- Perché non serve (quasi mai) un antivirus su GNU/Linux
- Virus: un virus è un programma malevolo che usa un altro programma come veicolo di diffusione e replicazione, esattamente come fanno i virus biologici che usano le cellule per riprodursi. Un virus ha quindi bisogno di un altro programma da infettare.
- Trojan: un trojan (cavallo di Troia) è un programma che fa credere all’utente di essere utile, mascherandosi da qualcos’altro. Ad esempio alcuni trojan appaiono inizialmente come dei codec per la riproduzione di contenuti multimediali.
- Worm: un worm (verme) è un programma malevolo che può riprodursi senza bisogno di farsi veicolare da un altro programma.
- Toolkit/Rootkit: un toolkit può essere malevolo o no. Con lo stesso termine infatti si indicano sia programmi utili (come le librerie GTK) sia programmi malevoli. In questo secondo caso ci si riferisce a librerie che vanno a sostituirsi o affiancarsi a quelle di sistema o di programmi per procurare danni, nascondendosi in modo da sfuggire all’attenzione dell’utente. Quando un toolkit coinvolge il kernel del sistema operativo (ad esempio come finto driver), si parla di rootkit. Di norma l’uso di questo malware è quello di installare una backdoor (”porta sul retro”) attraverso cui l’attaccante può entrare nel sistema colpito e prelevarne i dati o addirittura prenderne il controllo.
- Wabbit: è un programma malevolo che non usa i servizi di rete o altri file o programmi per riprodursi. Un esempio è la fork bomb.
- Altri tipi di malware: altri tipi di malware si distinguono più per lo scopo che per le modalità di azione e diffusione, di solito riconducibili alle categoria precedenti. Tra questi ricordiamo gli spyware (codice spia), gli adware (pubblicità indesiderate che compaiono sul desktop) e i keylogger, programmi che registrano l’attività dell’utente soprattutto al fine di scoprire le password e i numeri di carta di credito digitati. Inoltre la diffusione di formati di file che possono contenere codice anche se non sono programmi veri e propri (ad esempio i formati documenti che possono contenere macro o le pagine web che possono contenere javascript) ha portato alla nascita di macrovirus.
Non è sufficiente che il malware entri a contatto con il sistema (ad esempio attraverso uno scambio di file, una e-mail o la visualizzazione di una pagina web), ma è necessario che entri in esecuzione. Difatti gli antivirus mettono i file infetti in “quarantena”, ossia in una cartella controllata dove non possono più agire. Quando il malware entra in contatto con il sistema deve presentarsi uno dei seguenti casi affinché esso possa entrare in esecuzione:
- una azione volontaria dell’utente mette in esecuzione il malware: questo è il caso dei trojan e di molti worm;
- il malware entra in esecuzione anche in mancanza di una azione volontaria: in tal caso è stata sfruttata una vulnerabilità.
- I permessi
- i programmi utente sono separati da quelli di amministrazione;
- I programmi utente possono agire solo sulla home di quell’utente, non sui file di amministratore né su quelli di altri utenti;
- i programmi per essere eseguiti devono avere lo speciale attributo di eseguibili.
- Essere open source
- Rafforziamo i permessi
- l’uso di chiavi di autenticazione per il software e i repository che assicurano la provenienza originale e sicura degli stessi;
- la necessità, quando si esegue un programma nella directory corrente, di anteporre il suo percorso ./ in modo tale che un programma che abbia lo stesso nome di un comando comunemente usato, non possa essere per sbaglio eseguito al posto di tale comando (questa semplice precauzione ha stroncato la diffusione di worm come ls);
- ulteriori rafforzamenti del meccanismo dei permessi come SELinux (sviluppato dalle forze armate statunitensi) e AppArmor (sviluppato da Novell e presente in Ubuntu): tali sistemi creano i cosiddetti “contesti”: ad esempio una pagina html creata nella home dell’utente, anche se trasferita nella directory di Apache /var/www non funzionerà in quanto nata in un contesto differente; un programma presente nella directory utente non verrà eseguito se trasferito in una directory di sistema come /usr/bin/.
