[Discussioni] [Fwd: Virus/ Sar? Linux il prossimo bersaglio?]

[jaromil]

On Sat, Dec 08, 2001 at 02:53:03PM +0100, Andrea Capriotti wrote:

la mia prima impressione e' che in questa discussione si stia facendo
una grossa confusione utilizzando in modo fin troppo generico - come
del resto i media stanno facendo - le terminologie "virus" ed
"antivirus".

> > Le vulnerabilita` nel software libero si risolvono sistemando la
> > configurazione o il pacchetto bacato. E non serve un antivirus che ci
> > mette sopra una pezza.
> La mia domanda iniziale era proprio questa.
> 
> E' sensato parlare di antivirus per sistemi operativi liberi?

certo che si', basta andare su freshmeat.net e cercare la keyword
"virus" per trovare parecchi software liberi che funzionano da filtri
sui server di posta in modo da bloccare la diffusione dei troiani che
ultimamente affliggono tanti utenti microsoft.

> Inoltre, in che modo la maggiore diffusione di GNU/Linux, ad esempio,
> cambierebbe l'approccio degli utenti e degli sviluppatori con le
> vulnerabilita' del sistema?
> 
> Attualmente, scoperta una vulnerabilita', l'autore del pacchetto la
> corregge e mette a disposizione la nuova versione. Un maggiore numero di
> utenti significa scoprire piu' vulnerabilita' e migliorare il prodotto
> rendendolo piu' sicuro.
> 
> Perche' "permettiamo" ai produttori di antivirus di sostenere che con la
> diffusione, inevitabilmente, avremo bisogno dei loro prodotti
> proprietari?

qui stai facendo una grossa confusione tra "bug", "troiani", "patches"
e "antivirus", quattro cose completamente diverse fra loro.

i programmi definibili "virus" agiscono _sugli eseguibili_ : ai tempi
del DOS erano il piu' delle volte TSR e .COM (memory resident),
funzionano caricandosi in memoria una volta eseguiti assieme
all'eseguibile infetto, per poi intercettare le varie esecuzioni dei
programmi ed infettarne di altri. l'infezione avviene sull'eseguibile,
piu' precisamente viene rimaneggiata l'architettura HEAP ed aggiunto
del codice "nascosto" che pero' viene eseguito parallelamente al
programma vero e proprio, l'eseguibile infettato appunto.

i "troiani" o "worms" differiscono dai virus per il fatto che non sono
in grado di infettare altri eseguibili, al contrario nascono e muoiono
come un eseguibile che dichiara di funzionare in un certo modo, ma di
fatto compie operazioni nascoste all'utente - windows potrebbe essere
definito troiano ;) - ILOVEYOU e derivati sono definibili worms anche
se per certi versi mostrano delle analogie con il comportamento dei
troiani: sono di fatto degli eseguibili a se stanti (eseguiti a causa
dell'incompetenza dei programmatori di microshoft outlook) che
piuttosto di limitarsi ad essere un attachment eseguibile (come
un'immaginetta ad esempio) compiono operazioni sul sistema di nascosto
dall'utente: il piu' delle volte leggono dall'address book o dalla
cache del navigatore e si rispediscono in giro, magari dopo aver
cancellato o infettato file (ad esempio con un virus dei quali sono
portatori).

qualcosa di completamente diverso sono i "bug": delle imperfezioni nel
codice sorgente, messe li' involontariamente dal programmatore, che
causano problemi all'esecuzione di un programma.
i bug stanno NEL CODICE SORGENTE.
Perche' essi siano debellati il programmatore va a correggere il
codice.

la confusione si crea sul termine "patch" che puo' significare 2 cose:

- modifiche al codice, varianti che (possiamo genericamente dire)
  correggono dei bug.
- modifiche ad un eseguibile, necessarie nel caso di un software
  proprietario che non rende pubblico il proprio codice

altra possibile confusione puo' creare l'asserzione (vera) <Gli
internet worms, comunemente chiamati virus, riescono a diffondersi
cosi' rapidamente attraverso la rete a causa di un BUG di Outlook>.
tuttavia alla luce delle spiegazioni che ho provato a dare dovrebbe
essere piu' chiaro comprenderla correttamente.

tornando ai virus, gli "antivirus" cercano NELL'ESEGUIBILE la presenza
di un virus che nasconde codice eseguibile nell'HEAP (ma anche
altrove) e lo eliminano se possibile (se sanno da dove a dove
cancellare, altrimenti rischiano di corrompere il programma sano).

per quanto mi sia dilungato (e mi rendo anche conto di non esser proprio
chiaro per un profano all'informatica, per questo mi scuso) spero che
a questo punto sia chiara la differenza tra un "virus" ed un "bug".

alla domanda <potrebbe il software libero essere infettato da virus?>
la risposta e' <si', certamente, ma il virus non potrebbe essere mai
cosi' dannoso come lo e' su sistemi microsoft>, questo perche' il
sistema di permessi utente sotto unix non permetterebbe mai al
virus/troiano/worm di cancellare/modificare dati oltre a quelli
dell'utente, in questo modo non essendo dannoso per il sistema stesso.

un dato di fatto che e' utile sapere e' che ad oggi non si e' stato
diffuso alcun virus che infetti _ESEGUIBILI_ in formato ELF
(eseguibili cioe' dal kernel Linux). 

sperando di essere stato utile, saluti.

-- 
jaromil //dyne.org - GPG fingerprint and ___id____ 
6EEE 4FB2 2555 7ACD 8496  AB99 E2A2 93B4 6C62 4800