pc con vista e xp ed intrusi

[magdis]

se un pc con i due sistemi operativi viene attaccato dall'esterno con virus o rootkit o altro, vengono danneggiati automaticamente entrambi i SO?
il banking non è più sicuro in entrambi i sistemi operativi o solo in quello attaccato direttamente? domanda molto semplice per chi sa la risposta ma per me no. C'è qualcuno che mi può tranquillizzare? grazie

[WebWolf]

Devo fare lezione pure in gerie

La sicurezza non esiste.

Esistono diversi gradi di insicurezza.

E questi gradi NON dipendono dall'hardware o dal software, ma dall'user, dall'utente. Cioè da noi.

Se si accetta qusto punto di partenza, ogni sistema diventerà attaccabile solo con estrema difficoltà.
L'errore che si commette è quelo di demandare la sicurezza a terzi: uso Unix in gabbia chroot con algorittmo aes a 1024 bit. La password di root è : pippo ... Azz, bravo !

E' ovvio che se provano ad antrare, se non è al primo tentativo, sarà al secondo, alla faccia di AES.
Se invece la password è alb61nmx_$67 (la password è reale, non vi dico dove l'ho .. ) già è più difficile 'indovinarla'.

Tornando alla domanda del topic:

E' più pericoloso che ci rubino il portafogli o le chiavi di casa ? Io dico la 2, soprattutto se non ce ne accorgiamo.

Ammettendo che Linux non sia soggetto a virus, su Windows dipende quale virus prendiamo.
Anni fa esistava whirpool (una cosa così) che ti faceva apparire un vortice sul desktop di win98. Una rottura di balle e basta.
Sempre in quegli anni uscì melissa. Appiedò tanti mail server da mettersi a piangere. Con effetti disastrosi.

Per quanto riguarda l'home banking, la sicurezza dipende dalle prime righe che ho scritto. E soprattutto dalla banca (connessione https, algoritmo di criptaggio, eventuali keylogger, pagine fake, mail fake ecc).

Oppure fate come me: ho solo la visualizzazione. Se mi ciuffano la password, riescono solo a vedere quanti euros mi rimangono a fine mese nel conto.

Al massimo posso chiedere di mettere il tasto: 'Donate'

[magdis]

ti ringrazio. tuttavia la domanda riguarda il caso in cui l'intrusione sia avvenuta.
Assodato che prevenire è sempre meglio, ma se il keylogger lo beccassi con vista, verrebbero danneggiati anche XP e Linux? Si danneggerebbero anche gli altri Hard disk, interni o esterni? questo perchè voglio capire se conviene avere + sistemi operativi, + HD esterni o interni, proprio per diminuire le possibilità. Almeno ci provo
ti ringrazio, webwolf

[wisher]

Quote:

Originariamente inviato da magdis

ti ringrazio. tuttavia la domanda riguarda il caso in cui l'intrusione sia avvenuta.
Assodato che prevenire è sempre meglio, ma se il keylogger lo beccassi con vista, verrebbero danneggiati anche XP e Linux? Si danneggerebbero anche gli altri Hard disk, interni o esterni? questo perchè voglio capire se conviene avere + sistemi operativi, + HD esterni o interni, proprio per diminuire le possibilità. Almeno ci provo
ti ringrazio, webwolf

Dato che il sistema operativo in esecuzione è solo 1 alla volta e che il sistema in esecuzione ha pieno accesso ai dischi credo che potrebbe attaccare anche gli altri sistemi. Non sono a conoscenza di nessun malware che lo faccia, ma la cosa non è tanto difficile da ipotizzare:
Prendi un virus su XP. Questo si accorge che in un'altra partizione c'è un altro sistema operativo. Dato che ha accesso al disco potrebbe scrivere un eseguibile direttamente sulla partizione dell'altro OS e mettere il file in esecuzione automatica. E' un po' laborioso, ma credo che non ci siano grossi impedimenti tecnici nel farlo. Penso che non sia una tipologia di virus diffusa solo perchè poche persone hanno multi-boot.

In ogni caso ricorda che la sicurezza di un sistema è pari a quella del suo componente meno sicuro.

[magdis]

in definitiva: meglio due pc separati, con unico router per collegamento a internet, ma usarne uno esclusivamente per il banking....e che Dio me la mandi buona!!!! è giusto così?

[WebWolf]

@Wisher

peccato che gli 'eseguibili' su Linux hanno un senso diverso che su windows.

