Kaspersky ha annunciato di aver trovato un trojan per Linux denominato Turla che potrebbe mettere in serio pericolo la sicurezza delle nostre distribuzioni.

Linux
Una delle principali caratteristiche di Linux è sicuramente la sicurezza. Proprio in questi giorni, Kaspersky (guarda caso azienda che sviluppa e commercializza Antivirus) ha annunciato di aver scoperto un grave Trojan per Linux (denominato Turla) presente già da diversi anni e che potrebbe mettere in serio pericolo la sicurezza e privacy degli utenti e aziende. 

Stando a Kaspersky, Turla è un software scritto in C/C++ classificato come APT (Advanced Persistent Threat) ossia una “minaccia avanzata persistente” che potrebbe colpire (o ha colpito) utenti ed aziende di ben 45 paesi. Quello che risulta alquanto strano che Turla è un trojan che si nasconde all’interno di vari software (non ben specificati da Kaspersky) e che fornisce una backdoor quasi invisibile ai normali strumenti dedicati all’analisi della nostra rete. Insomma andiamo ad installare un pacchetto deb/rpm o avviamo un binario precompilato di un software preso qua e la dalla rete e all’interno potrebbe essere questo “fantomatico” Turla in grado ad esempio di inviare i nostri dati come password ecc ad utenti malintenzionati o peggio ancora ad agenzie come la NSA.

Turla Virtus per Linux

Quello che non viene ben indicato da Kaspersky è che riguarda software / pacchetti non inclusi normalmente nei repo ufficiali delle principali distribuzioni Linux normalmente verificati dai developer prima di rilasciarli.
Ars Technica indica che possiamo verificare se Turla è presente o meno nella nostre distribuzioni verificando le applicazioni e tool gestiscono la connessione come ad esempio nethogs o altri software simili ricercando connessioni verso news-bbc.podzone.org, o 80.248.65.183.

Ringrazio il nostro lettore bred00 per la segnalazione.

  • solito allarmismo inutile
    poi quando a dirlo è kaspersky allora si che tremo di paura

    • luca020400

      Mi hai copiato

      • jimthedoors

        Scusate ma … mettiamo che qualcuno sia infetto … come lo rimuove ???

        • Ocelot

          Formatta il PC :O … oppure puoi rischiare a blacklistare soltanto col firewall quell’IP a cui si collega.

          • ZaccariaF

            Sarà l’ opposto semmai… :-).
            Se blacklisti l’ ip non credo che entri/esca ancora qualcosa.
            Un pacchetto può essere mascherato per un altro ma la sua destinazione, anche se va a un proxy questo rimane un indirizzo anomalo, e quasi impossibile nasconderla.
            Se dici così qualcuno farà una reinstallazione per nulla.

          • Ocelot

            In che senso il contrario? Certo che se blacklista non si collega a quell’ip… è quello che dici tu e che sto dicendo pure io. Spiegati meglio mmm

          • ZaccariaF

            Penso che si rischi di più ad ascoltare i produttori di (anti)virus che controllare da se con i vari packagesniffer e firewall linuxiani. ROTFL

          • scherzi?? se lo dice kaspersky…. infatti ho subito bruciato il mio notebook con archlinux e ho comprato un surface pro e un macbook per stare sicuro.
            e ovviamente in tutte le macchine ho installato kaspersy internet security, un bel antimalware, un antispyware, un firewall inoltre ora uso il PC solo con virtualbox e per sicurezza ogni giorno cancello e ricreo una nuova macchina virtuale (ovviamente con windows 8.1)

          • Ocelot

            Vabbe dai, fino ad ora (forse un po’ lffl) non ho letto siti che facessero allarmismo, anzi. Però ho letto siti stranieri.

          • anche tomshw lo ha riportato, e stranamente quando li esce una notizia del genere su linux tutti a spalare me**a su linux.
            il fatto è che un malware per linux fa notizia, mentre per windows ormai no

          • Ocelot

            Naaaaa, ti assicuro che appena esce qualcosa di negativo su X allora esiste almeno uno spala m***a random su X. E’ un assioma abbastanza famoso ormai su internet.

          • ZaccariaF

            Un like è il minimo per un risolleva giornate come questo.

          • XfceEvangelist

            Hai dimenticato di dire che usi solo periferiche con drivers certificati e che sei completamente d’accordo con il contratto di MS + Bing al momento dell’acquisto del notebook e che non fai alcun uso di keygen o crack.

          • Ocelot

            E io che sto dicendo? Di fare da se blacklistando l’IP trovato. Continuo a non capire l’intervento di prima .-.

          • ZaccariaF

            Fare una formattazione perché ti ha spaventato un produttore di antivirus è davvero sciocco,quindi non scherzarci che magari qualcuno ci crede. XDDDD

          • Ocelot

            Ooooora ho capito. Vabbe ma lui diceva “come si fa ad eliminarlo” quindi già l’ipotetico PC era infetto. Ovvio che se uno non ha riscontrato connessioni verso quell’IP (e non penso proprio che ce ne siano tra gli utenti normali) allora non è che deve formattare ammuzzo XD… penso che un utente che legge ste tipo di notizie e si pone domande su esse non sia così sciocco. Sii ottimista pure tu xD

        • iptables impostato per bloccare le connessioni in uscita verso quell’IP penso che dovrebbe bastare

          EDIT; forse con software che analizzano il traffico di rete si riesce anche a capire da quale software partono quelle richieste

        • luca020400

          Esiste il firewall per quello
          Oppure tramite software

          Anche l’idea di ocelot è ottima 😀
          Formattiamo tutti per sicurezza

          • formattare però è una soluzione un po alla windows.
            preferisco sempre trovare una soluzione 😀
            quindi cercherei di risalire al software e se proprio non ci riesco controllo tutti i pacchetti installati e guardo quali non mi convincono, e provo a disinstallarli, e se ancora non riesco filtro con iptables, poi alla fine come ultima spiaggia, se proprio questo troyan riesce anche a bypassare un firewall, allora formatto

          • luca020400

            Lo so che formattare è da windows 😉
            O da chi non è ha assolutamente voglio di controllare
            Basta stare un po li con nethods ( o come si chiama ) poi cancelli programma / metti firewall

    • loki

      argomenti?

      • dai suvvia, non dico che il troyan non esiste.
        dico solo che ormai windows è diventato sufficentemente sicuro dai virus basta fare attenzione.
        poi è normale che se uno scarica software da un sito segalato pericoloso dai browser e magari il sito è scritto tutto in cinese e poi esegui pure il softare, non ti lamentare della poca sicurezza del sistema operativo.

        sinceramenteio su archlinux installo solo roba presente da repository ufficiali, cio che installo da AUR è solo software sicuro, non installo di certo il primo pacchetto che capita e solitamente da aur ho software in fase di sviluppo che quindi non ci sono nei repository ufficiali come ad esempio xfce 4.11, oppure hpoj per lo scanner di rete delle stampenti multifunzione hp

        • comunque per scrupolo ho controllato con netstat e guarda caso non ho nessuna connessione strana

          • Ocelot

            Molte fonti (tra cui arstecnica mi pare) parlavano proprio del fatto che strumenti come netstat non lo rilevano. Anche per questo Kaspersky c’è un po’ rimasta…

          • ok ma comunque anche wireshark e tcpdump non rilevano alcuna traccia di quell’IP

          • Guest

            Si certo. Quelli dovrebbero andare per forza…

          • Ocelot

            Mi chiedo come faccia a rendersi invisibile agli sniffer… non che io abbia conoscenze minime su come eludere uno sniffer xD

          • sicneramente me lo chiedo anche io.
            premetto che non conosco i meccanismi degli sniffer, però questi analizzano tutto il traffico in uscita, quindi dovrebbero rilevare tutto, quindi non capisco che tecniche di offuscamento utilizzi per non farsi scoprire

          • dentaku65

            basta usare ss

          • Ocelot

            Ok ho letto meglio in giro. Non è invisibile a netstat ma è invisibile a come molti admin usano netstat.