- Unix e il malware
- la pagina di uno dei programmi più noti, apprezzati e premiati nella lotta al malware chkrootkit. Questa elenca solo una decina di malware (sia rootkit che worm) in oltre 10 anni di sviluppo del programma. Alcuni di questi sono worm ormai desueti come il citato ls, altri sono rootkit solo per alcuni sistemi Unix che quindi non coinvolgono gli altri sistemi della stessa famiglia (ad esempio un malware per Solaris non può agire su GNU/Linux o *BSD), altri ancora si riferiscono a determinate versioni del kernel di tali sistemi (infatti una volta corretta la vulnerabilità il malware è diventato innocuo). Sfogliando il changelog del programma si nota che i malware aggiunti annualmente per i sistemi Unix supportati dal programma sono dell’ordine di qualche unità;
- la pagina sui virus per Linux nella documentazione internazionale di Ubuntu, nella quale si illustrano i pochi malware conosciuti per Linux, la maggior parte dei quali nei fatti risulta innocua (perché, per esempio, necessità dei permessi di amministratore). Nella realtà il concetto di virus è praticamente sconosciuto nei sistemi di tipo Unix essendo i pochi finora scoperti non in grado di diffondersi efficacemente, perché necessiterebbero di entrare fraudolentemente in possesso dei permessi di amministratore. Nella prossima puntata vedremo le eccezioni, ovvero quando è utile avere un antivirus.
- Quando serve un antivirus su GNU/Linux
è necessario o, almeno, consigliabile, considerando sempre che gli antivirus per GNU/Linux sono in realtà antivirus contro il malware di Windows. Esaminiamole.
- Il proprio sistema è un server di posta a cui si collegano client Windows. Ad esempio perché siete un provider. Be’, in questo caso vorreste che i vostri clienti stiano al riparo da brutte sorprese e i vostri clienti sono sicuramente anche tanti utenti Windows. Cosa c’è di meglio di un antivirus open source, quindi utilizzabile gratuitamente anche in ambito professionale e azendale? La soluzione in tal caso è ClamAV. ClamAV è tarato proprio per questo lavoro e lo fa egregiamente.
- Condividete e scambiate file con utenti Windows e volete essere talmente ortesi da non procurare infezioni a tali utenti. Cerchiamo di essere buoni vicini, ma non è strettamente necessario avere un antivirus, in realtà. L’alternativa è utilizzare formati di scambio dati che non possano trasportare malware o che abbiano un rischio ridotto, come ad esempio .odf (formato di OpenOffice), .rtf e .txt per i testi;
- Avete un dual-boot sul sistema ma non un antivirus su Windows (siete matti?) oppure l’antivirus è scaduto (Norton $$$) o troppo datato (il crack non ha funzionato...) oppure dovete usare un antivirus per ripulire la partizione dove risiede Windows senza avviarlo; in ogni caso è preferibile aggiornare l’antivirus di Windows; o eliminare Windows stesso.
- Usate in modo spropositato Wine e programmi per Windows. Wine può infatti eseguire alcuni virus che possono potenzialmente danneggiare lo stesso Wine e la directory dell’utente. Be’, se dev’essere il più possibile compatibile, vi beccate anche i virus.
- Virus e GNU/Linux: prendiamo un po’ di precauzioni intelligenti
sistema di tipo Unix. Sì, certo. Il problema è che muore lì. Senza permessi il virus non va da nessuna parte e rimane confinato. Fine della riproduzione.
Però non ci sono solo i virus...
Vero. Ad esempio ci sono anche i trojan. I trojan sono programmi che fanno finta di essere utili ma in realtà sono malevoli. Contro i trojan c’è poco da fare, anche se qualcosa si può fare: ad esempio i meccanismi di rafforzamento dei permessi che abbiamo già visto possono limitare l’azione di molti tipi di malware. Ma la vera difesa contro di essi, almeno nell’ambito desktop, non è un antivirus, né SELinux o Apparmor. La vera difesa è l’intelligenza dell’utente. Proviamo a vedere cosa possiamo fare per eliminare pressoché ogni tipo di problema, prendendo alcune semplici precauzioni.
La gran parte di esse consiste semplicemente nell’usare il sistema operativo come dovrebbe essere usato. Niente di più. Nessuno sforzo particolare, nessun programma che ruba cicli di clock preziosi per poter finire prima il ripping del DVD che stiamo trasferendo sul pc, nessun “terrore” ogni volta che succede qualcosa di strano.
