[SICUREZZA] Infettare Linux, prendere il controllo della macchina: si può fare?

[taylorella]

Buongiorno a todos in questa domenica che da me è uno schifo: fredda, piovigginosa, fiacchissima... spero che da voi sia meglio.

Post dal titolo che merita una spiegazione, che ora darò. La premessa è che ero su Hardware Upgrade a commentare la notizia riguardante il numero di pc coinvolti in botnet:

http://www.hwfiles.it/news/microsoft...net_34062.html

I dati non sono per niente dei migliori, ma non è questo il nucleo del discorso.
Per farla breve, sono entrato in discussione con un altro utente assolutamente ferrato, da cui è scaturito uno scambio di post che mi ha messo svariate pulci nell'orecchio e mi ha dato l'input per cercare nuove info e provare a farmi una cultura.

Siccome io non sono laureato in informatica nè conosco il sistema a livello profondo e ricercare info a riguardo è praticamente impossibile data la varietà di nozioni correlate in gioco, vorrei chiedere a qualcuno di voi che "se ne intenda" se è possibile creare un virus per Linux FUNZIONANTE.
Possiamo ipotizzare un virus che formatti il sistema, anche se ormai nessuno lo fa più, o più verosimilmente un worm che apra o utilizzi talune porte internet per trasformare la Linux-box in uno zombie e usarlo in una botnet.
Se avete voglia potete leggere qui la discussione che ne è nata, per recuperare eventualmente i dettagli tecnici con cui l'utente ha replicato, perchè io proprio non saprei ripeterli. (c'è pure il rischio che abbia scritto minchiate nel replicare, me ne scuso fin d'ora). :

http://www.hwupgrade.it/forum/showthread.php?t=2262683

In aggiunta a questa domanda, pongo la seguente: a parità di condizioni, ovvero un sistema aggiornato, senza antivirus e con UAC o sudo attivi, il livello di sicurezza è pari per Windows e per Linux oppure Linux (o Windows) ha un qualcosa al suo interno che lo preserva maggiormente rispetto all'altro sistema? Dicendo "qualcosa" intendo qualsiasi cosa, dal tal programma che gira in background alla struttura stessa del sistema, passando per i permessi o per quel che volete, qualsiasi cosa insomma.

Concludo dicendo che personalmente mi pare strano che Linux non venga infettato solo perchè è poco diffuso, io credo che anche volendo sarebbe difficile, ma non ho abbastanza conoscenza per dimostrare questa cosa con certezza, me ne sono reso conto in quel thread, e dato che l'argomento penso sia tosto e interessante, ho pensato di condividerlo e proporvelo.
Ringrazio fin d'ora chiunque avrà voglia di spiegarmelo, facendo magari un parallelo con Windows, sempre che si possa, dato che non so quanti conoscano bene anche gli accorgimenti di sicurezza del sistema di Microsoft.

P.S: niente flame, polemiche o chissà cosa, è solo una domanda su un aspetto importante dell'informatica, secondo me.

[andrea.paiola]

certo che è possibile, un metodo potrebbe essere una "normale" scalata di privilegi... normalmente ottenuta, quando il sistema è già ben configurato, tramite qualche bug di qualche software, quando non del kernel e un'utenza con privilegi ristretti...

esempio: http://www.seclists.org/fulldisclosure/2010/Sep/268
con questo puoi diventare root con un 64bit, arrivato persino al kernel rhel/centos

le varie distribuzioni più diffuse normalmente si occupano di inserire eventuali patch, che escono poco tempo dopo che si sa del problema

esiste persino una distribuzione che colleziona vulnerabilità e malsconfigurazioni http://www.damnvulnerablelinux.org/

perchè linux è meno soggetto a problemi di sicurezza?
1) è meno diffuso
2) è più aggiornato, più frequentemente e da più persone
3) non è standard: esistono molte distribuzioni e ognuna ha diverse versioni dei software e diversi modi di configurarli, diversi "sistemi di sicurezza"...
4) la sicurezza è stata aumentata nel tempo, con apparmor, SELinux e altri framework che si occupano di quello a basso livello, integrati nel s.o.
5) l'utente medio è meno utonto

perchè windows è più soggetto?
l'inverso dei punti precedenti a cui aggiungo:

principalmente il problema è tra il monitor e la sedia: a parte che molta gente non aggiorna i software ed è informaticamente analfabeta, anche molti dei sys admin windows non sanno fare altro che cliccare sulle icone

