Cerca nel blog

2008/12/12

Windows: passata la megapezza, rilasciati nuovi attacchi

Vandali aspettano il rilascio delle patch mensili di Windows e poi attaccano


L'articolo è stato aggiornato dopo la pubblicazione iniziale. Vignetta di Moise, pubblicata inizialmente su AFNews e ripubblicata qui per gentile concessione dell'autore.

Il ciclo mensile di aggiornamenti di Windows offre una certa regolarità a chi amministra computer, ma crea nel contempo una scadenza precisa molto utile a chi vive di software ostile. Siccome solitamente per un mese non vengono rilasciati ulteriori aggiornamenti, il momento ottimale per lanciare nuovi attacchi è subito dopo il rilascio delle patch mensili di Microsoft.

E così è stato anche stavolta: il 9 dicembre Microsoft ha pubblicato una serie massiccia di aggiornamenti che chiudono ben 28 falle, di cui 23 definite "critiche", in Windows, Internet Explorer, Office, SharePoint, Windows Media, Visual Basic e Visual Studio. Se usate Windows, è decisamente opportuno installarli. Alcune falle, come la MS08-071, riguardano anche Windows Vista e permettono "l'esecuzione di codice remoto se un utente apre un file grafico WMF appositamente confezionato". Esatto: prima di questi aggiornamenti, ci si poteva infettare guardando un'immagine.

Sorprendente? Non è finita: nonostante la raffica di patch di questo mese, è rimasta una falla che riguarda il convertitore di testo del programma WordPad. Questo programma (un semplice elaboratore di testi) è presente in tutte le versioni di Windows, ma la falla è efficace soltanto in versioni non recenti di Windows: XP con Service Pack 3, Windows Vista e Windows Server 2008 ne sono immuni, secondo l'avviso pubblicato da Microsoft. In pratica, basta tuttora ricevere un file Wordpad (riconoscibile dall'estensione .wri) o aprire con WordPad un file .doc o .rtf appositamente confezionato per esporsi al rischio d'infezione.

Nel frattempo, Sans.org e Microsoft hanno pubblicato avvisi riguardanti una falla di Internet Explorer 7 se usato in combinazione con Windows XP o Windows 2003. La falla consente di rubare password e di veicolare altri attacchi. E' già stata pubblicata una lista di siti infetti. In attesa di nuovi rattoppi, il consiglio più semplice è navigare usando un browser diverso da Internet Explorer.

35 commenti:

markogts ha detto...

"...navigare usando un browser diverso da Internet Explorer."

Scorsa settimana, mi chiama mio padre, dicendomi che l'antivirus è impazzito, che il computer è tutto un allarme fra spybot, zonealarm eccetera. Cos'era successo? Con Explorer, era finito su un sito contraffatto da dove sono partiti dei file di installazione senza (o con poca) informazione verso l'utente. Ho provato a verificare anch'io lo stesso sito, ma con firefox: morale della favola? Accesso vietato, avviso di sito contraffatto e impossibile rischiare nulla neanche volendo.

Ma perché, mi chiedo io? Checcevò? Come dicono gli americani, "it isn't rocket science", si tratta solo di tenere aggiornata una lista di siti inaffidabili. Possibile che un gruppo di amatori ci riesca meglio delle frotte di ingegneri sw della microsoft?

Sono stato una serata intera poi a ripulire il computer che aveva TRE virus diversi, presi praticamente nello stesso momento (avevo fatto la scansione antivirus pochi giorni prima).

Adesso arriva Orbo e mi propone un Vista ultimo modello O_o

psionic ha detto...

Paolo ha scritto...

"Il ciclo mensile..."

Era un gioco di parole o sono io malizioso?

Maximilian Hunt ha detto...

@markogts: ho risolto il problema a mio padre (e ad altri parenti ed amici in genere) in questo modo: nascosti tutti i collegamenti ad IE di modo tale che se intendono navigare possono farlo soltanto tramite firefox (i cui link sono in bella vista un pò dovunque). Loro sono più sereni ed io ho meno lavoro da fare.

Robert ha detto...

Quindi sulla base di quello che dice markogts, l'elenco dei siti poco affidabili in 'internet explorer' non verrebbe aggiornato regolarmente? :(

o si tratta di internet explorer 6 che non ha integrata la funzionalità?

in tal caso non si possono paragonare un browser abbandonato da microsoft con l'ultima versione di firefox. non mi sembra equo.

Concordo con "Maximilian Hunt" sull'installare firefox e nascondere le icone di internet explorer. I rischi di infettarsi sotto windows si riducono parecchio.

alexandro ha detto...

Concordo su Explorer, e per quando non si può fare a meno di usarlo, come nei siti Microsoft, la Explorer Tab per Firefox è la giusta soluzione. Da un po' sto sperimentando Chrome, che sebbene sia più rapido e meno bisognoso di Ram è ben lontano dall'essere un sostituto, visto che non ha praticamente alcuna utility, al momento.

markogts ha detto...

@ maximilian: non so che dirti, non sono esperto né passo il tempo a confrontare browser. Riporto la mia esperienza da apprendista stregone.

@ max: speravo bastasse l'impostazione di browser predefinito, ma sai le leggi di murphy :-P

MOnSTEr ha detto...

@Robert: concordo su tutto, ma faccio presente che IE6 non è affatto un browser abbandonato, v.: http://support.microsoft.com/lifecycle/search/default.aspx?sort=PN&alpha=internet+explorer&Filter=FilterNO.
Al contrario, è pienamente supportato almeno fino al 21 aprile 2010 (su XPSP3, per gli altri vedi href="http://support.microsoft.com/gp/lifesupsps"), vale a dire 24 mesi dopo l'uscita del SP3 di XP, o alla scadenza del supporto per lo stesso Windows XP (cioè nel 2014, v.: http://support.microsoft.com/lifecycle/search/default.aspx?sort=PN&alpha=windows+xp&Filter=FilterNO).

Robert ha detto...

@alexandro: ultimamente con firefox vedo bene anche i siti microsoft.
(msdn,hotmail,spaces)
L'unico problema è se devo effettuare gli aggiornamenti di windows dal browser, li internet explorer è indispensabile per come vengono gestiti i plugins da parte di microsoft.

loZiko ha detto...