        • loki

          mi fa piacere per te che tu non sia infetto, ma il punto forte di linux, a differenza di windows, non è il desktop

          • Windows Slavery For Life

            Questo è poco ma sicuro.

        • Windows Slavery For Life

          Win<3 sta per porre dei suoi repo per arginare gli scriptari della domenica che per troppo tempo hanno minato la sicurezza dei nostri Pc,non si doveva arrivare a questo…moltissimi programmatori saranno tagliati fuori ma così Win<3 diventerà il sistema operativo più sicuro al mondo.
          AUR non è gestito da una ditta seria quindi in fondo potrebbe contenere anche malware.

          • XfceEvangelist

            Ma perchè secondo te le big corporations sono ditte serie?

          • “win diventerà il sistema operativo più sicuro al mondo”
            vedremo, di certo non è la sicurezza del sistema che mi fa scegliere linux.
            poi bisogna vedere anche una volta che sarà il più sicuro al mondo (e gia ho dei dubbi) quanta libertà avranno gli utenti, perchè è facile fare un OS sicuro se questo non ti permette di fare nulla.

          • Win<3 sta per porre dei suoi repo per arginare gli scriptari della domenica che per troppo tempo hanno minato la sicurezza dei nostri Pc

            questo lo fa già da anni Linux
            peccato che gli script vanno a prendere i binari di software proprietari quindi che sicurezza è???
            in linux la maggior parte dei pacchetti è compilata da codice sorgente, i proprietari sono inclusi in repo non free che si posso disattivare, in windows non puoi far questo

            Win<3 diventerà il sistema operativo più sicuro al mondo.

            quando???
            microsoft sta perdendo colpi questa è la realtà
            non peraltro sta aprendosi verso l'open source

            windows rimarrà il so più diffuso al mondo
            solo per il semplice fatto che molti utenti lo trovano preinstallato nei propri pc

          • LelixSuper

            Ne hai la certezza che Windows sia il sistema operativo più sicuro? Hai accesso ai sorgenti per verificare realmente?

    • Windows Slavery For Life

      Ceerto!!! il vostro doppiopesismo è semplicemente meraviglioso se questo Trojan fosse per Windows,sareste tutti a dire che Win è un groviera è insicuro ecc. ecc. ma siccome una ditta seria come Kaspersky dice che sono anche per Linux;allora tutti a negare la loro esistenza;mamma che macchiette
      Gli antivirus servono a tutti;dire di essere invulnerabili non vi porterà da nessuna parte.

      • se leggi l’altro mio commento dico chiaramento che non dico che non esiste il virus, inoltre ho anche chiaramento detto che ormai anche windows è diventato sufficentemente sicuro ai virus.
        quindi per favore stai zitto e ritorna da dove sei venuto.
        dico che indipendentemente dal sistema operativo usato, se uno installa roba a caso presa da chissà dove poi non si venga a lamentare dell’insicurezza del sistema

        • Sim One

          no però così no dai…. dopo ci dicono che “si sente aria di una certa religiosità di argomenti…”
          Non credo che un’azienda seria come Karsperski diffonda una voce infondata. Magari qualche informazione di più avrebbe dovuto darla, così è un po’ vaga. È pur sempre vero che un computer sicuro è un computer spento.

          • infatti ho detto che è sicuramente vera la notizia, ma ho detto che la cosa riguarderà pochissimi casi secondo me

      • XfceEvangelist

        Infatti hai proprio ragione, non devo andare da nessuna parte perchè la mia macchina funziona come dal giorno 0. L’utenza windows invece deve aprire le pagine gialle e portare il pc a farlo formattare ed ingrassare la catena economica a scapito del povero utente ignorante.

      • Ken

        Vero, guarda caso ho Avast! Pro Edition 2015 installato sul mio OpenSuse

        • l’antivirus è utile solo per passare roba da linux a windows

        • marco

          Mi presti la licenza per il mio debian?

      • gabriele tesio

        turla attualmente attacca windows, ma ce ne sono molte varianti, per ora ne hanno trovata una sola che attacca linux, cosa che sarà corretta in tempi brevi, al contrario di windows.

    • XfceEvangelist

      Mi viene in mente quando ci avevano provato a vendere antivirus per il Symbian, ma perchè i giornalisti non fanno le persone serie e spiegano una volte per tutte come funziona la catena alimentare dei produttori di virus = produttori antivirus?
      La vendita degli antivirus segue paro paro l’ignoranza delle persone, tipico esempio il millennium bug ai tempi del 2000, una valanga di cazz ate alimentate sempre dai media e giornalisti pagati.

      • ZaccariaF

        La vendita degli antivirus segue paro paro l’ignoranza delle persone,
        tipico esempio il millennium bug ai tempi del 2000, una valanga di cazz
        ate alimentate sempre dai media e giornalisti pagati.

        Io poi la storia del MB non l’ ho mai capita;per Win bastava un update,per gli *NIX nessun problema e i microcontrollori bastava cambiarli, se non si poteva riscrivere le EEPROM.
        Davvero ero piccolo e già mi sembrava una cavolata.

        Qualcuno ha conoscenza di qualche device andato a ramengo per il MB?

        • XfceEvangelist

          Nessuno infatti, ma non so se ti ricordi i software che vendevano per fare il fix del MB, piu’ chissà quante consulenze informatiche sono state pagate inutilmente.

      • noespo

        Ma sei fuori….. Trovano un malware che infetta i sistemi linux e tu salti fuori con la storiella dei produttori di antivirus che scrivono i virus, sei capace ad argomantare, hai qualche fonte che può confermare la tua teoria, ci manca solo che ci metti le scie chimiche di mezzo e ti sei qualificato come persona…

        • XfceEvangelist

          Trovano chi? Un’ università, un gruppo di persone che fanno reverse engineering, ricercatori? O invece un’azienda con il core business di vendere soluzioni antivirus?
          Suppongo solo che tu sia giovane, perchè con l’esperienza che ti farai capirai presto di come è regolamentata falsamente la società moderna.

          • Vero

            A partire dalla politica prima ancora del business informatico. Esempio più eclatante: l’Europa suicida che segue e crede ciecamente negli usa senza mai diventare indipendente almeno sulla questioni decisionali più lampanti.

  • Ocelot

    I nostri dati magari no. Quelli di uno stato o di enti vari magari si a giudicare sull’analisi dei target.

  • lulu

    Siamo alle solite. Tutti i malware per linux necessitano di installazione manuale da parte dell’utente magari con pure la concessione dei permessi di root… se arrivi a questo punto meriti di essere infettato.

    • Windows Slavery For Life

      Allora xché esistono programmi com e rkhunter su Linux?
      Dovrebbero essere inutile basta non fare nulla tranne l’ amministrazione come amministratore.

      • XfceEvangelist

        Pensa a studiarti le voci del registro di Redmond OS invece di dedicarti a Gnu/Linux

      • gabriele tesio

        rkhunter serve solo per gli utenti iperprotettivi nei riguardi del proprio computer, non l’ho mai usato e non ne ho mai avuto la necessità di usarlo, i virus per linux non sono inesistenti, ma in vent’anni ne hanno trovati una dozzina, mentre su windows ne trovano una dozzina di nuovi ogni mezzo secondo (preciso, ne trovano, un sacco di più ne vengono creati ma nessuno ne sa nulla).

        Poi in un paio di giorni aggiorneranno il kernel e di turla ce ne potremo dimenticare, ti consiglierei di dare una lettura qua: https://securelist.com/blog/research/67962/the-penquin-turla-2/ scopriresti che turla è uno dei più complessi nel suo genere, e hanno scoperto che una sua piccola prate riesce ad intaccare linux, mentre turla è conosciuta da parecchio nell’attacco di sistemi windows, quindi vatti a fare un bell’aggiornamento dell’antivirus piuttosto che venire a scrivere su siti di sistemi operativi che non ti interessano.

      • foo

        rkhunter esiste perché esistono i rootkit, e linux non è immune da attacchi mirati, tradizione di unix da prima che windows emettesse il primo ping.