Per rendere eseguibile un file occorrono le autorizzazioni di root (o dell'user a cui appartiene il file), mentre davvero, se esce un virus che è in grado di mettere in esecuzione automatica su linux anche solo un echo con 'Hello World' ... strappo laurea, certificazioni cisco, patente nautica (!), mi taglio la barba (!!) e ... e ... divento Microsoft Certified ... (questo è la più grossa )

Tradotto: se un virus ti infesta Windows ci sono 0.01% di possibilità che faccia danni anche a un Linux sulla stesso disco. Discorso diverso se ho un sistema di storage linux che contiene un virus. Se con windows accedo a quell' storage allora il rischio è reale (classico caso di un files server linux al quale accedono dei windows: l'antivirus su linux non serve per linux, ma come 'anticrittogamico' per i wins.

[magdis]

Era la conferma che volevo!!!!
il mio modestissimo parere:
Linux: (Fedora 7 oppure Ubuntu) sono UN CAPOLAVORO.
Windows Vista è sicuro principalmente per Microsoft!!
XP lo toglieranno dalla circolazione perchè fa sfigurare l'ultimo arrivato.
Grazie infinite e se avete ancora consigli, sono ben accetti. Ciao

[patel45]

Ormai moltissime banche utilizzano i token, generatori di password, oppure altri sistemi analoghi che ti permettono di cambiare passw ad ogni accesso ed a ogni operazione. Qualsiasi intrusione non può più fare danni.

[WebWolf]

Quote:

Originariamente inviato da magdis

Era la conferma che volevo!!!!
il mio modestissimo parere:
Linux: (Fedora 7 oppure Ubuntu) sono UN CAPOLAVORO.
Windows Vista è sicuro principalmente per Microsoft!!
XP lo toglieranno dalla circolazione perchè fa sfigurare l'ultimo arrivato.
Grazie infinite e se avete ancora consigli, sono ben accetti. Ciao

Se vuoi ti dico come faccio io quando devo 'addentrarmi' in meandri della rete di cui è ignota la sicurezza: uso una bella live (tipo DSL o Slax) e che tentino pure di corrodermi il sistema (su un cd è dura scrivere ....). Poi quando uno ha terminato, spegne tutto e qualunque cosa fosse in ram... puffete !

[wisher]

Quote:

Originariamente inviato da WebWolf

@Wisher

peccato che gli 'eseguibili' su Linux hanno un senso diverso che su windows.

Per rendere eseguibile un file occorrono le autorizzazioni di root (o dell'user a cui appartiene il file), mentre davvero, se esce un virus che è in grado di mettere in esecuzione automatica su linux anche solo un echo con 'Hello World' ... strappo laurea, certificazioni cisco, patente nautica (!), mi taglio la barba (!!) e ... e ... divento Microsoft Certified ... (questo è la più grossa )

Tradotto: se un virus ti infesta Windows ci sono 0.01% di possibilità che faccia danni anche a un Linux sulla stesso disco. Discorso diverso se ho un sistema di storage linux che contiene un virus. Se con windows accedo a quell' storage allora il rischio è reale (classico caso di un files server linux al quale accedono dei windows: l'antivirus su linux non serve per linux, ma come 'anticrittogamico' per i wins.

Scusa, non capisco come mai tu abbia tutta questa sicurezza.
Prendi ad esempio le note al driver per poter operare con Windows su partizioni EXT2. I permessi in lettura e scrittura non sono mantenuti, quindi è possibile leggere e scrivere un qualisasi file su disco.
http://www.fs-driver.org/faq.html#acc_right_limit
è anche vero che con tale driver i file creati non hanno l'attributo X, però non mi sembra un grosso problema modificarli in modo da poter settare anche quell'attributo e giocare con i permessi, non credi?

In definitiva basterebbe:
-compromettere windows XP (se si riesce ad installare un keylogger non credo ci siano problemi a installare un driver per accedere al filesystem)
-scrivere uno script e mettere l'attributo X con il driver modificato
-andare a modificare i file di avvio affinchè eseguano anche lo script malevolo

Non dico che sia la cosa più semplice da fare, però non mi sembra così impossibile.

[WebWolf]

Quote:

Originariamente inviato da wisher

Scusa, non capisco come mai tu abbia tutta questa sicurezza.
Prendi ad esempio le note al driver per poter operare con Windows su partizioni EXT2. I permessi in lettura e scrittura non sono mantenuti, quindi è possibile leggere e scrivere un qualisasi file su disco.
http://www.fs-driver.org/faq.html#acc_right_limit
è anche vero che con tale driver i file creati non hanno l'attributo X, però non mi sembra un grosso problema modificarli in modo da poter settare anche quell'attributo e giocare con i permessi, non credi?

