MegaLab.it

Inviato: **mar lug 26, 2011 6:11 pm**

Ciao a tutti, ho aperto questo topic perché sono curioso di capire qualcosa in più sui sistemi Unix...in premessa spero di non dire cavolate perché sono poco ferrato in materia [:)]

Le mie curiosità sono queste: Il MasterBootRecord (o MBR) è presente nei sistemi Mac e Linux? Se si è come quello di Windows o presenta delle differenze sostanziali? Collegandosi poi al tema sicurezza: vista la novità dei Rootkit MBR (o bootkit), ipoteticamente potrebbero colpire anche un sistema su basi Unix? In quel caso "formattare" o comunque reinstallare il sistema operativo sarebbe sufficiente? O bisognerebbe agire in maniera più approfondita (come ad esempio ho visto fare utilizzando HxD su Windows)?
Spero che non siano troppe domande! [:)]

Inviato: **mar lug 26, 2011 6:38 pm**

Wow, bel topic. [^]

FrankSix ha scritto:Il MasterBootRecord (o MBR) è presente nei sistemi Mac e Linux?

Certo, sennò il sistema non si avvierebbe. Leggi questo articolo, qualora non lo avessi ancora fatto.
A pagina 4 trovi anche gli ID di partizione, che sono diversi a seconda dell'OS installato nella macchina.

FrankSix ha scritto:Se si è come quello di Windows o presenta delle differenze sostanziali?

Principalmente il bootloader (GRUB per i sistemi GNU/Linux, BootX per MacOS, NTLDR...) ed alcune differenze nella tabella di partizione che ti ho citato. [;)]

FrankSix ha scritto:ipoteticamente potrebbero colpire anche un sistema su basi Unix?

Anche meno ipoteticamente: c'è nel MegaVirusLab una bella bestiolina...

FrankSix ha scritto:In quel caso "formattare" o comunque reinstallare il sistema operativo sarebbe sufficiente?

Passo la palla a farbix che ne sa più di me, ma penso che sia più conveniente passare ad un editor esadecimale, come HxD... [uhm]

Oppure un particolare rootkit per GNU/Linux diviene innocuo installando una nuova versione:

farbix89 ha scritto:Questi rootkit sfruttano bug del kernel.....basta un aggiornamento,una ricompilazione o un avanzamento di versione per renderli innocui

Non so se ho mal-interpretato il post... [boh]

Spero di aver risolto alcuni tuoi dubbi, aspettati altri post del genere (ovviamente più completi [std]

) da parte di Uomo_Senza_Sonno e farb!

Inviato: **mar lug 26, 2011 6:56 pm**

Berga95 ha scritto:Spero di aver risolto alcuni tuoi dubbi

Si, la maggior parte si, e ti ringrazio [^]

Il mio dubbio era soprattutto capire (oltre alle eventuali differenze del mbr, anche se a livello "elementare" [std]

), se fosse possibile "scampare" ai bootkit su sistemi non windows, in particolare su OS X (che è quello che mi sto apprestando a "scoprire" per adesso). Certo la notizia che la loro esistenza sia tutt'altro che ipotetica mi ha stupito non poco!! Speravo che facendo una semplice reinstallazione sull'osannato Mac, lo si ritrovasse "lindo e pulito" e invece... [rolleyes]

Mi chiedo a questo punto cosa si possa fare per essere sicuri al 100% di non avere "bestioline" sul proprio computer!! (oltre a non collegarlo a internet e interfacciarlo mai con l'esterno chiaramente [:D]

)
Aspetto altre delucidazioni [:)]

Inviato: **mar lug 26, 2011 7:10 pm**

Berga95 ha scritto:
FrankSix ha scritto:In quel caso "formattare" o comunque reinstallare il sistema operativo sarebbe sufficiente?