Ma questi aggiornamenti per la sicurezza sono inclusi negli update automatici di windows o bisogna andarseli a scaricare manualmente dal sito?

Robert ha detto...

@loZiko: se hai come me windows2000 ti tieni internet explorer6.

però ho letto una cosa interessante qui: http://www.microsoft.com/mscorp/safety/technologies/antiphishing/at_glance.mspx

sembra che tramite la msn search toolbar sia possibile avere il filtro antiphishing anche su ie6.
qualcuno ha provato?
al momento non ho la msn toolbar e il link di download non mi funziona..

Anonimo ha detto...

Ancora una falla nel WMF?! Se non ricordo male, falle del genere in quel formato spuntano ormai ogni anno e colpiscono tutti i sistemi Microsoft fin dal Windows 95. Cercate "wmf" su Punto Informatico e vedrete. In ogni caso, non mi pare di aver mai visto un file .wmf in vita mia, quindi se lo eliminano del tutto non fanno poi un gran danno. O no?

Ciao,

Gica

theDRaKKaR ha detto...

@maximilian

sai mi hai fatto venire un'idea.. fare un programma che sostituisce tutti i link che puntano ad ie con link che puntano a firefox (della serie clicchi ie e parte fx)
sì lo so sarebbe quasi un malware, perché ingannerebbe l'utente però sai che goduria non essere chiamati per i danni causati da ie? :)

@robert

alcune tecnologie di ie7 quali il tabbed browsing e il filtro antiphishing sono state prima sperimentate in ie6 con la barra msn, per cui se si ha ie6 e non si può installare ie7 (i. e. perché si ha w2k) è necessario usare ie6 con la barra msn

theDRaKKaR ha detto...

@Gica

a cosa credi serva un file wmf :) per veicolare virus!! :)

Claudio ha detto...

Paolo, a mio avviso il tuo articolo è un po' fuorviante, per diversi aspetti. Anzitutto perchè una vulnerabilità, anche critica, del sistema operativo, di un suo componente, di un applicativo (in quest'ultimo caso ricade ad es. IE) si traduca in una vulnerabilità reale del sistema devono verificarsi diverse condizioni, a seconda del tipo di problema.

Nel caso delle WMF ad esempio ci sono parecchi fattori da valutare, di diversa natura. Il primo è che per trovare questi WMF bisogna veramente andare un po' a cercarli con il lanternino, e bisogna veramente impegnarsi per trovarli prima che il sistema venga patchato se gli aggiornamenti automatici sono attivi. A titolo di raffronto, a me è capitato di imbattere nei WMF che sfruttavano una falla analoga del passato a distanza di almeno 6 mesi dall'uscita della patch. E io rispetto ad un utente medio penso di poter dire che giro molto di più nei quartieri pericolosi di Internet (maliziosi, intendevo siti warez).
Una volta trovati però non è che automaticamente ci si infetta. Punto primo: se si ha un antivirus e gli aggiornamenti sono attivi ci pensa lui (a proposito, consiglio Avira, guardatevi le comparative - e c'è anche in versione free). Punto secondo: se si ha un processore e un os che supporta il flag NX (che non permette l'esecuzione di codice contenuto nelle aree di memoria destinate ai dati), non si va lontano. Punto terzo: per la loro natura (infilano codice senza conoscere il contesto della macchina), gli attacchi di questo tipo hanno una percentuale di successo piuttosto bassa.

Insomma, nel tuo post leggo un po' troppo allarmismo, nel senso che sembra quasi automatico finire sul sito sbagliato per rimanere infettati. Non è assolutamente così.

E' un po' come dire che se si finisce a letto con una persona ammalata di AIDS si muore. Non è assolutamente così, ma con l'enfasi che si è data a questa malattia nel passato l'idea collettiva è questa (e conseguentemente chi era malato non doveva farlo sapere pena esser trattato come un untore). In realtà la possibilità di rimanere infetti è molto, molto bassa. Non voglio minimizzare, ma voglio semplicemente porre quella che reputo la giusta priorità: enfatizzare l'importanza di poche, fondamentali attenzioni da parte dell'utente. Così come per evitare il rischio di contagio facendo sesso con partner occasionali ti basta una banale precauzione, per navigare tranquillo con windows ti basta semplicemente impiegare l'analoga precauzione. E' anche più facile: Windows ha una systray, a differenza del partner occasionale, che ti fa presente se il preservativo (antivirus) vecchio è scaduto e va messo quello nuovo, o se ci sono problemi con gli aggiornamenti automatici.

Paolo, se posso muoverti una critica in una serie di situazioni quando si parla di MS ti allontani dal tuo stile tipico "no, fermi tutti, ci informiamo bene e vediamo bene com'è" e ti avvicini un po' a quello dei tanti detrattori. Non ti sto ovviamente dicendo di non essere detrattore, ma solo di farlo nel tuo stile, ovvero non gettando elementi di preoccupazione quasi gratuiti (anche perchè sulla sicurezza non ci sono grandi alternative: l'elenco di patch per linux o os x è molto, molto lungo), ma ripeto se caso informando l'utonto di dove trovare il preservativo e come infilarselo, e indicandogli comunque come evitare di trovarsi nella situazione in cui la protezione effettivamente serve.

Anche perchè ormai le falle sono roba vecchia, il malware viene veicolato per una percentuale prossima al 100% tramite l'utente stesso - che viene patchato con una frequenza molto bassa - tramite l'ingegneria sociale (mooolto efficace e che offre un eccezionale rapporto benefici / costi).

Chiudo con un altro interrogativo, non ho capito come i "vandali" possano mettersi ad attaccare i sistemi windows DOPO le patch mensili: se si tratta di un bug non scoperto e non patchato, inizieranno anche da prima, tanto ora che vengono scoperti e viene preparata la patch passano comunque mesi; se invece si tratta di un bug ancora non scoperto, lo scoprono quando riescono a scoprirlo, indipendentemente dal patch day di MS.

Scusa il lungo post =)

A presto,
Claudio!

Paolo Attivissimo ha detto...