In definitiva basterebbe:
-compromettere windows XP (se si riesce ad installare un keylogger non credo ci siano problemi a installare un driver per accedere al filesystem)
-scrivere uno script e mettere l'attributo X con il driver modificato
-andare a modificare i file di avvio affinchè eseguano anche lo script malevolo

Non dico che sia la cosa più semplice da fare, però non mi sembra così impossibile.

OK.

Intanto il virus deve conoscere che esiste un sistema Linux.

In secondo luogo deve 'scrivere' il codice malevolo da qualche parte. E già qui incontriamo i primi problemi, perchè deve fare una scansione dell'intero sistema per cercare le directory 777. Una volta che si è scritto in questa directory si rende eseguibile con chmod mmmm ...

usare un command chmod da windows ... beh sì, se apre una sessione ssh può farcela. Ma prima occorre individuare un nome utente ed una password per accedere secondo tale via. Oppure tramite ftp su loopback, ma sempre una password e un user deve conoscere. Facciamo pure che l'ftp è impostato in modo dummy (cioè senza user e passwd).

ok, ora il codice è in una cartella, tipicamente /home/condivisa ed è stato reso eseguibile (e già arrivare qui o si è dei o il file ce l'hanno messo prima).

A questo punto, sempre da una sessione windows, occorre andare a scrivere in etc/init.d/rc (o una delle sue innumerevoli variabili, quindi il virus deve anche conoscere l'architettura del files system di ogni distribuzione linux), ovviamente tutto come root. E torniamo al discorso di prima. Serve un ssh o un telnet, autenticarsi come root, scrivere e salvare la riga che farà partire in automatico il mio bel codice malevolo.

Più semplice metterlo nelle 'preferenze' di autostart del singolo utente. Ma anche qui occorre conoscere il nome utente (linux), la password, il sistema utilizzato (es in suse è qui: /home/username/.kde/Autostart), con tutte le complicazioni di prima.

Ora finalmente Linux è stato compromesso !

Al primo avvio le fiamme dell'inferno mi avvolgeranno il pc e lo manderanno in fumo.

Ci sarà un motivo perchè dal 1992 (circa la nascita di Linux) nessuno c'è mai riuscito a fare una cosa del genere ?


P.S:
Nella mia risposta ho dato per scontato che chi ha posto la domanda conosca perfettamente l'architettura e le policy di un file system linux.

[wisher]

Il discorso è un altro. Nel momento in cui c'è in esecuzione un altro OS, questo ha il controllo completo dell'hard-disk, comprese le partizioni di altri sistemi. Non è necessario che si appoggi ai servizi di Linux per poterlo compromettere. E' sufficiente che scriva dei file su disco, come de fossero dei normalissimi file.
Se è possibile compromettere dei sistemi virtualizzati andandone a intaccare la memoria (Cerca BluePill) non vedo perchè mai non dovrebbe essere possibile intaccare un sistema non in esecuzione ma solo presente su una partizione dell'hard disk.

p.s.
Forse c'è una soluzione contro attacchi di questo tipo, cifrando l'hard disk penso che attacchi di questo tipo non siano realizzabili.

[WebWolf]

Windows non vede le partizioni Linux come Linux non vede le partizioni windows (a meno di installare tool com ntfs3g o ext2fsd) o usare una partizione di scambio in fat32.

Per la virtualizzazione è diverso: il sistema virtualizzato risiede in uno spazio fisico all'interno della partizione del sistema operativo principale.

P.S:
Blue Pill riguarda Windows Vista 64bit con tecnologia AMD Pacifica e poi:

Quote:

Rutkowska ha voluto ribadire che la tecnologia Blue Pill non sfrutta nessun bug software del sistema operativo sottostante. "Ho implementato un prototipo funzionate per Vista x64, ma non vedo alcun motivo per il quale non si possa eseguire il porting del codice per altri sistemi operativi, come Linux o BSD, che possono girare su piattaforme x64".

Il motivo lo vedo io: sta nel modo in cui Linux/Unix/Bsd intendono la proprietà e i permessi legati ai files. Quando riuscirà a fare il porting avrà i miei complimenti.

Poi è sempre il solito discorso: se uno ha un Linux tutto a 777 ... merita di essere hackerato.

[sirus]

Quote:

Originariamente inviato da WebWolf

Windows non vede le partizioni Linux come Linux non vede le partizioni windows (a meno di installare tool com ntfs3g o ext2fsd) o usare una partizione di scambio in fat32.

Appunto, l'esempio di wisher si basava sulle possibilità di accesso alla partizione dell'altro sistema operativo. E come spesso (sempre?!) accade quando si parla di sicurezza se si dispone dell'accesso fisico: GAME OVER!

Quote:

Originariamente inviato da WebWolf

Per la virtualizzazione è diverso: il sistema virtualizzato risiede in uno spazio fisico all'interno della partizione del sistema operativo principale.

