Cerca nel blog

2008/06/17

Ransomware!

Il virus che ti ricatta



Decisamente cattivello questo Gpcode, un virus che non si limita (per così dire) a fare danni al computer, ma lucchetta i vostri dati (documenti, foto, e altro) con una cifratura sofisticatissima con chiave a 1024 bit: se volete riaverli, dovete pagare i gestori del virus, come racconta Kaspersky.

La lunghezza della chiave significa che la decifrazione per forza bruta è sostanzialmente impossibile, per cui l'unica maniera per riavere i propri dati sembra essere quella di pagare il riscatto.

Il virus si fa riconoscere perché aggiunge l'estensione "._CRYPT" in fondo all'estensione preesistente dei file che ha lucchettato e poi colloca nella medesima cartella/directory un file "!_READ_ME_!.txt" che spiega come procedere per far avere il riscatto.

Chiaramente, in casi come questi la prevenzione è la miglior cura: tutti i principali antivirus riconoscono Gpcode nelle sue tante varianti, e vale sempre la raccomandazione di non eseguire software di provenienza non sicura, come il software piratato o gli allegati, anche se arrivano tramite amici.

50 commenti:

brain_use ha detto...

Interessante.
Sarei curioso di sapere come contano di essere pagati senza essere individuati.

markogts ha detto...

Beh, ma dovrebbe essere facile prenderli, basta vedere dove vanno a finire i soldi, no?

Stefano ha detto...

Credo basti farsi spedire i soldi con Western Union per non essere identificati

dyk74 ha detto...

Kaspersky non dice se la chiave e' random ma precisa solo che il file della chiave e' criptato e la codifica e' un RSA-1024 (quindi una codifica asimmetrica) ma secondo me basta che paghi una persona per avere il "decrypting tool" e il virus non fa piu' paura...
se Kaspersky dovesse acquistare il tool sarebbe la cosa piu' logica cosicche' avrebbe la possibilita' di ripulire i pc infetti implementandolo nei suoi tools...
anche se cmq la cosa migliore e tenere __SEMPRE__ gli occhi bene aperti, la testa sulle spalle e l'antivirus sempre aggiornato.

CIAO CIAO

markogts ha detto...

... e prudenza, sempre.

Martino ha detto...

---> apple mac os x <--- think different
;)

Avion ha detto...

dyk, l'idea delle SH che comprano il tool dei virus writer per inserirlo nel proprio prodotto rischierebbe di innescare un'escalation in cui tutti i nuovi virus funzionano così, le SH devono comprare tutti i tool...

dyk74 ha detto...

@avion: anche fare il reverse engineering del file di chiave mi sembra un po' azzardato, quindi l'unica alternativa logica e' che qualcuno abbia la possibilita' di avere il tool per poter creare l'antivirus che "sprotegga" i files....
Non vedo altre soluzioni cosi a prima vista...

CIAO CIAO

IlTremendo ha detto...

[doverosapremessa]Lungi da me ogni obiettivo polemico, voglio solo informarmi meglio[/doverosapremessa]
ma su quali piattaforme gira questo virus?

Matz ha detto...

Se non sbaglio è un .exe, quindi gira su windows

dyk74 ha detto...

@IlTremendo:
tutti i sistemi operativi windows a partire da windows 98...

OrboVeggente ha detto...

dyk:
tutti i sistemi operativi windows a partire da windows 98...

Tranne Vista...

Non sono io a scrivere. C'è un bot che quando si tratta di precisare "il virus non gira su Vista" manda automaticamente il post.

dyk74 ha detto...

@orbo:
non per essere pedante ma secondo Kaspersky il virus funziona su TUTTE le piattaforme WIN32 quindi anche con VISTA.
qui

CIAO CIAO

theDRaKKaR the bloody homeopath ha detto...

dal sito kaspersky

Analysts at Kaspersky Lab had successfully cracked a 660 bit RSA encryption key. This was the latest victory against a cyber blackmailer that had been plaguing users in Russia for over a year and a half.

domanda: è molto più facile crackare 660bit di RSA?

dyk74 ha detto...