Claudio,

per trovare questi WMF bisogna veramente andare un po' a cercarli con il lanternino

Chi ti dice che debba essere tu ad andare a cercarli? Potrebbe essere un aggressore a mandarteli, sia per un'intrusione mirata a te, sia per un attacco indiscriminato a utenti random.



se si ha un antivirus e gli aggiornamenti sono attivi ci pensa lui

Certo, ma tieni conto che molti utenti girano con antivirus non aggiornati da mesi. Capita spesso di sentirsi dire "Perché, dopo averlo comperato bisogna anche aggiornarlo?" :-)


In realtà la possibilità di rimanere infetti è molto, molto bassa

In realtà le botnet di centinaia di migliaia di macchine, infettate con sistemi come questi, sono un fatto concreto e quindi direi che le probabilità non sono basse come dici.


Paolo, se posso muoverti una critica in una serie di situazioni quando si parla di MS ti allontani dal tuo stile tipico "no, fermi tutti, ci informiamo bene e vediamo bene com'è" e ti avvicini un po' a quello dei tanti detrattori.

Dici? Tieni presente che sto citando pari pari gli advisory di Microsoft.


sulla sicurezza non ci sono grandi alternative: l'elenco di patch per linux o os x è molto, molto lungo

Vero per quanto riguarda l'elenco. Ma sta di fatto che i malware efficaci per OS X e Linux sono una manciata. Ci sarà un perché.



Chiudo con un altro interrogativo, non ho capito come i "vandali" possano mettersi ad attaccare i sistemi windows DOPO le patch mensili: se si tratta di un bug non scoperto e non patchato, inizieranno anche da prima

I vandali non sanno cosa verrà patchato quel mese. Aspettano che passi la patch, e poi sanno che Microsoft non pubblicherà altre patch per altri trenta giorni, salvo casi critici. E a quel punto hanno una finestra di vulnerabilità massimizzata.


tanto ora che vengono scoperti e viene preparata la patch passano comunque mesi

Non necessariamente.

theDRaKKaR ha detto...

claudio ma un'azienda che fabbrica sistemi operativi che dice "Ritenevamo che gli strumenti messi a disposizione degli utenti desktop fossero sufficienti, ma Sobig e Blaster hanno dimostrato che così non era" quanto è affidabile?
errare può capitare a tutti, ma almeno non andare in giro a dire che il tuo software è il migliore.. taci! invece quante volte i vari capoccioni microsoft hanno detto che il loro software è meglio di questo e quello? e allora non mi sembra così "cattivo" sottolineare con cinismo che il loro software è veramente un colabrodo
e te lo dice uno che è lontano anni luce dai radicali dell'open source, ma che ha vissuto sulla sua pelle che razza di software fa la microsoft.
Una volta con NT 4 server fu scoperta una vulnerabilità che consentiva ad un attaccante di eseguire comandi della shell scrivendo nel proprio browser in un particolare modo l'indirizzo web del sito ospitato dalla macchina: bene, mi piallarono la macchina con un bel format. Certo da allora le cose sono migliorate (e ci credo, quello era il fondo!), ma rimane il fatto che se vogliamo parlare di qualità del software microsoft è l'antiesempio

Claudio ha detto...

Paolo, scusami se ti sembro pedante o arrogante, ma permettimi di dirti che la tua risposta è più vicina al modo di pensare di un scialchimista che di un cacciatore di bufale come te. Ti prendo punto per punto:

Chi ti dice che debba essere tu ad andare a cercarli? Potrebbe essere un aggressore a mandarteli, sia per un'intrusione mirata a te, sia per un attacco indiscriminato a utenti random.

esiste potenzialità e potenza; potenzialmente i computer più esposti a virus che si propagano con l'ingegneria sociale (e no, senza bisogno di mettere la password di amministratore) sono i mac, ma attualmente sono invece quelli, insieme a quelli linux, sui quali si può concedersi addirittura il lusso di stare senza antivirus.

al di là del fatto che mi stai citando un esempio meramente teorico, vedo alcune difficoltà nel tradurlo in pratica, data la diffusione di sistemi di protezione lato server.

per le aggressioni mirate beh io personalmente vedo molto più facile convincere un utente mac ad eseguire un binario che un utente windows ad eseguire un eseguibile, in virtù della sensazione di sicurezza che ha il primo (un programma che ad es. ti pialla tutti i documenti è sempre un programma, anche sui sistemi *nix) e della vagonata di avvertimenti che comunque ha il secondo.

Certo, ma tieni conto che molti utenti girano con antivirus non aggiornati da mesi. Capita spesso di sentirsi dire "Perché, dopo averlo comperato bisogna anche aggiornarlo?" :-)

quindi dai ragione a me quando sottolineo come sia molto più importante fare informazioni su quelle due regole base (ovvero tenere aggiornato il sistema e l'antivirus) per usare il computer senza problemi piuttosto che fare allarmismo sui soliti bollettini di sicurezza - e poi, perchè solo quelli di windows?

In realtà le botnet di centinaia di migliaia di macchine, infettate con sistemi come questi, sono un fatto concreto e quindi direi che le probabilità non sono basse come dici.

permettimi, questa è una fallacy. a questo punto mi dovresti anche smentire quando dico che le probabilità di rimanere infetti dall'AIDS sono basse citandomi i milioni di morti che questa malattia ha provocato nel corso degli ultimi decenni.

se invece facciamo informazione andiamo ad analizzare il contesto e il motivo in cui quelle macchine sono rimaste infette, e da lì scopriamo un nesso molto forte tra macchine infette e pirateria (e quindi aggiornamenti automatici disattivati), non a caso geograficamente le botnet si trovano in paesi come la Cina.

se vogliamo fare informazione bisogna arrivare a conclusioni attraverso l'analisi, non la congettura. i dati dell'oggi ci dicono che il sistema della falla è vecchio, in quanto poco conveniente (vuoi perchè per sfruttarla efficacemente devi spendere molte energie, vuoi perchè con la diffusione della banda larga i sistemi che vengono costantemente aggiornati sono cresciuti - in percentuale - di molto; per dirla in altri termini non è più la pacchia di una volta) e superato di gran lunga dalla ingenuità dell'utonto: dato che TI BASTA CHIEDERE, perchè mai ti devi sbattere con i virtuosismi da supernerd dalla funzionalità dubbia?