Ecco una lista di buoni comportamenti:
- Non installate programmi né date permessi di esecuzione ad un file né eseguitelo tramite il comando sh se non siete è certi della sua provenienza e affidabilità
- Preferite i repository che possiedono una chiave di autenticazione GPG
Ecco, questo accade perché medibuntu è autenticato da una chiave GPG (GNU Privacy Guard) che assicura all’utente che non ci stiamo sbagliando e che non siamo vittime di qualche scherzo dei server DNS del nostro provider. Il repository è autentico. Dobbiamo però aggiungere la chiave al sistema per permettere la verifica e così l’errore sparisce.
Una piccola seccatura, certo, ma un bel vantaggio in termini di sicurezza.
- Se disponibile, controllate che l’md5sum corrisponda a quello dichiarato sul sito del programma o file che avete scaricato
Confrontiamolo con quello sul sito e così saremo sicuri al 100% che si tratta dell’originale.
- Navigate preferibilmente con un browser open source aggiornato all’ultima versione disponibile, usate preferibilmente programmi open source e nativi per il sistema (per non dover usare Wine), anch’essi aggiornati
distribuzione GNU/Linux che usiamo. E spesso accade davvero così per programmi meno famosi di Firefox. Ecco quindi che un brouwser Open è più sicuro di uno proprietario e in generale qualsiasi programma Open Source è più sicuro che uno proprietario. Un buon motivo per usare OpenOffice al posto di MS Office anche su Windows.
- Usate formati di dati sicuri
- Evitate di usare Internet Explorer con Wine tramite Ie4Linux a meno che non sia assolutamente necessario per verificare il funzionamento di vostre pagine web; in tal caso comunque preferite la visualizzazione di pagine locali, oppure usate il servizio IE NetRender
Non fatelo. Se quella c*** di pagina non vi viene visualizzata bene con Firefox, beh, non apritela e basta. Chi non sa fare siti web a norma non merita che voi gli facciate aumentare il contatore delle visite. Anzi mandategli una e-mail:
“Ehi ciccio, il tuo sito non funziona con Firefox! Lo sai che è un programma che è stato scaricato da 8 milioni di persone in un solo giorno? Che aspetti ad aggiornarti?”
E se per caso parliamo della vostra banca, il mio consiglio è uno solo: cambiate banca. C’è poco da fidarsi. Se non hanno saputo fare bene l’impaginazione, figuratevi il resto.
- Non eseguite mai Wine come utente root: in tal caso lascereste all’eventuale malware accesso alle directory di sistema
- seguite sempre gli aggiornamenti di sicurezza del sistema operativo: in Ubuntu è possibile accettarli in maniera predefinita tramite il gestore aggiornamenti; questa è la principale precauzione che mette al riparo dai malware: Ubuntu e Debian hanno infatti una gestione molto efficiente dei problemi di sicurezza
- Non usare distribuzioni per le quali sia scaduto il supporto di sicurezza
- Usate cautela quando si è in possesso dei permessi di amministratore (tramite sudo, su, gksudo o kdesu), evitando di eseguire programmi di cui non si conosce l’affidabilità
- Non entrate nel sistema come root
- Non siate paranoici
ATTENZIONE! Questi consigli vanno presi come tali. Non è necessario affrettarsi a installare l’ultima versione disponibile di Firefox dal sito di Mozilla: se contiene correzioni di sicurezza significative, verrà segnalata tra gli aggiornamenti della distribuzione in breve tempo. Ripeto: take it easy.
- Virus e GNU/Linux: demoliamo i falsi miti
http://punto-informatico.it/p.aspx? i=106309
Leggere bene la data dell’articolo: giovedì 06 dicembre 2001. Sono passati 7 anni e mezzo, un’eternità nell’era dell’informatica, ma di virus non se ne sono visti.
Andiamo più sul recente. Il noto produttore di antivirus Kaspersky rilascia un piccolo studio sul malware e GNU/Linux nel 2006, riferito al 2005, in cui sostiene l’aumento esponenziale del malware per questo sistema.
Lo studio - se così si può chiamare - è in realtà un articolo in cui si tratta genericamente di malware, includendo un po’ di tutto. Ma i media parlano sempre e comunque di virus. Peraltro la fonte dello “studio” è la stessa Kaspersky e i dati sono aggregati (non sono distinti worm, trojan, eccetera). Insomma, considerando la fonte, ci si sarebbe aspettati un po’ di più. Ma il
bello viene quando si clicca sulle descrizioni di tali presunti “virus”.
Ad un certo punto il rapporto cita un virus per GNU/Linux: Virus.Linux.Rst.