        Il problema è che windows è una specie di monocultura quindi è molto più facile fare attacchi generici. Magari, con systemd ed il suo approccio “penso a tutto io”, linux recupera 😀

      • guglielmo

        Pensa a studiarti le voci del registro di Redmond OS, e buona schiavitù a vita.

    • ale

      Bhe veramente anche su windows i malware richiedono un installazione manuale, solo che l’utenza in genere è mediamente di basso livello e riesce a installare mille porcherie…

      E anche su windows per installare un programma devi fornire i diritti di amministratore

      • ZaccariaF

        Peccato che moltissime utenze Win girino da admin.

        • ale

          Con i windows successivi ad xp non si può usare il sistema come account amministratore, e xp non dovrebbe almeno in teoria usarlo più nessuno…

          • Cristopher99

            XP gira attualmente nel 30%/40% dei PC (dei privati)

          • (⊙⊙)

            No è da due settimane arrivata la notizia che l’8.1 ha sorpassato XP diventando il secondo OS più diffuso.

          • Cristopher99

            sì, ma quelli connessi ad internet. Pensa a quelli disconnessi

          • (⊙⊙)

            Ah è vero può essere 🙂 xD

  • jimthedoors

    Intanto…te sei il primo … perché installare da repo non ufficiali non è una cosa così fuori dal mondo… o no ??? Quindi meno kazzate!!!

  • Ferik

    netactview su archlinux non segnala connessioni ai suddetti indirizzi, insomma nulla di anomalo………vorrei sapere dove si prende questo trojaX… Cara kaspersky pensa a windows che a linux non servi, non ci casca nessuno 😀

  • Fabio

    Premesso che tutti ricordiamo le altre millemila volte che i produttori di antivirus hanno annunciato al mondo intero di aver scovato un pericolosissimo malware per linux, e poi si è visto che minaccia terribile c’era, non posso non pensare ai driver nvidia installati sul mio desktop principale… che c’è lì dentro?

    • ekkekkk

      Jimmy Hoffa …

    • anonimo

      Codice scritto male a sorgente chiuso.

  • heron

    su reddit hanno sintetizzato efficacemente la cosa:
    “An omnipresent, omniscient, undetectable zero day may have infected everything ever.

    No details of any kind are available”

    In pratica più che turla è dio 🙂

  • sonia

    io dico che questi di Kas fanno del terrorismo per vendere i propri prodotti anche su linux

  • Ogni dispositivo che è in grado di connettersi alla rete non è immune da minacce. Sia Windows, che Linux, che il Mac hanno i loro problemi. I problemi di sicurezza, inoltre, non si limitano soltanto ai virus, ma a tantissimi fattori che dipendono la maggior parte delle volte dall’uso che una persona fa del computer e soprattutto come lo usa. Quindi, non c’è da stupirsi, che hanno scoperto un “nuovo” Trojan su Gnu/Linux

    • Sim One

      Si ma non dicono come si diffonde. Cioè, se una roba io non la voglio installare, non la installo. Oppure sfrutta falle e bug del sistema per scalare i “poteri” di root? Arriva da pacchetti corrotti? E dove sono?
      Troppo vago. Non lo contesto ma troppo vago.

      • Alessandro Di Stefano

        Il nome generico della minaccia ti aiuta a capire il sistema di diffusione stesso. TROJAN viene da “cavallo di troia”, se hai studiato un minimo di storia capirai da solo come si diffonde.

        I trojan sfruttano la parte più debole di un sistema, ovvero l’ operatore (o utente) che lo usa, sfrutta la loro ignoranza (e su questo blog abbonda) per ingannare l’ utente.

        Quindi ogni volta si parla di trojan vuol dire che è stato l utente stesso, più o meno consapevolmente, ad installarlo.

        La sicurezza di un sistema non è un prodotto che si compra ma un processo che coinvolge anche chi il pc lo usa, i trojan si basano sull utente per questo sono mutlpiattaforma. Ogni minaccia ha un nome per un motivo, cercate di imparare almeno perché si chiamano in un modo piuttosto che in un altro..

  • Brau

    Ma non è che son proprio quelli di Kaspersky ad aver compilato il malware e ad averlo diffuso, tanto per crearsi un po’ di mercato pure per Linux? XD

    • di1188

      Poco importa chi l’ha sviluppato… il problema è che è stato possibile farlo 😉

    • anonimo

      Agli inizi, le case di antivirus creavano i virus per vendere il prodotto, poi la situazione gli è sfuggita di mano ed oggi il 50% dei virus non è più riconosciuta.

  • Sim One

    Strano non ci sia il commento di quel ragazzo che fa propaganda per MS a tutto spiano.
    Questo era un topic che poteva cavalcare.

    • ZaccariaF

      Già è un po’ che manca…chissà che fine à fatto.

      • XfceEvangelist

        Sta studiando, domani ha l’esame sulla manipolazione del registry

    • Miluver

      Non avrebbe senso. Qua son problemi nostri. Non c’è nessuna verità da difendere come accade invece in altre discussioni dove se ne sparano di tutti i colori a prescindere. Quindi ci credo che interviene in quei casi, quando la goccia trabocca dal vaso.

  • liuk

    l’unica cosa che mi manca su linux rispetto a windows è un firewall per controllare ed eventualmente bloccare le connessioni in uscita…. esiste? non mi pare.

    • kerberos

      sudo apt-get install gufw ufw
      sudo ufw enable
      sudo shutdown -r now

      • liuk

        si ma non avverte quando una connessione tenta di connettersi in uscita, bisogna impostare la regola. sbaglio?

    • gabriele tesio

      al contrario, esistono, kerberos qua sotto ha precisato come si fa ad installarne uno, sulla wiki di ubuntu puoi trovare maggiorni informazioni: http://wiki.ubuntu-it.org/Sicurezza/Firewall

    • Simone Picciau

      il firewall è integrato nel kernel, poi esistono diversi frontend grafici e non, ufw su ubuntu, firewalld su fedora, ecc. Comunque stavi trollando eh

      • liuk

        trollando? tu stai in fissa figliolo, fatti vedere da uno bravo. e comunque non hai risposto nemmeno tu, dall’alto del tuo sapere. grazie invece a Kim Allamandola, intendevo un firewall che opera al livello di applicazione. tutto qui. non trollo nessuno.

        • Simone Picciau

          Hai posto male la domanda

    • Kim Allamandola

      Quel che tu cerchi è un firewall livello 7, non c’entrano le connessioni in uscita, i firewall in tutti gli unix sono L3 e inferiori poiché *non ha senso* operare al livello applicazione: se un’applicazione non è fidata non si usa.

      • Sim One

        Ecco. Lui è uno di quelli che conferma il mio 0.

      • noespo

        Se intendi i livelli del modello OSI on ha senso ciò che hai scritto in relazione alla domanda fatta dall’utente che voleva semplicemente un popup che lo avisasse quando un programma viene bloccato. Oltretutto i firewall operano anche a livelli più alti del 3 ad es tcp e udp operano a livello 4 ad es.

        • Kim Allamandola

          Nessun programma viene bloccato da nessun fw in ambito *nix, i fw bloccano le connessioni non i software. Bloccare un programma è livello 7…

          • Va beh

            I fw buoni infatti agiscono bloccando solo la connessione, mai il programma anche su Windows.

          • Kim Allamandola

            Non ci sian capiti, non intendo per bloccare il programma “piantarlo” intendo bloccare le connessioni selettivamente in base a chi le genera. I fw in ambiente *nix si occupano *solo* di connessioni, sanno assai che l’abbia aperte Firefox o Emacs o Nautilus ed è questo che un fw deve fare. L’approccio Windows-iano è semplicemente sbagliato per design, è una soluzione ad un problema strutturale dell’OS che è proprio solo di Microsoft.