@theDRaKKaR :
entrambi rappresentano la codifica RSA ma una e' la chiave con 660bit e l'altra con 1024 la cui difficolta' non e' 1.5 volte maggiore ma la difficolta' cresce in modo esponenziale.
CIAO CIAO

OrboVeggente ha detto...

dyk74:
non per essere pedante ma secondo Kaspersky il virus funziona su TUTTE le piattaforme WIN32 quindi anche con VISTA.

Certo, potenzialmente è possibile eseguirlo su Vista, ma è paracchio difficile e richiede una certa dose di competenza.
Ovvero, ti viene richiesta continuamente conferma per accettare le modifiche agli attributi dei files, e anche quando la dai ti invita a disconnetterti e rientrare come admin.
Come Admin, non ti permette comunque la modifica e ti invita a togliere dall'avvio automatico una serie di servizi di Windows per poter permettere la modifica da parte del virus.

Quindi una bella differenza con il solito "oddio mi sono preso un virus perché uso windows".

Non ho provato io questo specifico virus, ho chiesto agli esperti della ditta che fa manutenzione ai nostri server, sempre attenti verso nuove minaccie.

BobPlissken ha detto...

Adesso vi beccate un pistolotto tecnico.

RSA (da Rivest, Shamir e Adler, i 3 inventori nel lontano 1977) è un algoritmo di crittografia asimmetrica, anzi direi che ne è il principale algoritmo.
Parlando potabile, significa che esiste una coppia di chiavi di cifratura che sono complementari: se cifro con una chiave, posso decifrare solo con l'altra della stessa coppia. Inoltre, se no sarebbe troppo facile, conoscendo una delle due chiavi non posso far nulla per ricavare la sua corrispondente.

Da un lato, questo è davvero molto bello: posso generare una chiave e diffonderla, in modo che chiunque possa mandarmi un messaggio che nessuno può leggere, purché abbia l'accortezza di tenere segreta l'altra chiave. Ne consegue che chi cifra (con la chiave pubblica), non è poi in grado di decifrare lo stesso messaggio.

In questo caso, questi simpatici coprofagi degli autori del virus cifrano i documenti sul PC, presumo cancellando gli originali, facendo in modo che solo chi possiede la chiave privata possa decifrarli.

Questo è il motivo per cui la chiave pubblica può anche essere hard-wired nel codice del virus o messa in un file di testo o esserecomunque visibile: la sua conoscenza NON pregiudica la sicurezza dell'algoritmo (se ben implementato, ovviamente).

Passiamo oltre, e parliamo di sicurezza di RSA. L'algoritmo è "abbastanza" utilizzato, pensiamo ad esempio ai siti sicuri (https, shttp), ai pagamenti con carta di credito, all'home banking eccetera.
Dicevo che è dal 1977 che è in piedi e da allora "tutti" stanno provando a violarlo. Sono arrivati a mettere su una competizione mondiale (RSA challenge) che offriva 200.000 dollaroni a chi fosse riuscito a violare una chiave a 1024 bit.
Poichè sono arrivati a violare (con 30 anni-equivalenti di CPU opteron a 2,2GHz - cinque mesi reali di calcoli su un qualche mostruoso computerone gigante) solo una 640 bit, direi che siamo lontanini dal poter dire che si è in grado di rompere una 1024 bit, anche perché ogni 4 bit in più raddoppia grossomodo lo sforzo di calcolo necessario (il motivo è matematico, non ve lo sto a spiegare). In pratica, 400 bit di differenza vuol dire circa1,267 seguito da TRENTA zeri per un tempo di 5 (mesi)... cioè miliardi di miliardi di miliardi di volte l'età stimata dell'universo.

Non disperiamo però: prima o poi la chiave verrà fuori (a pagamento o meno) e il mondo internet la diffonderà in pochissimo tempo.

Infine, personalmente io non dispero affatto, visto che scrivo da un Mac Book pro... :-))))

OrboVeggente ha detto...

bobplissken:
Adesso vi beccate un pistolotto tecnico.

RSA (da Rivest, Shamir e Adler, i 3 inventori nel lontano 1977) è un [...]


Complimenti per la competenza e la correlata divulgatività.
Mi sento un po' fuori luogo in questo blog ogni volta mi rendo conto del livello tecnico dei partecipanti!

Rodri ha detto...

Mica male.

Un altro po' di dettagli li ho trovati qui:

http://blogs.zdnet.com/security/?p=1259

Ceoo
Rodri

IlPixelMatto ha detto...

