MegaLab.it

C'era da aspettarselo ed era solo questione di tempo perché venisse fuori una notizia del genere.
Riprendo un brano della notizia dal Blog italiano che l'ha segnalata

Ebbene si, capita che in queste sere d'estate si scopre anche che i sistemi Linux possono essere attaccati da trojan.
La notizia è apparsa sul forum ufficiale di Unreal IRCd (badate bene che non ha nessuna parentela con il gioco Unreal), un software IRCd per linux ed è subito stata ripresa da diversi siti del settore...

http://marcosbox.blogspot.com/2010/06/u ... to-in.html

Ovvio che il caso è molto particolare (compromissione del file presente in un sito ufficiale) ma è un segnale che forse d'ora in poi sarà tenere gli occhi aperti

Per la legge di Linus,

Given enough eyeballs, all bugs are shallow.

basta sostituire alla parola "bugs" la parola "virus" e la legge è comunque rispettata. IRCd è sotto GPL2, e il potere del free software va al di là della personalizzazione o della ricerca di bug. Più gente guarda il codice più gente può accorgersi che c'è del malware insidiato da qualche parte, e correggerlo o avvertire gli sviluppatori.

Io non mi preoccuperei del software free che gira su Linux, ma dei virus di quello proprietario.

concordo con te ma vedo la questione sotto una altro aspetto. Se ci si augura che questa piattaforma si diffonda anche tra gli utenti comuni, è necessario che si inizi fin da subito nel concepire un sistema sicuro di verifica degli hash dei repository da cui si scarica e che sia a prova di niubbo.
L'affidabilità del software che si scarica da tali fonti deve e lo dovrà essere ancor più in futuro, garantita da strumenti di facile utilizzo e non solo con il ricorso alla riga do comando.
Non approfondisco il concetto perché non ho tempo ma sulla questione ci sarebbe da dibattere a lungo, specie a causa della resistenza che una certa utenza talebana di GNU\Linux ha nei confronti della umanizzazione del S.O. e nella sua auspicabile semplificazione d'uso

Concordo anche io sulla sicurezza intrinseca maggiore che il sistema di sviluppo libero ha rispetto al proprietario.
Credo , come dice alex, che non sia questa però la cosa su cui ragionare.

un sistema sicuro di verifica degli hash dei repository da cui si scarica e che sia a prova di niubbo.

Non so bene la situazione del caso in esempio. UnrealIRCd era scaricabile dai repository ufficiali?
Se si di quale distro?

perché mi sembra si parli di mirror...

La situazione cambierebbe, e non poco se una distro ufficialmente, sui suoi repository abbia accettato codice malevolo... e quindi iniziarci a porre seriamente il problema.
sicuramente controllare l'hash del file prima di installarlo anche da mirror sarebbe ottimo , è tecnicamente possibile?
insomma ancora non ho inquadrato bene la faccenda

ps
spostiamo in attualità tecnologica? coinvolgeremmo nella discussione più utenti.

Virus per Linux?

Anche se ci fosse la compromissione di un pacchetto dei repository,quando dura questo pacchetto infetto nei suddetti repository.

bisogna vedere come agisce sul sistema,come si prende i permessi di superutente,senza i quali è solo un pacchetto inutile.

Sto cercando il pacchetto "infetto",voglio fare delle prove sul campo e buttare giù un articoletto

Anche se stiamo ben lontani dalle epidemie e pandemie presenti annualmente su Windows

Secondo me provoca solo il crash del DE,come mi è capitato in passato con i "presunti" trojan per Linux

http://guiodic.wordpress.com/2010/06/14 ... -gnulinux/

Il problema interessa quindi i server e forse proprio per questo può essere più grave... comunque pare che se si fosse seguito il buon senso questa storia nemmeno esisterebbe .... in pratica tutto il mondo è paese

a parte il tirolo attira troll

l'articolo non è così trollesco...

I bravi amministratori creano un utente apposta, come si deve sempre fare in questi casi. I dementi invece usano root....
Detto ciò, cosa avrebbe dovuto fare un amministratore di sistema accorto? Semplicemente verificare l’md5sum dopo aver scaricato il file. Cosa che, diciamo, onestamente pochi fanno.

bhe che un amministratore di sistema non verifichi la provenienza del file e il fatto che sia intatto... fa molto web 2.0

Anche se ci fosse la compromissione di un pacchetto dei repository,quando dura questo pacchetto infetto nei suddetti repository.

