domanda (semi)seria su Linux e gli antivirus

[insane74]

non linciatemi rispondendo subito "non esistono i virus per linux, capra!"

sappiamo che sono pochissimi, pochi sono "pericolosi" e quasi tutti sono evitabili con un minimo di accortezza.

mi è sorta un po' di curiosità a seguito delle recenti vicende di Linux Mint, i cui server sono stati hackerati (gli hanno sostituito l'iso con una contenente un rootkit, gli hanno "rubato" il db del forum con tutte le password degli utenti, e se ne sono accorti solo dopo un mese...).
ora, a parte la dabbenaggine di quelli di Mint (davvero "ingenui"), la domanda è questa: come si fa, su Linux, ad essere "sicuri" di avere una macchina "pulita"?

basta installare ClamAV (è valido come antivirus?), lanciare una scansione "full" e buona notte?

ho provato ad installarlo in una virtual (proprio con Mint). c'è un'interfaccia grafica (molto scarna) e, almeno in teoria, dovrei aver schedulato la scansione "full" ogni settimana e la protezione è "attiva" (nel monitoraggio risorse il "demone" c'è).
basta così o c'è da fare altro?

grazie.

PS: sono un po' paranoico perché un paio di anni fa mi clonarono la carta di credito durante un acquisto online (di fatto poi s'è scoperto che avevano bucato il server dove stavo facendo l'acquisto, non dipendeva "da me") e da quel giorno sul PC (con Windows) ho antivirus + antimalware (e ora pure anticryptolocker) sempre attivi con scansioni settimanali full e giornaliere "veloci".

[cdtux]

Per essere sicuro al 101% che la tua macchina non sia compromessa, la devi semplicemente staccare dalla rete (così come qualsiasi altro OS).

Su Gnu/Linux (inteso come utenza desktop) parlare di virus/malware & co non ha poi molto senso (attualmente), dato che la maggior parte del codice malevolo in generale non è utilizzato per fare la classica "pesca a strascico" (ovvero infettare una gran quantità di macchine con lo stesso codice), come avviene ad esempio su Windows, ma è generalmente mirato a pochi specifici target (server soprattutto).

Dire che non esistano "virus" per Gnu/Linux, equivale dire una cavolata (ci sono anche diversi cryptolocker multipiattaforma..), quello che conta però sono le probabilità di "incontrarne" qualcuno e questa probabilità (attualmente) è tendente allo 0 (la sicurezza assoluta non esiste).

Per essere sicuro al 99% che la tua macchina non sia infetta, devi fare attenzione da dove scarichi i software che utilizzi ( = devi stare attento ai vari ppa esterni e/o temi grafici/icone), avere una password di root robusta e stare attento ai permessi delle cartelle/file.
Clamav (che a quanto ne so è molto utilizzato sui mail/file server) è un buon antivirus, ma un po lento ad aggiornare le definizioni (io non lo uso più da anni, dato che le segnalazioni erano TUTTE dei falsi positivi).
Se non sbaglio anche kaspesky dovrebbe avere una versione linux dei suoi antivirus.
In aggiunta, ti segnalo anche Rootkit Hunter e/o Check Rootkit.

Una cosa da non sottovalutare in ambito sicurezza, è sicuramente il settaggio del firewall (vedi iptables).

[insane74]

Quote:

Originariamente inviato da cdtux

Per essere sicuro al 101% che la tua macchina non sia compromessa, la devi semplicemente staccare dalla rete (così come qualsiasi altro OS).

Su Gnu/Linux (inteso come utenza desktop) parlare di virus/malware & co non ha poi molto senso (attualmente), dato che la maggior parte del codice malevolo in generale non è utilizzato per fare la classica "pesca a strascico" (ovvero infettare una gran quantità di macchine con lo stesso codice), come avviene ad esempio su Windows, ma è generalmente mirato a pochi specifici target (server soprattutto).

Dire che non esistano "virus" per Gnu/Linux, equivale dire una cavolata (ci sono anche diversi cryptolocker multipiattaforma..), quello che conta però sono le probabilità di "incontrarne" qualcuno e questa probabilità (attualmente) è tendente allo 0 (la sicurezza assoluta non esiste).

Per essere sicuro al 99% che la tua macchina non sia infetta, devi fare attenzione da dove scarichi i software che utilizzi ( = devi stare attento ai vari ppa esterni e/o temi grafici/icone), avere una password di root robusta e stare attento ai permessi delle cartelle/file.
Clamav (che a quanto ne so è molto utilizzato sui mail/file server) è un buon antivirus, ma un po lento ad aggiornare le definizioni (io non lo uso più da anni, dato che le segnalazioni erano TUTTE dei falsi positivi).
Se non sbaglio anche kaspesky dovrebbe avere una versione linux dei suoi antivirus.
In aggiunta, ti segnalo anche Rootkit Hunter e/o Check Rootkit.

Una cosa da non sottovalutare in ambito sicurezza, è sicuramente il settaggio del firewall (vedi iptables).

ok grazie.
ovvio che l'unico PC sicuro è un pc spento, staccato dalla rete e dalla corrente!

