Master Boot Record rootkit, a volte ritornano

[Dott.Wisem]

Quote:

Originariamente inviato da mjordan

Quali?

Ad esempio:
- DEP attivato di default per tutti i programmi.
- Patchguard (protezione dalla modifica del kernel).
- Driver Signing (i driver devono essere firmati digitalmente, altrimenti non si installano).
- Lo schema di protezione ALSR è più efficace in sistemi a 64bit, grazie al maggiore spazio di indirizzamento.

[smoq]

Quote:

ma in linea teorica potrei mandare uno script maligno ad un utente (che cmq dovrebbe renderlo eseguibile) con un comando che tramite sudo cancelli il contenuto della directory home dell'account utente loggato.
Ma sudo, com'è configurato di solito in Ubuntu, chiede la password dell'utente per concedere i privilegi di root, quindi l'utente dovrebbe anche inserire la sua password. Sarebbe come il virus albanese

Comunque davvero pochi dettagli in questo articolo, sembra quasi FUD.

a dirla tutta non c'è nemmeno bisogno del super user in questo caso. se mi mandassero un .sh già reso eseguibile a priori (non vedo perché non possa essere eseguibile) che contenga al suo interno un rm -fr /home/* e lo lanciassi mi cancellerebbe tutta la home anche senza sudo. tuttavia avrebbe sempre le sembianze del virus albanese.

[hexaae]

Quote:

Originariamente inviato da syaochan

Ma sudo, com'è configurato di solito in Ubuntu, chiede la password dell'utente per concedere i privilegi di root, quindi l'utente dovrebbe anche inserire la sua password.

Per la cronaca: anche in Vista si può abilitare la richiesta password invece del semplice Continua|Annulla



Basta modificare questa chiave di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 0x2

(2= requester Continua, Annulla; 1= chiedi login/pass)

[hexaae]

Quote:

Originariamente inviato da WarDuck

Ricordi male, l'unico modo per bypassarlo è modificare il kernel e naturalmente questo non è consentito se non hai i giusti privilegi.

...E aggiungo che non sono "semplici" privilegi da Amministratore ma spesso è necessario essere SYSTEM o TrustedInstaller, tanto per rendere ancora più complicata la cosa...

[elevul]

Quote:

Originariamente inviato da hexaae

Per la cronaca: anche in Vista si può abilitare la richiesta password invece del semplice Continua|Annulla



Basta modificare questa chiave di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 0x2

(2= requester Continua, Annulla; 1= chiedi login/pass)

Si, ma cui prodest?
Questa modifica la fa un esperto, e ad un esperto la richiesta password non serve a niente, visto che prima di cliccare legge comunque.

[hexaae]

Quote:

Originariamente inviato da Dott.Wisem

Dall'articolo che hai linkato, si capisce (specie leggendo i commenti in quella pagina) che il rootkit sfrutta delle falle di buffer-overflow che sono già state patchate nei più diffusi browser.

Il problema però è che come al solito la certezza al 100% non esiste mai... inoltre nasce prima il bug e poi il bugfix per cui essere aggiornati è fondamentale ma le falle, per qualunque OS, continueranno sempre ad esistere e con esse un range di tempo in cui si è scoperti... non per mettere paranoia!
Per questo come regola generale prima di un AV o di "essere aggiornati" è importante ridurre i privilegi preventivamente...

[mdannib]

Scusate l'ignoranza, ma sono l'unico che ha abilitato da BIOS l'opzione che blocca tutte le scritture sul MBR ???
Dubito che se questa funzione del bios sia operativa che il rootkit possa farci qualche cosa, o sbaglio ?

/Matteo

[hexaae]

Quote:

Originariamente inviato da elevul

Si, ma cui prodest?
Questa modifica la fa un esperto, e ad un esperto la richiesta password non serve a niente, visto che prima di cliccare legge comunque.