P.S:
Blue Pill riguarda Windows Vista 64bit con tecnologia AMD Pacifica e poi:

Il motivo lo vedo io: sta nel modo in cui Linux/Unix/Bsd intendono la proprietà e i permessi legati ai files. Quando riuscirà a fare il porting avrà i miei complimenti.

Poi è sempre il solito discorso: se uno ha un Linux tutto a 777 ... merita di essere hackerato.

Ora esiste una versione di BP (NBP) con supporto anche alla tecnologia di virtualizzazione di Intel e, cosa ancora più interessante, con supporto al nesting, inoltre al gruppo di lavoro si sono appena aggiunti degli esperti Linux (JR sostiene di non essere molto avvezza all'ambiente) quindi immagino che ci saranno sviluppi.

In questo periodo stanno debuttando degli hypervisor rootkit che sono indipendenti dal sistema operativo, quindi tutti possono essere compromessi.

PS: se una persona utilizza Windows come Administrator merita la fucilazione come chi usa un sistema UNIX con permessi 777.

[WebWolf]

Eh, già, è una sporca guerra, ma qualcuno deve combatterla.

In fondo non fai che confermare il primo mio post: solo un server spento è sicuro al 100%. Ogni funzione che viene aggiunta ad un sistema operativo non fa altro che aggiungere un margine di insicurezza.
Il gioco è rendere minimo questo margine. Per questo ci sono gli Amministratori di Rete e quelli che 'usano' i server.

Riguardo alle pillole blu e rosse di Matrix, quello che mi lascia più perplesso è il fatto di essere 'invisibili': se riescono a nascondersi perfino ad un ps aux, o a occultare l'uso della cpu o l'utilizzo della connessione di rete a tool come wireshark ... beh tanto di cappello. Io lo trovo molto fantascientifico.

Saranno bravi quelli che operano dal 'lato oscuro' della forza, ma anche dall'altro lato qualcuno con i controco...ioni c'è.

[sirus]

Infatti, l'unica macchina sicura è una macchina spenta.
Per quanto riguarda NBP direi che il lavoro fatto è notevole se consideriamo che le dimensioni del rootkit sono veramente ridicole (qualche centinaio di KB di codice) e trovi veramente molte informazioni sul perché il rootkit in questione sia non rilevabile con tecniche normali.

[WebWolf]

Quote:

Originariamente inviato da sirus

Infatti, l'unica macchina sicura è una macchina spenta.
Per quanto riguarda NBP direi che il lavoro fatto è notevole se consideriamo che le dimensioni del rootkit sono veramente ridicole (qualche centinaio di KB di codice) e trovi veramente molte informazioni sul perché il rootkit in questione sia non rilevabile con tecniche normali.

Ho terminato ora di leggermi la presentazione IsGameOver.ppt (e già chi mi fa una presentazione in Power Point e non in pdf non ha la mia stima !) dal sito: http://bluepillproject.org/

A parte che la maggior parte delle loro affermazioni sono solo 'idee' che sulla carta funzionano, ma in pratica bisogna vedere.

Comunque il punto di forza è che su un sistema in cui sia presente un software di virtualizzazione, NBP è quasi impossibile da rilevare.

Ma su un sistema in cui non c'è software virtualizzato, i loro metodi per non essere individuati (occultare le tabelle dei processi, non creare picchi di uso della cpu, nascondere la scansione della memoria, auto-ibernarsi quando si tenta di individuarlo con un anti-rootkit), mi facevano pensare davvero a Matrix.

Oltre il fatto che tutta la presentazione faceva riferimento a Vista x64 e partiva dal presupposto che in un sistema con driver 'poorly written' è facilissimo installare dei rootkit (bravi ! ).

Mi ha fatto morire la parte in cui hanno acquisito la certificazione Vista per un loro driver per 250 $ facendo tutto via internet !!!

Beh, buono a sapersi: stiamo in campana.

[sirus]

Quote:

Originariamente inviato da WebWolf

Oltre il fatto che tutta la presentazione faceva riferimento a Vista x64 e partiva dal presupposto che in un sistema con driver 'poorly written' è facilissimo installare dei rootkit (bravi ! ).

Io direi che la maggior parte dei driver è "poorly written" quindi il discorso regge.
In generale, con i sistemi del giorno d'oggi, è difficile essere bucati se non passando da componenti esterne (vedi browser o plug-in per browser) quindi ci sta che un attacco cominci dalle componenti aggiuntive (anche da un hypervisor).

EDIT: altrimenti si fa la stessa fine dal CanSec, nel primo giorno in cui c'era solo il sistema operativo installato e configurato nessuno è riuscito a fare nulla.