è che ho letto anche di cryptolocker che agiscono direttamente via browser (tramite javascript, quindi "multi piattaforma").
immagino che in questo caso se riescono ad "aggirare" le (eventuali?) protezioni del browser potrebbero tranquillamente criptare la home ed eventualmente tutte le share (penso alle classiche share samba) cui l'utente loggato ha accesso...

mi interessava appunto sapere se c'era qualche protezione "attiva" tipo windows (antivirus/antimalware sempre "in monitoraggio" oltre che le classiche scansioni "programmate").
darò un occhio ai programmi che hai suggerito.

[EmBo2]

Quote:

Originariamente inviato da insane74

è che ho letto anche di cryptolocker che agiscono direttamente via browser (tramite javascript, quindi "multi piattaforma").

Pochi. La maggior parte arriva con le classiche email di phishing e sono dei file .exe opportunamente confezionati.
Con linux i ransomware hanno molta piu' difficoltà ad agire, per tutta una serie di ragioni. Se agiscono, lo fanno sfruttando falle nei software (flash... ) o sfruttando exploit di privilege escalation.

Tieni conto che i principali attacchi verso computer con Linux sono mirati e diretti verso postazioni server, sfruttando falle presenti in sistemi come wordpress.

[insane74]

Quote:

Originariamente inviato da EmBo2

Pochi. La maggior parte arriva con le classiche email di phishing e sono dei file .exe opportunamente confezionati.
Con linux i ransomware hanno molta piu' difficoltà ad agire, per tutta una serie di ragioni. Se agiscono, lo fanno sfruttando falle nei software (flash... ) o sfruttando exploit di privilege escalation.

Tieni conto che i principali attacchi verso computer con Linux sono mirati e diretti verso postazioni server, sfruttando falle presenti in sistemi come wordpress.

si, si, infatti so che ha più "senso" per un malintenzionato di turno attaccare un server linux piuttosto che un desktop Linux, ma appunto vista la mia "paranoia" e tutto quello che ho fatto in ambito Windows, volevo togliermi lo sfizio/curiosità di capire lato Linux (desktop) cosa si poteva eventualmente fare.

PS: da ubuntu 7.04 alla 11.04 non ho usato altro OS a casa e non ho mai sentito bisogno di un antivirus. è solo la paranoia degli ultimi mesi: in ufficio, Win7, Symantec Endpoint Protection, mi sono beccato un cryptolocker e mi ha fottuto la macchina fisica e una VM (che aveva il disco condiviso). ovviamente nessun backup per i pc (solo dei server) e quindi ho perso tutto. .
mi dovesse succedere a casa con i 13TB di dati che ho sul raid5... mi sparo!

[cdtux]

Quote:

Originariamente inviato da insane74

ok grazie.
ovvio che l'unico PC sicuro è un pc spento, staccato dalla rete e dalla corrente!

è che ho letto anche di cryptolocker che agiscono direttamente via browser (tramite javascript, quindi "multi piattaforma").
immagino che in questo caso se riescono ad "aggirare" le (eventuali?) protezioni del browser potrebbero tranquillamente criptare la home ed eventualmente tutte le share (penso alle classiche share samba) cui l'utente loggato ha accesso...

mi interessava appunto sapere se c'era qualche protezione "attiva" tipo windows (antivirus/antimalware sempre "in monitoraggio" oltre che le classiche scansioni "programmate").
darò un occhio ai programmi che hai suggerito.

Non vorrei dire una cavolata, ma antivirus con protezione real-time non credo esistano per linux.

[insane74]

Quote:

Originariamente inviato da cdtux

Non vorrei dire una cavolata, ma antivirus con protezione real-time non credo esistano per linux.

mi pare ci sia Comodo.

https://www.comodo.com/home/internet...irus-for-linux

[cdtux]

Quote:

Originariamente inviato da insane74

mi pare ci sia Comodo.

https://www.comodo.com/home/internet...irus-for-linux

Come non detto..
Grazie per la info

[sacarde]

Quote:

Originariamente inviato da cdtux

...
In aggiunta, ti segnalo anche Rootkit Hunter e/o Check Rootkit.
...

simile:

- tiger (http://www.nongnu.org/tiger)
descrizione : A security scanner, that checks computer for known problems. Can also use tripwire, aide and chkrootkit




p.s.
http://wiki.ubuntu-it.org/Sicurezza/Malware

[mykol]

Non sono un tecnico di queste cose ma selinux ?

[insane74]

Quote:

Originariamente inviato da mykol

Non sono un tecnico di queste cose ma selinux ?

non penso che impedirebbe ad un programma che gira con l'utente loggato di criptargli la home. come saprebbe che non è "lecito"? (domanda da ignorante)

in fondo io potrei aprire un terminale, zippare con password tutta la mia home e poi cancellare tutti i file. non credo che SELinux possa intervenire. è un'azione "lecita" (anche se folle! ).
un eventuale javascript che il browser non riesce a "bloccare" (0-day o altra falla) avrebbe accesso alla home (quanto meno) e quindi...