Dici? Tieni presente che sto citando pari pari gli advisory di Microsoft.

certo, il problema è quello. Per tanto così leggo i bollettini di MS. Tu puoi fare molto di più, ovvero tradurli dal tecnichese a ciò che interessa all'utonto comune: TIENI LA TUA CAVOLO DI MACCHINA AGGIORNATA! =)

anche perchè se metti in pasto il tecnichese all'utonto senza che abbia la preparazione adeguata per valutare l'importanza reale di un rischio potenziale, ripeto, crei allarmismo.

Vero per quanto riguarda l'elenco. Ma sta di fatto che i malware efficaci per OS X e Linux sono una manciata. Ci sarà un perché.

altra congettura. Paolo, se vuoi ti mando per email un binario di 20kb per os x che avevo preparato proprio per rispondere a chi faceva il tuo stesso ragionamento (fatto peraltro in 1 minuto in apple script). E' talmente lampante che, nel 2008, non esiste un motivo strutturale per cui un OS sia esposto oppure l'altro no, dato che ormai con Vista la storiella dell'utente non privilegiato e dell'amministratore è ampiamente superata. Ma davvero pensi che un malware abbia bisogno dell'accesso privilegiato per funzionare? Esempio: per pescare gli indirizzi email dalla tua rubrica, per replicarsi inviandosi a questi, per mettersi in esecuzione automatica all'avvio, per accedere ai tuoi documenti, per stabilire un tunnel con un server esterno (eccetera) a cosa serve l'accesso amministrativo? l'accesso amministrativo nel malware di windows ha come prima cosa una ragione storica, che è la stessa per cui una parte consistente di applicazioni per windows da xp in giù non funzionava adeguatamente se fatto funzionare da un account limitato (perchè era uno scenario d'uso che raramente si trovava e conseguentemente non veniva nemmeno preso in considerazione). ma di ragioni tecniche, lo sai anche tu, non ce ne sono (a parte per alcune "feature", come ad esempio aprire porte, che però ormai sono anch'esse cose vintage, dato che ormai lo scopo primo dei cattivi è quello di fare business).

I vandali non sanno cosa verrà patchato quel mese. Aspettano che passi la patch, e poi sanno che Microsoft non pubblicherà altre patch per altri trenta giorni, salvo casi critici. E a quel punto hanno una finestra di vulnerabilità massimizzata.

la fai semplice ma non è così. le vulnerabilità - per qualsiasi os - prima di essere patchate stanno nelle mani di pochi per molto a lungo

theDRaKKaR: questo è il solito luogo comune, tant'è che come esempio mi citi NT4. Io ti posso citare il mio primo server, con su Red Hat 9, che mi è stata bucato allegramente da un turco, rootkittato e usato per ospitare un bot irc. Ovviamente l'ho dovuto piallare.

da qui mi chiedo perchè tu fai delle considerazioni sulla qualità del codice di Windows, senza mai averlo visto? prenditi la briga di guardare com'è sotto linux o os x, e dimmi com'è la qualità del codice: per lo meno altalenante (ovviamente mi riferisco ai sistemi nel complesso, non al kernel o ai servizi principali); e poi prenditi la briga di vedere il codice leaked di windows 2000.

il punto non è questo, ovviamente. sui server uso linux anche se conosco una serie di limiti, perchè semplicemente per le mie esigenze è più pratico. per l'uso desktop uso windows, mentre la workstation per il video editing è un mac pro. e su tutti e tre le tipologie di sistema sul fronte sicurezza sono tranquillo, perchè verosimilmente, con poche e precise precauzioni, non accadrà mai nulla.

Roberto Scaccia ha detto...

Ci risiamo. Windows è intrinsecamente insicuro perché è scritto male e allora è più facile attaccarlo.

Non sarà perché Windows ha il 90% di share?

Secondo voi se devono fare una botnet, il malware lo fanno per Linux, per Mac OS X o per Windows?

Non è difficile dai...

Se devono sfruttare un browser per visualizzare pagine di phishing utilizzeranno IE oppure Chrome?

Anche questa non è difficile dai...

Se devono sfruttare una vulnerabilità in qualche visualizzatore di immagini, lo faranno per GIMP, oppure per Paint?

Anche questa non è difficile dai...

Il problema è che ci sono un sacco di cattivoni lì fuori a cui non frega proprio nulla di Linux, Windows o Mac OS X, ma solo di fare più male possibile.

Ergo: attaccano sfruttando falle di Windows perché è il SO più diffuso.

E anche questa non era difficile dai...

GeekInfoSecurity

theDRaKKaR ha detto...

@roberto

ma il bug di cui ho scritto sopra non ha niente a che vedere con lo share, ma con il fare software con i piedi. Ripeto, come è possibile che uno che interrogava via http IIS su NT 4 poteva eseguire comandi della shell? Scherziamo? Tanto vale fare un telefonino che consente a qualcuno di resettarlo semplicemente chiamandolo.
Il discorso della diffusione è corretto statisticamente. Ma non c'entra nulla col bug in se. Il bug è più o meno grave sotto il punto di vista della qualità del software. E un bug come quello di NT 4 anche se fosse stato l'unico sarebbe stato gravissimo allo stesso modo.
Perché non parliamo della qualità del software microsoft e della tipologia di bug, invece che delle statistiche di vendita?

theDRaKKaR ha detto...

@claudio

1. visto che hai fatto quello scriptino, se non l'hai già fatto implementa la duplicazione e propagazione (anche ingegneria sociale, a te la scelta) e poi aspettiamo e vediamo quanti MacOS infetta. Io sono sicuro che il tuo malware non vivrebbe, ma aspetto l'esperimento per dirlo. Per ora posso dire che nonostante la diffusione di MacOS sia in continua crescita così NON è per i virus per MacOS e un motivo ci sarà. Per me (usando il principio del "rasoio di Occam") significa che un sistema MacOS è molto sicuro. Aspetto tuttavia con impazienza un esperimento documentato come quello che ti ho consigliato (a scanso di equivoci: potrebbe non essere legale in Italia, attenzione!)

2.non hai detto quale exploit ha usato l'attaccante per prendere una shell di root sul tuo sistema, voglio dire.. se ha fatto un brute force perché avevi usato la password nimda... non sospetto ciò, è solo un esempio per dire che non significa nulla quello che hai detto: mi devi portare un esempio di un bug così assurdo e pericolo che è (stato) presente su altri sistemi server

IlTremendo ha detto...

sostenere che i virus sono presenti di più su windows perché sta sulla maggior parte di macchine è come sostenere che gli africani sono biologicamente più sensibili all'aids...
o ragà, se vogliamo usare i numeri, usiamoli correttamente, non cerchiamo di interpretare statistiche secondo le nostre opinioni.

