Re: Nuovo malware per GNU/Linux (sembra una bufala!)
On 13/10/21 07:49, Marco Ciampa wrote: On Tue, Oct 12, 2021 at 07:48:07PM +0200, Davide Prina wrote: On 11/10/21 21:48, Marco Ciampa wrote: Di rootkit ce ne sono a bizzeffe. ma sono tutti neutralizzati da un sistema aggiornato e da un adeguato uso del sistema. No i rootkit sono rootkit, non puoi neutralizzarli, stai facendo confusione con i virus. per potersi installare nella tua macchina un rootkit ha bisogno che tu abbia un software con bug, che permetta all'attaccante reale/virtuale di scalare fino a root, o che tu compia azioni non adeguate (es: installare come root software preso in giro, eseguire come root software preso in giro, ...) Quindi se tu hai il sistema costantemente aggiornato e fai un uso adeguato del sistema, allora li hai neutralizzati, nel senso che non possono infettare il tuo sistema... o per la meno la maggior parte di essi non può, poi può esserci sempre un bug non conosciuto usato dall'attaccante per entrare nel tuo PC e per scalare a root. Probabilmente è per questi motivi che in GNU/Linux il malware in generale ha poca diffusione e dove l'ha è perché i sistemi non sono aggiornati o il comportamento degli utenti non è adeguato. Ciao Davide -- Elenco di software libero: http://tinyurl.com/eddgj GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Nuovo malware per GNU/Linux (sembra una bufala!)
Il 13/10/21 07:49, Marco Ciampa ha scritto: > No i rootkit sono rootkit, non puoi neutralizzarli, stai facendo > confusione con i virus. Puoi pensare ad un rootkit come ad una specie di > driver che una volta installato "abilita" certe funzionalità. Non mi pare > che si possa "neutralizzare" un rootkit come non si può "neutralizzare" > un driver, in special modo se viene compilato per una specifica versione > o insieme di versioni del kernel. Ni, li puoi individuare e rimuovere, non automaticamente questo si ma i tool per indagine in tal senso ci sono, poi a seconda della situazione agisci. -- Mario Vittorio Guenzi E-mail jcl...@tiscali.it Si vis pacem, para bellum OpenPGP_signature Description: OpenPGP digital signature
Re: Nuovo malware per GNU/Linux (sembra una bufala!)
On Tue, Oct 12, 2021 at 07:48:07PM +0200, Davide Prina wrote: > On 11/10/21 21:48, Marco Ciampa wrote: > > On Mon, Oct 11, 2021 at 08:40:46PM +0200, Davide Prina wrote: > > > È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che > > > prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo > > > impatto, > > > almeno leggendo il titolo, può sembrare preoccupante. > > > > [¹] > > > https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner_medium=feed_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29 > > > Di rootkit ce ne sono a bizzeffe. > > ma sono tutti neutralizzati da un sistema aggiornato e da un adeguato uso > del sistema. No i rootkit sono rootkit, non puoi neutralizzarli, stai facendo confusione con i virus. Puoi pensare ad un rootkit come ad una specie di driver che una volta installato "abilita" certe funzionalità. Non mi pare che si possa "neutralizzare" un rootkit come non si può "neutralizzare" un driver, in special modo se viene compilato per una specifica versione o insieme di versioni del kernel. > > Non capisco bene qual'è la novità... > > la novità è indicare un qualcosa che non si sa come entri nel sistema e dare > la sensazione che una volta entrato come utente non privilegiato possa > prendere prima o poi l'accesso come root... quindi può generare insicurezza > negli utenti Sono completamente daccordo. Infatti era una domanda retorica per dire "roba vecchia ... senzionalismo da 4 soldi..." > La mia segnalazione serviva a tranquillizzare se qualcuno leggeva qualcosa e > si preoccupava Capito. -- Saluton, Marco Ciampa
Re: Nuovo malware per GNU/Linux (sembra una bufala!)
On 11/10/21 21:48, Marco Ciampa wrote: On Mon, Oct 11, 2021 at 08:40:46PM +0200, Davide Prina wrote: È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto, almeno leggendo il titolo, può sembrare preoccupante. [¹] https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner_medium=feed_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29 Di rootkit ce ne sono a bizzeffe. ma sono tutti neutralizzati da un sistema aggiornato e da un adeguato uso del sistema. Non capisco bene qual'è la novità... la novità è indicare un qualcosa che non si sa come entri nel sistema e dare la sensazione che una volta entrato come utente non privilegiato possa prendere prima o poi l'accesso come root... quindi può generare insicurezza negli utenti La mia segnalazione serviva a tranquillizzare se qualcuno leggeva qualcosa e si preoccupava Ciao Davide -- Browser: http://www.mozilla.org/products/firefox GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Nuovo malware per GNU/Linux (sembra una bufala!)
On Mon, Oct 11, 2021 at 08:40:46PM +0200, Davide Prina wrote: > È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che > prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto, > almeno leggendo il titolo, può sembrare preoccupante. > > Da quello che ho capito è basato su suterusu[¹], un rootkit pubblico > disponibile su github che era stato sviluppato per Linux 2.6/3.x > > Ulteriori dettagli sul sito di lacework[³]. > > Da quello che ho capito: > * non si sa come il malware penetri nel sistema operativo > * crea il file /proc/.inl o /tmp/.tmp_XX > * sostituisce eseguibili di sistema: kill, scp, ssh, ... > * quando un utente esegue "sudo kill" o simile carica un modulo in Linux e > si "impadronisce" del sistema > > a me sembra assurdo, se non paradossale. > > Per scrivere in /proc devi essere root, lo stesso se vuoi sostituire un > comando come /bin/kill. Ma se sei già root per poter fare queste azioni > perché devi attendere che l'utente esegui tali comandi come root per poterti > impadronire del sistema? > > Ciao > Davide > > [¹] > https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner_medium=feed_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29 > > [²] > https://github.com/mncoppola/suterusu > > [³] > https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis/ > > -- > Browser: http://www.mozilla.org/products/firefox > GNU/Linux User: 302090: http://counter.li.org > Non autorizzo la memorizzazione del mio indirizzo su outlook > Di rootkit ce ne sono a bizzeffe. Non capisco bene qual'è la novità... -- Saluton, Marco Ciampa
Nuovo malware per GNU/Linux (sembra una bufala!)
È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto, almeno leggendo il titolo, può sembrare preoccupante. Da quello che ho capito è basato su suterusu[¹], un rootkit pubblico disponibile su github che era stato sviluppato per Linux 2.6/3.x Ulteriori dettagli sul sito di lacework[³]. Da quello che ho capito: * non si sa come il malware penetri nel sistema operativo * crea il file /proc/.inl o /tmp/.tmp_XX * sostituisce eseguibili di sistema: kill, scp, ssh, ... * quando un utente esegue "sudo kill" o simile carica un modulo in Linux e si "impadronisce" del sistema a me sembra assurdo, se non paradossale. Per scrivere in /proc devi essere root, lo stesso se vuoi sostituire un comando come /bin/kill. Ma se sei già root per poter fare queste azioni perché devi attendere che l'utente esegui tali comandi come root per poterti impadronire del sistema? Ciao Davide [¹] https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner_medium=feed_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29 [²] https://github.com/mncoppola/suterusu [³] https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis/ -- Browser: http://www.mozilla.org/products/firefox GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