Bellissimo, manca solo il virus che ti ruba il pc poi siamo a posto!

Anonimo ha detto...

no, in effetti l'utilizzo di vista è una tale rottura di ammenicoli, con tutte le richieste di conferme e stop e finestre di domanda e premi ok, che neanche i programmatori del virus se la sono sentita di infierire: basta il "sistema operativo"...
:DDD

markogts ha detto...

Bellissima spiegazione di Bobplissken. Mi ricorda un po' il libro di Dan Brown, come cavolo era il titolo... Fortezza Digitale.

dyk74 ha detto...

la spiegazione di BobPlissken e' buona anche se ci sono dei piccoli errori che non saro' cosi pedante da fargli le pulci visto che grossomodo la spiegazione e' corretta.
@markogts: il libro di DAN BROWN dovrebbe essere CRYPTO (molto carino come libro)

CIAO CIAO

Anonimo ha detto...

per gli utenti windows:
basta avere un backup aggiornato e non c'è problemi di riscatto...
ovviamente ti tocca spianare il pc
ma è sempre meglio che dare soldi a questa gente qua...

per gli utenti non windows:
no problem ;)
guarda caso i virus se girano girano si windows... :D

Dan ha detto...

Grazie bobplissken, volevo spiegarlo io ma tu hai fatto prima. La spiegazione è valida, e illustra bene perchè un attacco di sola forza bruta è pura follia. Quindi probabilmente si procederà come si fa di solito in informatica in questi casi: si cerca un modo astuto per aggirare completamente il problema. Come rintracciare il programmatore, perquisirgli il PC a caccia della chiave e intanto seppellire lui in un formicaio... cose del genere.

"Non ho provato io questo specifico virus, ho chiesto agli esperti della ditta che fa manutenzione ai nostri server, sempre attenti verso nuove minaccie."
Allora digli di mettersi d'accordo con quelli di Kaspersky, perchè a quanto pare sono di opinioni discordanti.

Iilaiel ha detto...

Ogni volta che leggo queste notizie mi commuovo pensando al mio bel gentoo.

magaolimpia ha detto...

il libro di DAN BROWN dovrebbe essere CRYPTO (molto carino come libro)

Stai scherzando vero? Uno dei peggiori libri a sfondo informatico mai scritti... Le cavolate informatiche sono innumerevoli.

E i libri di Dan Brown sono tutti uguali: letti i primi due, negli altri si intuisce la fine dopo le prime 40 pagine.

Emanuele Ciriachi ha detto...

"Le cavolate informatiche sono innumerevoli. "

Ah ecco, non è solo su temi religiosi che scrive cavolate quindi...

ISOLE-GRECHE.com ha detto...

Semplicemente bastardi!!!

alberto ha detto...

Beh io un'idea ce l'ho: possiedo un hard disk esterno piuttosto capiente dove faccio back-up regolari di tutti i dati (che comunque non sono molti).Mi becco il virus, una volta che mi chiede di pagare per riavere i miei dati gli rispondo "te li puoi tenere disgraziato, li ho già salvati!!" e vedere come ci rimane..

Edgar Bangkok ha detto...

Kaspersky Lab trova una soluzione per Gpcode

Kaspersky Lab, pubblica un articolo nel quale informa che e' stata trovata una soluzione, anche se di ripiego per il problema Gpcode.

http://edetools.blogspot.com/2008/06/kaspersky-lab-trova-una-soluzione-per.html

Edgar from Bangkok

MrFreedomX ha detto...

Le software house dovranno comprare la chiave di decifrazione? ma figuriamoci! Ma non avete ancora capito che i virus li scrivono loro proprio per continuare a vendere gli antivirus? quindi la chiave ce l'hanno già! Vabbè che la mente umana è malata, ma vi pare possibile che ogni giorno ci siano migliaia di persone che scrivono nuovi virus che tanto vengono riconosciuti immediatamente dagli antivirus? Certo che è possibile: sono dipendenti, o sponsorizzati, dai produttori di antivirus!

Unknown ha detto...

