Inqtana: altri worm per Mac OS X

[Fx]

Quote:

Originariamente inviato da the_guitar_of_son

ok, ma qui parliamo della home... io ti chiedevo se questo comando è in grado di cancellare senza password di admin directory e files al di fuori della mia home (sul quale posso agire indisturbato...)
è chiaro che nella mia home posso fare tutto e non è una vulnerabilità di unix...
ehehe nessuno userebbe un sistema dove per cancellare un file, rinominarloi, modificarlo, leggerlo, nella tua home ecc.. ti chiederebbe la password

no... guarda, è piuttosto semplice. te lo dico in parole povere - lasciate perdere l'aspetto prettamente tecnico, sto parlando di concetti. se le operazioni che fa ricorsivamente l'ormai famoso rm -Rf / le facesse un operatore umano farebbe qualcosa del genere:

1. vai nella root ( cd / )
2. cancella i file presenti senza che rm ti chieda nulla ( rm -f . )
3. guarda le directory che ci sono ed entra nella prima. se non ci sono directory presenti, vai su di un livello, tenta di cancellare la dir da cui sei uscito ed entra in quella successiva del livello sopra (che so, sei entrato in /bin, non ci sono subdir, torni su con cd .. , lanci un rmdir bin e quindi entri in /dev, ovvero quella dopo a /bin). torna al punto 2 e vai avanti finchè non ti sei passato tutte le directory.

ora, da utente limitato ti potrà capitare che:
1) non hai i permessi per entrare nella directory
2) non hai i permessi per cancellare i file

cosa succede in questi casi? che l'rm -Rf / non entra nella dir dove non può entrare e non cancella i file che non può cancellare, ma dopo di questo non lo ferma nessuno. mi spiego. metti il caso di una tipografia. hai un disco interno e 2 dischi esterni (invento eh) montati in /mnt/disco1 e /mnt/disco2, più una penna usb in /mnt/penna e una condivisione di rete in /mnt/discoremoto... bene, se lanci il comando in questione ti passerà in rassegna TUTTO L'UNIVERSO MONDO e arriverà a cancellarti SICURAMENTE:
il contenuto della tua directory home
il contenuto di /mnt/pippo e /mnt/pluto, sui quali hai necessariamente tutti i permessi, anche perchè ci lavori
il contenuto di /mnt/penna, perchè è in fat32
tutto ciò su cui hai i permessi in /mnt/discoremoto

se poi in giro c'è qualcuno che ha lasciato file con permessi sufficienti (che so, anche root che ha settato temporaneamente a 777 i permessi ad un file) in una directory in cui puoi entrare, vai tranquillo, viene piallato tutto e senza bisogno di password. perchè se ci fosse bisogno di password (ovvero non hai privilegi a sufficienza) semplicemente lascia perdere.

spero di esser stato chiaro. rm -Rf / ti passa in rassegna TUTTO, e cancella tutto il cancellabile. senza pass e senza interruzioni.

[bjt2]

Si, ma su windows anche se sei amministratore se cerchi di aprire in scrittura o cancellare un file già aperto da qualcun altro, non lo puoi fare... Già provato sulla mia pelle più volte: per esempio Matlab va in panne e su qualche file non si fa il fclose... Se non killi Matlab, col cavolo che lo cancelli. Oppure: ho attivato l'anteprima nelle cartelle. Sento un file wav e lo lacio selezionato. Uno script Matlab che lo vuole sovrascrivere non ci riesce. Oppure: apri un file con word e lascialo aperto. Prova a cancellarlo e vedi cosa ti dice...

[Criceto]

Quote:

Originariamente inviato da bjt2

Oppure: apri un file con word e lascialo aperto. Prova a cancellarlo e vedi cosa ti dice...

E anche se chiudi il file... prima che il sistema se ne accorge!!!
Tocca chiudere l'applicazione per farglielo capire.
Su OS X l'approccio è simile, ma funziona

[the_guitar_of_son]

Quote:

Originariamente inviato da Fx

spero di esser stato chiaro. rm -Rf / ti passa in rassegna TUTTO, e cancella tutto il cancellabile. senza pass e senza interruzioni.

ah... ora ho capito!
certo che un comando del genere sembra essere fatto apposta per un virus-writer!
in effetti se è in grado di cancellarti un disco esterno.. è un bel danno.
Per il resto cmq, un utente limitato non può cancellare nulla oltre la home, quindi il famoso comando si limiterebbe a piallare il cancellabile...

[Fx]

Quote:

Originariamente inviato da the_guitar_of_son

ah... ora ho capito!
certo che un comando del genere sembra essere fatto apposta per un virus-writer!

no, è che a qualsiasi comodità d'uso corrisponde una facilità nel fare danni. con un file di terminale fai tutto, ma pensa anche ad usare applescript o automator... in quattro e quattr'otto fai qualcosa che si replica via email.