          • noespo

            None… l’application layer non riguarda i programmi eseguibili, ma i protocolli a livello applicativo che gli eseguibili usano. Poi se vuoi insistere solo per avere l’ultima parola io ti dico che per me un firewall con il comportamento di cui si parlava prima puoi chiamarlo level 7, ma pure in modo diverso se ti aggrada anche se prendendo come riferimento l’osi non è corretto ho capito cosa intendi, purtroppo con quelli come te bisogna fare così e non voglio alimentare polemiche su queste cose. La storia che non ha senso su linux un approccio di quel tipo te l’ho già spiegata sopra, se viene sfruttato un exploit può fare danni, spesso i bug prima di essere scoperti e fixati sono presenti anni nei software. Poi che l’approccio basato sui repo, se implementato bene, sia più sicuro rispetto a scaricare software spesso infarcito di spyware, scaricato cissà dove, è un altro discorso, adesso anche in windows voglionno introdurre un sistema simil repository. Ma tanto so che anche questa volta farai orecchie da mercante e sarà solo una perdita di tempo ciò che ti sto scrivendo… Mi sembri capace solo a rispondere con delle banalità senza significato alcuno sulla discussione… Esiste douaneapp che fa qualcosa di simile a ciò che chiedeva l’utente anche se non è completo, oltretutto la gestione dei processi è completamente diversa fra windows e unix like, forse apparmor o selinux sono molto configurabili, no li conosco sufficientemente, avrebbero però bisogno di un interfaccia semplificata per essere usati sui client desktop da tutti. Se conosci qualcosa che permette di fare ciò in modo semplificato (l’utente suggeriva unn popup) puoi dirlo così dai un tuo contributo utile senza divagare sulla presunta inutilità di certi approcci…

          • Kim Allamandola

            Poiché la OSI 7 livelli ha, non 8, 9 o 50 un fw che filtra a livello applicativo si chiama convenzionalmente di livello 7, puoi googlare l7 firewall e scoprire un bel po’ di prodotti commerciali che fanno quel che chiedeva l’OP.

            Non faccio orecchie da mercante all’Windows store: su GNU/Linux i repo sono dei primi anni ’90, siamo nel 2014 e lo store di Windows ancora deve essere concretamente adottato, secondo te c’è altro da dire? Ah dimenticavo han fatto coi soliti 20 anni di ritardo e la complessità-per-creare-lockin anche powershell, provala e confrontala chessò con Ansible poi dimmi qual’è il tuo giudizio…

            Su GNU/Linux non sono *mai* stati pubblicati exploit prima che venisse stra-distribuita una patch, e ogni *potenziale* vulnerabilità viene patchata *ben prima* che qualcuno dimostri come sfruttarla. Il codice open scritto da gente coi più vari interessi, revisionato da gente coi più vari interessi fa si che sia *molto* difficile inserire codice malevolo e tenercelo per anche un solo secondo: il mondo open non è il mondo Microsoft qui la memoria è molto lunga e prima di fidarsi di qualcuno questi deve mostrare ciò che sa fare alla community.

            In ultimo: vuoi implementare una notifica popup per ogni connessione in uscita? Ok, logga con iptables tutto il traffico in uscita, monitora i log con uno script che generi un evento upstart per ogni connessione loggata, via inotify puoi visualizzare l’evento sul desktop. Utilità? ZERO, peso computazionale SIGNIFICATIVO. Ma qui parliamo di opensource, quindi puoi fare anche questo. Su SELinux ed AppArmour mi sa che non le conosci proprio: SELinux filtra le syscall, non le connessioni AppArmour permette/nega l’accesso a risorse sul filesystem, il loro scopo è ben diverso e l’utente non ha bisogno di alcuna interfaccia per gestirle, non sono soluzioni per l’utente sono soluzioni per gli sviluppatori delle distro e i sistemisti.

            Tu continui a pensare rapportandoti a Windows, si vede lontano un miglio, ma il mondo non è Windows e le sue peculiarità sono soltanto sue. Su GNU/Linux l'”workflow” è COMPLETAMENTE diverso, certe cose non esistono né han motivo di esistere, documentati per fartene una ragione, non pretendere a priori che la conoscenza di un ecosistema molto diverso da tutti gli altri sia generalmente valida.

          • noespo

            Selinux e apparmor ho già detto di non conoscerle, se mi parli di selinux, mi risulta che uni dei punti di forza di unix è che ogni processo per dialogare con una periferica deve fare una syscall al kernel, su apparmor mi pare per googlando ad es. http://wiki.apparmor.net/index.php/ProfileLanguage#Network_rules, che non siano soluzioni per l’utente principiante l’ho già scritto, ma attraverso un interfaccia semplificata forse potrebbero essere usate nelle loro funzioni base. Che non siano state studiate per le finestrelle mi può anche stare bene. Sull’approccio finestrella che compare non serve a molto nemmeno su windows perchè l’utente spesso permette a qualsiasi programma di collegarsi in uscita alla rete e avere notifiche per ogni indirizzo ip e porta a cui un programma tenta di collegarsi è impensabile, però avere la possibilità di filtrare au alcuni applicativi l’indirizzo ip a cui si collegano e la porta può essere utile, ma sono casi specifici. La tua idea che qualunque firewall sopra il livello 4 non serva non la trovo giusta, dire che è un approccio sbagliato anche non è corretto è un approccio che in alcuni casi può rivelarsi utile. Se installi software da fonti non fidate non c’è OS che tenga e windows non è rimasto fermo al dos.

          • ZaccariaF

            Cerco di sintetizzare siccome di pippotti ne abbiamo visti abbastanza ;-).
            Davvero un fw livello 7 su Linux è inutile.
            es. SELinux aka NSAkernel blocca le syscall,ma perché lo fa è pesante per il sistema;ma rende ogni fw o altra protezione “pleonastica”, siccome perfino un firmware maligno(il futuro dei malware data la produzione in Cina e la maggiore capienza delle memorie dove sono ospitati)di una scheda di rete non potrebbe far accedere un applicativo anche ,esso modificato e maligno, alla rete.
            Oppure AppArmor, definisci dati sensibili e dici che solo certi programmi fidati ci possono accedere è già sufficente.
            Come vedi se si è paranoici, non si usa un programmino che fa da watchdog del TCP/IP lo si fa fare direttamente al kernel.
            Invece se devi solo bloccare delle connessioni e porte allora usi un classico fw ma parli in generale e spesso in campo *NIX si guarda all’ interno dell LAN.

            Molti passano a Linux pensando che gli servano lo stesso tipo di programmi che usavano su Win;ma spesso non sono,oltre che già inclusi,nemmeno necessari.
            Kim a volte è verboso e maestrino, ma à ragione.

          • noespo

            Apppunto selinux e apparmor li ho tirati fuori io, se dici che il FW sulle applicazioni in linux non serve, non puoi pensare che sia dovuto ad una superiorità dell’architettura dell’OS, ma devi spiegare gli approcci alternativi usati per determinate situazioni. 😀 Cmq il tuo commento penso possa mettere abbastanza in conciliazione le visioni alternative sulla questione che prima abbiamo esposto….

          • Sicuro?

            In un “verbose” *NIX non ho mai trovato la parola windows. Eppure nei suoi log di kim ne trovo almeno 100 per ogni articolo che commenta. Boh

          • ZaccariaF

            LOL.

      • liuk

        grazie

        • noespo

          Ma guarda che il layer 7 non c’entra nulla con le notifiche, anche un firewall che opera a livelli più bassi della pila potrebbe implementare un sistema di notifiche… Il livello a cui opera il firewall ti può solo fornire solo indicazioni sui protocolli che è in grado di filtrare…

          • Kim Allamandola

            Un fw l7 può essere usato per bloccare le connessioni che apre una specifica applicazione, un l3 può bloccare solo a livello di porte/protocolli/indirizzi per tutte le applicazioni indistintamente.

