo se l’utente non è stato così inavveduto da dare la password di root su richiesta.

        una acl sui processi (come apparmor) resa obbligatoria di serie puo` limitare la vita al trojan esclusivamente all’esecuzione volontaria, di volta in volta.

        Su questo ti seguo. Apparmor e SELinux troveranno senz’altro sempre più largo uso in ambito desktop. Però questo riguarda più gli exploit che altro.

        Ripeto, contro i trojan l’unico modo è: a) non avere la password di root né di nessun livello intermedio. b) avere la home montata con noexec.

      • 13 dicembre 2009 alle 8:12

        forse mi sono spiegato male, con paravento non intendo dire che stai parlando d’altro, intendo dire che non e` che questi discorsi non valgano perche` si tratta di trojan e non di virus nel senso antico del termine.

        Inoltre considera che una marea di programmi installa librerie condivise

        l’utente e` obbligato a diventare root per installare il gtk-engine e quindi per installare un tema? questo e` un difetto di design, e` un sistema logico bacato che andrebbe rivisto.

        consentiamo all’utente di installare il gtk-engine che verra` eseguito all’interno di un processo distinto per-user, non condiviso all’intero sistema.

        se un gtk-engine e` disponibile nei repository ufficiali (vedi sotto) quello sara` installato nel sistema e quindi sara` condiviso ma quello non e` contraffatto.

        finora ho sempre evitato il confronto con osx perche` gode della mia stima nella sua semplicita`.

        Cambia solo che è più facile rimuovere il problema una volta scoperto, tutto qui. Ok è una buona cosa ma non previene.

        cambia molto in quanto gia` dal gdm potrei scegliere una ipotetica modalita` sicura con ZERO programmi-utente avviati, solo quanto stabilito dal distributore (gnome-session e basta ad esempio).

        in questa ipotetica modalita` avrei possibilita` limitatissime atte a ritornare sui miei passi dopo che ho fatto un danno.

        Pensi che l’utente medio non digiterebbe la password?

        io da admin penso che l’utente firmerebbe persino la sua condanna a morte se gli fosse messa davanti e scritta in stampatello.

        quello invece che mi auguro e` che l’utente non sappia neanche cosa sia root ne` gli serva mai in tutta la sua vita accedere da root.
        quante persone su windows accedono come system (il root di linux) o hanno mai sentito parlare di questo utente presente da sempre su tutti gli NT?

        rilancio ancora, gioverebbe anche una distinzione netta tra repository ufficiali e repository utente per il giorno che inizieranno a fioccare repository fasulli.
        come ha detto ironicamente grey_fox in un commento prima, diffidate dall’installare programmi dal repository di muflone.

        i repository utente dovrebbero installare progrmmi che girano soltanto in modalita` utente limitata.
        la perdita prestazionale e` molto relativa, la maggior parte dei desktop hanno un solo utente.

        rilancio un’altra volta ancora: tutti i processi che hanno necessita` di eseguire attivita` potenzialmente ingannevoli (avvio automatico, scrittura nei menu dell’utente) dovrebbero sottostare a una coda di autorizzazioni esplicite che dica chiaramente all’utente cosa il programma chiede di fare. coda che nell’ipotetica modalita` di avvio sicuro verrebbe disabilitata.

        insomma bisognerebbe essere pienamente coscienti di quel che si sta facendo.

        su apparmor e noexec mi trovi pienamente d’accordo

      • 13 dicembre 2009 alle 8:28

        l’utente e` obbligato a diventare root per installare il gtk-engine e quindi per installare un tema? questo e` un difetto di design, e` un sistema logico bacato che andrebbe rivisto.

        Il realtà un engine gtk può anche stare nella home dell’utente, comunque ho capito il discorso. Tu parti da un assunto assolutamente giusto: ogni azione deve essere compiuta con i provilegi minimi necessari.
        Giusto e sacrosanto.
        Ma questo è un giustissimo e sacrosantissimo dogma in ambiente server, su quello desktop questo discorso va a farsi friggere perché il sistema è mio, l’ho installato io e io ci devo poter fare quello che voglio. Sennò hai una specie di Iphone e la gente non se lo compra un computer dove non puoi farci quello che cazzo ti pare, lo abbiamo già sperimentato con gli eeepc con xandros, dove per installare amsn ci voleva una laurea 🙂

        quello invece che mi auguro e` che l’utente non sappia neanche cosa sia root ne` gli serva mai in tutta la sua vita accedere da root.

