Repository 32bit  Forum
Repository 64bit  Wiki

tsunami (virus per linux ed osx)

Postate qui per tutte le discussioni legate a Linux in generale.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Re: tsunami (virus per linux ed osx)

Messaggioda navajo » dom dic 04, 2011 9:55

murdock ha scritto:Beh, la sicurezza è la sicurezza, è bene essere diffidenti ma senza esagerare.
Come già detto, la vulnerabilità maggiore di un sistema operativo è tra la tastiera e la sedia, se si possiede la testa sopra al collo è possibile utilizzare addirittura window$ senza antivirus.
Per quanto riguarda la fiducia alle aziende produttrici di software, purtroppo, per vivere bene, bisogna darla; In realtà tutti i giorni ognuno di noi lo fa, qualche esempio:
-Non si sa cosa ci propinano da mangiare, cosa contiene il "Mars", la "Coca cola" o la semplice birra? Chi mi dice che alla voce "ingredienti" vi sono proprio tutti quelli reali?
-Chi mi dice che nella mia Volkswagen non c'è un dispositivo che la fa spegnere a comando di un tizio?
-Il mio router invia in Zyxel tutte le mie visitazioni a scopo commerciale?
-La playstation è una macchina per il lavaggio del cervello? (mmmm, forse si)
-Gatto o coniglio? Il mistero mai svelato dei ristoranti... (pare un titolo del TG1)
-etc...

Inoltre, chi di voi, prima di compilare qualcosa da sorgenti, si controlla riga per riga il codice sorgente? Uno dice, ma siamo milioni di utenti, se c'è qualcosa nel codice lo si viene a sapere prima o poi! Già, è il "prima o poi" che non va bene.

Saluti,
MuRdOcK


Quoto tutto.
Avatar utente
navajo
Staff
Staff
 
Messaggi: 3830
Iscritto il: gio gen 08, 2004 0:00
Località: Roma
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)

Re: tsunami (virus per linux ed osx)

Messaggioda EmaDaCuz » dom dic 04, 2011 10:00

murdock ha scritto:
Inoltre, chi di voi, prima di compilare qualcosa da sorgenti, si controlla riga per riga il codice sorgente? Uno dice, ma siamo milioni di utenti, se c'è qualcosa nel codice lo si viene a sapere prima o poi! Già, è il "prima o poi" che non va bene.


Io quoto questo in particolare. E anche se lo facessi, non ci capirei comunque niente visto che non sono un programmatore.
Avatar utente
EmaDaCuz
Linux 2.6
Linux 2.6
 
Messaggi: 863
Iscritto il: sab gen 28, 2006 15:47
Località: Nijmegen, NL
Slackware: 12.0 - ma a Trieste
Kernel: 2.6.25
Desktop: Fluxbox
Distribuzione: Debian e Arch

Re: tsunami (virus per linux ed osx)

Messaggioda brg » dom dic 04, 2011 18:08

murdock ha scritto:Inoltre, chi di voi, prima di compilare qualcosa da sorgenti, si controlla riga per riga il codice sorgente? Uno dice, ma siamo milioni di utenti, se c'è qualcosa nel codice lo si viene a sapere prima o poi! Già, è il "prima o poi" che non va bene.


Se non funziona come dovrebbe però lo faccio e, soprattutto, lo posso fare, il che facilita la cura perché vengo a sapere esattamente che cosa è successo. Inoltre facilita la prevenzione perché posso evitare il malfunzionamento, involontario o malintenzionato, semplicemente modificando e ricompilando. Se qualcosa non va con il Mars, tocca farlo analizzare al laboratorio specializzato, che è un procedimento certamente più laborioso, e poi intentare una causa per costringerli a cambiare (l'etichetta degli ingredienti truffaldina oppure l'uso di sostanze inadeguate).

Faccio inoltra notare che mentre la versione OSX si propaga attraverso l'apertura di un pdf, quella Linux si propaga(va) per una falla di PHP-Nuke... e aggiungo ...