            Su Windows per la natura dell’OS e del modo in cui il sw viene distribuito (assenza di repo ufficiali, impossibilità per “la distro” di controllare ciò che terzi sviluppano prima di distribuirlo ecc) si sono sviluppati firewall che si preoccupano sopratutto di “confinare” singole applicazioni “potenzialmente non fidate” ad esempio impedendo a $PippoAppSuperfiga di aprire connessioni verso l’esterno mentre tutto è permesso ad $altraAppFidata e $altraAncora, in ambito *nix poiché storicamente il software si distribuisce tramite repository centrali direttamente controllati da terzi che con gli sviluppatori del singolo software non han nulla a che spartire ed in genere, anche per prodotti commerciali e proprietari il sorgente è abbastanza fidato questa necessità che ha un peso computazionale notevole ed è potenzialmente pericolosa in caso di *sue* vulnerabilità non è mai stata presa in considerazione.

          • noespo

            Non hai molto presente cosa sono i livelli OSI, prendendo come esempio lo stack tcp/ip per sintetizzare molto livello 3 indirizzi IP, livello 4 TCP UDP e relative porte, livelli più alti protocolli applicativi. Molte volte i firewall di windows fanno decidere da interfaccia grafica che protocollo bloccare, ma poi agiscono a livello 4. Ad es. blocchi l’HTTP (livello 7) dall’interfaccia grafica, ma in realta il firewall blocca la porta tcp 80 in uscita. Non è assolutamente vero che la maggior parte dei firewall su windows opera a livello applicativo, oltretutto filtrare il traffico è utile anche perchè le applicazioni “fidate” dei repository non sono esenti da esenti da bug che attraverso exploit possono essere sfruttati da malintenzionati, ad es. anche solo in questo caso potrebbe essere utile un sistema di notifiche tramite popup sul traffico in uscita che può essere implementato benissimo a qualunque livelo agisca il firewall, ma mi sembra di capire che al momento manca.

          • Kim Allamandola

            Non conosco granché Windows ma poiché sento parlare di tanto in tanto di “popup” che invitano a bloccare o permettere *una singola applicazione* non possono che essere al livello 7, ai livelli inferiori non puoi bloccare connessioni aperte da uno specifico applicativo ma non da altri.

            Altra cosa, che invece conosco bene, quali applicazioni hai su un desktop che ascoltano aperte al mondo? Quali applicazioni attaccabili generano traffico che puoi monitorare con popup a caso? Sui server non ci sono interfacce grafiche ne admin che guardano noiosi popup che appaiono sul desktop. Quel che descrivi è il mondo desktop Windows che in ambito *nix è giustamente deriso. Mancano fw l7 perché non hanno senso come ho scritto sopra.

          • ZaccariaF

            Beh Android, più o meno, funziona cosi…controlla la singola applicazione coi suoi permessi ma hai ragione si è sempre dimostrato un sistema debole.
            SecurityEnhanced Android torna a un controllo a livello di porte e utenti. La filosofia UNIX à vinto ancora?

          • Kim Allamandola

            Non proprio; Android funziona al contrario se vuoi girare su Android devi usare il suo framework e questo prevede “il controllo” ovvero è l’applicazione che deve essere nativamente scritta ad un certo modo, SELinux e AppArmour sono sw terzo che non richiede modifiche al codice delle applicazioni gestite.

            Sulla filosofia unix… Quel che temo è che non sia più conosciuta, se leggi la maggior parte dei commenti e delle reazioni agli articoli che di tanto in tanto parlano di “trojan&c” per GNU/Linux c’è da credere che i pochi ancora edotti del mondo *nix siano oramai in un angolo…

          • Ma parlate di Android?

            L’os unix più hackerato che esista?
            Quel che scarichi con Android da Market di terze parti (ma anche da quello principale) dopo aver fatto pure il root non sta di certo a seguire certe regolucce. Un vaso più è grande e più velocemente avrà perdite di aqua per via del suo volume.

          • Kim Allamandola

            Ehi calma, io parlavo di distro desktop, Android è stato tirato in ballo solo per il discorso “permessi” vs AppArmour/SELinux 🙂

            Ps se qualcuno si installa market di terze parti ha già fatto una scelta, qui più che altro c’è gente che ha paura di “essere trojanizzabile/ata” sul proprio desktop come se Ubuntu e Windows fossero la stessa cosa…

          • Tranquillo

            🙂

          • ZaccariaF

            Un vaso più è grande e più velocemente avrà perdite di aqua per via del suo volume.

            Duh! Ma non per il motivo che pensi tu e questo non è un blog di idraulica…
            Da quel che hai scritto o trolli oppure non conosci Android.
            Il root non cambia nulla nel livello di sicurezza del terminale, semplicemente perché come si scriveva prima il droide dà i permessi alle singole app, attraverso ART.
            Quindi nessuna app à davvero permessi di root ma solo il framework, quindi non rootkitta o troja nulla, di solito il codice malevolo può al massimo rubare dati di altre app o dalle varie sdcard,
            Ti sei mai chiesto perché non esiste ancora un rootkit per Android che ti ruba i soldi dall’ account attraverso il PlayStore?

          • Non parliamo pià di_

            Il discorso era stato già chiuso. Non riaprirne altri che non c’entrano una mazza.

          • ZaccariaF

            Beh sai cominciano ad avere i loro annetti 😉
            Io devo viverla perché lavoro nel campo dove Linux nelle sue variente più slim e POSIX ha “solo” il 100% di market share.

          • Kim Allamandola

            Non ci sono solo i coevi di Pike, Hall &c, ancora di “giovani” siamo un certo numero, forse come diceva qualcuno “qui manca l’ufficio marketing”… 🙁

          • ZaccariaF

            Mi spiace ma un Jobs, non risolve i problemi al massimo li crea.
            Mi spiego:Il problema dei “Veterani” e il voler far rimanere Linux come era ed è Slackware;certo ci puoi fare di tutto e di più ma alla fine non rimane un sistema per tecnici,addirittura troppo, per modo di dire ,efficiente costringedo il newbie a pensare in modo controintuitivo.
            Un “ufficio marketing” costringerebbe i “veterani” a scontrarsi su quale,dei tanti, passati davvero vogliano mantenere e cercherebbe di farli scendere a compromessi, e se vuoi usare LILO nel 2014,non ci scendi.
            In definitiva anche nel mio campo si hanno ormai device con protezione della memoria e GC(pensa al Python per microcontrollori O.o);non bisogna combattere l’ innovazione, ma al massimo integrarla con il vecchio per migliorarlo, meno Devuan e più stile Gentoo come avevo già detto.

          • noespo

            L’application layer non riguarda direttamente le applicazioni (firefox.exe ad es), ma i protocolli che le applicazioni usano (HTTP, http://FTP...), quindi se filtri traffico su una specifica applicazione il layer 7 non c’entra necessariamente (es. firefox.exe porta 80), il sistema operativo sicuramente gestirà l’associazione applicazione ed utilizzo della porta e metterà a disposizione delle api.
            Lato server ovviamente anche in Windows Server se ne fanno poco del popup del firewall, ma che c’entra l’utente non chiedeva quello se gli hai dato una risposta prendendo come riferimento l’ambito server hai sbagliato.

          • Kim Allamandola

            Ah certo e chi associa Firefox alla porta 80 non lo fa al livello 7 vero? Per favore…

            L’OP si lamentava che gli manca un fw l7, gli ho risposto che non gli manca: non gli serve poiché è sbagliato come principio e ho spiegato il perché.

            Il discorso server l’ho tirato in ballo per quel che hai scritto tu: “filtrare il traffico è utile anche perchè le applicazioni “fidate” dei repository non sono esenti da esenti da bug […] anche solo in questo caso potrebbe essere utile un sistema di notifiche tramite popup sul traffico in uscita che può essere implementato benissimo a qualunque livelo agisca il firewall” che sarà magari scritto di corsa è che ho cercato di “interpretarlo” per non risponderti brutalmente che hai scritto un mare di ***te: se un’applicazione ha delle vulnerabilità ti serve prima di tutto non usarla, in secondo luogo tappare semmai l’accesso all’applicazione, non certo l’uscita e tutto questo per ben poco tempo poiché in ambito open i bug si tappano non si aspetta godot. “un sistema di notifiche” delle connessioni in uscita è semplicemente un desiderio infantile dell’windowsiano che non si rende conto di com’è fatto un sistema operativo.