[francofait]

tentativi di infettare linux con worm e infezioni virali di ogni spece ne son stati fatti a migliaia inutilmente fin dalla sua nascita quindi ben prima dello stesso windows e già prima che in linux anche su unix fin dalla sua nascita. Il risultatofinale è sempre stato fiasco totale e codice apparentemente virale sia su piattaforma unix che linux risultato regolarmente del tutto inerte.
Pur tuttavia il pericolo vero in retenon viene da infezioni a carattere virale che gira e rigira anche in windows proprio per la loro natura virale vengono scoperte in tempi regolarmente brevi , ma da tutti quei bug che laciando porte aperte lasciano di conseguenza spazio a possibili violazioni ben più pericolose.
Linux può fare a meno di antivirus vantaggio non di poco conto , ma non di certo di un più che buon firewal gestito con regole quanto più sicure possibili , e neppur si salva da possinbili rootkit anche questi ben più rischiosi di qualunque virus , vistolo scopo per il quale vengono messi in rete.
SO sicuri al 100% non ne esistono o meglio son tutti più che sicuri solo col computer completamente spento ed inutilizzato.
Detto questo Microsoft farebbe meglio ad evitare di mettere il dito su una piaga tutta sua , è un pessimo vizio quello di fare di tutta l' erba un fascio mettendo alla stessa stregua ogni possibile forma di attacco ai SO , oltretutto nemmeno aiuta nel cercare di farvi fronte.

[andrea.paiola]

no beh i virus manco li ho considerati

presuppongono una piattaforma da attaccare standard, al massimo ci potrà essere un virus per ubuntu che funzionerà per poche ore, prima che venga rilasciata una patch...
https://help.ubuntu.com/community/Linuxvirus

Originariamente inviato da andrea.paiola
principalmente il problema è tra il monitor e la sedia: a parte che molta gente non aggiorna i software ed è informaticamente analfabeta, anche molti dei sys admin windows non sanno fare altro che cliccare sulle icone

eh e dimenticavo quanto giustamente scrivono in quel forum: l'insana passione per il warez

@taylorella
toh ti ho trovato da studiare
http://guiodic.wordpress.com/2008/07...linux-parte-1/
http://guiodic.wordpress.com/2008/07...seconda-parte/
http://guiodic.wordpress.com/2008/07...-intelligenti/
http://guiodic.wordpress.com/2010/06...-per-gnulinux/


attacchi mirati verso specifiche piattaforme linux, prevalentemente per spionaggio e/o sabotaggio di aziende, ce ne sono sempre stati e sempre ce ne saranno

e vale per linux, bsd, solaris...


non ti accontenti della sicurezza di un s.o. linux ben configurato? c'è sempre OpenBSD , va che bello

[francofait]

L' insana passione per l' warez e tutto ciò che in rete oggi sarebbe pure illegale , purtroppo è una piaga dura da estirpare , ne so qualcosa con altro forum ad elevata densità di traffico .
Perfettamnte nella norma trovarsi a buttar fuori imbecilli che han pure il coraggio di chiederlo come bisogno urgente , come poter far passare spyware nei server di posta dello stesso forum riuscendo a sfuggirre all' antivirus , o come fare per appropriarsi di passwrd in rete , e ti chiedon pure di non cancellare la discussione , sanno che è operazione illegale e discussione illecita di conseguenza ,ma n' gliene frega niente.