Axel DominatoR ^^^ HC ha detto...

Uno spunto di riflessione nato dall'ultima risposta di Claudio.

Un utente medio ha bisogno di usare il pc per scopi molto semplici: controllare la posta, cercare informazioni, stampare documenti, etc etc. Un utente normale non ha il tempo ne' la voglia di capire come funziona esattamente tutto quanto. Questo significa che un'applicazione mirata per quella fascia di utenti puo' essere molto semplice. Una cosa semplice ha meno punti di "rottura", quindi e' potenzialmente piu' sicura. Ora spiegatemi, ad esempio, perche' mai un utente deve avere la possibilita' di eseguire del codice direttamente dal browser o dal client email. Mi riferisco ad Outlook e Internet Explorer, naturalmente. Perche' su MSN bastano uno o due *click* per far partire un eseguibile? No, non diamo la colpa sempre all'ingenuita' dell'utente. E' un problema di logica errata da parte di chi ha progettato il programma innanzitutto! Questi applicativi devono permettere, secondo il mio parere, esclusivamente di salvare il file. Avviare l'eseguibile dovrebbe essere possibile solamente dalla sua cartella. Questo darebbe un minimo di coscienza in piu' all'utilizzatore, che quantomeno sa di avviare un programma per sua volonta'. I maggiori problemi con i malware di windows sono dovute a semplificazioni *stupide* del sistema! Pensiamo ad esempio al fatto che windows nasconde le estensioni dei file. Quanti problemi ha causato questo? File che sono immagine.jpg.exe e che venivano mostrati solo come "immagine.jpg". DoubleClick. Virus.

Non facciamo paragoni poi tra i sorgenti di linux e windows, per favore. Stiamo parlando di un sistema che riesce a girare ovunque assieme a tutta una serie di programmi stabilissimi ( mi riferisco a linux e alla suite GNU che si possono trovare dal sistema embedded ai computeroni della NASA ) contrapposto ad un sistema che e' 10 volte piu' grosso ed ha neanche 1/10 delle funzionalita'.

Comunque, la differenza *piu' importante* tra tutte, secondo me, risiede nel fatto che linux non lo paghi! E' un sistema creato dalla comunita' per la comunita', senza garanzie. Se qualcuno ti entra nel pc non puoi prendertela proprio con nessuno! Windows lo paghi e anche profumatamente, quindi ti aspetti che sia un prodotto relativamente ben fatto e abbastanza sicuro ( come ad esempio Mac OS X, che e' anch'esso a pagamento ma e' decisamente piu' "coerente"), ma non lo e'!

E' come se comprassi un'auto nuova, ma te la vendono senza sedili e ogni 5.000km devi completamente sostituire il motore. Ah, e se per caso prendi una qualsiasi buca, anche piccola, perdi una ruota per strada...

Di chi e' la colpa? Del guidatore?

Claudio ha detto...

diciamo che chiudo qua =)

alcune risposte velocissime:
1) il legame tra share e virus è talmente lampante, e qui mi accodo a quanto detto da Roberto, che nel 2008 non ha nemmeno senso parlarne. Perchè? Perchè nel 2008 ci sono CLAMOROSI esempi. Potrei citare Symbian, tuttavia quello ancor più lampante è phpBB, il famoso sistema per forum. UN'APPLICAZIONE PER FORUM IN PHP, che è stata FLAGELLATA da dei virus, proprio perchè aveva raggiunto una popolarità tale da superare quella che è la massa critica.

già, perchè probabilmente qui si ignora i meccanismi alla base della diffusione dei virus, sia biologici che informatici: serve una densità di popolazione sufficiente, altrimenti il virus muore. Tra l'altro è anche facile arrivarsi con il ragionamento. Un virus ha una sua vita e una sua percentuale di successo nell'infettare un nuovo ospite. Se un virus (ripeto, biologico o informatico) ha una vita di 100 giorni e una percentuale di successo dell'uno per mille, se in quei 100 giorni l'ospite non entra in contatto per lo meno con altri 1000 soggetti il virus si estingue.

Tra l'altro fa anche ridere perchè la presunta "questione tecnica" legata ai virus è una bufala - qui si che dovresti indagare Paolo - che gira dalla notte dei tempi. Mi ricordo quando ai tempi di Win 95/98 si diceva che sulle architetture NT i virus non si potevano propagare (in virtù delle caratteristiche tecniche della famiglia NT): ed in effetti ne giravano veramente molto pochi, ma solamente perchè la diffusione di win nt era estremamente ridotta.

Ah, a proposito, altro esempio stupendo che lascia veramente poco spazio a dubbi:

come mai Windows XP e Vista a 64 bit sono molto meno soggetti al problema virus? Perchè sono scritti meglio? Ma va. Semplicemente perchè non sono diffusi. Potrei andare avanti con gli esempi: Windows XP / 200x per Itanium, e così via. Sempre lo stesso software, ma con una diffusione terribilmente più bassa: e i virus spariscono.

2) theDRaKKaR, continui a fare riferimento ad un episodio di un milione di anni fa, quando di episodi analoghi te ne potrei citare a migliaia e su tutte le piattaforme. Secondo te su Linux come mi sono entrati? Il punto è che dei progressi seri sul fronte sicurezza ci sono stati solo negli ultimi anni, tant'è che per citar bachi di questo tipo devi tornare molto indietro (a parte quello di Android, per cui scrivendo da qualsiasi parte - in un messaggio, in una nota e così via - un comando questo veniva eseguito in console).

Si può credere che i bachi (anche gravi) affliggano solo windows è solo perchè non si ha il minimo interesse a verificare come stanno davvero le cose. Non a caso nel CanSecWest, dove diversi team di hacker ed esperti di sicurezza si sono sfidati, il primo sistema a cedere è stato proprio un Mac con Mac Os X (anche Paolo ne scrisse: http://attivissimo.blogspot.com/2008/03/disfida-dei-sistemi-operativi-il-mac-il.html).