L'originale per Linux (del 2005) è descritto qui e qui .
Avatar utente
brg
Linux 2.4
Linux 2.4
 
Messaggi: 272
Iscritto il: sab mar 12, 2011 14:20
Località: Montecatini
Slackware: 14.1
Kernel: 3.10.17
Desktop: KDE4

Re: tsunami (virus per linux ed osx)

Messaggioda masalapianta » lun dic 05, 2011 10:59

1) non è un virus ma un trojan
2) la presenza di trojan per un OS non ha nulla a che vedere con la sicurezza di quel OS
3) dal poco che è stato scritto in merito mi par di capire che il trojan è un file eseguibile che, una volta eseguito dall'utente, apre in foreground un pdf e in background installa il trojan

probabilmente il file manager di osx lo visualizzerà con l'icona di un eseguibile e non di un pdf, ma l'utente distratto ci clicca lo stesso; ovviamente tutto questo non sarebbe possibile con un:
$ mupdf pdf_farlocco.pdf
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Re: tsunami (virus per linux ed osx)

Messaggioda masalapianta » lun dic 05, 2011 11:09

murdock ha scritto:Inoltre, chi di voi, prima di compilare qualcosa da sorgenti, si controlla riga per riga il codice sorgente? Uno dice, ma siamo milioni di utenti, se c'è qualcosa nel codice lo si viene a sapere prima o poi! Già, è il "prima o poi" che non va bene.

gli episodi di malware dentro software libero, sono più unici che rari perchè, essendo a sorgenti aperti, solo a un cretino verrebbe in mente di usare software libero per veicolare malware (e infatti praticamente nessuno lo fa).
Per questo solo un imbecille affiderebbe la propria privacy a soluzioni chiuse.
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Re: tsunami (virus per linux ed osx)

Messaggioda Plaoo » lun dic 05, 2011 11:24

Mi ricordo di un gioco per linux (il nome era Darkness o roba del genere) avevo scaricato la demo, provo ad avviarlo e non ci riesco perchè ero obbligato ad essere root, non ci ho mai giocato. Il gioco veniva dal sito ufficiale ma non mi sono mai fidato. Ecco queste solo le cose che anche gli sviluppatori dovrebbero evitare.
Il canale ufficiale di slacky.eu si trova sui server irc.syrolnet.org canale #slackware
Avatar utente
Plaoo
Linux 2.6
Linux 2.6
 
Messaggi: 809
Iscritto il: gio apr 10, 2008 16:40
Località: Ittiri (SS)
Slackware: 14 64
Kernel: 3.2.9
Desktop: KDE

Re: tsunami (virus per linux ed osx)

Messaggioda targzeta » lun dic 05, 2011 11:26

masalapianta ha scritto:
murdock ha scritto:Inoltre, chi di voi, prima di compilare qualcosa da sorgenti, si controlla riga per riga il codice sorgente? Uno dice, ma siamo milioni di utenti, se c'è qualcosa nel codice lo si viene a sapere prima o poi! Già, è il "prima o poi" che non va bene.

gli episodi di malware dentro software libero, sono più unici che rari perchè, essendo a sorgenti aperti, solo a un cretino verrebbe in mente di usare software libero per veicolare malware (e infatti praticamente nessuno lo fa).
Per questo solo un imbecille affiderebbe la propria privacy a soluzioni chiuse.
Quoto. Volevo scrivere qualcosa di simile ma poi mi sono dimenticato :).

Chi rischierebbe di essere sgamato? Una volta che ti hanno beccato hai perso credibilità. Se un programma apre una porta lo puoi sempre vedere con 'netstat -l' senza bisogno di sbirciare tutto il codice. Se ti puzza quello che un programma fa, poi, dato che il software è aperto puoi anche indagare meglio. E questo vale anche se un programma apre una connessione solo per inviare alcuni pacchetti. Tantissimi usano software per il monitoraggio della propria rete.

Con i programmi chiusi invece questo controllo non lo puoi fare. Ho scritto spesso l'esempio seguente qui sul forum. Prendi windows, è impossibile bloccare tutti i server che avvia, io ci ho provato su XP e se li blocchi tutti con un firewall non navighi più (ben vengano le smentite in questo senso). Il problema è che chissa cosa fanno quei server, anche se prendessi tutti i pacchetti diretti da e verso di loro, non è mica semplice capire cosa contengono.