[bereshit]

comunico una ma personale e specifica riflessione, che ho avuto qualche tempo fa sistemando un win 7 appena comprato

installato il FW, questo mi ha chiesto se dovevo dare accesso alla rete a 5/6 programmi diversi

i nomi erano tipo chtpc.exe insomma roba di sistema (lo deduco solo dal fatto ch eil pc era vergine)

mi chiedo come fa un utente normale a sapere se è un processo di sistema o è un virus?

cmq è davvero necessario in linux avere i privilegi di root?

in fondo tutti i dati sensibili si trovano nella home dell'utente

non basta che ne so sfruttare un bug di FF far girare due righe di codice per inviare il file che contiene le password memorizzate dallo stesso FF ad un sito remoto?

[taylorella]

Originariamente inviato da andrea.paiola
certo che è possibile, un metodo potrebbe essere una "normale" scalata di privilegi... normalmente ottenuta, quando il sistema è già ben configurato, tramite qualche bug di qualche software, quando non del kernel e un'utenza con privilegi ristretti...

esempio: http://www.seclists.org/fulldisclosure/2010/Sep/268
con questo puoi diventare root con un 64bit, arrivato persino al kernel rhel/centos

le varie distribuzioni più diffuse normalmente si occupano di inserire eventuali patch, che escono poco tempo dopo che si sa del problema

esiste persino una distribuzione che colleziona vulnerabilità e malsconfigurazioni http://www.damnvulnerablelinux.org/

perchè linux è meno soggetto a problemi di sicurezza?
1) è meno diffuso
2) è più aggiornato, più frequentemente e da più persone
3) non è standard: esistono molte distribuzioni e ognuna ha diverse versioni dei software e diversi modi di configurarli, diversi "sistemi di sicurezza"...
4) la sicurezza è stata aumentata nel tempo, con apparmor, SELinux e altri framework che si occupano di quello a basso livello, integrati nel s.o.
5) l'utente medio è meno utonto

perchè windows è più soggetto?
l'inverso dei punti precedenti a cui aggiungo:

principalmente il problema è tra il monitor e la sedia: a parte che molta gente non aggiorna i software ed è informaticamente analfabeta, anche molti dei sys admin windows non sanno fare altro che cliccare sulle icone

Ok, togliamo il fatto che sia poco diffuso, dato che io miravo a capire meglio la sicurezza "intrinseca" del sistema, una sorta di immunità nativa data da chissà quale pensata geniale che hanno fatto gli sviluppatori del kernel, cose del genere.
Forse però dovremmo partire da uno step più indietro: i virus sbaglio o sono applicazioni che fanno determinate cose? Mi risulta che le vulnerabilità di sistema siano degli errori sfruttabili per eseguire istruzioni arbitrarie che in condizioni normali, se tutto funzionasse, non potrebbero essere eseguite. Ma ci sono anche i virus che semplicemente eseguono qualcosa, ne più ne meno di Exaile che riproduce musica, Firefox che mi disegna una finestra in cui navigare o ls che mi elenca i contenuti...Quindi se io creo un file che all'interno ha un banalissimo "rm -rf" e mi cancella tutto, si può fare e non ci son santi ne madonne, dico bene?
Riguardo a SElinux e Apparmor li ho menzionati nella discussione di HWUpgrade, ma mi è venuto un dubbio: di default garantiscono un livello di sicurezza o andrebbero configurati in maniera più stringente?
Altra domanda che era nata: l'installazione di un pacchetto tramite apt-get è fatta in modo "selettivo", del tipo che anche se qualcosa viene installato resta confinato in una tal directory di sistema, oppure una volta che un pacchetto viene installato è la fine?