@ricetti:

anche se mi piange il cuore nel distruggere la tua visione complottistica del mondo, volevo informarti che ogni giorno c'è un sacco di gente che scrive virus.
Qualche esempio:
1) l'anno scorso in una università (che non dirò) si è passato quasi un intero semestre a scrivere virus (praticamente innocui..tipo malware) e vinceva quello che aveva scritto il virus che restava online più tempo prima che un qualsiasi antivirus lo beccasse!
2) in internet trovi servizi a pagamento (di solito in Russia) in cui dei programmatori esperti scrivono virus o trojan specifici. In pratica se tu sei una azienda che vuole mettere in ginocchio un'altra azienda (in termini informatici) ti fai scrivere il virus apposito. Ovviamente poi il virus si diffonde anche all'esterno dell'azienda incriminata e poi viene coperto dagli antivirus, ma intanto il danno è fatto!.
3) Se cerchi online troverai un sacco di siti in cui ti spiegano come creare virus. E siccome nel mondo siamo tanti tanti e la mamma dei cretini è sempre incinta, è ovvio che qualche ragazzino che crea un virussello piccolo piccolo c'è sempre!

Insomma per farla breve, quello che tu hai affermato equivale a dire che i bambini che rompono i vetri con le fionde sono solo i figli dei vetrai...

Giorgio Loi ha detto...

Infine, personalmente io non dispero affatto, visto che scrivo da un Mac Book pro... :-))))

Ogni volta che leggo queste notizie mi commuovo pensando al mio bel gentoo.

Leggendo questi commenti di sollievo mi è sorto un dubbio. Almeno fino a Windows XP (per Vista mi pare le cose siano cambiate) si diceva, se non vado errato, che la sua principale vulnerabilità rispetto a Linux e OSX consisteva nell'operatività dell'utente comune come amministratore, che dava accesso al trojan di turno a *tutte* le cartelle, comprese quelle di sistema, permettendogli di fare danni a piacimento.

Orbene, questo simpatico "ransomware", invece, colpisce i *documenti*, non i file di sistema, e immagino che i documenti siano accessibili e modificabili da chiunque, dall'amministratore all'utente "limitato".

A meno che l'inserimento di questa chiave di criptatura non richieda la modifica di attributi di esclusiva competenza di un amministratore di sistema, mi verrebbe da pensare che anche OSX o Linux potrebbero essere esposti a questa minaccia.

Se così non è, è perché chi ha scritto il virus ha (volutamente?) risparmiato quei due sistemi, ma non perché ne sarebbero tecnicamente immuni.

Dove sbaglio?

Neff ha detto...

ubuntu rulez ;)

Paolo Attivissimo ha detto...

Grazie Edward, ti cito alla radio domattina.

Stemby ha detto...

A meno che l'inserimento di questa chiave di criptatura non richieda la modifica di attributi di esclusiva competenza di un amministratore di sistema, mi verrebbe da pensare che anche OSX o Linux potrebbero essere esposti a questa minaccia.

Se così non è, è perché chi ha scritto il virus ha (volutamente?) risparmiato quei due sistemi, ma non perché ne sarebbero tecnicamente immuni.

Dove sbaglio?


Beh, ma il virus deve lavorare (deve essere in esecuzione) per combinare i guai per i quali è progettato, o no? Questo anche sotto Windows.

In pratica ti sbagli nel fatto che, sotto Linux (ma immagino anche sotto Mac, essendo un sistema Unix), nessun file (e dunque programma, nel nostro caso il virus malefico) è eseguibile finché non gli dai i permessi di esecuzione. Insomma: il programma devi prima volutamente attivarlo e poi, in un secondo tempo, lanciarlo di proposito. Non esiste un corrispettivo dei file .exe, nei sistemi Unix.

E se l'utonto non più troppo impedito ma sempre molto scemo gli dà i permessi di esecuzione e poi lo lancia pure, può far danno solo sui file e directory per i quali ha i permessi (di solito solo la sua /home/); i documenti degli altri utenti dovrebbero restare immuni. Sempre che l'utente scemo non sia anche l'amministratore di sistema, che dia i permessi di esecuzione al virus e che lo lanci come utente root (amministratore), ma allora a questo punto fa prima a fare un bel

# rm -rf /*

Ciao!

Giorgio Loi ha detto...

A me interessa il diverso grado di sicurezza fra Windows XP e Linux, a parità di utontaggine, quindi eliminerei un paio di punti.