            I fw hanno i loro log e i loro sistemi di monitoraggio, li ha iptables, li ha pf ecc e nessuno si sogna di farci le notifiche popup. Il mondo *nix non è quello di chi guarda le blinkenlichten è (o almeno era sino a poco tempo fa) di che le blinkenlichten le ha inventate e le usa per togliersi dai piedi gli utonti. Ci si potrebbe far un romanzo più che un post ma il succo è questo.

          • noespo

            Ma ti pare che perdo tempo a leggere con attenzione tutte le stramberie che hai scritto, basta la prima frase per capire che non hai idea di cosa parli, una cosa è bloccare una porta di un processo (eseguibile), un altra è invece analizzare il traffico a livello 7 (http://en.wikipedia.org/wiki/Application_layer), ma siccome si un bambino e vuoi avere l’ultima parola e ti arrabbi invece di documentarti quando qualcosa non la conosci, ti lascio perdere tempo a scrivere ciò che ti pare..A tirare in ballo i server ed a scrivere che se un applicazione ha delle vulnerabilità non va usata (ma se queste vulnerabilità non sono note), che per quel poco tempo che ci sono i bug non serve filtrare il traffico perchè la soluzione è correggere i bug (il problema è che dopo la scoperta il bug può venire corretto in poco tempo ma era magari presente da anni)…ahah.. si vede che non vuoi proprio capire… bye bye.. rimani pure da solo a parlare di ciò che ti pare… ahahah

          • Non Concordo

            A livello computazionale non consuma una cippa questo genere di fw se hai scelto bene.

          • Kim Allamandola

            Nooo, certo, è un compito leggerissimo e velocissimo 😛

            Ps
            non puoi scegliere bene qualcosa che è sbagliato per design. È come quelli che predicano di migliorare anziché cambiare: puoi migliorare sinché vuoi una cosa disegnata male, sarà sempre mal fatta.

          • Concordo

            E va beh quello si fa per vendere e non per funzionare: prassi comune non legata all’OS. Comunque chi sceglie bene, sa cosa prende e di solito è tutto in background.

          • Kim Allamandola

            Che vuol dire? Un processo che mi filtra ogni connessione che sia in background o foreground consuma non poche risorse e anche se ne avessi extra mi farebbe comunque perdere ms per ogni connessione.

            Chi sceglie bene non fa certe scelte, il sw nel mondo open non è un prodotto da scaffale come altrove e non si vendono groviere e tappi, si fan le cose come si deve di base.

          • Magari.

          • Kim Allamandola

            Prova a elaborare…

          • Pensi in piccolo

            Prova ad elaborare anche tu che scrivi solo di unix come un prodotto (open) destinato a pochi. Mentre io come tanti altri pensiamo in modo futuristico/espansivo dell’open e quindi anche dei software monnezza che arriveranno di conseguenza. Inevitabile.

          • Kim Allamandola

            Scusa tanto ma l’utonto medio e l’windowsiano medio pensano in modo fantastico ma non certo espansivo o evolutivo. E la forma di pensiero che alcuni han esposto qui porta l’innascondibile marchio di Windows.

            Élite? Un tempo per guidare la macchina dovevi provare di saperlo fare, per fare l’idraulico come il direttore di banca idem. Voler azzerare la necessità di conoscere è anti-élite? A mio avviso proprio no, è solo un sogno infantile che può giusto partorire un bambino che ancora non sa nulla del mondo intorno a sé. Unix e GNU/Linux in particolare non sono elitari: sono pensati sin nel DNA, dalla community ad ogni interfaccia ad ogni riga di codice per favorire l’apprendimento, per essere semplici, leggeri, gestibili ed evolvibili secondo la logica KIS o se preferisci il rasoio di Occam. Questo non vuol dire che il clicchettatore folle abbia il diritto di pretendere di eleggersi sistemista, questo vuol dire che l’utente totalmente ignorante può diventare edotto semplicemente, per gradi, con tutta la calma che gli serve senza particolari frustrazioni. Questa è l’antitesi dell’élitarismo. Il lock-in di Microsoft, di Apple, di Cisco, il rendere i prodotti oscenamente complessi per renderti difficile capire come realmente funzionano le cose riducendo la facilità di passare ad un concorrente è elitarismo, darti delle ui precotte che ti fan credere di girare il mondo con le stanghe quando in realtà non sai un tubo è elitarimo (garantisce che mai ti solleverai dal tuo status presente).

            Scrivo tutto questo nella speranza che qualcuno dei migranti capisca e ricominci a leggersi le massime semiserie dell’Unix Guru e magari comprenderne il loro tutt’altro che stupido significato. Altri han già perso la speranza.

          • ZaccariaF

            Potevi riassumere dicendo che “Ti spiego” è meglio di “Ghe pensi mi”.

          • Pensi in una tana allora

            Contro di te non ho niente.
            Ma tuo discorso ha il sapore amaro di antichi rimorsi o di qualche estremismo malato. Mettiti il cuore in pace almeno o curati dovrei dire.
            Non meriteresti risposta alcuna sinceramente.

            Utonti_xxx? Win_xxx_quello_che_vuoi? chi sono? Ancora prendere in giro gli altri, creando caste sociali pure nell’informatica, porta così tanta soddisfazione? Ti scende la bava sai? Ma basta! Calma. Sempre il solito discorso: togliere la pagliuzza nell’occhio del prossimo, quando si ha una trave nel proprio. Sono tutti preconcetti superati quelli di cui parli.

            I motivi per cui tu confondi la semplicità con (l’apparente) complessità dei sistemi sono ben altri: è il tuo essere legato al vecchio nella speranza che non muoia mai. Ma ben venga, nessuno ha voglia di seppellire i concetti che sono alla base di tutto quello con cui viviamo oggi.
            Mi fermo qui e non entro più in merito di nessun altro discorso nei meandri dei tuoi labirinti che sono complessi invece e non te ne sei accorto.

          • Kim Allamandola

            Mi ricordo di un direttore di banca che disse a un suo collega che certi modi di lavorare sono sono più attuali: la banca fallì qualche anno dopo per disastri sui derivati….

            Sull’essere legato al vecchio: sono uno dei pochi d’operation che *vuole* l’aggiornamento continuo, che automatizza il mondo come si deve, che ha abbracciato alcune buzzword relativamente recenti con convinzione, che non sputa sull’ITIL ma su coloro che la implementano ecc. Piuttosto tu spiegami perché il modus operandi *nix sarebbe vecchio e quello Windows sarebbe nuovo.

            Ad ogni modo ti rispondo con una famosa frase, questa si vecchia, del guru unix sulla pipe, (ri)leggila forse ti illuminerà. Le caste purtroppo ci sono e si fa di tutto per aumentarle in ambito Windows e non solo e proprio coi prodotti che tu pensi siano fatti per “le masse”.

          • Sim One

            Si ma basta co ‘sto marchio di windows. Dopo si dimostra vero che facciamo la guerra di religione. Se penso come l’utente windows medio o come l’ubuntiano medio, penserò come questi qui. Chi se ne frega.

            Fatto sta che non sposta il problema perché l’utenza desktop linux che è l’1% di quella mondiale è composta all’ 80% da gente normale e media, ex windowsiani o ubuntuani come me e per l’20% da specialisti come te.
            Quindi anzi, il problema si amplifica.
            Detto questo capisco il tuo punto di vista ma non lo condivido. Parti dal fatto che chi usa linux deve essere uno che già sa tutto altrimenti è meglio che usi altro.
            Scusa ma abbasso il tuo intervento non ad una analisi oggettiva della situazione ma ad un semplice punto di vista personale.

          • Pazienza

            Quel che è strano è che (s)parla e riparla così tanto di caste, di windows e di complicazioni che alla fine riesce nell’intento di mettere in bocca parole mai pronunciate dall’interlocutore di turno. Specialista? no
            ha un loop sull’assert(casta *nix > (alle altre == nulla)) dal quale non esce

          • (⊙⊙)

            Cisco complesso? Cosa c’entra? è un tuo parere o per sentito dire? Molti lo considerano una roccia fatta all’antica (la più antica) dove tutte le configurazioni sono testuali da linea di comando. Prendi poi non so esempio SonicWall che è l’esatto opposto che fa guerra agli apparati Cisco con la carta della semplicità via GUI e via web. Bah

      • Tu scherzi

        Non è vero: controllare le connessioni di applicazioni closed (quando non se ne può fare a meno) su Linux serve e come invece!