Passo la palla a farbix che ne sa più di me, ma penso che sia più conveniente passare ad un editor esadecimale, come HxD... Oppure un particolare rootkit per GNU/Linux diviene innocuo installando una nuova versione

Oltre a quanto ha sottolineato Berga nelle altre domande (l'articolo a cui ti ha rimandato è fondamentale per capire come funziona il MBR) e a quanto ha detto su questa in particolare, una formattazione classica non è sufficiente, poichè i rootkit si insediano all'esterno del filesystem mentre la formattazione classica, con relativa reinstallazione del SO, agisce solo all'interno dello stesso. Quindi per rimuoverlo definitivamente o si procede in maniera chirurgica con un editor esadecimale come HxD, oppure si esegue una formattazione a basso livello o uno zerofilling, dove questi due processi cancellano tutto quello che è presente nel disco, dal primo all'ultimo settore. Per quanto riguarda i sistemi GNU/linux, è sufficiente installare una nuova versione del kernel ed il rootkit non può più operare (per quanto riguarda il mondo del pinguino aspettiamo la conferma di Farbix).

FrankSix ha scritto:se fosse possibile "scampare" ai bootkit su sistemi non windows, in particolare su OS X

I rootkit e i bootkit progettati per i sistemi windows sono innoqui su sistemi linux based o OSX, a meno di trovare un rootkit per OSX

FrankSix ha scritto: Mi chiedo a questo punto cosa si possa fare per essere sicuri al 100% di non avere "bestioline" sul proprio computer!

Il 100% la sicurezza è pura utopia, poichè nessun sistema, per quanto ci si sforzi nel renderlo invulnerabile, rimane tale. Tuttavia si possono trovare differenti configurazioni di sicurezza a seconda della propria macchina, senza renderla lenta e poco performante (in questo thread trovi ampi spunti a riguardo).

Inviato: **mar lug 26, 2011 7:28 pm**

Uomo_Senza_Sonno ha scritto:
FrankSix ha scritto:se fosse possibile "scampare" ai bootkit su sistemi non windows, in particolare su OS X

I rootkit e i bootkit progettati per i sistemi windows sono innoqui su sistemi linux based o OSX, a meno di trovare un rootkit per OSX

Non è stato ancora inventato un rootkit multipiattaforma? [:D]

FrankSix ha scritto:lo si ritrovasse "lindo e pulito" e invece...

Stai tranquillo [:D]

È veramente improbabile che tu sia infetto da un rootkit su Mac OS... [^]

Inviato: **mer lug 27, 2011 12:39 pm**

Uomo_Senza_Sonno ha scritto: Per quanto riguarda i sistemi GNU/linux, è sufficiente installare una nuova versione del kernel ed il rootkit non può più operare

E' una situazione in qualche modo sovrapponibile a OsX o le cose cambiano?

Uomo_Senza_Sonno ha scritto:...a meno di trovare un rootkit per OSX

Il che suppongo sia improbabile, no? [std]

Uomo_Senza_Sonno ha scritto:Il 100% la sicurezza è pura utopia

Purtroppo me ne sono reso conto...come nella realtà d'altronde, in cui il concetto di "sterilità" rimane comunque teorico! [rolleyes]

Berga95 ha scritto:Stai tranquillo È veramente improbabile che tu sia infetto da un rootkit su Mac OS...

Per essere sono tranquillo [std]

, la curiosità mi è venuta perché tra un po' vorrei reinstallare SnowLeopard (prima di fare upgrade a Lion), giusto per un discorso di "pulizia", e mi chiedevo se fosse una mossa sufficiente per essere sicuri al 100% (facciamo 99 [:D]

) di non avere sorprese [:)]

Inviato: **mer lug 27, 2011 12:46 pm**

Frank hai un OSX portatile o un fisso ?

Inviato: **mer lug 27, 2011 2:19 pm**

sampei.nihira ha scritto:Frank hai un OSX portatile o un fisso ?

Portatile, perché? [:)]

Inviato: **mer lug 27, 2011 3:00 pm**

FrankSix ha scritto:Collegandosi poi al tema sicurezza: vista la novità dei Rootkit MBR (o bootkit), ipoteticamente potrebbero colpire anche un sistema su basi Unix? In quel caso "formattare" o comunque reinstallare il sistema operativo sarebbe sufficiente? O bisognerebbe agire in maniera più approfondita (come ad esempio ho visto fare utilizzando HxD su Windows)?
Spero che non siano troppe domande!