* Rovino solo i "miei" dati. Questo è un falso mito, secondo me. A meno di famiglie numerosissime, ciascuno con account separato, o di un utente ultra-previdente che si fa diversi account a seconda del tipo di dati cui vuole accedere (uno per le immagini, uno per la musica, uno per i video, ecc.), solitamente io con il mio account accedo a tutti i dati, e se li perdo avrò al massimo la magra consolazione di non aver messo a rischio anche quelli di mia moglie (sarà contenta lei, però). Insomma, è un discorso validissimo in ambito server, ma un po' stiracchiato a livello di singole utenze.

* Il virus deve essere lanciato, tanto sotto Windows quanto sotto Linux. Non parte da solo se non attivo un allegato o visito un sito-trappola. Ora, io non becco un virus da quando ho cambiato PC, ossia dal maggio 2004, e questo perché un tale Attivissimo scrisse in un bel libretto un prezioso dodecalogo. Sostanzialmente con un firewall e un antivirus ad aggiornamento automatico, entrambi free, Firefox e un po' di sale in zucca, ho risolto qualsiasi problema di sicurezza. A meno che quelli che sospirano "meno male che ho Linux/OSX" non sottintendano anche "altrimenti mi beccherei un sacco di virus, io che apro tutti gli allegati di mittenti sconosciuti che mi promettono forniture gratis di Viagra o vincite milionarie in qualche lotteria del Bahrein", immagino che il livello medio di un utente Linux sia tale che costui, IN OGNI CASO, non sarebbe caduto vittima di alcun virus. In pratica, è come se un pilota di F15 fosse contento di non dover mettere le lenti a contatto. ;)
Credo che il maggior livello intrinseco di sicurezza di Linux potrà essere realmente messo alla prova solo quando avrà una diffusione di massa.

* nessun file (e dunque programma, nel nostro caso il virus malefico) è eseguibile finché non gli dai i permessi di esecuzione. Insomma: il programma devi prima volutamente attivarlo e poi, in un secondo tempo, lanciarlo di proposito

Ecco, questo mi interessa. Io, gli applicativi che ho nel mio desktop li lancio tranquillamente con un clic. Non mi viene chiesto alcun permesso. Solo se devo installare nuovi pacchetti via repository, allora mi si chiede di accedere a livello amministratore tramite password. Mi stai dicendo che sotto Linux non possono arrivarmi programmi direttamente eseguibili, e che in ogni modo io dovrei prima installarli e poi lanciarli? Allora sì, questo sarebbe un bel problema per un trojan con intenzioni poco piacevoli. Dovrebbero lavorare a livello psicologico, e indurmi a installare e poi lanciare un malware. Una cosa più difficile, ma tutt'altro che impossibile.

Credo che gli untori informatici su Linux non si siano ancora messi d'impegno, ma in realtà la falla più grande di qualsiasi sistema operativo è l'utente che lo usa. E' su di lui che bisogna lavorare, e se Linux si diffonderà come Windows arriveranno anche i trojan capaci di sfruttare adeguatamente questo punto debole.

Secondo me, ovviamente. ;)

Stemby ha detto...

Questo virus è multipiattaforma: funziona anche sotto Linux.

Mi stai dicendo che sotto Linux non possono arrivarmi programmi direttamente eseguibili, e che in ogni modo io dovrei prima installarli e poi lanciarli?

Provare per credere:

Ti fai da qualche parte una nuova directory, dentro ci scrivi un file di nome hello.c contenente questo listato, poi apri un terminale, vai nella cartella e compili il file con

$ gcc hello.c

A questo punto ti ritroverai l'eseguibile a.out

$ ls -l a.out

Come vedi ha i permessi di esecuzione, infatti se lo lanci con

$ ./a.out

funziona.

Ora allegalo ad una e-mail, autospediscitelo, apri la mail e salva il file dove ti pare (ad esempio sul Desktop).

Ritorna nel terminale, spostati nella directory ~/Desktop, poi fai

$ ls -l a.out

Toh, non è più eseguibile ;-) In pratica sul desktop hai solo un binario ineseguibile causa mancanza di permessi.

Mettiamo che tu sia l'utonto e che quel file invece di essere un innocuo hello world fosse il virus malefico. Per fare danni dovresti fare

$ chmod a+x a.out
$ ./a.out

Ecco, come vedi non è proprio impossibile, ma abbastanza improbabile.