        Non sono d’accordo. Io mi sono installato Ubuntu da solo, per questo ho la password di root. Se la password di root ce l’avesse Mark Shuttleworth mi sarei tenuto Windows.
        Il discorso è ok per i pc aziendali, ma su quelli non si deve proprio installare niente, manco un tema.

        ancora, gioverebbe anche una distinzione netta tra repository ufficiali e repository utente per il giorno che inizieranno a fioccare repository fasulli.

        Be’ ma questo già c’è. Tu non hai installato karmic e quindi non lo sai ma il gestore aggiornamenti adesso ti dice precisamente da dove vengono i pacchetti.

        i repository utente dovrebbero installare progrmmi che girano soltanto in modalita` utente limitata.
        la perdita prestazionale e` molto relativa, la maggior parte dei desktop hanno un solo utente.

        Che faccio, chiudo il mio repo con i driver Intel e il nuovo kernel? Guarda che gli utenti Intel s’incazzano 🙂

        tutti i processi che hanno necessita` di eseguire attivita` potenzialmente ingannevoli (avvio automatico, scrittura nei menu dell’utente) dovrebbero sottostare a una coda di autorizzazioni esplicite che dica chiaramente all’utente cosa il programma chiede di fare. coda che nell’ipotetica modalita` di avvio sicuro verrebbe disabilitata.

        In teoria hai ragione. Nella pratica… te lo vedi un sistema che ti fa in continuazione domande? autorizzi questo, autorizzi quest’altro… tutti odiano l’UAC di Vista perché compare qualsiasi cosa tu faccia.

        Insomma bisogna trovare un giusto compromesso: i sistemi “blindati” sono destinati al fallimento, almeno in ambito desktop.

      • 13 dicembre 2009 alle 8:47

        la uac era un vero PITA, probabilmente chi l’ha realizzata non ha mai usato vista.
        oltre ad essere inutile di fatto.

        io non mi ritengo un super genio, tu ti ritieni un super genio? pero` da sviluppatore quale sei trovi impossibile realizzare un sistema di autorizzazioni esplicite centralizzate?
        volendo persino lo stesso gnome-session-properties potrebbe andar bene, basta che nessuno possa scrivere dentro autostart tranne il gestore di pacchetti che al momento dell’installazione chiederebbe all’utente se mettere il programma in avvio automatico.

        debconf gia` in fase di installazione si occupa di far alcune semplici e rare domande. quanti programmi richiederebbero di modificare i path o toccare menu esistenti o imporsi in avvio automatico?

        nessuno chiede di blindare il sistema, io chiedo un modo di non far grossi guai ma guai piccoli facilmente gestibili dalla modalita` di recovery o da un ipotetica modalita` senza programmi autoavvianti.

        a questo affiancherei un sistema di permessi per i processi all’avvio.

        oggi e` troppo facile mettere mani su un qualsiasi file di avvio o buttare un .desktop dentro .config/autostart o .local/share/applications e ingannare totalmente l’utente.

        riguardo il tuo repo, tienilo aperto, per tutti.
        tuttavia tutti sanno che installando un nuovo kernel o un driver xorg si possa incasinare tutto il sistema operativo, e` qui che l’utente root puo` divenire necessario.

      • 13 dicembre 2009 alle 8:53

        Non sono d’accordo. Io mi sono installato Ubuntu da solo, per questo ho la password di root. Se la password di root ce l’avesse Mark Shuttleworth mi sarei tenuto Windows.

        la password la devi avere ma non ti deve servire MAI.

        oggi invece sappiamo che la password serve per mille motivi, anche su LQH diamo sempre comandi che iniziano con sudo.
        windows e` combinato persino peggio, senza administrator non puoi fare niente, quindi e` impensabile usare un desktop senza avere il privilegio.

        Tu non hai installato karmic e quindi non lo sai ma il gestore aggiornamenti adesso ti dice precisamente da dove vengono i pacchetti.

        ma tanto i files finiscono nello stesso posto, a sostituire quelli importanti e fare tutti i danni che vogliono.

      • 13 dicembre 2009 alle 8:56

        certo non sono un genio 🙂 o comunque meno di te (infatti spesso ti chiedo consigli). Mica dico che è “complicato” fare quello che proponi, anzi è anche piuttosto semplice. Quello che mi domando è se vale effettivamente la pena. Voglio dire: ok, facciamo queste domande, ma poi? Questo annulla/riduce il problema? secondo me no.
        La gente clicca su avanti-avanti-avanti… manco legge che c’è scritto.
        Ogni volta che guardo in pc con Windows trovo installate 20 barre su Explorer e se provo a chiedere all’utente come mai quello mi risponde “boh…”.

        Certo il discorso della sessione “minima” è fondato, ma quella già c’è.

Comment pages
I commenti sono chiusi.
%d blogger hanno fatto clic su Mi Piace per questo: