Non credo di essere l’unico a essersi posto questa domanda, negli ultimi giorni: la notizia di un malware approdato negli archivi pubblici di Gnome-Look.org ha destato più di una preoccupazione, non tanto per lo script in sé – che oggettivamente avrebbe “combinato” ben poco – quanto per il fatto che un problema simile era da molti considerato inconcepibile a priori.
Effettivamente l’inesistenza di virus (badate, non parlo di metodi d’intrusione in toto) per Linux è dovuta a diversi fattori: primo fra tutti, anche se ormai decisamente inverosimile, il fatto che per installare un’applicazione servisse compilarla. Si supponeva che l’utente-medio avesse idea di cosa stesse facendo e non si lasciasse trarre in inganno: i sistemi di pacchettizzazione hanno parzialmente vanificato tutto ciò.
Certo i benefici in termini di produttività e usabilità del sistema operativo sono innegabili, ma l’apparizione di servizi come l’Android Market e l’Ubuntu Software Center lo rendono ancora più appetibile per i programmatori di malware. Un aspetto che ritengo fondamentale è la diffusione: Linux non ha una quota di mercato che giustifichi l’impiego di risorse per la creazione di virus.
Ma se Chrome OS avesse un successo strepitoso, ci ritroveremmo ad avere una quantità di malware paragonabile a quella di Windows?
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
caterpillar86
16 dic 2009 - 12:37 - #1no ma spiegatemi come fa a fare danni un programma che gira a livello utente e non root. Al massimo vi distrugge la home
eineki
16 dic 2009 - 12:38 - #2Che i malware esistono anche in Linux, e che l’utente (amministratore) sia uno degli anelli più deboli della catena per quel che riguarda la sicurezza, è una cosa accertata, spero condivisa, e non dovrebbe scandalizzare nessuno.
E’ inutile nascondersi dietro un dito. D’altro canto qualunque software, anche quello libero, se installato senza alcuna precauzione è potenzialmente portatore di problemi.
Affidarsi a repository di terze parti senza preoccuparsi della loro affidabilità è uno degli errori più gravi, e purtroppo diffusi, su questo fronte: Non si sa mai cosa si sta effettivamente scaricando.
scoperta l'acqua calda?
16 dic 2009 - 12:39 - #3stiamo cadendo sul ridicolo.
se scrivessi uno script che al suo interno lanciasse un gksudo rm -rf /, e lo distribuissi chiamandolo ubuntu_exe_compatibility.run e ve lo facessi aprire, mi additereste come “creatore di virus per linux”???
o forse ragionereste sul fatto che uno script creato per cancellare l’hard disk, se eseguito, cancelli l’hard disk (ma dai!)?
per farvore…
Dass
16 dic 2009 - 13:04 - #4Quindi devo leggermi ogni script che scarico prima di eseguirlo.
Certo, se è un bash script che fa un semplice rm -rf $home lo capisco, ma se è uno script ruby o python per me è arabo, come si fa?
Quindi semplicemente chiudiamo gnome-look, kde-look, android market et similia.
Perchè io, se perdo la mia home, mi sparo negli attributi.
E non ditemi di fare backup, tra una cosa e l’altra ho 600 giga di dati non-di-sistema sull’hard disk, e ovviamente essendo dati utente, stanno o sono symlinkati nella mia home….
la soluzione seria e fattibile quale dovrebbe essere?
frnz
16 dic 2009 - 13:33 - #5Il Backup e la soluzione sono due cose che vanno su strade distinte, anche se in qualche modo si intrecciano.
Premesso che non so quale sia la soluzione, di certo so che qualunque sia l’entità e la mole dei miei dati, questi devono essere salvati. Quindi viste le dimensioni degli hard disk odierni, e l’esistenza del backup incrementale direi che le scuse per non avere un salvataggio non siano valide. Certo il backup di una grande mole di dati è noioso, ma ci sarà ben qualche momento in cui ti allontani dal sistema e poi lanciare un sano backup…
Esistono solo due tipi di dati, quelli che avete salvato e quelli no.
Emanuele "ToX" Toscano
16 dic 2009 - 14:02 - #6@4: la soluzione è non installare cose a casaccio… usa quello che è disponibile sui repository stabili e puoi avere una ragionevole fiducia di non avere grossi problemi, se decidi di installare quello che trovi su un sito, inserito da chissà chi, e lo lanci da amministratore il problema non è di linux ma di chi lo usa…
questa storia dovrebbe far riflettere sulla leggerezza con cui molti utenti danno la password di root a destra e a manca, non c’entra nulla con la sicurezza (o debolezza) intrinseca di linux…
littlegauss
16 dic 2009 - 14:06 - #7affermazioni tra loro coerenti:
il sistema di repository facilita la diffusione di virus
su gnome-look è stato infilato un vero malware
linux è a prova di virus
le banane volano
buonsenso
16 dic 2009 - 14:06 - #8@ tutti_quelli_che_”mai_root”:
un utente è abituato ad installare software inserendo la password, dunque con privilegi di root. Se un utente decide di installare qualcosa ignaro del fatto che sia un virus, potrà fare danni su *qualunque* sistema operativo.
E la soluzione non è certo quella di permettere l’installazione solo di software che passa da un “apple store” o simili.
Tempo fa c’erano troll che consigliavano comandi come rm -rf / e c’è chi li ha eseguiti. Se un utente non sa cosa fa e ha la password di amministratore può distruggere qualsiasi cosa ma questo NON C’ENTRA CON IL GRADO DI SICUREZZA DI UN S.O. Le cose non sono così banali.
@ tutti_quelli_”ma_solo_la_home”
Anche senza privilegi di root il problema rimane. In ambito desktop non ha senso consolarsi dicendo che il danno massimo che si può ricevere è la perdita di dati, perché non esiste praticamente danno maggiore per una installazione monoutente. Di tale fatto si può sentire sicuro un sistemista che sa che se un utente del suo server ha compromesso il proprio account questo non significa che il server sia stato danneggiato, che non funzioni a dovere o che non serva correttamente tutti gli altri utenti.
Tutti i discorsi che si sentono in giro sulla sicurezza di Linux sono cose trapiantate dall’ambito server dove un sistemista sa quello che fa e gli utenti non sono capaci (a meno di falle nel s.o.) di fare alcun danno.
In ambito desktop è tutto nelle mani dell’utente e non servono virus sofisticati a distruggere un sistema. Ieri era un comando suggerito, oggi uno script, domani chissà. Eseguire operazioni SAPENDO CIÒ CHE SI FA è un prerequisito per la sicurezza, non è la sicurezza. Nessun sistema operativo può (né deve) riparare ad un comando impartito.
d4n
16 dic 2009 - 14:39 - #9Secondo me per risolvere il problema degli script basterebbe fare una sorta di “antivirus”, che contiene una lista dei comandi più pericolosi che si possono inserire in uno script bash o quant’altro (python o quello che si vuole). Nel momento in cui si tenta di lanciare questo comando basta segnalare all’utente che a riga taldetali dello script c’è QUESTA RIGA (ad esempio sudo rm -fR / o sudo rm -fR $HOME)
e che potrebbe dannegiare gravemente il computer. A quel punto si mette una bella domanda del tipo PROSEGUIRE???? e due bei bottoni SI / NO… Così se ad esempio questo che mando in run è uno script scritto da me e voglio fare quella operazione premo su sì altrimenti premo nò…. È l’unico sistema per protegersi dai malware.
Se poi uno e neube e non cosa fà sudo rm -fR / e gli è stato detto da qualcuno in un forum, li non ci sono salvezze. E come se dicessi a uno che non sà nulla fai tasto destro su C: e premi su FORMATTA alla fine i danni li fà uguale. L’importante è proteggersi da codice malevolo all’interno di script.
Sagitter
16 dic 2009 - 15:22 - #10La risposta ai dubbi è nello stesso articolo:
“Linux non ha una quota di mercato che giustifichi l’impiego di risorse per la creazione di virus.”
guiodic
16 dic 2009 - 16:03 - #11Il 70-80% di Internet funziona grazie a GNU/Linux. Direi che è abbastanza elevata come quota di mercato.
Mac Os X ha circa il 5% del mercato desktop, in mano peraltro agli utenti più ricchi (quindi con carte di credito ben più appetitose del ragazzino squattrinato che gioca su Windows). Eppure…. sì ogni tanto qualche trojan, ma è tutta un’altra sotria rispetto ai veri virus.
http://guiodic.wordpress.com/category/gnulinux/virus-e-gnulinux/
DRerAGO
16 dic 2009 - 16:30 - #12Il fatto che Linux non abbia un’alta quota di mercato Desktop, non vuol dire che i cracker non abbiano interesse ad fare malware che gira su Linux. Il 90% dei server e dei supercomputer sono Linux. Infettando un server si potrebbero infettare tutti i client connessi.
