www.MegaLab.it

Dopo la conclusione del suo speech, abbiamo avuto l'occasione di rivolgere qualche domanda anche a David Jacoby, esperto del mondo Linux/UNIX. Con lui abbiamo parlato di svariati argomenti, concentrandoci però soprattutto sulle piattaforme alternative a Windows

Kaspersky e 0-day: siamo protetti?

La prima domanda riguarda i prodotti Kaspersky in generale, ed il livello di sicurezza che possiamo aspettarci contro le vulnerabilità appena scoperte e per le quali non siano ancora disponibili aggiornamenti (falle 0-day).

David ha risposto che, poiché le vulnerabilità 0-day sono, appunto, debolezze e non malware, un antivirus può fare ben poco per risolvere gli errori in sé.

Allo stesso tempo però, la soluzione antivirale può essere in grado di proteggere il sistema in caso il baco venisse sfruttato per cercare di scaricare ed eseguire codice malevolo riconosciuto dalle definizioni antivirali, dagli algoritmi euristici o dalla componente cloud: in questo caso, l'antivirus è in grado di bloccare l'aggressore prima che sia effettivamente in grado di compromettere il sistema.

L'esperto ha poi chiarito ulteriormente il concetto con un altro esempio incentrato sui server web. Se anche il sistema fosse governato da un software o da un sistema operativo vulnerabile, un aggressore potrebbe comunque non riuscire a sfruttare effettivamente il difetto. Perché questo sia possibile però, è necessario che l'amministratore abbia lavorato in maniera diligente, applicando le dovute precauzioni in fase di configurazione.

I servizi di Windows lo rendono più vulnerabile?

Mancanze e sviste di programmazione nei servizi alla base di Windows sono spesso sfruttabili per eseguire codice da remoto in maniera pressoché automatica, favorendo la proliferazione dei worm. Linux è completamente al riparo da questo genere di problemi?

"Assolutamente no. Come su Windows ci sono i servizi, su Linux può essere attivo un componente vulnerabile. Samba, ad esempio, è spesso interessato da debolezze piuttosto gravi, sfruttabili in maniera non dissimile".

Jacoby ha poi spiegato che, in generale, gli stessi errori di programmazione noti nel mondo Windows esistono anche nel mondo delle piattaforme alternative: buffer overflow (heap e stack-based), off-by-one, format string attack e tutto il resto.

Virus per Linux e Mac: è possibile realizzarli?

Interrogato circa la possibilità di realizzare malware per le piattaforme alternative, David ha risposto che, tecnicamente, la cosa è fattibile.

Permangono comunque importanti differenze dettate dal differente modello di sicurezza. Sotto Linux, ad esempio, l'account "di lavoro" ha generalmente privilegi alquanto limitati, ed i permessi a livello di file system (ACL) tendono a rendere la vita più dura agli attaccanti, in caso il tutto sia configurato correttamente.

Questo comporta che realizzare un malware per Linux richieda spesso una competenza più elevata da parte del virus-writer, poiché è chiamato a far leva opportunamente su più di una vulnerabilità "in cascata" per arrivare a bersaglio.

Raccontami una storia!

Abbiamo chiesto a Jacoby di segnalarci una vulnerabilità di un certo rilievo che abbia interessato i sistemi Linux di recente.

David ha ricordato un grave problema di configurazione legato ai cosiddetti setuid file, ovvero file che, quando eseguiti, girano con gli stessi privilegi del proprietario indipendentemente da quelli assegnati dell'utente corrente. Va da sé che, in caso di configurazioni errate, un setuid file di proprietà dell'amministratore (root) può essere eseguito senza alcuna limitazione anche da un utente limitato.

Un aggressore sufficientemente abile potrebbe sfruttare a proprio vantaggio questa situazione anche via web, ottenendo così i massimi privilegi pure in caso il processo del server HTTP fosse configurato correttamente per essere eseguito come account fortemente deprivilegiato.

Proprio questo meccanismo è uno di quelli che viene sfruttato dagli "auto rooters" di cui David ha parlato nel corso della sua precedente presentazione.

Con la popolarità arriveranno i malware?