Lo diceva anche masterz3d... ma non è il punto interessante. imho

era interessante capire se è possibile che ciò avvenga... cioè come sono controllati i repository.

ma sembra roba non per utenti basic... la cosa comincia a diventare poco interessante imho.

Anche se stiamo ben lontani dalle epidemie e pandemie presenti annualmente su Windows

Non è il punto. La sicurezza maggiore di linux risiede nel fatto che il Sistema non deve mettere in pericolo l'utente. se gli utenti sono accorti anche win è sicuro e qui entra in ballo la diffusione. ma non devo certo spiegarlo ad un utente linux

io questo evento non lo sottovaluterei, si sbaglia a considerare l'utenza linux come gente skillata ai massimi livelli, iniziano ad esserci persone comuni che lo stanno adottando e la scarsa comprensione dei meccanismi di distribuzione software (firme digitali, repository ufficiali ecc.) potrebbe provocare danni simili a quelli che vediamo in ambiente Windows.
Sono per esempio parecchio scettico sul protocollo apturl che consente con un solo clic dal browser, di installare un qualsiasi software in formato deb scaricabile da un qualunque sito.
Anche se vengono fatte alcune verifiche durante l'installazione (non conosco il meccanismo di pacchettizzazione e installazione dei deb), temo che utenti poco accorti ignorino i messaggi di avviso procedendo con l'installazione.

Qui c'è da dire che non viene sfruttato un bug del sistema operativo, ma il fatto che l'utente in questione si fidi ciecamente (come un pollo) e non utilizzi gli strumenti di controllo che ha a disposizione...
... purtroppo non è la prima volta che succede anche nel mondo Linux.

http://marcosbox.blogspot.com/2010/06/un-trojan-per-linux-contenuto-in.html ha scritto:Ma cosa è successo?
In pratica gli sviluppatori del programma hanno scoperto che il file Unreal3.2.8.1.tar.gz presente nei loro mirror è stato sostituito un bel po di tempo fa (novembre 2009) con una versione contenete una backdoor.

... Il formato .tar.gz (come .tgz e .bz2) è l'equivalente del .zip e del .rar in Windows, è utilizzato principalmente per comprimere i sorgenti di un programma (che richiedono quindi la compilazione manuale) o di una cartella con i file già compilati necessari all'esecuzione del software stesso (alcuni giochi, plugin e alcuni driver vengono distribuiti così).

Ho notato sul sito che è disponibile anche la versione CVS, quindi non è detto che tutti abbiano preferito la versione .tar.gz infetta... ... anzi, penso che diversi abbiano preferito quest'ultima.

Quello che più mi fa pensare è che nel database aggiornato di apt-get/Synaptic di Ubuntu 9.10 (quella da cui ora sto scrivendo, spero che anche le altre distribuzioni) il pacchetto non esiste e quindi l'unico modo di installare il suddetto server IRC sia solo mediante l'uso della shell per la compilazione del codice...
... quindi penso che siano veramente pochissimi i server su cui tale software infetto è installato (insomma quelli dei 4 gatti distratti e fiduciosi che l'hanno scaricato senza accorgersene).
Inoltre questo malware, perché di virus certo non possiamo parlare, è legato solo alle macchine infette e non può certo replicarsi da solo...

... penso che si cerchi di fare di un fil d'erba un fascio (infatti chi utilizza solamente i repository standard e il gestore dei pacchetti non ha niente da temere poiché i controlli vengono fatti in automatico) e di pompare una notizia che sotto un qualsiasi altro sistema operativo non avrebbe fatto certo scalpore.

ninja ha scritto:...

era quello che avevo capito anche io.

Quindi poiché l'utente/utonto ha i repository ufficiali per attingere... e tali repository non sembrano infetti... chi come un power user o un Sis Admin installa da mirror (addirittura previa compilazione?) deve e senza scuse avere l'accortezza di verificare il file...

se le cose stanno così... direi nulla di nuovo sotto il sole

ninjabionico ha scritto:Inoltre questo malware, perché di virus certo non possiamo parlare, è legato solo alle macchine infette e non può certo replicarsi da solo...

chi utilizza solamente i repository standard e il gestore dei pacchetti non ha niente da temere poiché i controlli vengono fatti in automatico

a cosa ti riferisci con controlli automatici, o meglio in quale fase avvengono?

Visto che non mi è totalmente chiaro il meccanismo dei deb, ti faccio una domanda: se creo un file deb in cui includo del malware e spingo in qualche modo l'utente ad installarlo, l'operazione va a buon fine oppure c'è un qualche meccanismo di controllo che impedisce che l'installazione riesca?