Per quanto riguarda lo scriptino, è una stupidata fatta davvero in una manciata di minuti giusto a scopo dimostrativo, che non si autodiffonde ma si limita semplicemente a piallarti il sistema. Questo serviva a far vedere come NELLA PRATICA basta ad un utente qualsiasi lanciare il binario sbagliato (e questo è semplice, con l'ingegneria sociale) per trovarsi col sedere per aria. Ovviamente il suo scopo è finito lì, non è una cosa che userò mai ma ti garantisco che di buone idee per fare un virus - sufficientemente longevo ed aggressivo che riesca a compensare il grave scoglio della bassa penetrazione di Os X - ne ho parecchie. Ho l'arroganza di dire che so come fare, solo che non ho nè l'intenzione nè le motivazioni nè il tempo per farlo (beh, di motivazioni una si: ammutolire tanta gente che parla a vanvera). Se però qualcuno volesse offrirmi una cifra adeguata, anche con il pagamento vincolato al raggiungimento dell'obiettivo, allora ci potrei pensare su. =)

E per inciso, no, nessun exploit, faccio tutto da utente limitato, ripeto: CHI L'HA DETTO CHE SERVE L'ACCESSO DA AMMINISTRATORE?


Axel DominatoR: le tue osservazioni risalgono ai tempi di windows 95/98. Se c'è una cosa fastidiosa di Outlook è che se ti mandano un eseguibile (o un file potenzialmente dannoso, come un documento che può contenere macro o quant'altro) te lo blocca a prescindere, non puoi nè aprirlo ma nemmeno salvarlo.

Se poi cerchi di eseguire un programma che hai scaricato da Internet o copiato da qualche parte se non è firmato digitalmente ti appare la finestrella che ti informa dei possibili rischi e ti chiede di confermare esplicitamente che lo vuoi davvero fare; quindi, se è un programma che richiede i permessi amministrativi (ad esempio perchè va installato), ti compare una nuova informativa e una nuova richiesta di conferma.

Insomma: oggi, nel 2008, è esattamente l'opposto di come dici tu, ovvero che di click te ne servono 10, non due. Tant'è che la critica più comune portata a Vista riguarda proprio l'invadenza dell'UAC che ti avverte ogni tre per due.

Roberto Scaccia ha detto...

@drakkar

Tu porti come esempio una vulnerabilità di Windows NT4? Ma lo sai quanto è cambiato Windows da allora? Evidentemente no, altrimenti non avresti portato questo esempio.

Comunque il "path directory traversal " (i tentativi che vedete nei log dei server con ../../windows/system32/cmd...." anche oggi, ecco un esempio)
è molto comuni in tutti gli ambienti ed in diversi browser.

La vulnerabilità in questione è attribuibile al Web Server e ad una scarsa gestione del controllo degli accessi sulla macchina. La scarsa gestione è attribuibile al SO solo per le impostazioni di default che comunque un buon amministratore di sistema non dovrebbe considerare trust.

E comunque cerchiamo di paragonare sistemi contemporanei e non NT4 con Ubuntu 8.10...

@tremendo

Secondo me vi fate fuorviare dal termine Virus. Qui non stiamo parlando di un virus biologico ma di programmi creati appositamente e per scopo di lucro (oggi) che usano tecniche simili ai virus biologici per la propagazione.

Visto che lo scopo è la maggior diffusione del "virus" nei sistemi maggiormente usati da utenti "entry level" e quindi con una scarsa conoscenza delle tematiche di sicurezza, mi sembra naturale che chi progetta il worm decida di sfruttare le vulnerabilità del sistema più diffuso.

Senza fare filosofia. Se tu fossi un cracker svilupperesti il worm per Solaris? Che te ne importa? Anzi sarebbe controproducente perché gli utenti di Solaris sono mediamente più preparati dei Windowssiano e quindi sarebbe controproducente.

La prima cosa che faresti è cercare qualche vulnerabilità in un software molto diffuso nel sistema più diffuso.

Ho come l'impressione che avete ancora l'immagine dell'hacker di War Games.

Sveglia! i tempi sono cambiati... Si parla di CyberWar, ci sono nuclei specializzati di agenzie governative che fanno spionaggio con tecniche di hacking.

Le guerre oggi si combattono anche dietro alle tastiere ed avere una predominanza del 90% di un SO su un altro fa molto comodo...

Personalmente sarei felice per uno share del 33% a Windows, Linux e Mac OS X, ma purtroppo non è così e ovviamente i "maligni" di turno ne approfittano.

Con Windows VISTA vi siete lamentati per lo UAC, ma allora cosa volete? Mi pare che sulla Ubuntu il meccanismo del SUDO sia analogo o no?

Non ci scordiamo che i sistemi oltre ad essere sicuri devono essere prima di tutto usabili che forse è la caratteristica di sicurezza più importante.

E comunque continuo ancora a sentire persone che confondono Windows 98 con Windows 2000 e che non ha ancora capito bene cosa siano le ACL, o per dirla meglio cosa sia controllo di tipo Discrezionale basato su ACL.

Forse prima di giudicare sarebbe il caso di studiare o no? Oppure c'è una nuova elite culturale che si giova della sua nicchia e si erige a duro e puro?

@Alex the Dominator

Ok facciamo un test. Prendiamo due sistemi Windows e Linux (VISTA e Ubuntu 8.10) e scegliamo 100 periferiche. Scommettiamo che VISTA ne riesce a gestire molte di più che Linux?

Gli utenti oggi NON fanno cose semplici con il PC. Si connettono ad Internet utilizzando un Modem ADSL (driver per il modem), si comprano una stampante multifunzione alla settimana (e quindi driver per la stampante), vanno al mare e si collegano dalla spiaggia con il telefonino UMTS (e quindi driver per il telefonino), utilizzano la WebCam sul PC per parlare con Skype (e allora altri driver).

Sebbene Ubuntu 8.10 sia sicuramente una eccezione sul mercato desktop mi sembra che abbia ancora molti problemi con le periferiche che Windows non ha (e parlo da utente Windows VISTA e Ubuntu 8.10).

Provate a connettere uno schermo esterno oltre al principale con una scheda ATI su Ubuntu 8.10. Riuscite a switchare sul secondo monitor? I forum sono pieni di problemi di questo tipo...

E' ovvio che i produttori di periferiche sono più invogliati dalle politiche commerciali e dallo "share" di Windows o no?