PS: sempre imho, ovviamente. non ne so abbastanza per essere sicuro di quello che ho scritto sopra.

[pabloski]

Quote:

Originariamente inviato da insane74

non penso che impedirebbe ad un programma che gira con l'utente loggato di criptargli la home. come saprebbe che non è "lecito"? (domanda da ignorante)

I sistemi MAC consentono d'implementare una serie arbitraria di regole estremamente granulari. Ad esempio puoi stabilire che solo tre programmi abbiano diritto a modificare la home ( lo so che poi non potresti praticamente usare il computer ). Oppure puoi creare un contesto, per cui un file creato in una certa parte del filesystem diventa inaccessibile se copiato da qualche altra parte. Ma il setup delle regole non è cosa banale!!

Ma se hai paranoie riguardo la sicurezza, allora considera di sfruttare i namespace per sandboxare le applicazioni. Un metodo semplice è usare firejail, ma ci sono altre iniziative ( in vario stato di sviluppo ) che mirano ad implementare meccanismi di sandboxing che costringano ogni applicazione ad accedere solo a specifiche parti del filesystem.

Altro meccanismo usato da alcune dietro come Alpine e Gentoo Hardened è Grsecurity/Pax. Si tratta di meccanismi che irrobustiscono l'intero stack software, a partire dal kernel fino ai permessi sul filersystem.

Quote:

Originariamente inviato da insane74

un eventuale javascript che il browser non riesce a "bloccare" (0-day o altra falla) avrebbe accesso alla home (quanto meno) e quindi...

Dipende dal browser. Chrome sfrutta i namespace, per cui è estremamente improbabile che un exploit riesca a bucare totalmente la sandbox e avere accesso al filesystem sottostante.

Comunque rkhunter è un ottimo programma per la scansione dei rootkit ( che sono poi i più diffusi sotto linux ). In alternativa ci sono gli antivirus di tutte le case più famose, da Symantec a AVG http://www.av-comparatives.org/wp-co...ux_2015_en.pdf

Se proprio sei paranoico al massimo, puoi considerare di usare FreeBSD, per il quale non esistono malware di pubblico utilizzo e per pc ( se hai pestato i piedi alla NSA te ne creano uno su misura, non temere ).

[insane74]

Quote:

Originariamente inviato da pabloski

I sistemi MAC consentono d'implementare una serie arbitraria di regole estremamente granulari. Ad esempio puoi stabilire che solo tre programmi abbiano diritto a modificare la home ( lo so che poi non potresti praticamente usare il computer ). Oppure puoi creare un contesto, per cui un file creato in una certa parte del filesystem diventa inaccessibile se copiato da qualche altra parte. Ma il setup delle regole non è cosa banale!!

Ma se hai paranoie riguardo la sicurezza, allora considera di sfruttare i namespace per sandboxare le applicazioni. Un metodo semplice è usare firejail, ma ci sono altre iniziative ( in vario stato di sviluppo ) che mirano ad implementare meccanismi di sandboxing che costringano ogni applicazione ad accedere solo a specifiche parti del filesystem.

Altro meccanismo usato da alcune dietro come Alpine e Gentoo Hardened è Grsecurity/Pax. Si tratta di meccanismi che irrobustiscono l'intero stack software, a partire dal kernel fino ai permessi sul filersystem.



Dipende dal browser. Chrome sfrutta i namespace, per cui è estremamente improbabile che un exploit riesca a bucare totalmente la sandbox e avere accesso al filesystem sottostante.

Comunque rkhunter è un ottimo programma per la scansione dei rootkit ( che sono poi i più diffusi sotto linux ). In alternativa ci sono gli antivirus di tutte le case più famose, da Symantec a AVG http://www.av-comparatives.org/wp-co...ux_2015_en.pdf

Se proprio sei paranoico al massimo, puoi considerare di usare FreeBSD, per il quale non esistono malware di pubblico utilizzo e per pc ( se hai pestato i piedi alla NSA te ne creano uno su misura, non temere ).

grazie per le info.

quanto alla parte in grassetto, no, non credo di interessargli!
vorrei solo evitare un altro cryptolocker di merd@ (sul pc dell'ufficio m'è bastato) e visto che prevenire è meglio che curare, non volevo "adagiarmi sugli allori" dando per scontato che linux=no problem (come spesso anche su questo forum si sente dire).

[pabloski]

Quote:

Originariamente inviato da insane74

linux=no problem (come spesso anche su questo forum si sente dire).

E' vero dal punto di vista pratico, dato che a nessuno ( fino ad oggi ) è venuto in mente di lanciare una campagna d'infezione di pc linux ( come successo ieri a quelli windows http://arstechnica.com/security/2016...to-ransomware/ ).

Non è vero dal punto di vista prettamente tecnico. Tant'è che di ransomware che girano su server linux se n'è visto già uno.