Da alcuni è considerata una sicurezza in più dover digitare la password ogni volta (vedi utenti Linux che così si sentono più a casa), anche se di fatto non lo è nel senso che cmq grazie a Secure Desktop (l'UAC viene aperto su un nuovo schermo in una nuova sessione, e agli occhi dell'utente "si annerisce" quando in realtà è solo uno snapshot dello schermo al momento della sua comparsa) non è possibile ad es. intercettare (v. key-logger) o peggio direzionare i device di input per far premere "Continua" automaticamente...

[Dott.Wisem]

Quote:

Originariamente inviato da hexaae

Il problema però è che come al solito la certezza al 100% non esiste mai... inoltre nasce prima il bug e poi il bugfix per cui essere aggiornati è fondamentale ma le falle, per qualunque OS, continueranno sempre ad esistere e con esse un range di tempo in cui si è scoperti... non per mettere paranoia!

Beh, ma è estremamente improbabile che questi exploit siano sfruttati all'interno di siti tradizionalmente ritenuti sicuri. Analogamente, se non scarico mai software craccati e non eseguo mai file eseguibili allegati a messaggi di posta, e non clicco ok su ogni finestra dell'UAC a prescindere, anche un sistema Windows può essere ritenuto ragionevolmente sicuro (meglio ancora se si ha un os a 64bit). Poi, ovviamente, se chi siede davanti al computer è una "testa di caciucco", allora non c'è protezione che tenga...

Quote:

Per questo come regola generale prima di un AV o di "essere aggiornati" è importante ridurre i privilegi preventivamente...

In questo l'UAC fa già un buon lavoro.

[!k-0t1c!]

@frnz: è ora che la gente capisca che a nessuno che scrive malware diffuso tramite siti web frega qualcosa di Linux, BSD e altri sistemi di nicchia. Se posso prendermi 9,2 fette di torta in un colpo non mi sbatto a cercare di prendere lo 0,8 che è ridotto in briciole perché il 9,2 mi sazia di già...stessa cosa con i computer da infettare: windows ha più share che tutti gli altri messi insieme moltiplicati per 10, quindi basta un buon infection rate di sistemi windows.

[hexaae]

Quote:

Originariamente inviato da Dott.Wisem

Poi, ovviamente, se chi siede davanti al computer è una "testa di caciucco", allora non c'è protezione che tenga... In questo l'UAC fa già un buon lavoro.

Come ho già detto, parafrasando la canzone di Gundam : "Nessuno ce la fa contro l'utonto!!"
Sicuramente, e infatti Vista già di default è molto più sicuro di XP come ben sappiamo. L'UAC è solo una comodità a ben vedere (altro che "mi dà fastidio e lo tolgo!" come dicono alcuni): consente di girare con privilegi ridotti e rimanendo nella propria sessione di elevare le singole azioni/richieste di sistema capillarmente. In precedenza in ambito Win dovevi uscire e entrare come Admin per compiere certe azioni, e poi riuscire e rientrare come utente... L'UAC rende più veloce e comoda la cosa, pur rimanendo con privilegi più bassi e quindi più al sicuro. Per non parlare poi degli Integrity Levels etc. relativi a questo nuovo sistema, che onestamente è ben pensato e funziona benissimo.
Da Vista in poi (quindi anche con Win7+, dove come sappiamo però MS ha impostato di default UAC ad un livello meno sicuro e quindi con meno richieste per far contenti i niubbi. Basta reimpostarlo al massimo.) MS come lo spot della Locatelli® ha deciso (finalmente) di "fare le cose per bene"

Ahimé gli utonti che levano UAC e mettono il loro fantastico AV preferito su Vista purtroppo esistono ancora, ma si sa.... ci vorrà del tempo prima che tutti gli utenti Win capiscano/imparino la gestione dei permessi e smettano di credere ciecamente negli Anti Virus.

