Wirenet: il trojan abbraccia Linux e OS X

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwfiles.it/news/wirenet-i...s-x_43760.html

La società di sicurezza italiana ITSEC ha annunciato di aver identificato ed analizzato un nuovo trojan multipiattaforma, capace di infettare alla stessa maniera sia Windows che Linux, Solaris e OS X

Click sul link per visualizzare la notizia.

[JackZR]

Complimenti agli hacker.

[gondsman]

Si sapeva da sempre che su linux e' relativamente facile scrivere un keylogger, la colpa non e' di linux in se' ma di X che chiaramente non e' stato sviluppato per la sicurezza. Con wayland la situazione sara' radicalmente diversa, ma ci vorra' ancora un bel po' credo...

[Rubberick]

ma per beccarselo?

c'e' qualche suggerimento di cose da non fare?

disabilitare tutti i plugin dei browser e via?

[insane74]

Quote:

Non è ancora ben chiaro come il trojan sia arrivato nei PC infetti, anche se Giuliani osserva come, con alta probabilità, l'ingegneria sociale ed eventuali bug nei plugin - spesso non aggiornati - dei vari browser possano aver giocato un ruolo chiave nella diffusione di tale infezione.

in pratica è arrivata la classica mail con l'allegato da lanciare con "sudo"?

come sempre il 99% dei problemi è tra la sedia e la tastiera.
ok che con l'aumentare del market share si entra nel mirino dei vari creatori di virus/malware, ma finché si richiede l'intervento dell'utente per eseguire l'azione che poi infetta il sistema... non c'è OS che tenga!

[Hal2001]

Quote:

Originariamente inviato da insane74

come sempre il 99% dei problemi è tra la sedia e la tastiera.

[SpyroTSK]

cioè vorreste dirmi che questo è un trojan?
con uno script in bash faccio di meglio.

[Faster_Fox]

non sono ignorante riguardo linux, di più! Ma io sapevo che per beccarsi qualcosa c'era bisogno che l'utente dovesse dare il permesso di amministratore (sudo) per essere infettato...praticamente dare il permesso al trojan e chissaà cos'altro di entrare...è ancora così?

[riva.dani]

Prima che si scatenino flame, volevo solo dire che è risaputo che nessun sistema è invulnerabile. Però, insomma, un trojan che richiede una buona dose di ingegneria sociale e/o un plugin obsoleto (ricordo che in genere su Linux ogni programma/plugin si aggiorna automaticamente, un po' come avviene con le App di Android/iOS) mi pare un pericolo trascurabile e possiamo continuare tranquillamente a dire che su Linux non si ha bisogno di un antivirus.

[WarDuck]

Quote:

Originariamente inviato da riva.dani

Prima che si scatenino flame, volevo solo dire che è risaputo che nessun sistema è invulnerabile. Però, insomma, un trojan che richiede una buona dose di ingegneria sociale e/o un plugin obsoleto (ricordo che in genere su Linux ogni programma/plugin si aggiorna automaticamente, un po' come avviene con le App di Android/iOS) mi pare un pericolo trascurabile e possiamo continuare tranquillamente a dire che su Linux non si ha bisogno di un antivirus.

Falso, non si possono trascurare gli effetti dell'ingegneria sociale... vallo a dire ad RSA .

[eraser]

Quote:

Originariamente inviato da Faster_Fox

non sono ignorante riguardo linux, di più! Ma io sapevo che per beccarsi qualcosa c'era bisogno che l'utente dovesse dare il permesso di amministratore (sudo) per essere infettato...praticamente dare il permesso al trojan e chissaà cos'altro di entrare...è ancora così?

Non c'è bisogno dei diritti amministrativi in questo caso

[eraser]

Quote:

Originariamente inviato da riva.dani

Però, insomma, un trojan che richiede una buona dose di ingegneria sociale e/o un plugin obsoleto

Come il 90% delle infezioni per Windows, solo che Windows viene messo in croce per questo

[eraser]

Quote:

Originariamente inviato da SpyroTSK

cioè vorreste dirmi che questo è un trojan?
con uno script in bash faccio di meglio.

Non credo che uno script in bash possa fare quello che fa il trojan

[eraser]

Quote:

Originariamente inviato da insane74

in pratica è arrivata la classica mail con l'allegato da lanciare con "sudo"?

Non è scritto da nessuna parte che siano necessari i diritti amministrativi, anzi

[eraser]

Quote:

Originariamente inviato da gondsman

Si sapeva da sempre che su linux e' relativamente facile scrivere un keylogger, la colpa non e' di linux in se' ma di X che chiaramente non e' stato sviluppato per la sicurezza. Con wayland la situazione sara' radicalmente diversa, ma ci vorra' ancora un bel po' credo...