La vedo difficile, ma se si riuscisse a imporre lo sviluppo di driver open source forse il panorama cambierebbe.

Linux ha ancora molti problemi con le periferiche e se non raggiungerà la massa critica difficilmente li supererà.

Perché Mac OS X non ce li ha?

Semplice, sono 4 modelli di hardware mentre Windows e Linux li fate girare anche sul PC cinese senza marca con hardware sconosciuto...

GeekInfoSecurity

Axel DominatoR ^^^ HC ha detto...

Lasciamo le dispute di supporto periferiche per un'altra discussione, altrimenti si va un po' offtopic ( probabile lo siamo gia'? Me ne scuso... )

Settimanalmente io faccio da dottore a circa 5 o 6 pc diversi. La mia statistica finora ( avro' visitato piu' di 1000 pc ) e' che nessun pc con linux o mac os x ha mai avuto un'infezione da virus. Non sto parlando di statistiche astratte. Dati sul campo. Avro' visto almeno 30 pc linux e 10 pc Mac su 1000. Neanche uno.

Linux non ha utilizzatori "medi", per via di una sorta di selezione naturale: i 9/10 delle persone che mi chiedono di installare loro una qualsiasi distribuzione per provarla, poi tornano a windows nel giro di una settimana. Linux e' troppo "scomodo" ed hanno ragione. Mac OS X e' un sistema che *funziona*. Non ho mai visto un virus per Mac OS X. Sicuramente la percentuale di Mac che ho visto rispetto a pc windows e' molto inferiore, ma se guardiamo il numero di virus beccati dai Windows ci potrebbero essere stati anche benissimo uno o due virus per Mac. Zero.

Un mio amico possiede un LAN center con 30 computer. Nonostante le dovute contromisure, i sistemi aggiornatissimi con antivirus di ultima generazione, deve reinstallare da capo ogni pc almeno una volta ogni due settimane, perche' gli utenti navigano e prendono virus tranquillamente.

Secondo me un utente che vuole semplicemente accendere il pc appena comprato ed utilizzarlo senza preoccupazioni deve senz'altro acquistare un Mac. Non e' perfetto, certo, ma svolge il suo lavoro egregiamente e non rompe troppo le scatole. Questa e' naturalmente semplice la mia, soggettiva, opinione dovuta all'esperienza diretta su almeno un migliaio di pc.

IlTremendo ha detto...

linux scomodo? te non sai che lotte deve fare la mia ragazza con il firewall di xp per andare su internet. questa è solo una.
@scaccia: ti dimentichi che i server sono la maggioranza apache, quindi linux, e non vengono di certo attaccati da virus. i virus delle varie mafie servono a installare delle botnet sui pc domestici per attaccare appunto i vari server. dimmi te quello che c'hai capito finora.
@claudio: l'esempio che hai fatto tu non c'entra niente con i virus. un attacco mirato consente di entrare in una macchina, non di infettare 100.000 sistemi contemporaneamente. Se per sostenere le tue tesi inizi a portare esempi che non c'entrano niente, allora vuol dire che è inutile che continui a sostenerle...

Axel DominatoR ^^^ HC ha detto...

IlTremendo: condivido appieno il tuo punto di vista. Io uso solo linux dal 1996 come sistema operativo e mi trovo benissimo ( no, a dire la verita' ho anche un pc con BeOS/DexOS e un Amiga :D ). Solo cerco di essere abbastanza "super partes" quando sono in mezzo a queste discussioni delicate onde evitare le rapide degenerazioni che finiscono sul solito: e' meglio linux, e' meglio windows, e' meglio mac.

theDRaKKaR ha detto...

mi tiro fuori, troppa poca rigorosità e tanta tanta retorica (addirittura mi si taccia di non dover usare un esempio di bug di Windows perché.. troppo vecchio.. senza farmi l'esempio di un preciso bug così clamoroso su altri sistemi server..)
Pace e bene..

IlTremendo ha detto...

@axel: ho un dell mini, con ubuntu installata di default. sul desktop monto kubuntu 8.10. ci sono molte differenze, e non parlo di ambiente grafico: sul piccino è montato tutto, è stato utilizzabile appena tolto dalla scatola, invece sull'altro ho dovuto mettere le mani. Ecco, la differenza tra linux e windows per usabilità può essere questa. ma basta installare da soli windows per accorgersi che gli stessi problemi ci sono con il s.o. di casa ms.
conclusione: essendo veramente obiettivi, linux resterà poco usabile dagli utenti finche non verrà montato sui computer direttamente dalle case madri. basta questo per dimostrare che già oggi un s.o. basato su linux può essere superiore in usabilità.

Roberto Scaccia ha detto...

@iltremendo:

Che le botnet non le fanno per "propagarsi" sui server lo so benissimo. Se tu leggessi meglio forse capiresti.

Sanno bene che un server, qualunque SO abbia, ha delle misure di protezione (perimetrale e non solo) più elevate ed è quindi molto più difficile da attaccare sperando in un worm che si propaga sul server (e ci resta) facendolo diventare uno zombie.

Le botnet servono come scheletro di supporto per sferrare attacchi di tipo DDoS. Questi sì contro dei Web server. In questo modo il Web Server sa solo di essere stato messo fuori uso da una botnet e quindi con chi te la prendi?

E qui puoi avere quello che ti pare. Contro un DDoS fatto bene non c'è scampo.

E se ad essere attaccato non è un solo server ma tutti i server delle istituzioni di un paese allora puoi cominciare a parlare di CyberWar.

Se qualcuno ti deve attaccare il server in modo mirato per trafugarti dati o per farti un defacement, comincia con degli NMAP, un po' di footprinting, poi individua le versioni dei software, con ricerche sul web. Meglio se il software è opensource così mi guardo il codice ed individuo i buffer overflow probabili.

Faccio qualche test per vedere se dà errori e poi senza faticare vado sul sito di metasploit.org dove trovo tutti gli exploit che voglio per le vulnerabilità note.

Se poi voglio fare le cose in grande magari automatizzo gli attacchi sempre con Metasploit.

Ma certo non mi devo far scoprire e quindi lo devo fare da qualche macchina assolutamente non tracciabile, oppure un PC nell'università senza farmi vedere e con accesso privilegiato.