        • Kim Allamandola

          quando non hai scelta non hai scelta, ad ogni modo non ti serve un firewall l7 per controllare, ti basta lsof.

  • Jacopo Ben Quatrini

    come si ricercano le connessioni verso quell’indirizzo IP con nethogs ?

    • Sim One

      non era “sudo nethogs eth0” se usi la rete cablata e wlan0 se usi la wireless?

      • Jacopo Ben Quatrini

        ah ok , basta solo quel comando ? Pensavo ci fossero comandi più specifici XD

  • kenshiro

    Certe notizie mi lasciano indifferente, finchè saranno i produttori di antivirus a segnalare i presunti pericoli anzichè gli utenti che ne fanno uso, posso fare sogni tranquilli.
    Certe notizie sono propagandistiche e servono solo a proporre il loro prodotto, ma con linux sono cascati male, anche se in ambito software lascia a desiderare, sul lato sicurezza non si discute.

  • Kim Allamandola

    Una sola parola: mostrate tecnica e codice, altrimenti sono solo parole.

    Su GNU/Linux non c’è *solo* un sistema pensato per essere sicuro a sé stante ma c’è un *ecosistema* che va dal codice alla distribuzione del software, questo brucia parecchio a chi vive sugli antivirus…

    Applicazioni malevole si possono scrivere per ogni OS, riuscire a installarle ed eseguirle è un’altra storia.

  • marco

    Credo che un bel

    netstat -tep

    non ce lo toglie nessuno, invece che stare a installare software non necessario (nethogs)

    • Kim Allamandola

      Credo che *sapere* che cosa si ha installato sia ancora più semplice.

      Del resto ti prendi il disturbo di sviluppare un’applicazione per rubare dati con obiettivi di alto livello e hai solo un indirizzo ip/un nome a dominio per gestirla?

      Una cosa del genere potrebbe pensarla al massimo lo sbarbatello che vuole spiare il vicino di casa. Questi annunci per me sono solo FUD, adatto al target di utenza di Windows ma estraneo sia al mondo *nix.

      • gambadilegno

        quand’è che potremo avere dei pc o dispositivi portatili COMPLETAMENTE open-source sia lato software che lato hardware? anche su gnu-linux la situazione incomincia a farsi spinosa..

        • ZaccariaF

          Quando gli stati smetteranno di imporre backdoor di stato e i produttori rinunceranno a fare i miliardi

    • Ocelot

      Il trojan è invisibile a netstat, damn.

  • lolloruns

    scusate la domanda, ma non ho capito bene come funziona il virus.
    non è possibile evitare che il trojan spedisca messaggi applicando le giuste policy di SElinux o apparmor?
    (per favore non fate spam sull’NSA solo perchè ho nominato SElinux)

    • Kim Allamandola

      Certo, è possibile, quanto inutile: se tu sai che hai un’applicazione installata che oltre a fare quel che dichiara fa anche altro vuoi tenerla installata?

      Altra cosa da dove l’hai presa codesta applicazione? Perché se viene da un repo o anche da un PPA la segnali e sparisce in tempo zero (con relative indagini a tema)… Tieni sempre presente che su GNU/Linux il software non si auto-esegue/auto-installa, questo supposto trojan (e ho dubbi seri che esista per com’è stato descritto) per essere sul tuo sistema deve essere da te installato manualmente.

      Qui non siamo nel mondo Windows eh!

      • Come no?

        Quando ti chiede la password di root facendoti credere di fare altro, ci riesce e come a penetrare. Noi no, ma molti user superficiali non sapendo che fare la darebbero senza pensarci. È stato dimostrato in diverse ricerche che è fattibilissimo. Manca solo la diffusione di Linux e vedrai che anche l’interesse di chi li fa aumenterà.

        • Kim Allamandola

          Certo, *chi* ti chiede la password di root? Un archivio makeself che hai scaricato da un sito ignoto _e_ gli hai dato permessi di esecuzione/l’hai eseguito da un terminale? Un deb/rpm/* scaricato da chissàdove?

          I niubbi installano dal “sw-center”, il resto del mondo da CLI quel che non viene dai repo è ben poca cosa e in genere è scelta con assoluta cura, applicazioni che conosci ed usi da tempo e vuoi impacchettare te ecc, non cose da niubbi.

          Ora ho imparato che la stupidità umana non ha limiti ma francamente non vedo perché preoccuparsi di certi utenti se ci sono, la cosa resta confinata a loro e non esce da casa.

          • Come no?

            No chi ti ha perforato il server!

          • Kim Allamandola

            Puoi provare a spiegarti? Se qualcuno ha già avuto accesso ad un server credi che usi un “trojan” tanto stupido da connettersi ad uno specifico singolo ip/nome a dominio? E se anche fosse il problema sarebbe questo “trojan” anziché capire come ha fatto a bucarmi?

            Ripeto queste news sono FUD che contagia gli utenti Microsoft non sono notizie e non fan parte del mondo *nix.

            Ps per me anche le LAN sono da considerare zero-trust e credimi, se ti fermi a pensare prima di implementare qualcosa scopri che non costa affatto caro, anzi.

          • Come no?

            Intendevo dire che sostituire ciò che credi di scaricare e fartelo credere come pulito è un gioco da ragazzi per chi ha voglia di farlo. Ergo, l’utente ignaro continuerà ad essere tranquillo come un pesce con i suoi deb… Basta con sti discorsi unilaterali con os che sono stati vittima per primi.

          • Kim Allamandola

            Oh yes, mi sostituiresti un mirror di Ubuntu con tanto di firme e hash dei pacchetti senza che me ne accorga?

            L’utente ignaro i suoi deb non li scarica da tuttogratis&c come avviene su Windows li scarica da repo vari tramite apt e i suoi front-end. L’unico discorso unilaterale è quello degli windowsiani che non comprendono come il software in altri ambiti sia distribuito in altro modo.

            In ambito opensource non si scarica software da siti vari e non lo si installa a mano.

          • Come no?

            La tua teoria è interessante: riscrivere anche firme e hash non è possibile. Ti illudi caro. Sarebbero così stupidi da non farlo? Inoltre sai quante volte la convalida hash fallisce e l’utente continua comunque perché non sa cos’è?
            Ripeto: non prenderti beffa di quel che non conosci.

          • Kim Allamandola

            Oh certo, tutto è possibile, in un universo infinito qualsiasi evento è possibile. Son quasi 20 anni che sono nel mondo open e ti garantisco che lo conosco abbastanza per classificare certi discorsi come “windowsiani”, è un marchio e una droga da cui è dura liberarsi.

            Non mi faccio beffe di te, mi cascan le braccia a leggere certe cose che denotano da un lato l’emigrazione da altri lidi (positiva) di tantissima gente ma dall’altro denotano anche quanto questa emigrazione sia una fonte di problemi.

            Ps
            Alle volte gli hash di qualche pacchetto non sono corretti perché un mirror non si è aggiornato correttamente (qualche != tutti) e non si verifica mai che una firma (non hash, firma gpg) non corrisponda se non è successo qualcosa di VERAMENTE strano. Ad ogni modo visto che ritieni così facile sostituire un repo perché non ci provi? Se vuoi un consiglio inizia provando a farti un mirror e poi avvelenando il DNS (ocio che non hai ancora accesso alla macchina target, il dns non puoi cambiarlo dal suo resolv.conf&c eh!) quando ci riesci in lan prova a pensare come farlo su internet.

          • Come no?

            Questo spiega tutto. 20 anni di letargo sono molti. Quella dell’approccio server è solo una delle tante possibilità che non sono per nulla discorsi da “windowsiani” di cui io non faccio parte. L’instradamento con la manipolazione dei dns che hai citato tu, è un altro esempio sì. Una delle mille possibilità poco conosciute.