Se utilizzi sistemi UNIX (quindi da tutte le distribuzioni GNU/Linux fino agli OS Apple) è molto difficile "iniziare" l'infezione: per essere eseguiti gli attuali rootkit MBR richiedono un sistema Windows su cui attivarsi e in seguito propagare l'infezione al MBR e agli altri settori del disco per backup.

Problemi "relativi" possono sussistere se insieme ad un OS Unix installiamo un OS Windows (o viceversa).

Come dicevo "relativi" perché gli effetti del malware saranno percepibili solo sull'OS Windows (infezione MBR e copia di backup,più problemini vari) mentre utilizzando altri OS puoi solo soffrire di un infezione "silente" (non il mago [:D]

) con MBR infetto e disco pieno di copie,ma senza alcun reale segno di infezione e OS UNIX perfettamente funzionante.

Gli unici sintomi molto rari,"percettibili" anche su un OS UNIX ,di un infezione possono essere problemi con il GRUB(o altro bootloader) o alcuni errori di copia/incolla.

Puoi stare tranquillo finchè non affianchi un OS Windows ai tuoi sistemi UNIX

[ciao]

Inviato: **gio lug 28, 2011 1:53 pm**

FrankSix ha scritto:
sampei.nihira ha scritto:Frank hai un OSX portatile o un fisso ?

Portatile, perché?

Non sò se sai chi è Charlie Miller.
Hai presente colui che ha vinto più volte il PWN2OWN negli anni proprio bucando il sistema che usi tu ?

(Se non lo sai grazie al nome che ti ho inserito puoi ricercare notizie in rete che dimostrano la sua fama e conoscenza di questo OS).

Ebbene Miller sostiene e lo dimostrerà alla Black Hat Conference di avere una porta di accesso grazie ad un bug piuttosto insidioso.
Puoi leggere l'articolo sotto in tema:

http://punto-informatico.it/3227297/PI/ ... rtino.aspx

e restare sintonizzato se non altro per risolverlo con il suo "Caulkgun".

Inviato: **gio lug 28, 2011 5:15 pm**

farbix89 ha scritto:....Puoi stare tranquillo finchè non affianchi un OS Windows ai tuoi sistemi UNIX

Grazie delleulteriori delucidazioni! Nel mio caso non c'è un dual boot quindi una reinstallazione a quanto deduco è sufficiente a essere (relativamente) sicuri!

@Sampei: Non nego di essere rimasto un po' sconvolto a leggere questo articolo... [...]

Ma effettivamente c'è un' applicabilità pratica secondo te? Insomma il fatto di far esplodere la batteria addirittura mi sembra fantascientifica come cosa! [V]

Inviato: **gio lug 28, 2011 6:21 pm**

FrankSix ha scritto:
farbix89 ha scritto:....Puoi stare tranquillo finchè non affianchi un OS Windows ai tuoi sistemi UNIX

Grazie delleulteriori delucidazioni! Nel mio caso non c'è un dual boot quindi una reinstallazione a quanto deduco è sufficiente a essere (relativamente) sicuri!

@Sampei: Non nego di essere rimasto un po' sconvolto a leggere questo articolo...
Ma effettivamente c'è un' applicabilità pratica secondo te? Insomma il fatto di far esplodere la batteria addirittura mi sembra fantascientifica come cosa!

Non è l'aspetto esplosione della batteria che interessa,cioè interessa anche quello ma secondo me di più quello dell'impianto di malware.
Io certamente che conosco il sistema OSX molto poco sono il meno indicato per avere solo la possibilità di esprimere un giudizio.
Ma Miller non ha mai fatto "sparate" che poi sono stati smentite,anzi ha sempre dimostrato la veridicità ciò che afferma.