Secondo la mia personalissima opinione gli AV sono un danno perché quelli sì che fanno credere di essere protetti a milioni di ingenui utenti che proprio in virtù di questa presunta protezione si danno alla pazza gioia fra crack, warez, porno etc. etc. Paradossalmente sono i primi a causare la diffusione dei virus, indirettamente. Va combattuto il falso presupposto che l'AV ti protegge al 100% come i produttori vorrebbero far credere... tanto più che protezioni tramite i minori privilegi sono invece totalmente gratuite ed efficaci anche contro il malware che ancora deve essere scritto! Naturalmente la cosa migliore sono entrambe le cose (protezioni tramite bassi privilegi + AV).

[Venturer]

Scusate, ma non basta qualunque antivirus aggiornato che è dotato di un "LiveCD" su distro linux come ad esempio il BitDefender 2009 per debellare questo rootkit? Perchè dicono che solo PrevX 3 ci riesce?

[by_xfile™]

lo provato , la scansione è gratuita ma la licenza viene quasi 25 €uri
comunque mi ha trovato qualcosa che sapevo già di avere
su questo PC che uso per navigare nel web può entare di tutto e di più. non c'è nulla che possa servire a nessuno.

però io farei una premessa , ma se blocassero i siti con tutte ste root kill virus etc. non sarebbe risolto all' origine il problema ???

[WarDuck]

Quote:

Originariamente inviato da elevul

Si, ma cui prodest?
Questa modifica la fa un esperto, e ad un esperto la richiesta password non serve a niente, visto che prima di cliccare legge comunque.

Non serve fare quella modifica al registro, basta creare un account di tipo standard... la cosa migliore sarebbe crearlo di default con l'installazione, ma tant'è...

In ogni caso anche accedendo con i permessi Administrator (che non è lo stesso Administrator di XP) alcune cose nn si possono fare, come ha detto giustamente Haexae richiedono privilegi più elevati.

Poi ripeto, se si ha Vista 64bit si è ancora più al sicuro, visto patch guard.

Cmq password o meno, il problema è sempre collegato all'utente, la dimostrazione più palese di questo ce l'hai nel phishing, per cui...

Cioè conosco anche gente che pur di mettere la crack del programma preferito ignora i messaggi dell'antivirus...

Ripeto, non c'è la coscienza del rischio (e questo purtroppo vale in generale).

PS: non è sempre vero che si aggiorna tutto in automatico, purtroppo se hai account limitato molti programmi non fanno il controllo e non si aggiornano (vedi Firefox 3.0, fortunatamente nella futura 3.5 cambierà questa cosa).

[WarDuck]

Quote:

Originariamente inviato da smoq

a dirla tutta non c'è nemmeno bisogno del super user in questo caso. se mi mandassero un .sh già reso eseguibile a priori (non vedo perché non possa essere eseguibile) che contenga al suo interno un rm -fr /home/* e lo lanciassi mi cancellerebbe tutta la home anche senza sudo. tuttavia avrebbe sempre le sembianze del virus albanese.

Si hai ragione, infatti con sudo potrei cancellare ben più cose.

Cmq riguardo all'sh eseguibile, l'informazione sui privilegi di esecuzione non sono incluse nel file, il file system Unix distingue fortemente il contenuto del file dalle sue informazioni.

Per Unix il file è una semplice sequenza di caratteri, mentre le informazioni sul tipo del file, sui permessi, e le date (e altre cose ancora) vengono salvate nell'inode del file system (una struttura dati particolare).

In teoria dunque, se mandassi (via internet) un file che risulta eseguibile nella mia macchina, quando viene scritto nel file system del destinatario non dovrebbe più esserlo (chiaramente dipende dalle impostazioni di default del file system del destinatario). Questo dovrebbe valere anche per Windows.

La differenza più grande se vogliamo tra i due SO è che in Windows l'associazione tra tipo del file e programma da eseguire è strettamente legato all'estensione, in unix se fai un file di testo lo puoi chiamare come ti pare ma rimarrà sempre un file di testo che verrà aperto dall'applicazione associata effettivamente a quel tipo.

Questo può essere considerato secondo me un difetto di Windows. Tra l'altro non so se vi ricordate il fatto che Win di default nasconde l'estensioni e qualche bello spirito potrebbe pensare di creare un exe che abbia l'icona di una JPEG e l'estensione mascherata.

