Linux.BackDoor.Xnote.1 un trojan per Linux: la sicurezza non è mai troppa

Raoul Scarazzini
2

linux-trojan

L’errore più grosso che può essere compiuto dagli utenti Linux meno esperti è pensare che il proprio sistema sia esente dalle infezioni di Virus e Trojan. E’ infatti errato dire “Linux non può essere infettato dai virus”. Si può dire che la creazione di virus per Linux sia molto limitata, si può dire che essendo Linux un sistema architetturalmente multi utente un’infezione rimane comunque limitata all’ambito del singolo utente e quindi difficilmente impatta l’intero sistema, ma dire che usare Linux tutela al 100% dall’essere infettati dai virus, no, questo no.

Lo dimostra l’annuncio pubblicato da net-security.org che descrive come un trojan denominato Linux.BackDoor.Xnote.1 sia in grado di installare una backdoor all’interno del sistema infettato, inviare le informazioni ad un organismo centrale e rendere parte il sistema di una rete globale, in attesa di istruzioni.

Interessante l’aspetto relativo al quale alla macchina infettata viene assegnato un identificativo univoco grazie al quale la stessa può essere sfruttata per scagliare attacchi DDOS (Distribuited Denial Of Service), oppure la modalità con cui il trojan cambia path e directory locali affinché tutto sia sfruttabile per scopi diversi da quelli pensati dal proprietario del sistema.

Va detto che il trojan si installa solo ed esclusivamente con i privilegi di root, ma prima di dire “ok, a me non succederà mai” varrebbe la pena pensare quanto facile sia trovare un pc in cui il comando sudo possa essere lanciato senza digitare una password, oppure quanto sia facile pensare di strutturare una trappola che spinga un utente ad installare (inconsapevolmente) il software maligno.

Come dite? Gli utenti Linux sono molto furbi e attenti? E allora Linux.BackDoor.Xnote.1 come è possibile si sia diffuso 😉 ?

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

, ,

2 risposte a “Linux.BackDoor.Xnote.1 un trojan per Linux: la sicurezza non è mai troppa”

  1. Avatar aytin
    aytin

    Non è per minimizzare ciò che riporti perché l’assunto è indiscutibilmente vero: non esiste un sistema invulnerabile by design e chi lo pensa è un illuso, però sfruttare una backdoor del genere è veramente difficile.

    Ho cercato notizie sulla sua diffusione ma non ho trovato granché. A questo punto mi interesserebbe sapere quanto sia diffuso perché il vettore d’attacco, su un sistema linux mediamente configurato, non mi sembra abbia vita facile.

    Mi pare di non aver letto nulla sul fatto di poter fare escalation quindi ha bisogno dei privilegi di root.
    Il sudo senza password l’ho visto in pochissimi contesti, al più limitato a pochi comandi ristretti a determinati gruppi di utenti, se no il defult, come sappiamo, è il classico ALL=(ALL:ALL) ALL
    Certo, se si applicasse NOPASSWD ad apt-get, tanto per fare un esempio, allora si potrebbe essere plausibile installare la backdoor cliccando senza fare attenzione.

    Ma è proprio qui che vedo la contraddizione: quanti sono gli utenti inconsapevoli (e quindi non scafati, immagino) che consapevolmente vanno a modificare sudoers in questo modo?

    Se esistessero e lo facessero, meriterebbero in pieno la backdoor 🙂
    Altrimenti il default, normalmente (a meno di non parlare di distro tipo Damn Vulnerable Linux), prevede un sudo generico con password come quello a cui facevo riferimento prima, oppure niente sudo e il solo utente di root per l’amministrazione.
    A meno che non esistano altri scenari che io ignoro.

  2. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Completamente d’accordo con quanto scrivi. Riflettevo solo sulle modalità con cui anche gli utenti Windows vengono infettati: una mail farlocca all’interno della quale c’è un link invitante che dice “per vedere il video installa questo”.
    Password o no l’utente incauto installa il pacchetto ed il gioco è fatto.
    Certo da qui a dire che i sistemi Linux sono vulnerabili per questo ce ne passa, ma il concetto base che volevo far passare è che se sei superficiale puoi usare tutti i sistemi certificati che vuoi, ma il problema rimarrà.
    Poco tempo fa ho assistito ad un’infestazione globale (su Windows, ma il concetto base è lo stesso) in cui c’era un addetto acquisti per nulla inesperto che vedendosi recapitare una mail (molto molto verosimile) ne ha aperto l’allegato ed ha finito per infettare l’intera azienda (il documento era su un’area comune).
    Perciò, fosse anche con eccesso di allarmismo, credo sia giusto ribadire sempre e comunque che “nessuno è al sicuro” 😉

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (3) Notizie (2904) Saturday's Talks (45)

Tag cloud

ai (42) Android (32) AWS (30) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (61) Fedora (52) Firefox (36) GitHub (66) Google (85) IBM (49) Intel (54) KDE (35) Kernel (218) Kubernetes (88) Linux (672) LinuxFoundation (31) LTS (32) Malware (53) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (322) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (45) RHEL (36) SaturdaysTalks (44) Sicurezza (90) Software (36) SUSE (34) systemd (73) Torvalds (78) Ubuntu (167) Vulnerabilità (54) Windows (80)