Ciao!

Giorgio Loi ha detto...

stemby:
Mettiamo che tu sia l'utonto e che quel file invece di essere un innocuo hello world fosse il virus malefico. Per fare danni dovresti fare

$ chmod a+x a.out
$ ./a.out


A parte il fatto che per un utonto questi sono geroglifici, quindi stai facendo un esempio ancora più improbabile dell'evento ;), non è che il file ha su scritto "virusmalefico.out" ma, probabilmente, "pamelaanderson.out", quindi una volta che ti hanno convinto non c'è sicurezza che tenga. Ecco a che cosa mi riferivo con "utente come punto debole".

Però non mi hai spiegato il succo. Com'è che un eseguibile, con i permessi di esecuzione, una volta ricevuto come allegato non ha più i permessi?

Dan ha detto...

Parlo da non utente di Linux: probabilmente perchè i permessi sono memorizzati in locale, e non viaggiano insieme al file... quindi è memorizzata l'autorizzazione per il primo a.out ma non per il nuovo arrivato.
Comunque, nell'ambiente si dice sempre che "Il problema si trova tra la sedia e la tastiera"... l'anello debole della catena è l'utonto.

Stemby ha detto...
Questo commento è stato eliminato dall'autore.
Stemby ha detto...


A parte il fatto che per un utonto questi sono geroglifici, quindi stai facendo un esempio ancora più improbabile dell'evento ;)

Io ho scritto i comandi perché sono universali: valgono per qualsiasi distro Linux, ma anche Mac, *BSD, e tutti i vari Unix e unix-like. O almeno credo: ho esperienza solo su GNU/Linux.

In realtà oggi, con le interfacce grafiche, si possono assegnare i permessi anche per via grafica (basta qualche click). Resta comunque il fatto che è l'utente a scegliere, di sua iniziativa, di applicare i permessi di esecuzione.

E' ovvio che se uno legge una guida scritta sul sito da cui ha scaricato il malefico virus, nella quale si dice che per avviare pamelaanderson.nud[1] si devono assegnare i permessi di esecuzione, ed è pure spiegato nel dettaglio come fare, allora lo scopo è raggiunto.

Resta la difficoltà dovuta all'esistenza di un'infinità di interfacce grafiche diverse: la cosa più semplice è indicare proprio i comandi via terminale che sono universali.

In ogni caso ci vuole un ruolo attivo dell'utonto: ricadiamo in pratica nel caso "virus albanese".


quindi una volta che ti hanno convinto non c'è sicurezza che tenga. Ecco a che cosa mi riferivo con "utente come punto debole".

Esatto: ma questo non è un virus, è solo un programma dannoso (chiamiamolo pure malware) eseguito dall'utente. Vedasi un esempio chiarificatore e ben descritto qui.

Il punto chiave è proprio questo: è l'utente che deve essere istruito per capire se un file è sicuro o meno. E un binario di un programma chiuso (non libero, senza sorgenti disponibili) non è _mai_ sicuro.

In linea teorica i software non liberi sarebbero sempre da sfuggire come la peste, se uno ha la sicurezza come obiettivo primario.


Però non mi hai spiegato il succo. Com'è che un eseguibile, con i permessi di esecuzione, una volta ricevuto come allegato non ha più i permessi?

Perché i permessi non sono "all'interno del file", ma sono una "struttura" del filesystem. In particolare, nel caso di GNU/Linux, attualmente il filesystem più diffuso è l'ext3.

Il file che ti arriva per e-mail non ha proprio alcun permesso. Quando tu salvi un file, e dunque lo inserisci nel filesystem (lo scrivi sul disco che è formattato come ext3), gli vengono assegnati dei permessi di default. Giustamente di default non ci sono quelli di esecuzione.

Spero sia un po' più chiaro.

[1] Le estensioni, nei sistemi (u)nix, sono libere e significano poco-niente: come ho detto, non c'è un corrispettivo con i .exe

Giorgio Loi ha detto...

Sì, ora è decisamente più chiaro. La struttura del filesystem di Linux è più sicura di quella di WinXP. Un malware diffuso con sistemi di social engineering può far danni a qualsiasi sistema, perché agisce sulla psicologia dell'utente, ma un virus "vecchia maniera", tipo quelli che ti zombificano la macchina a tua insaputa, dovrebbero essere neutralizzati su macchine *nix. Tra parentesi, da questo punto di Vista ;) il nuovo nato di casa Microsoft dovrebbe aver fatto passi avanti, giusto?