David risponde con un secco ed inequivocabile "sì" alla domanda "credi che il numero di malware per le piattaforme alternative possa crescere di pari passo alla loro popolarità?".

A supporto della propria tesi, l'esperto svedese ricorda che, alcuni anni addietro, in pochi erano realmente convinti che potesse essere necessario un antivirus per telefonini. Oggi invece, tale precauzione appare pericolosamente meno infondata.

Consigli un antivirus per Mac e Linux?

David ritiene che l'installazione di un antivirus anche su Mac e Linux sia una mossa saggia e, personalmente, procederebbe senza dubbio in tal direzione.

Il motivo è presto detto: anche se, al momento, il numero di malware per queste piattaforme è ancora limitato, il sistema potrebbe entrare in contatto con software malevolo studiato per Windows. Sebbene questo risulterebbe inefficace sul sistema in sé, il rischio di inviare involontariamente il programma nocivo ai colleghi esiste. Uno strumento di protezione invece, avrebbe buone possibilità di bloccarlo automaticamente.

Malware su iPhone: meglio prepararsi

Abbiamo chiesto a David quali rischi corrano gli utenti di iPhone ed altri iDispositivi.

L'esperto ha risposto che la grande popolarità di iPhone richiama già i cybercriminali, ma ancora non si è assistito al boom a causa del modello di sicurezza particolarmente restrittivo applicato da Apple, nel quale solo le "App" firmate digitalmente ed approvate da Cupertino sono autorizzate a girare.

Parallelamente però, il fenomeno del Jailbreaking è sempre più popolare (e, in alcuni casi, alla portata di chiunque): gli utenti però non si rendono conto che, così facendo, vanno di fatto a disattivare l'unico meccanismo a difesa dell'apparecchio, rischiando così di aprire le porte anche a malware assortito.

La questione Android

Sulla piattaforma mobile Android, spiega l'analista, la situazione è ancora più grave. Il sistema operativo di Google esegue infatti qualsiasi applicazione, indipendentemente dalla sua provenienza, senza bisogno di effettuare un "Jailbreak". Gli apparecchi mobili governati da questo software sono quindi intrinsecamente vulnerabili fin dall'apertura della confezione.

IOS più sicuro di Android?

David preferisce non sbilanciarsi sulla questione della maggior sicurezza di un sistema operativo mobile rispetto ad un altro.

Nonostante quanto appena detto, l'esperto ritiene che sia il livello di conoscenza dell'utente a fare la differenza: un terminale Android può essere più sicuro di quanto non lo sia un iPhone, se si trova in mano ad una persona che è consapevole del modello di sicurezza utilizzato ed ha ben chiaro il funzionamento del marketplace ad accesso pressoché pubblico.

Lo stesso rimane vero anche in caso si stesse parlando di un utente iPhone dotato delle opportune competenze.

Bootkit e rootkit per Linux?

Esistono rootkit per Linux? "Ne abbiamo identificati davvero tantissimi", afferma l'esperto. "I rootkit per Linux sono probabilmente anche più numerosi di quelli per Windows", continua Jacoby.

Le motivazioni sono di carattere tecnico: mentre sulle edizioni a 64 bit di Windows è infatti esplicitamente richiesta una firma digitale prima di poter caricare un modulo aggiuntivo per il kernel, sotto Linux tale caratteristica è assente: sono sufficienti i privilegi di root, ottenibili impiegando una delle tecniche descritte in precedenza.

Esistono soluzioni tese a mitigare il problema, come Security-Enhanced Linux (SELinux) e grsecurity, ma tali caratteristiche funzionano come policy che l'amministratore è chiamato a configurare in modo appropriato: anche ammesso che non siano rintracciabili errori nel codice alla base, un cracker potrebbe comunque aprirsi un varco facendo leva su una mancanza nella configurazione.

Linux è più sicuro di Windows?

Senza girarci troppo intorno, abbiamo chiesto esplicitamente a David se ritenga che Linux sia più sicuro di Windows.

La risposta è stata altrettanto diretta: "Non pensate che i sistemi Linux e UNIX-derivati siano più sicuri. Impiegano semplicemente un differente modello di sicurezza, con i propri punti di luce e d'ombra".