Quindi occorre per forza di cose dargli credito..... [;)]

Inviato: **ven lug 29, 2011 12:43 pm**

Non vorrei andare off topic, comunque quest'ennesima notizia mette in risalto un aspetto del Mac (e della Apple più in generale) che non riesco a farmi piacere: la troppa sicurezza in se stessi, con punte di arroganza a mio parere. Infatti mentre Microsoft ammette apertamente la presenza dei malware e offre tantissime opzioni di sicurezza (sia la stessa azienda che moltissime alternative di terze parti), la Apple lascia intendere che il Mac sia invulnerabile, dando così un senso di falsa sicurezza all'utente che pensa classicamente "tanto anche se clicco e apro qualsiasi file/sito a me non può succedere nulla". Il che è stato ampiamente smentito da un malware (stupido e poco dannoso, per carità) che ha fatto un "boom" nei sistemi OSX, cioè MacDefender e le sue varianti.

Mi auguro che questo tipo di notizie con risvolti (pare) ben più gravi e meno sanabili rispetto a un semplice Rogue Antivirus, qual era il MacDefender, possa indurre la Apple in primis ad ammettere che forse forse un "softwarino" (passatemi il termine [std]

) di sicurezza in più male non ci starebbe, e in secondo luogo portare le aziende produttrici di software seri per la sicurezza a volgere un po' lo sguardo verso il mondo della mela.

Tornando al discorso centrale....che dire...aspettiamo notizie e speriamo che siano buone, vorrei evitare di ritrovarmi il Mac che esplode...

Inviato: **ven lug 29, 2011 12:49 pm**

FrankSix ha scritto:Tornando al discorso centrale....che dire...aspettiamo notizie e speriamo che siano buone, vorrei evitare di ritrovarmi il Mac che esplode...

Beh, che esploda esploda, no: immagino ci siano precauzioni hardware. Che la batteria però possa diventare inutilizzabile è vero [V]

Inviato: **ven lug 29, 2011 1:17 pm**

Berga95 ha scritto:Beh, che esploda esploda, no: immagino ci siano precauzioni hardware. Che la batteria però possa diventare inutilizzabile è vero

Ma anche il solo fatto di trovarsi bestioline nella batteria o comunque nei componenti hardware mi sembra una cosa assurda! Che poi, nella mia ignoranza in materia, mi chiedo: se riescono a farcele entrare, ci sarà un modo per "farle uscire" no? [boh]

Inviato: **ven lug 29, 2011 1:30 pm**

FrankSix ha scritto:
Berga95 ha scritto:Beh, che esploda esploda, no: immagino ci siano precauzioni hardware. Che la batteria però possa diventare inutilizzabile è vero

Ma anche il solo fatto di trovarsi bestioline nella batteria o comunque nei componenti hardware mi sembra una cosa assurda!

Da quanto ho capito è a causa di un controller inserito nella batteria, ovvero se fai diventare una batteria "intelligente" ne paghi le conseguenze [:D]

Inviato: **ven lug 29, 2011 1:37 pm**

Berga95 ha scritto:Da quanto ho capito è a causa di un controller inserito nella batteria, ovvero se fai diventare una batteria "intelligente" ne paghi le conseguenze

Bah....Santa ignoranza [rotolo]

MegaLab.it

MBR, sistemi Unix e rootkit

MBR, sistemi Unix e rootkit

Re: MBR, sistemi Unix e rootkit

Re: MBR, sistemi Unix e rootkit

Re: MBR, sistemi Unix e rootkit

Re: MBR, sistemi Unix e rootkit

Re: MBR, sistemi Unix e rootkit

Re: MBR, sistemi Unix e rootkit

Re: MBR, sistemi Unix e rootkit

Re: MBR, sistemi Unix e rootkit

Re: MBR, sistemi Unix e rootkit

Re: MBR, sistemi Unix e rootkit

Re: MBR, sistemi Unix e rootkit

Re: MBR, sistemi Unix e rootkit

Re: MBR, sistemi Unix e rootkit

Re: MBR, sistemi Unix e rootkit

Re: MBR, sistemi Unix e rootkit

Re: MBR, sistemi Unix e rootkit