Però voglio tornare sul punto centrale:
Il punto chiave è proprio questo: è l'utente che deve essere istruito per capire se un file è sicuro o meno. E un binario di un programma chiuso (non libero, senza sorgenti disponibili) non è _mai_ sicuro.[2]

In linea teorica i software non liberi sarebbero sempre da sfuggire come la peste, se uno ha la sicurezza come obiettivo primario.


Per esempio, io gli aggiornamenti li faccio tramite Synaptic. Binario? Sorgente? E che sono? Io vedo una lunga lista di nomi con tante caselline da riempire: clicco su quel che mi interessa e installo. Aperto? Chiuso? Socchiuso? Non ne ho idea. Mi trovo un nuovo programma sul menù applicazioni e lo eseguo. Punto.

Ci pensavo giusto stamattina. All'avvio del sistema mi si apre un bel fumetto in alto a destra dello schermo dicendomi che ci sono aggiornamenti da scaricare. Clicco sul fumetto e mi chiede di inserire la password di amministratore per procedere all'installazione degli aggiornamenti. Lo faccio, e parte lo scaricamento di 18 pacchetti. Per scrupolo, prima di iniziare scorro velocemente questi aggiornamenti: nomi astrusi dalla descrizione per lo più incomprensibile. Che faccio? Procedo, ovvio. Ma mentre osservo scorrere la barra di installazione, penso: "Ma che diavolo sto installando, dopotutto? E se mi stessi imbottendo di porcherie?"

Insomma, Synaptic e i repository sono una bellissima cosa, ma chi garantisce dell'integrità di quel che c'è dentro? Non sono vulnerabilità che un domani potrebbero essere sfruttate?

Giorgio Loi ha detto...

Le estensioni, nei sistemi (u)nix, sono libere e significano poco-niente: come ho detto, non c'è un corrispettivo con i .exe

Come nel vecchio PCOS, il sistema operativo di Olivetti M20. Classe 1981. Le estensioni erano di fantasia e potevano superare i tre caratteri. Con PCOS ti creavi il tuo kernel personalizzato, solo con i comandi che ti servivano veramente. L'MS-DOS, al confronto, mi sembrava un sistema primitivo. Ma dietro c'era Sua Maestà IBM, quindi gli altri potevano solo scomparire...

Scusa il piccolo sfogo nostalgico. :)

Stemby ha detto...

Tra parentesi, da questo punto di Vista ;) il nuovo nato di casa Microsoft dovrebbe aver fatto passi avanti, giusto?

Mi auguro di sì, ma non conosco Vista (non uso winzozz da anni), dovresti chiedere ad Orbo. Tra parentesi: sarebbe anche ora, visto che nei sistemi Unix la logica dei permessi esiste da sempre (circa 40 anni...). Da quello che ho letto, però, dell'efficacia dell'approccio seguito da M$ non sono tanto convinto: se un binario senza permessi, su Linux, non combina proprio niente, su Vista a quanto pare il .exe è _già_ eseguibile, solo che il s.o. ti chiede conferma per lanciarlo (com'è che dice? Acconsenti ---> Acconsenti ---> Acconsenti?). Se così fosse, immaginando l'utenza che si trova in giro, io non starei troppo tranquillo. Ma, ripeto, io Vista non l'ho praticamente mai usato (solo un'oretta, non a casa mia, e impazzendo per capire come fare le cose anche più stupide ;-)).


Per esempio, io gli aggiornamenti li faccio tramite Synaptic. Binario? Sorgente? E che sono?

Binari. Con le distro moderne è decisamente improponibile distribuire i sorgenti. Gentoo è l'unica eccezione rilevante.


Insomma, Synaptic e i repository sono una bellissima cosa, ma chi garantisce dell'integrità di quel che c'è dentro? Non sono vulnerabilità che un domani potrebbero essere sfruttate?

:-) La risposta più corretta è "sì". Ci vuole però sempre la complicità dell'utente.

Sostanzialmente dipende molto dalle politiche adottate dalla distro che si usa. Debian, ad esempio, ha la sicurezza ai primissimi posti delle priorità (direi il primo).