[taylorella]

Originariamente inviato da francofait
tentativi di infettare linux con worm e infezioni virali di ogni spece ne son stati fatti a migliaia inutilmente fin dalla sua nascita quindi ben prima dello stesso windows e già prima che in linux anche su unix fin dalla sua nascita. Il risultatofinale è sempre stato fiasco totale e codice apparentemente virale sia su piattaforma unix che linux risultato regolarmente del tutto inerte.
Pur tuttavia il pericolo vero in retenon viene da infezioni a carattere virale che gira e rigira anche in windows proprio per la loro natura virale vengono scoperte in tempi regolarmente brevi , ma da tutti quei bug che laciando porte aperte lasciano di conseguenza spazio a possibili violazioni ben più pericolose.
Linux può fare a meno di antivirus vantaggio non di poco conto , ma non di certo di un più che buon firewal gestito con regole quanto più sicure possibili , e neppur si salva da possinbili rootkit anche questi ben più rischiosi di qualunque virus , vistolo scopo per il quale vengono messi in rete.
SO sicuri al 100% non ne esistono o meglio son tutti più che sicuri solo col computer completamente spento ed inutilizzato.
Detto questo Microsoft farebbe meglio ad evitare di mettere il dito su una piaga tutta sua , è un pessimo vizio quello di fare di tutta l' erba un fascio mettendo alla stessa stregua ogni possibile forma di attacco ai SO , oltretutto nemmeno aiuta nel cercare di farvi fronte.

Grazie Franco, quel che appunto cercavo di capire è il motivo per il quale gli attacchi non vanno a buon fine. Purtroppo non ho sufficienti basi teoriche per arrangiarmi a studiare ste robe, ma quel che mi chiedo è perchè mai Windows è infettabilissimo mentre Linux no. Sono giunto alla conclusione che i repository tutelano molto l'utente, che quindi l'utente medio di Windows installa anche cose mezze misteriose recuperate illegalmente, e fin qui ok, è come se qualcuno di fiducia ci presentasse una ragazza di fiducia (linux) a differenza di un incontro casuale in una discoteca di periferia dove si può trovare anche la tipa diversamente sana... (Windows).
Ma, a parte questo, possibile che tutti i casini nascano dall'utente? Cioè, non esiste una base più interna, che permetterebbe l'infezione a prescindere dall'utente? Non so quanti mila virus ci siano per Windows, si parla di numeri tra i 100.000 e il milione...tutti questi virus si basano sul fatto che un pirla qualsiasi doppioclicca l'eseguibile? Ok le falle di sistema (ho studiato qualcosa a riguardo e ho capito come funzionano buffer overflow ecc), ma sono così tanto sfruttate? Non so quante falle abbia Windows, ma penso ben meno del numero di virus esistente...

[taylorella]

Originariamente inviato da francofait
L' insana passione per l' warez e tutto ciò che in rete oggi sarebbe pure illegale , purtroppo è una piaga dura da estirpare , ne so qualcosa con altro forum ad elevata densità di traffico .
Perfettamnte nella norma trovarsi a buttar fuori imbecilli che han pure il coraggio di chiederlo come bisogno urgente , come poter far passare spyware nei server di posta dello stesso forum riuscendo a sfuggirre all' antivirus , o come fare per appropriarsi di passwrd in rete , e ti chiedon pure di non cancellare la discussione , sanno che è operazione illegale e discussione illecita di conseguenza ,ma n' gliene frega niente.

Perfettamente d'accordo con te, ma a parte i warez basterebbe diffondere in rete un pacchetto deb fasullo, magari una roba che promette di gestire bene le reti wifi, un'utility del genere, e infilarci dentro qualche schifezza, trak, fottuti migliaia di sistemi Linux. No? La faccio troppo semplice?

[francofait]

Originariamente inviato da taylorella
Perfettamente d'accordo con te, ma a parte i warez basterebbe diffondere in rete un pacchetto deb fasullo, magari una roba che promette di gestire bene le reti wifi, un'utility del genere, e infilarci dentro qualche schifezza, trak, fottuti migliaia di sistemi Linux. No? La faccio troppo semplice?

Sembra facile fottere linux , molto più facile fottere quel colabrodo di winzoccola , ha un livello di vulnerabilità molto più elevato . A livello server è molto più usato linux di windows , la scusa di linux poco diffuso attacca male , a livello server sono ambedue oggetto di attacchi , il prediletto per i potenziali attaccanti è windows perchè è estremamente più vulnerabile.