Ora clicckiamo sul link di tale “virus” e leggiamo:
There is no attempt in the viral code to exploit any Linux vulnerabilities in order to obtain higher access when the virus is run on a normal user account.
Tradotto:
Non c’è tentativo da parte del virus di sfruttare una qualsiasi vulnerabilità di Linux per ottenere l’accesso ad un livello più alto (livello amministratore, ndr) quando il virus è eseguito su un normale account utente.
Insomma, un virus che non prova neppure a scavalcare le protezione del sistema per andare ad infettare i file binari che appartengono all’amministratore. Insomma un virus che non può diffondersi, a patto di usare le normali procedure che ho spiegato in precedenza (da questo punto di vista Ubuntu ha fatto una scelta molto azzeccata, in quanto l’utente root non è attivo e quindi non viene mai usato). Ma voglio fare l’avvocato del diavolo. Come dicevo in un post precedente, la diffusione di massa di un sistema GNU/Linux come Xandros (preinstallato sugli eeepc) potrebbe indurre alcuni a inviare dei file .deb che, se installati dall’utente inconsapevole, potrebbero diffondersi, forse facilmente. Il rischio trojan, insomma, è in agguato, anche se per ora è solo teorico. Ma non è necessario un antivirus, quanto la nostra intelligenza, come spiegato in questo post.
Riguardo i veri virus, invece, è bene demolire qualche luogo comune:
“I virus su Linux non ci sono perché è poco diffuso”
- Non è vero che GNU/Linux non è diffuso: questo sistema è contenuto praticamente in tutti i router e altri dispositivi di rete e pilota circa la metà dei server Internet: un virus per GNU/Linux che fosse davvero efficace potrebbe potenzialmente bloccare l’intero mondo industrializzato;
- GNU/Linux o sistemi Linux embedded sono largamente usati anche al di là del settore server: telefonini (alcuni modelli Nokia, i prossimi cellulari basati di Android di Google, il Neo1979 e il Freerunner, etc.), mediacenter molto diffusi (Dreambox, TiVo), persino automobili, ed è molto più diffuso sui desktop di quanto comunemente si pensi; il rilascio di driver per GNU/Linux da parte dei principali produttori di hardware (si pensi ad Intel, Nvidia, Ati, Hp, Samsung, Dell, etc.) ne è la conferma;
- un altro sistema di tipo Unix ha già una diffusione larghissima sui desktop: Mac Os X; nonostante ciò il malware su tale sistema in sostanza è quasi inesistente e alcuni annunci clamorosi del passato si sono rivelati eccessivi se non falsi;
“Linux non ha i virus perché è ancora agli inizi”
- GNU/Linux è un clone di Unix. Unix esiste da quasi 40 anni; in tale lunghissima storia è rimasto il sistema più sicuro, anche se sporadicamente sono comparsi alcuni programmi malevoli che, sfruttando delle vulnerabilità, hanno potuto attaccare certi sistemi. Ma GNU/Linux ha un’arma in più rispetto a Unix (già molto sicuro di per sé): GNU/Linux è software libero/open source e questo significa che le vulnerabilità vengono tappate a tempi di record, impedendo sul nascere la diffusione del malware; anzi, nella grande maggioranza dei casi le vulnerabilità vengono scoperte ancora prima che qualcuno possa sfuttarle.
- molti programmi open source sono multipiattaforma (come Firefox e Apache) e sono diffusissimi su sistemi chiusi, ma hanno già dimostrato i vantaggi in termini di sicurezza rispetto alle controparti proprietarie, pur non essendo immuni da vulnerabilità.
“Linux non ha i virus perché gli hacker sono a favore di Linux”
Questa è una delle balle più grandi, ma qualcuno ogni tanto la tira fuori. GNU/Linux è già uno dei bersagli preferiti da cracker (non hacker: gli hacker sono normali programmatori, non pirati informatici) proprio perché è molto diffuso; non c’è quindi bisogno di aspettare per verificare la sicurezza di tale sistema.
Siamo giunti alla fine di questa chiacchierata riguardo ai virus e a GNU/Linux. A conclusione possiamo dire che GNU/Linux è un sistema sicuro per l’ambito desktop, al riparo da virus e malware, a patto che chi lo usa prenda poche e facili cautele.
Tratto da un lavoro di Guido Iodice, http://guiodic.wordpress.com, distribuito sotto licenza Creative Commons
Post