Lì mi può far comodo un Windows magari non patchato, etc. etc.

Poi se sei proprio bravo l'exploit te lo fai da te, etc. etc.

Mi sa che quello che non ha capito sei tu...

Poi quando dici he Linux è più usabile di Windows mi sa che non hai proprio presente di cosa si sta parlando.

Ti consiglio il post di Joel Spolsky dove parla di Linux e Windows.

Sintetizzando al massimo:

Linux è un sistema fatto dai programmatori per i programmatori

Windows è un sistema fatto dai programmatori per la Zia Pina.

Personalmente se devi fare le cose "user" uso Windows. Non mi va di perdere tempo.

Se devo fare hacking uso Linux.

Comunque a me le guerre di religione non mi piacciono. E questo vale anche per chi dice che Linux è meglio di Windows.

Ciao e cerca di capire meglio quello che leggi.

IlTremendo ha detto...

@scaccia: grazie, hai specificato quello che volevo ESATTAMENTE dire io sugli attacchi informatici: i pc degli utenti sono usati come grimaldelli. Gli altri metodi sono statisticamente irrilevanti, in quanto numero di truffati, ma quei pochi che ci rimettono fanno guadagnare abbastanza ai malintenzionati.
Quel post non lo leggo, non so nemmeno da quanto tempo è stato scritto. di certo da quello che sostieni mi accorgo che o usi una distro difficile da configurare, o non hai mai usato linux. ci sono determinati metodi per installare programmi su un ambiente linux, i più semplici sono di certo i gestori di pacchetti stile synaptic/adept, praticamente si rifanno al metodo plug&play (è una forzatura, ma serve a rendere l'idea).
Pensa invece a come si installano i programmi su windows... qual'è il più usabile? questa è l'unica differenza visibile ad un utente "zia pina". oltre al tempo risparmia anche in virus scampati, visto che i repository dove scaricare programmi sono certificati, a differenza di astalavista...

Roberto Scaccia ha detto...

@iltremendo:

>@scaccia: grazie, hai specificato
>quello che volevo ESATTAMENTE dire
>io sugli attacchi informatici: i
>pc degli utenti sono usati come
>grimaldelli.

Ok su una cosa siamo d'accordo.

>Gli altri metodi sono
>statisticamente irrilevanti, in
>quanto numero di truffati, ma quei
>pochi che ci rimettono fanno
>guadagnare abbastanza ai
>malintenzionati.

E anche su questo concordo.

>Quel post non lo leggo, non so
>nemmeno da quanto tempo è stato
>scritto.

Beh se ti riferisci al post di F-secure serviva solo per dimostrare che vulnerabilità simili sono presenti anche nei sistemi Linux. La data del post è secondaria.

>di certo da quello che sostieni mi
>accorgo che o usi una distro
>difficile da configurare, o non
>hai mai usato linux. ci sono
>determinati metodi per installare
>programmi su un ambiente linux, i
>più semplici sono di certo i
>gestori di pacchetti stile
>synaptic/adept, praticamente si
>rifanno al metodo plug&play (è una
>forzatura, ma serve a rendere
>l'idea).

E secondo te come li installo i pacchetti sulla Ubuntu? Apt-get o synaptic (che poi è un'interfaccia grafica di apt-get). Altrimenti vado di make...

Prova a far funzionare un telefonino GPRS sulla Ubuntu e poi me lo racconti se è così facile...

E poi tutto il mondo sa degli ENORMI problemi che Ubuntu (e non solo) ha con le schede grafiche ATI. Ma li leggi i forum oppure usi solo il terminale?

>Pensa invece a come si installano
>i programmi su windows... qual'è
>il più usabile? questa è l'unica
>differenza visibile ad un utente
>"zia pina". oltre al tempo >risparmia anche in virus scampati, >visto che i repository dove >scaricare programmi sono >certificati, a differenza di >astalavista...

Doppio click se hai i diritti necessari altrimenti ti attacchi. Certo è molto difficile

Probabilmente non hai mai incontrato gli "utenti" quelli con la U maiuscola che quando scrivono sulla tastiera usano un dito alla volta.
Poi magari non gli funziona qualche cosa e allora che fai? Gli dici di andarsi a modificare il file di configurazione del "psdjew09we0" nella directory etc (sempre che abbiano i diritti)?

Dai per cortesia...

Se mi parli di Mac OS X te lo scrivo con il sangue che è più usabile di Windows, ma le varie distro di Linux no.

Comunque se vuoi ti mando un portatile che con la Ubuntu 8.10 (con la 8.4 funzionava benissimo)
quando stacchi il mouse USB si freeza Gnome e sembra proprio che anche questo sia attribuibile ai driver ATI.

Comunque direi di terminare qui la nostra simpatica polemica perché penso che ulteriori messaggi non aggiungerebbero contenuto.

Ciao

IlTremendo ha detto...

@scaccia: hai ragione, non aggiungerebbe contenuto ma non hai risposto a quello che ti ho domandato: dove li prende i virus un utente linux all'atto di installare i programmi? bada bene che la modalità più diffusa di infettare un pc di un utente è far installare qualcosa spacciandolo per sicuro--> le varie utilities per windows e le relative "patch". già lì elimini gran parte del problema. perché non hai risposto a questa affermazione?

Anonimo ha detto...

gli nascondi l'icona di IE, installi firefox, e al collegamento sul desktop cambi l'icona mettendo quella di IE e il gioco è fatto...
Cmq su una cosa devo dare ragione a Orbo: utente declassato (usando un utente apposta per l'amministrazione del PC così eviti anche distrattamente di cliccare su "autorizza") e tanto tanto tanto buonsenso oltre ad un antivirus aggiornato e un buon firewall...

Dan ha detto...

Wow, non sapevo che sul blog avevamo così tanti hackeroni esperti, capaci di riuscire là dove tanti cracker hanno fallito: infettare migliaia di Mac...
Tutte le volte che si parla di bachi di windows e sistemi operativi differenti devono sempre saltar fuori i fanboy a gridare che non è vero, che è sicuro quanto gli altri, casomai sono gli altri che non sono sicuri come dicono e via dicendo.
Ormai non ho più nemmeno la voglia di rispiegare per l'ennesima volta che il mito del "windows è più bersagliato soltanto perchè è più diffuso" è quantomeno... impreciso.