Quote:

Originariamente inviato da the_guitar_of_son

in effetti se è in grado di cancellarti un disco esterno.. è un bel danno.

alla faccia... pensa se hai 400 GB di roba e usi, ad esempio, un altro disco esterno per fare backup... ti pialla entrambi

Quote:

Originariamente inviato da the_guitar_of_son

Per il resto cmq, un utente limitato non può cancellare nulla oltre la home, quindi il famoso comando si limiterebbe a piallare il cancellabile...

mmm non ho ben capito cosa intendi: cancella di tutto, la home, i dischi esterni, penne usb, ipod, i file sui quali ha permesso al di fuori di home (ci sono, ci sono), e così via... tutto tranne os e programmi, in soldoni

[the_guitar_of_son]

si, ma a questo punto non vedo come fare per poter evitare questo..
alla fine, qualunque programmino, file immagine, filmato, ecc.. potrebbe contenere uno script del genere..

[Fx]

Quote:

Originariamente inviato da the_guitar_of_son

si, ma a questo punto non vedo come fare per poter evitare questo..
alla fine, qualunque programmino, file immagine, filmato, ecc.. potrebbe contenere uno script del genere..

anche se non ci fosse il comando cmq potresti ottenere lo stesso risultato con poche righe di codice (poco più che una funzione ricorsiva)... ma qui il problema è quasi filosofico: se hai la libertà di azione, questa libertà può essere sfruttata sia per far qualcosa di utile sia per far qualcosa di dannoso.

il motivo per cui non c'è un os al sicuro dal malware è che un os è concepito per far girare il software: a livello di os non esiste la distinzione tra software "buono" o "cattivo". la soluzione è un software di sicurezza, che faccia questa distinzione per conto dell'utente, ad es. un antivirus.

pensare che ci possa esser un os "tecnicamente al sicuro" da malware è semplicemente una grande castroneria. o ha un sistema di protezione attivo o altrimenti, se permette all'utente di eseguire programmi, è esposto al rischio malware.

mac os x non fa eccezione. non c'è nessun dramma: è ovvio, non può che essere così.

[Galileo]

Quote:

Originariamente inviato da Fx

Bulfio: si, il blaster e il sasser erano un altro discorso... ma in tutta la sua storia XP non è che ne ha visti molti di worm "veri" come questo, oltre il fatto che un windows aggiornato era immune... insomma, il blaster rappresenta un'eccezione

tra un pò si arriverà a dire che alla fine anche se il malware presente di Windows si conta con 5 zeri non è così importante, giusto per eliminare le palesi differenze con gli altri SO in questo contesto

[Fx]

Quote:

Originariamente inviato da Galileo

tra un pò si arriverà a dire che alla fine anche se il malware presente di Windows si conta con 5 zeri non è così importante, giusto per eliminare le palesi differenze con gli altri SO in questo contesto

lascio a te le analisi prettamente quantitative, io tendo a prediligere quelle qualitative

[the_guitar_of_son]

Quote:

Originariamente inviato da Fx

anche se non ci fosse il comando cmq potresti ottenere lo stesso risultato con poche righe di codice (poco più che una funzione ricorsiva)... ma qui il problema è quasi filosofico: se hai la libertà di azione, questa libertà può essere sfruttata sia per far qualcosa di utile sia per far qualcosa di dannoso.

il motivo per cui non c'è un os al sicuro dal malware è che un os è concepito per far girare il software: a livello di os non esiste la distinzione tra software "buono" o "cattivo". la soluzione è un software di sicurezza, che faccia questa distinzione per conto dell'utente, ad es. un antivirus.

pensare che ci possa esser un os "tecnicamente al sicuro" da malware è semplicemente una grande castroneria. o ha un sistema di protezione attivo o altrimenti, se permette all'utente di eseguire programmi, è esposto al rischio malware.

mac os x non fa eccezione. non c'è nessun dramma: è ovvio, non può che essere così.

certamente (e penso che questo qualunque utente non sprovveduto lo sapesse già prima di comrare un mac), ma su windows almeno, non è che un antivirus mette al ripare l'os da questi espedienti...
quando ci fu il primo trojan (il famoso con le immagini di leopard, ndr..) feci diverse prove creando un bat che eliminava una directory appositamente in C:\Windows\System32, e di questo ne ho fatto una copia, mascherandola da documento word (quindi facilmente riconoscibile dagli antivirus)...
Bene, inviandolo via posta, via MSN, via IRC, via samba e via Web, in formato compresso, camuffato o originale, NOD32 non ha riconosciuto il pericolo..
In sostanza: da questi pericoli siamo TUTTI sulla stessa barca..
Secondo me l'unico sistema è creare un utente limitato che non possa usare il terminale (in osx è possibile, altrove non so.. e ovviamente se uno col terminale non ci lavora spesso): è cmq possibile eseguire questi wormetti, ma in questo modo si eludono cmq il 99% di queste merdine.
Ciò renderebbe possibile l'infezione solo ai malware più sofisticati...

Sui virus di windows avrei qualcosa da ridire
finora (e ripeto, finora) su mac si sono visti questo tipo di script, che tramite terminale eseguono certi comandi...
Di virus su windows ne esistono in grande varietà, e quelle 4 volte che avrò preso un virus non l'ho mai visto aprire prompt vari...

[Galileo]

Quote:

Originariamente inviato da Fx

lascio a te le analisi prettamente quantitative, io tendo a prediligere quelle qualitative

quando n ci sn i numeri, puoi metterla sul qualitativo quanto ti pare...tanto le proporzioni sn sotto gli occhi di tutti