          • Kim Allamandola

            Certo, allora visto che è così semplice perché non provi a farlo?

            Hint: perché non è affatto semplice in LAN, non ne parliamo su internet.

      • lolloruns

        l’idea era questa: installo un pacchetto che contiene questa fantomatica backdoor a mia insaputa.
        Non sono uno che installa ad minchiam, ma si sa, qualcosa può sempre sfuggire anche a chi controlla nei repo ufficiali.
        In questo modo posso “prevenire” rendendola inefficace.

        • Kim Allamandola

          Non puoi poiché una policy è legata ad un pacchetto, se ti prendi la briga di scriverla per ogni pacchetto fai molto prima a controllare chi impacchetta.

          Un deb in un repo non è visto da un solo bipede e non viene in genere fatto da codice o binari presi da ignoti, è questa la prevenzione. La “prevenzione” che descrivi si chiama paura, è tipica di Windows ed è una delle più sfruttate vulnerabilità che ci siano. Porta a sviluppare mostri come anti-* che sono spesso loro stessi trojan o comunque groviere e non aumenta di un grammo la tua sicurezza.

        • Ocelot

          Tu non hai bisogno di prevenire proprio nulla. I target di Turla sono stati o enti governativi. Ne io ne tu siamo così importanti da fare un trojan così complesso.

  • gambadilegno

    turla sa di burla :3

  • Samael

    > Kaspersky ha annunciato
    > c’è da diversi anni
    > si nasconde in alcuni software non specificati
    > backdoor invisibile ai software di network analyzing

    Ferramosca hai sbagliato sito. Questi articoli vanno su Lercio, non su LFFL.

    • Jacopo Ben Quatrini

      Nah , Lercio è per le news che non trattano di informatica 😉 per quelle che trattano di informatica c’è “Lezzo” 😛

      • Zeb91menodue

        qui di lezzi ci siete solo voi

        • mr01

          tu sei il re del lezzo

  • Ancucchi

    1. Kaspersky come antivirus secondo me è molto vulnerabile, visto che dove lavoro io su tutte le macchine Windows c’è Kaspersky gestito centralmente e spesso i colleghi navigando chissà dove prendono comunque molti virus.
    2. Da anni molte aziende che vendono antivirus cercano di sbarcare su linux per ampliare il bacino di utenza e cosa meglio di un bel “al lupo, al lupo” potrebbe generare il panico sufficiente ad acquistare un software inutile. “Al lupo, al lupo” cagionato o da false notizie o dall’apposita creazione di virus confezionati ad hoc che solo la relativa azienda sa rimuovere (vedesi la parabola del gommista del paesino che buttava chiodi per strada per aumentare la clientela).

    3. Per rispondere a molti, è vero che su macchine serie su cui si lavora si installa meno software possibile e si scarica “soltanto” gli aggiornamenti ritenuti indispensabili da repository seri e verificati, ma su macchine personali, a chi come me, da almeno un ventennio, piace sperimentare nell’informatica, accade spesso di collaudare nuovi software che ancora non stanno nei repository o, in alternativa, le cui ultime versioni (a volte unstable) non siano su canali ufficiali. Un esempio è il software SARDU di cui si è parlato da poco: non è ancora presente nei repository (forse anche perchè è Beta) e se lo vuoi lo scarichi dal suo sito…

    • Sim One

      ….cosa fa questo SARDU? Sono curioso….

      • MoMy

        Detta così semplice semplice, hai presente Unetbootin? Immaginalo multiboot.

        • Ancucchi

          Io conosco unetbootin, rufus e compagnia varia.
          Ma tu conosci Sardu???
          Purtroppo fino a ieri era solo per Windows ma da poco è stata rilasciata una beta per linux…

          • MoMy

            Ho letto qualcosa tempo fa in questo blog, ma non ho approfondito più di tanto.

        • gambadilegno

          io l’ho provato, ma le distro in formato .iso che avevo precedentemente scaricato, mi sa che non si può utilizzarle 🙁 per crearsi il proprio mutiboot!

          • MoMy

            Se non ricordo male, il software possiede una lista di distro native da poter scaricare e nell’ ipotesi di un download antecedente di una di queste distro supportate, è possibile selezionarla indicandone il percorso locale. Per esempio, nel mio disco /dati è presente Ubuntu 14.10 ed è supportata, sarà sufficiente indicarne il percorso con doppio click sulla terza colonna (?). Ora, non usandolo e provato, non posso dare indicazioni precise. Al tempo – mesetto fa – quando il blog fece un articolo su SARDU ricordo che tra i commenti c’ era lo sviluppatore (o appartenente al gruppo sviluppatori) @Davide Costa che dava consigli e tra questi anche su come selezionare una iso in locale.

          • Ancucchi

            Usavo tempo fa la versione 2.xx su Windows ed era efficacissima: avere più distro e utility su un’unica penna usb è ineguagliabile.
            Adesso a casa uso LinuxMint e la versione 3.xx ancora in beta non mi funziona bene (spesso si blocca e non porta a termine il compito affidatogli)…

    • hwktest

      Io uso YUMI, è stabile e funziona molto bene.

    • Lodewig

      Sara come dici ,, io però ho una recente brutta esperienza che mi ha deluso. Server Ubuntu 14.04 LTS 64 su Aruba. Password complesse , configurato il firewall e security base. Con l ‘ idea errata che tanto Linux non ha virus etc. lo ho lasciato li abbandonato per un po’ di mesi senza fare aggiornamenti o controlli non tenendo la guardia alzata come faccio per i server Windows . Bhe morale colpito ed affondato da dei rootkit… che hanno rimpiazzato fileutils ed altro …. errore mio ma questa storia “Linux sicuro” mi spiace ma non è cosi , devi sempre tenere la guardia alta. Specialmente sui rootkit

      • (⊙⊙)

        Tieni la testa alta anche su coloro che si professano “sapientoni” e che non lo sono affatto. In particolare coloro che criticano e basano il loro sapere su confronti fatti di paglia.

      • Fabio

        Beh, linux è sicuro ma almeno gli aggiornamenti di sicurezza… 🙂

      • meno

        ti sei già risposto. La maggior sicurezza di linux è dovuta, oltre a un’architettura di base più rigida, proprio alla tempestività nel rilascio di aggiornamenti e bugfix.
        Se li togli e becchi robaccia non puoi incolpare il sistema, poiché tu stesso l’hai azzoppato. Non è crollato per un suo difetto ma perché è venuta a mancare una componente intrinseca di sicurezza.
        Questo è vero in generale con qualsiasi software.

      • mr01

        ho vps con ubuntu da anni, non ho nemmeno cambiato cose nel firewall, e uso anche password semplici, nessuna infezione…sarà solo culo?

  • biosniper

    appena spunta un virus o presunto tale in ambiente linux tutti li a commentare, a dire la propria… insomma fa notizia, invece in ambiente windows non e’ piu’ uno scoop, anzi la vera notizia sarebbe: non esistono piu’ falle nel sistema operativo di bill gates… e questo la dice lunga sul diverso grado di affidabilita’ e sicurezza che abbiamo difronte…

    • Killthepenguin

      Ormai WIndows è molto più sicuro di Linux, questo è certo.

      • Ormai WIndows è molto più sicuro di Linux, questo è certo…

        curiosità quanti virus, malware ecc sono per Windows e quanti sono per Linux?

        windows è sicuro solo quando rimane nel cd / dvd

        • ArchTux

          Penso che comunque sarebbe utile avere un antivirus decente su linux, con scansione realtime…

      • lorenzo s.

        Hai mai preso virus con Linux? Io no
        Con windows invece sì.
        Per non parlare della deframmentazione: con Ubuntu non ho mai avuto bisogno di farla.

      • biosniper

        sicuro di beccare virus?
        😀

  • Francesca Silvana Scoppio

    Come Beckett aspettava Godot, sto aspettando il primo virus del mio amatissimo Linux…

No more articles