[Discussioni] [Fwd: Virus/ Sar? Linux il prossimo bersaglio?]

[jaromil]

On Sun, Dec 09, 2001 at 07:53:03PM +0100, Andrea Capriotti wrote:

> > qui stai facendo una grossa confusione tra "bug", "troiani", "patches"
> > e "antivirus", quattro cose completamente diverse fra loro.
> Pero' si tende a fare, come giustamente fai notare, molta confusione.
> 
> Ramen, Li0n e Adore che cosa sono?
> 
> Visto che sfruttano vulnerabilita' di wu-ftpd, bind, lpd e RPC.statd,
> avere la versione aggiornata di questi pacchetti ci avrebbe protetto?

sono "exploit", ancora una volta qualcosa di diverso rispetto a virus
troiani worms e bugs: sono dei codicilli o script in bash atti a
sfruttare il bug di questo o quel demone (server in ascolto che
usualmente gira con permessi di root, come ad esempio il
"buggatissimo" wu-ftpd che la red-hat si ostina a distribuire come
server ftp di default) in modo da poter entrare in quel sistema
ereditando dal bug i permessi con il quale il demone stesso girava.
sono i trucchetti che usano gli hacker per bucare i sistemi.
possiamo semplificare distinguendoli in exploit eseguibili da remoto o
da utente locale. esistono anche degli scanner che viaggiano in rete
cercando "a casaccio" (o meglio in serie, scannando classi di IP) i
server vulnerabili da questo o quel exploit, o software che si
accaniscono su di un singolo sistema provando a trovare vulnerabilita'
a fronte degli exploit conosciuti. storico negli anni 90 era il
software di security auditing denominato "satan", padre di molti altri
software del genere disponibili ad oggi.

qualsiasi amministratore decente bada bene a provare lui stesso per
primo un satan qualsiasi sul proprio sistema, prima che lo faccia
qualcun'altro...

tutto questo non c'entra assolutamente nulla con i virus.

> > i programmi definibili "virus" agiscono _sugli eseguibili_ : ai tempi
> > del DOS erano il piu' delle volte TSR e .COM (memory resident),
> > funzionano caricandosi in memoria una volta eseguiti assieme
> > all'eseguibile infetto, per poi intercettare le varie esecuzioni dei
> > programmi ed infettarne di altri. l'infezione avviene sull'eseguibile,
> > piu' precisamente viene rimaneggiata l'architettura HEAP ed aggiunto
> > del codice "nascosto" che pero' viene eseguito parallelamente al
> > programma vero e proprio, l'eseguibile infettato appunto.
> Come fa un programma simile ad "entrare" in un sistema GNU/Linux appena
> aggiornato ed infettarlo?

sfruttando l'incoscienza dell'utente sprovveduto nell'eseguirlo.

> E' necessario (sara' necessario) un antivirus per proteggersi?

eventualmente si', se si preferisce sanare l'eseguibile infetto
piuttosto che reistallarlo, altrimenti e' possibile:
- updatare (tramite ad esempio apt-get)
- ricompilare dal sorgente

come accorgersi se un eseguibile e' infetto?

i sistemi unix hanno dei bellissimi ed infallibili programmi che
calcolano delle chiavi uniche (MD5 hashing) sulla base dei dati
contenuti nei file e che ti avvisano se uno qualsiasi fra i file
monitorati viene cambiato o ritoccato in qualsiasi modo.

> > i "troiani" o "worms" differiscono dai virus per il fatto che non sono
> > in grado di infettare altri eseguibili, al contrario nascono e muoiono
> > come un eseguibile che dichiara di funzionare in un certo modo, ma di
> > fatto compie operazioni nascoste all'utente - windows potrebbe essere
> > definito troiano ;) - ILOVEYOU e derivati sono definibili worms anche
> > se per certi versi mostrano delle analogie con il comportamento dei
> > troiani: sono di fatto degli eseguibili a se stanti (eseguiti a causa
> > dell'incompetenza dei programmatori di microshoft outlook) che
> > piuttosto di limitarsi ad essere un attachment eseguibile (come
> > un'immaginetta ad esempio) compiono operazioni sul sistema di nascosto
> > dall'utente: il piu' delle volte leggono dall'address book o dalla
> > cache del navigatore e si rispediscono in giro, magari dopo aver
> > cancellato o infettato file (ad esempio con un virus dei quali sono
> > portatori).
> E uno come questo?

potremmo chiamarlo untore.

> > alla domanda <potrebbe il software libero essere infettato da virus?>
> > la risposta e' <si', certamente, ma il virus non potrebbe essere mai
> > cosi' dannoso come lo e' su sistemi microsoft>, questo perche' il
> > sistema di permessi utente sotto unix non permetterebbe mai al
> > virus/troiano/worm di cancellare/modificare dati oltre a quelli
> > dell'utente, in questo modo non essendo dannoso per il sistema stesso.
> Questa risposta e' condivisibile ma parziale.
> 
> Quello che non capisco e' perche', e cito di nuovo, ammettiamo discorsi
> come questo:
> 
> "Al momento (Linux) non ? un bersaglio solo perch? non ha sufficiente
> mercato - ha asserito Clarke - ma Li0n e Ramen hanno gi? dimostrato che
> Linux pu? essere vulnerabile". 
> 
> Tu, personalmente, sei d'accordo o ti sembra una forzatura?

a fronte di quel che ho scritto fin'ora, questa mi sembra una grave
forzatura soprattutto se asserita da Clarke, noto divulgatore che a
questo punto mi pare poco attento a gestire bene il proprio ruolo,
semplificandosi un po' troppo il discorso laddove ci sarebbe il
bisogno di piu' chiarezza - come intuisco dalla perplessita' in lista
al riguardo dell'argomento.

Li0n e Ramen sono degli exploit e gli exploit esistono da quando
esiste UNIX.

> Inoltre, ti sembra corretto dire ai tuoi amici o clienti che, se
> tenessero il loro sistema operativo libero aggiornato, potrebbero fare a
> meno dell'antivirus?

e' una semplificazione, ad oggi vera, ma cmq scorretta rispetto alla
realta' dei fatti.

> In questo senso usavo l'esempio di apt-get, non certo per "elevarlo" al
> ruolo di antivirus.

dobbiamo fare attenzione a non confondere ulteriormente le idee a chi
si avvicina per la prima volta a questi argomenti. concorderai con me
che apt-get non e' un antivirus...

> Certo che, associato ad Aide, ci si avvicina molto...<G>

associato ad un qualsiasi exploit, un qualsiasi upgrade del sistema e'
classificabile come un "ottimo rimedio" (tm) ;)

-- 
jaromil //dyne.org - GPG fingerprint and ___id____ 
6EEE 4FB2 2555 7ACD 8496  AB99 E2A2 93B4 6C62 4800