Chewingum
16 dic 2009 - 19:18 - #13Dire perchè non esista malware su linux non è semplice. Sicuramente non è una sola ragione, ma una somma di tanti.
Credo che molti siano motivi storici sia di architettura (troppe distribuzioni diverse, una certa sicurezza intrinseca) sia umane (utenti mediamente più esperti e la mancanza di una sola grossa compagnia alle spalle, cosa che rende linux più simpatico).
Direi che il riferimento alla quota di mercato è un abbaglio. Come altri, ricordo che il 60% dei server su internet e grossa parte nelle intranet è basata su sistemi linux. Macchine con tanta potenza, tanto spazio e tanta banda e tanti dati in transito, quale boccone più ghiotto?
Aggiungerei che anche se la percentuale è bassa, la presenza di sistemi desktop linux vista in numeri assoluti non è trascurabile, un “parco zombies” non da poco.
@dass: la tua è una strana teoria. Visto che hai parecchi dati (ben 600G) non solo non dovresti sentirti esentato dal fare un backup, ma la tua è una situazione che richiede di farlo. Ricorda che oltre al malware ci sono le rotture hw, fulmini, furti ecc. Se si tratta di film o altre cazzate non si rischia molto, ma se sono 600G di lavoro… in bocca al lupo.
ice
16 dic 2009 - 19:20 - #14ci allineeremo a quanto avviene su OsX
e cmq i rootkit x *nix sono sempre essititi
certo sarebbe veramente uno schiaffo che i siti ufficiali (ubuntu marketshare, repository vari) fossero centro di diffusione
HammerOn
16 dic 2009 - 19:56 - #15bha bisogna innanzi tutto dire che quello presente in gnome-look non era un virus ma un cavallo di troia
dai parliamoci chiaro, non diamo la colpa al povero utente che si è imbattuto in quel malware: il sito era sicuro, era un semplice .deb, l’ha installato….come penso il 99.9% degli utenti fa…
….e comunque si…..aumentando la popolarità aumentano i malware..
solamenti_i_dati
16 dic 2009 - 21:25 - #16@#1
si, infatti .. una cosa che “al massimo” cancella i dati dell’unico utente di una macchina ..
pensare bene prima di scrivere.
(e se un virus cancellasse “solo” i numeri di telefono dalla tua sim e dal cellulare ? e non parliamo da backup, per favore)
Saluti,
P.
solamenti_i_dati
16 dic 2009 - 21:29 - #17@ #9
la proposta, folle a livello realizzativo, mi ha fatto tornare in mente i romanzi della trilogia robotica di Asimov.
Conosci le tre leggi della robotica ? Leggi secondo cui, tra l’altro, un robot non potrebbe mai commettere un omicidio.
Sfortunatamente, componendo adeguatamente le leggi ..
(immagina invece di tre leggi, la semantica di N linguaggi di programmazione)
P.
veritas
16 dic 2009 - 21:32 - #18guiodic, “Il 70-80% di Internet funziona grazie a GNU/Linux. Direi che è abbastanza elevata come quota di mercato.”
FALSO:
http://www.idc.com/getdoc.jsp?sessionId=&containerId=prUS22100809
le percentuali sono diverse, 14% Linux, 26,9% UNIX, 43% Windows nel mercato server, non confondiamo unix (freebsd, openbsd, ecc) con linux.
Yahoo, Netcraft, Apache.org, Sony, bluemountain, pair.com, ecc… i più grossi siti internet mondiali usano FreeBSD, non confondiamo il diavolo con l’acqua santa ;-) e non diamo i numeri a casaccio.
guiodic
16 dic 2009 - 22:41 - #19@veritas: credo che tu debba studiare meglio l’inglese e soprattutto cosa significa la parola “revenue” …
aska
17 dic 2009 - 09:56 - #20piantatela di sparare numeri a casaccio e poi scannarvi a vicenda su chi ha ragione. che senso ha?
riguardo a comandi che possono distruggere soltanto la “home” dell’utente lasciando il sistema operativo intatto, concordo con chi scrive che per l’utente la “home” è tutto.
IMHO l’utente mediamente non ha esperienze di programmazione e non è tenuto a sapere che cosa fa il comando “rm” e non è tenuto a sapere che cosa fanno comandi analoghi in tutti i linguaggi di programmazione esistenti prima di lanciare uno script. questa è una visione assurda della realtà.