Al3x ha scritto:a cosa ti riferisci con controlli automatici, o meglio in quale fase avvengono?

Quando si accede ai repository ufficiali si utilizzano dei certificati per l'autenticazione (e la firma del pacchetto suppongo, infatti se scarichi il pacchetto e lo installi manualmente dovresti ritrovarti che il pacchetto è installato da fonte sconosciuta), è previsto un sistema di controllo della fonte.

Per quanto riguarda il contenuto degli stessi, in questo caso bisogna fare un atto di fede, nel senso che il controllo si suppone venga fatto da chi ha compilato il pacchetto (e che dovrebbe aver verificato preventivamente il codice md5).

Al3x ha scritto:se creo un file deb in cui includo del malware e spingo in qualche modo l'utente ad installarlo, l'operazione va a buon fine oppure c'è un qualche meccanismo di controllo che impedisce che l'installazione riesca?

Se utilizza gdebi o dpkg per l'installazione manuale il pacchetto viene regolarmente installato...
... perché appunto è un'operazione "manuale" fatta con i permessi di amministrazione.
Successivamente il gestore dei pacchetti potrebbe segnalarti che la fonte del pacchetto non è sicura e chiederti se vuoi rimuoverlo.

Beh,che dire...ha chiarito tutto il ninja!

Gli utenti "utonti" si stanno moltiplicando pure su Linux.

Forse questa è la vera causa della diffusione di malware,non il malware stesso,indipendentemente che si tratti di Windows o Linux


"il virus più pericoloso e letale è seduto davanti al monitor"

era ora.

skizzzzo ha scritto:era ora.

Ora abbiamo una scusa in meno da dire ai nuovi arrivati



Pensandoci bene

"Linux è più sicuro,i virus fanno meno danni rispetto a quelli su Windows"

ninjabionico ha scritto:

Al3x ha scritto:se creo un file deb in cui includo del malware e spingo in qualche modo l'utente ad installarlo, l'operazione va a buon fine oppure c'è un qualche meccanismo di controllo che impedisce che l'installazione riesca?

Se utilizza gdebi o dpkg per l'installazione manuale il pacchetto viene regolarmente installato...
... perché appunto è un'operazione "manuale" fatta con i permessi di amministrazione.

era quello che temevo! Allora per certo tipo di utenza non c'è speranza, che sia Windows o Linux, il loro destino è segnato

Pensa che mi raccontavano di un collega che mentre provava ad avviare un crack, l'antivirus gli segnalava la presenza di un trojan ma l'esperto di turno (il solito "praticone") lo tranquillizzava dicendo che al termine dell'operazione l'AV avrebbe romosso il virus con facilità e che poteva procedere

Ma si dai è ovvio che la differenza la fa l'utente, io non ne ho mai presi mentre molti miei amici ogni due per tre mi chiedono di sistemargli il pc, io poi figuratevi che mica mi sbatto più di tanto, mi hanno stufato. A questo punto qualcuno compilerà antivirus per Linux ? comunque il mio era ora è provocatorio.
P.s. ma a 'sti virus per Linux ci sarà mica dietro mamma Microsoft ?

skizzzzo ha scritto:... A questo punto qualcuno compilerà antivirus per Linux ?

Se vuoi installarne uno non c'è problema, ce ne sono diversi, gratuiti o a pagamento...

skizzzzo ha scritto:P.s. ma a 'sti virus per Linux ci sarà mica dietro mamma Microsoft ?

Chi lo sa....

... potrebbe foraggiare qualche virus-writer, sarebbe un modo per indebolire il "potenziale avversario" cercando di smantellare la fama di "resistenza/refrattarietà" ai virus che si è guadagnato negli anni questo sistema operativo.




P.S.: Vista la disponibilità del codice sorgente di GNU/Linux sembrerebbe molto più facile scrivere un virus per Linux che non per Windows, eppure anche se lo sforzo pare minore in realtà nessuno lo fa....
(in realtà qualche virus c'è, ma non se qualcuno ha letto le schede dei produttori di antivirus sulla loro pericolosità sono sicuro che anche a lui gli viene da ridere )

Ciao a tutti!

Ho letto questo thread, e vorrei sapere se esistono programmi anti-malware per GNU/Linux, la versione che sto utilizzando adesso è la distro Ubuntu 10.04.
Un'altra cosa: sono rimasto molto a lungo lontano dai sistemi *nix, vorrei sapere se questa notizia è fondata oppure no. E cosa si può fare.

Grazie!