Se uno usa repository ufficiali, il software che scarica è tutto certificato (letteralmente: ogni pacchetto è firmato con una chiave asimmetrica) e sicuro. E' vero che si tratta di binari, ma chiunque può verificare che i binari siano sicuri semplicemente leggendo i sorgenti (i pacchetti sorgente sono sempre disponibili), compilandoseli e guardando se ci sono differenze tra il pacchetto scaricato da repo e quello appena ricreato localmente.

Storia diversa invece se uno va a pescare da repository non ufficiali: ad esempio io potrei tirarmi su un server, piazzarci dentro tanti bei pacchetti-malware già compilarti, a questo punto se riesco a convincere l'utonto a scaricare da me, ecco il metodo più semplice per riempire di schifezze i pc altrui. A meno di rifiutarsi di rilasciare i sorgenti (software proprietario), non è però così difficile smascherare l'untore. E se l'utente rifiuta di usare software proprietario, può stare abbastanza sicuro anche coi repo non ufficiali.

Certo, l'utente medio con poche capacità deve per lo più fidarsi, ma la disponibilità dei sorgenti rende davvero improbabile un mega-complotto internazionale. Senza contare che anche l'utente medio è sempre libero di imparare e mettersi a studiare il suo sistema libero fino all'ultimo bit.

Come nel vecchio PCOS, il sistema operativo di Olivetti M20. Classe 1981. Le estensioni erano di fantasia e potevano superare i tre caratteri.
Coi sistemi *nix (classe 1969) puoi anche non avere alcuna estensione. Anzi, questa è la norma per gli eseguibili.

Ciao!

Giorgio Loi ha detto...

Coi sistemi *nix (classe 1969) puoi anche non avere alcuna estensione. Anzi, questa è la norma per gli eseguibili.

E' vero, forse era così anche per l'M20.

Ho sottolineato l'anno di produzione perché l'M20 era un PC. Unix c'era da prima, chiaramente, ma lo vedevi solo sui mainframe. Credo che il PCOS avesse più di un debito con quel mondo. Veramente avanzato, per i tempi.

Stemby ha detto...

Ho sottolineato l'anno di produzione perché l'M20 era un PC.

E sembra davvero una gran bella macchina! Ho dato un'occhiata alla voce di Wikipedia (sono ignorantissimo in campo retrocompiuting) e sono rimasto a bocca aperta.

IMHO è una conferma di quanto M$ abbia fatto male all'evoluzione dell'informatica (chissà cosa sarebbe successo, in questi ultimi 30 anni, senza questa situazione di monopolio de facto) e, ancor più, di quanto sono stati idioti i dirigenti di Olivetti a sacrificare i pc a favore... delle macchine da scrivere! Eh beh, effettivamente con le macchine da scrivere non li batteva proprio nessuno...

Giorgio Loi ha detto...

Stemby:
IMHO è una conferma di quanto M$ abbia fatto male all'evoluzione dell'informatica

La Microsoft era poco più di una pulce, a quei tempi. Il primo responsabile del totale appiattimento del mondo PC sul DOS è uno e uno soltanto: IBM.

Tra le illustri vittime del periodo ricordo anche l'HP-150. Nel lontano 1983 questo gioiello era dotato di touchscreen e aveva introdotto il floppy da 3.5" quando tutti ancora si barcamenavano con i floppy-tovagliolo da 5.25" o addirittura 8". Beh, IBM non gradiva il formato, così per il mondo DOS fu accantonato praticamente fino all'uscita del PS-2, nel 1987. Quattro anni di ritardo. Tra le lodevoli eccezioni, Macintosh nel 1984 e Amiga l'anno successivo se ne stropicciarono di IBM e adottarono il più pratico e capiente floppy 3.5". Ma questo può darti un idea di che cosa significasse andare contro Big Blue a quei tempi.

e, ancor più, di quanto sono stati idioti i dirigenti di Olivetti a sacrificare i pc a favore... delle macchine da scrivere!

Oddio, la storia è un filino più complessa, eh... ;)

Sys Req ha detto...

Scusate, ma siete sicuri che poi il programmatore del virus, dopo esser stato pagato, fornisca la chiave di decriptazione? Stiamo dunque parlando di un programmatore di virus col il senso dell'onore...