Concordo

[riva.dani]

Quote:

Originariamente inviato da WarDuck

Falso, non si possono trascurare gli effetti dell'ingegneria sociale... vallo a dire ad RSA .

Non si possono nemmeno prevenire tramite bug fix però. IMHO Linux è da sempre l'OS meglio strutturato per prevenire anche questo tipo di effetti, tant'è vero che Microsoft si è in parte adeguata e da Vista in poi appaiono sempre più avvisi e la password è richiesta per la maggior parte delle operazioni più delicate, in modo da sensibilizzare l'utente e fargli venire qualche dubbio in più su ciò che sta facendo.
Ciò detto, un mio amico sotto i miei occhi stava configurando il suo nuovo iPad e stava mettendo, come domanda segreta per il recupero password dell'account iTunes, "Cantante preferito" e risposta "Vasco". Il problema è spesso "culturale" e non strettamente informatico.

Quote:

Originariamente inviato da eraser

Come il 90% delle infezioni per Windows, solo che Windows viene messo in croce per questo

Il punto che volevo sottolineare è che tendenzialmente una macchina Linux risulta sempre più aggiornata di una Windows, perchè i bugfix, anche quelli delle applicazioni, vengono rilasciati più in fretta e installati automaticamente. Vedremo Windows 8 con il suo "Software Center" come si è adeguato, non sono informato al riguardo.

Quote:

Originariamente inviato da eraser

Non c'è bisogno dei diritti amministrativi in questo caso

Quote:

Originariamente inviato da eraser

Non è scritto da nessuna parte che siano necessari i diritti amministrativi, anzi

Questa cosa non mi è così chiara. L'articolo dice che è tecnicamente possibile far installare ad un utente Linux un keylogger senza richiedere i privilegi di root, non che questo trojan è in grado di infettare una macchina senza che l'utente intervenga inserendo la password di root (o di sudo)...

[insane74]

Quote:

Originariamente inviato da eraser

Non è scritto da nessuna parte che siano necessari i diritti amministrativi, anzi

infatti la mia era una battuta, con tanto di smile!

[insane74]

Quote:

Originariamente inviato da riva.dani

...
Questa cosa non mi è così chiara. L'articolo dice che è tecnicamente possibile far installare ad un utente Linux un keylogger senza richiedere i privilegi di root, non che questo trojan è in grado di infettare una macchina senza che l'utente intervenga inserendo la password di root (o di sudo)...

ne parlano anche qui http://pollycoke.org/m6t3/socialbox/72478
con qualche riferimento in più.

citando:

Quote:

Praticamente per sapere ogni tasto premuto basta dare un ”xinput test id_della_tastiera” (che si ricava da ”xinput list”), magari salvando l’output in un file, per poi tradurlo dalla tabella data da ”xmodmap -pke”.

quindi il problema sembrerebbe legato a xorg che permette a qualunque applicazione (trojan compresi) di loggare tutti i tasti premuti, senza appunto permessi di root.

poi è ovvio che se tramite ingegneria sociale uno ha lanciato in esecuzione un programma che fa proprio questo e poi manda a chissà chi i dati...

se non si può fare molto sul lato "utente che preme avanti-avanti-avanti a caso", sicuramente c'è da lavorare su xorg (e come si diceva wayland dovrebbe sistemare le cose, quando mai arriverà nelle nostre distro).

[eraser]

Quote:

Originariamente inviato da riva.dani

Questa cosa non mi è così chiara. L'articolo dice che è tecnicamente possibile far installare ad un utente Linux un keylogger senza richiedere i privilegi di root, non che questo trojan è in grado di infettare una macchina senza che l'utente intervenga inserendo la password di root (o di sudo)...

Quote:

When executed, the infection runs as a standard executable (ELF on Linux and Solaris, Mach-O on OSX, PE on Windows) located in the current user session. It’s easy to spot the infection (if you know what to look for) though. It’s behavior allows the infection to get access to all the user’s sensitive data it wants

Cito direttamente l'articolo originale

[vampirodolce1]

Sarebbe utile capire come si viene infettati, le informazioni sono ancora scarse; leggendo la news tuttavia propongo queste possibili soluzioni:

-aggiornare i plugin flash/java e usare sempre noscript tranne che per i pochi siti fidati.
-disabilitare il password manager di firefox.
-usare dei sostituti di thunderbird e pidgin.
-ma SOPRATTUTTTO, poiche' il virus si posiziona in %home%/WIFIADAPT (e immagino che si tratti di un semplice file eseguibile), se si monta la propria /home con il flag noexec si impedisce in ogni caso al virus di girare.

Cosa ne pensate?