Ad esempio immagine.jpg.exe, se nascondi l'estensione potrebbe essere visualizzato come immagine.jpg e potrebbe trarre in inganno l'utente, (basta un rar auto-estraente silente in cui puoi piazzare l'icona che ti pare, una immagine che cmq verrebbe aperta e poi altro codice esecutivo in un file batch o un file eseguibile C).

Ti assicuro che sarebbe veramente devastante.

Non so cosa tu intenda per virus albanese, ma il phishing ha successo proprio perché si svincola dalla macchina e punta alla disattenzione (se così vogliamo chiamarla) dell'utente.

A questo punto dovrebbe risultare chiaro del perché non si può dare sempre la colpa ad un sistema operativo. C'è sempre la possibilità che l'utente pasticci con i permessi e lanci uno script che può essere potenzialmente dannoso.

Cmq ripeto anche in Win si può fare una cosa simile dove scarichi un file dentro una cartella in cui i permessi non consentono di eseguire i files .

[theJanitor]

Quote:

Originariamente inviato da WarDuck

Non so cosa tu intenda per virus albanese, .

http://img106.echo.cx/img106/1897/virusalbanese6oz.jpg

[by_xfile™]

Quote:

Originariamente inviato da Milliondollar

Se tieni aggiornato il computer ed usi un router col firewall al posto del vetusto modem USB ( che sarebbe da bandire oramai ) piu' usi criterio nello scaricare le boiate dalla rete ed un ottimo antivirus come G-data ,Avira ,Kasperky, Norton 2009 ( che non fa piu' schifo come le precedenti versioni) nel computer non entra da solo un bel niente

Stà tranquillo i miei PC sono sotto intranet con router
e uso nod32
li PC in questione è da formattare da ormai 5 anni perchè è il PC che usava mio figlio di 10 anni

[hexaae]

Quote:

Originariamente inviato da WarDuck

La differenza più grande se vogliamo tra i due SO è che in Windows l'associazione tra tipo del file e programma da eseguire è strettamente legato all'estensione, in unix se fai un file di testo lo puoi chiamare come ti pare ma rimarrà sempre un file di testo che verrà aperto dall'applicazione associata effettivamente a quel tipo.

Questo può essere considerato secondo me un difetto di Windows. Tra l'altro non so se vi ricordate il fatto che Win di default nasconde l'estensioni e qualche bello spirito potrebbe pensare di creare un exe che abbia l'icona di una JPEG e l'estensione mascherata.

Ad esempio immagine.jpg.exe, se nascondi l'estensione potrebbe essere visualizzato come immagine.jpg e potrebbe trarre in inganno l'utente, (basta un rar auto-estraente silente in cui puoi piazzare l'icona che ti pare, una immagine che cmq verrebbe aperta e poi altro codice esecutivo in un file batch o un file eseguibile C).

Ti assicuro che sarebbe veramente devastante.

Leva pure il caso ipotetico: è già stata sfruttata in passato tale semplice tecnica...
Anche secondo me è una convenzione pericolosa quanto "sciocca" associare il tipo di file solo in base all'estensione senza nemmeno analizzare l'header per capire di che si tratta. Sin dai tempi dell'AmigaOS negli anni '90 i file venivano identificati per contenuto reale (bastavano i primi 1024 bytes) dai vari "Deficons"... non importa come li chiami perché in realtà l'analisi e identificazione è fatta sul vero contenuto.
Purtroppo Windows viene dall'MS-DOS dove c'era l'8+3 (3 char per l'estensione) e si è mantenuta questa triste tradizione...
Non ci crederai ma l'altro giorno ho scoperto che mio padre (che non capisce un'H di PC) incasinava il proprio portatile perché pensava di convertire (?) i file .PDF in .DOC cambiandogli estensione!! "Così me li apre quel programma (associato)" in tutta la sua innocenza da niubbo..