Concordo sul fatto che ci vorrebbe un prompt che chiede se proseguire quando viene rilevata un’azione potenzialmente dannosa. (magari con un bell’archivio con regole di autotraining del tipo: l’utente ha scelto di eseguire sempre quell’azione se lanciata da quel programma)
Concordo anche sul fatto che si dovrebbe fare regolarmente backup ma l’utente questo lo capisce di solito dopo uno o due guasti del disco rigido con conseguente perdita di informazioni per lui importanti (naturalmente l’amico informatico di turno dovrà subirsi le imprecazioni dell’utente). del resto bisogna subire un trauma prima di prendere seriamente in considerazione questo tipo di problema.
srsly?
17 dic 2009 - 10:53 - #21@guidoic, se vogliamo farne una questione di semantica, virus propriamente detti sono praticamente scomparsi da anni su qualsiasi piattaforma.
d4n
17 dic 2009 - 12:05 - #22La mia proposta non è follia caro “solamenti_i_dati”…. Ma è qualcosa che servirà in un prossimo futuro sopratutto se non inventano altro… Se non ricordo male ho letto alcune settimane fà su securityfocus che la stessa Apple su OSX ha inserito un tool antimalware per risolvere problemini di questo genere. Inoltre quello che dico io non è impossibile, lo fanno già i normali antivirus per windows. Hai mai provato a scrivere uno script DOS che fà danni? dopo averlo salvato ti basta aspettare circa 5 secondi per vedere che il tuo antivirus riconosce che all’interno di quel file c’è del codice che se eseguito potrebbe provocare seri danni al Sistema Operativo (ovviamente parlo di antivirus seri no quelli giocattolo). Il codice compilato, anche quello si può risolvere “objdump -D” e si cerca se c’è una o più istruzione ASM che possono provocare danni se eseguite.
Purtroppo la realtà è questa più gente comune usa una cosa più testine di ca….o che si divertono a scrivere cretinate ci saranno. Ma avete notato già che differenza di spessore c’è nei forum tecnici oggi rispetto a 4/5 anni fà? prima c’era gente competente ora ci sono molti lameroni che parlano a vanvera e insieme a quei lameroni ci sono anche i cretini che si divertono a creare script contenenti codice malevolo…
Emanuele "ToX" Toscano
17 dic 2009 - 12:09 - #23comunque la richiesta di conferma (o meglio, il rifiuto totale) per comandi tipo rm -rf / c’è già, se ne è parlato in passato… personalmente non ho provato, per quanto ci possa essere una richiesta di conferma… col cacchio che mi metto a provare un comando del genere :D
root@host ~# rm -rf /
rm: cannot remove root directory `/’
fonte: http://pollycoke.net/2009/01/07/clamoroso-rm-rf-non-funziona-piu-d/
Emanuele "ToX" Toscano
17 dic 2009 - 12:10 - #24cavolo, non ricordavo di averlo provato… invece rileggendo, proprio in quel link c’è un mio commento in cui ammetto di aver fatto il tentativo :D
d4n
17 dic 2009 - 12:34 - #25Guarda ho appena provato (su una partizione per i test) se ci metti davanti un bel sudo rm -fR / non ti chiede la conferma di un bel niente purtroppo… E infatti il sistema è distrutto XD
per giunta se il comando viene eseguito da uno script in background l’utente è totalmente ignaro di ciò che succede, quindi sarebbe utile avere un messageBox che ti mette in allerta…
solamenti_i_dati
17 dic 2009 - 22:06 - #26@ #22
Rinominare o salvare un file sono operazioni previste da qualunque programma compilato o interpretato. blocchiamo il sistema ogni volta che contiene “le istruzioni” corrispondenti ?
Non voglio assolutamente far polemica, s’intende. Solo mi sembra un approccio destinato a fallire in partenza. Sarebbe come limitare gli studi sull’intelligenza artificiale al vecchio albero si/no/per cosa differisce, potenziando la velocità di elaborazione della macchina. Altre si sono dimostrate le vie..
E per concludere.. solo una cosa: ogni 4 o 5 anni qualcuno afferma che 4 o 5 anni prima c’era un sacco di gente più competente. Succede dall’alba dei tempi o giù di lì.
d4n
18 dic 2009 - 00:18 - #27Certamente ma qualsiasi programma compilato o interpretato non ti richiede i permessi di root per andare in esecuzione (o almeno sono pochi quelli che lo fanno).