Emanuele
Linux Registered User #454438
Se pensi di essere troppo piccolo per fare la differenza, prova a dormire con una zanzara -- Dalai Lama
20/04/2013 - Io volevo Rodotà
Avatar utente
targzeta
Iper Master
Iper Master
 
Messaggi: 6200
Iscritto il: gio nov 03, 2005 14:05
Località: Carpignano Sal. (LE) <-> Pisa
Nome Cognome: Emanuele Tomasi
Slackware: current
Kernel: latest stable
Desktop: IceWM

Re: tsunami (virus per linux ed osx)

Messaggioda masalapianta » lun dic 05, 2011 11:40

spina ha scritto:Chi rischierebbe di essere sgamato? Una volta che ti hanno beccato hai perso credibilità. Se un programma apre una porta lo puoi sempre vedere con 'netstat -l' senza bisogno di sbirciare tutto il codice. Se ti puzza quello che un programma fa, poi, dato che il software è aperto puoi anche indagare meglio. E questo vale anche se un programma apre una connessione solo per inviare alcuni pacchetti. Tantissimi usano software per il monitoraggio della propria rete.

Con i programmi chiusi invece questo controllo non lo puoi fare. Ho scritto spesso l'esempio seguente qui sul forum. Prendi windows, è impossibile bloccare tutti i server che avvia, io ci ho provato su XP e se li blocchi tutti con un firewall non navighi più (ben vengano le smentite in questo senso). Il problema è che chissa cosa fanno quei server, anche se prendessi tutti i pacchetti diretti da e verso di loro, non è mica semplice capire cosa contengono.

Emanuele

aggiungo che l'analisi del traffico di rete non è sufficiente, in quanto non è detto che i dati escano in chiaro nel payload di pacchetti diretti a vifottiamo.com:666; i dati possono essere nascosti steganografandoli nel payload di pacchetti appartenenti a connessioni lecite, utilizzando flag non usate dell'header tcp, utilizzando il sequence number, ecc.. il che rende quasi impossibile accorgersene senza avere i sorgenti.
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Re: tsunami (virus per linux ed osx)

Messaggioda notsafe » lun dic 05, 2011 12:06

masalapianta ha scritto:
murdock ha scritto:gli episodi di malware dentro software libero, sono più unici che rari perchè, essendo a sorgenti aperti, solo a un cretino verrebbe in mente di usare software libero per veicolare malware (e infatti praticamente nessuno lo fa).


di recente memoria mi ricordo di questo:
http://arstechnica.com/open-source/news ... -stack.ars

concluso con un "nulla di fatto" dopo una revisione del codice (evidentemente non si era proprio cosi sicuri della sicurezza intrinseca al modello open)

oppure questo:
http://isc.sans.edu/diary.html?storyid=10024&rss

per tre giorni il codice sorgente di proftpd veniva distribuito con una backdoor.
notsafe
Linux 2.4
Linux 2.4
 
Messaggi: 451
Iscritto il: mar mar 21, 2006 11:00

Re: tsunami (virus per linux ed osx)

Messaggioda masalapianta » lun dic 05, 2011 15:16

notsafe ha scritto:
masalapianta ha scritto:
murdock ha scritto:gli episodi di malware dentro software libero, sono più unici che rari perchè, essendo a sorgenti aperti, solo a un cretino verrebbe in mente di usare software libero per veicolare malware (e infatti praticamente nessuno lo fa).


di recente memoria mi ricordo di questo:
http://arstechnica.com/open-source/news ... -stack.ars

concluso con un "nulla di fatto" dopo una revisione del codice (evidentemente non si era proprio cosi sicuri della sicurezza intrinseca al modello open)

non lo citerei come episodio significativo, come giustamente dici si è concluso con un "nulla di fatto"
oppure questo:
http://isc.sans.edu/diary.html?storyid=10024&rss

per tre giorni il codice sorgente di proftpd veniva distribuito con una backdoor.

attenzione qui si parla di cracking dei server e sostituzione del codice da parte di terzi, non inserimento di malware da parte dello stesso distributore; gli episodi del genere ogni tanto accadono (anni fa mi ricordo successe con sendmail), ma non hanno quasi nessuna ricaduta, perchè chi vuol star sicuro ha modo di stare sicuro lo stesso (checksum firmati digitalmente con crittografia asimmetrica)
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Precedente

Torna a Gnu/Linux in genere

Chi c’è in linea

Visitano il forum: Google [Bot], Yahoo [Bot] e 2 ospiti

cron