Inoltre quello di cui parlo io non rende la macchina immune al 100% ma perlomeno limita la possibilità di danni da parte di gente poco pratica. Facciamoci a capire se un programma rinomina un file o una cartella utente, tutt’al più ci si ritrova con il nome cambiato o la cartella spostata da un’altra parte, o nel caso peggiore con qualche applicazione che non trova più il file di configurazione e che quindi non parte, tutte cose che si risolvono reinstallando i programmi o stupidate simili. Un’altro conto è che un software vada ad eseguire rm -fR $HOME, quindi sarebbe meglio avere qualcosa che ti dice:
Vedi che questo programma ha chiesto di lanciare questo comando, se si prosegue verranno persi tutti i dati dell’utente. Proseguire???? Sì / No
E secondo te il nuovo utente ignaro che legge una cosa del genere preme su Sì? se lo fà è de_ficente, e purtroppo una cosa che i PC ancora non riescono a fare è limitare i danni dovuti alla de_ficenza umana.
Io non ho mai parlato di operazione di copia di spostamento di rinomina o di salvataggio. Tutt’alpiù queste operazione devono chiedere una conferma se eseguite come ROOT.
Se poi tu hai un’idea migliore ti prego di illustrarla, questa che ho detto io è una cosa così, non studiata a fondo, che in questi giorni stò anche pensando a come potrebbe essere una possibile implementazione.
Citazione:
“E per concludere.. solo una cosa: ogni 4 o 5 anni qualcuno afferma che 4 o 5 anni prima c’era un sacco di gente più competente. Succede dall’alba dei tempi o giù di lì.”
È vero questo, ma questo forse avviene proprio perchè mano a mano che un mondo diventa sempre più aperto ci sono meno persone esperte del settore, che hanno studiato o che studiano, insomma gente che sà il fatto suo, ed è proprio tra questi “nuovi utenti” (gli inesperti) che si cela il pericolo.
Io stesso ho sentito dire da un LAMER, un’annetto fà, dopo aver imparato un pò di ASM … Sono queste le persone che iniziano, “che lanciano una moda”, e che sono pericolose, perchè spinte da non sò cosa devono distrugere e non creare. E come sappiamo tutti la falla più grande che c’è in un sistema informatico è proprio l’utente. Se l’utente ignaro esegue il mio script (che pur potendo leggere il codice non è in grado di comprendere), si ritrova con la perdita di dati utente e come ha detto qualcuno prima in ambiente Desktop, perdere i dati utente è quasi grave quanto aver dannegiato il sistema operativo, forse anche di più.
Cosa succede se domani linux diventa per tutti, diventa ampiamente usato, e ci ritroviamo 10000/20000 idioti che si divertono a scrivere codice malevolo per fare danni su i pc della gente, e non c’è un sistema di tutela?
Semplice abbiamo fatto un sistema operativo inutilizabile che mette a repentaglio i propri dati, e chi lo vuole usare un sistema così??? io non di certo.
Come dice il detto: Prevenire è meglio che curare.
Quindi all’alba di questa nuova era che stà nascendo è meglio prevenire introducendo qualcosa che renda più sicuro il nostro amato SO, e non magari in un prossimo futuro dover correre hai ripari mettendo pezze a colore…
d4n
18 dic 2009 - 00:21 - #28non so perchè mi ha messo i puntini dopo ASM. Comunque il lamerone disse:
ora posso scrivere un virus per linux.
solamenti_i_dati
18 dic 2009 - 13:51 - #29@ #27
1. cancellare la home è un danno NOTEVOLE (è *IL* danno) per ogni utente desktop. Ci impiego 30′ a reinstallare il sistema operativo, ma quanto per riconfigurare tutto e ripristinate i dati (chi ha parlato di backup ?)
2. Immagina di salvare file di testo vuoto su ogni file della home utente, magari rinominandolo prima per perdere un po’ di tempo.. (ma con il nome file sempre stabilito a runtime); il risultato è poco diverso dal tuo famigerato “rm -fR $HOME”, ma può essere codificato in milioni di modi diversi, che il tuo algoritmo di protezione non riuscirà mai a cogliere. A meno - come detto - di avvertire ogni volta che avviene una scrittura di file, o si esegue un qualunque programma che acceda al disco. Il che significa .. paralisi del sistema.
Non è il bisogno di protezione che critico, solo l’idea di attuazione per “analisi del codice dannoso”.
d4n
18 dic 2009 - 14:42 - #30Be in effetti anche tu hai ragione su questo tipo di danno che si può creare, e comunque come avevo detto prima è ovvio che non si può avere una sicurezza pari al 100%, anche perchè come tutti sanno la sicurezza informatica è quasi un utopia.
guiodic
20 dic 2009 - 22:25 - #31Ti chiede la password.