Re: [OT] Segnalazione windigo
Dario writes: > Riguardo gli ambienti citati (stuxnet), "dubito fortemente" che > qualcuno abbia fatto "qualcosa" "inavvertitamente" o che possa > mai essere stata qualcosa di "banale/prevedibile". Effettivamente possono esserci vari scenari possibili. > Raggiungere una risposta senza esserne > testimoni diretti e' un esercizio di logica inferenziale Concordo. > [Aumento di virus su sistemi Linux] > > G.U. Lauri, riguardo l'aspettare un'impennata di virus > sui sistemi Linux "solo quando diverranno appetibili" non sono > d'accordo. Non c'è nulla da aspettare, siamo in > "crisi" già da un bel pò di anni a questa parte. Non mi sono spiegato bene. Fare un virus di quelli "alla Windows" in Linux è più arduo (non c'è l'aiuto di API pensate alla CDC). Per questo ritengo che richieda costi ben più alti e quindi abbia bisogno di una remuneratività sufficiente. Virus "alla windows" di prova ne sono stati fatti, ma sono risultati invariabilmente goffi e quindi perdenti. > Per confermarti quanto sto dicendo, se hai tempo/interesse > /possibilità , tirati su una honeypot linux in dmz e guarda > da te (chiedo venia per il tu). Nessun problema per il tu. Come ho detto, ho fallito nel chiarire il concetto che ho in testa. Di attacchi ai server... Nell'anno in cui ho (ri)fatto il sistemista a tempo (altrui) perso ho visto almeno un attacco di una persona, presumibilmente dalla RPC, che provava insistentemente il logon provando svariate coppie di utenti e password... > [Sviluppo virus per sistemi Linux richiede ingenti investimenti] > > Per chi crede invece che siano necessari ingenti investimenti > per violare sistemi, lo invito a riflettere un attimino. > > Cito G.U. Lauri non per riferirmi a lui, quanto il fatto > che diversi hanno un pensiero simile: > > > G.U.Lauri> Quello di cui parlo io è il mirare a torme di pesci > >piccoli, così come si fa con gli utenti Windows. Al > >momento farlo bene è troppo costoso perché sia > >redditizio. > > Andiamo ad esaminare su, un sito a caso, alexa.com [1] > quali sono i siti più visitati dagli italiani. > Stupisce se nella lista sono presenti molteplici siti > in black list (malware, spam, frodi, ecc.)? > > Qual'è la percentuale degli utilizzatori di sistemi > informatici collegati ad Internet (pc,tablet,smartphone ecc.) Guardiamo anche i sistemi operativi implicati. A naso la percentuale di GNU/Linux (non Android) è bassa. > Quanti siti web, server, Linux sia della pubblica amministrazione > che di aziende vengono violati ogni giorno (vedasi punto successivo > insecurity)? Diciamo che a volte sono bravissimi a farsi dei denial of service autonomamente senza intervento esterno. E qui mi devo fermare... > Partendo dagli apparati di rete in poi, chi può dire oggi > di avere il pieno controllo di ciò che avviene nella propria > infrastruttura fino a livello di firmware/hardware, pur avendo > esperienza e capacità professionali? Indubbiamente, nessuno. Non puoi evitare che alle tue spalle qualcuno tiri su un hot spot "molto generoso e permissivo" perché sa accenderlo, vede che funziona (gli fa figo, i.e. fa il gentile col cliente) ma non ha la più vaga idea dei concetti di sicurezza. Gli basta "funziona" e "facile". > Quanti utilizzano apparati di provenienza "made in X"? > Se X ha capacità di risorse/tempo smisurate, che potere > può acquisire (o già ha acquisito) a breve termine? > Che "capacità" di difesa possiamo avere noi? Spegnere i computer e procurarci un badile ed un bell'appezzamento... > A volte è il nostro "giocare al ribasso" sui costi dell'IT > a permette all'attaccante di "risparmiare" sull'attacco. +1 > Preferisco rompere la testa all'uTonto di turno fino > a che ho pazienza/capacità /o sue capacità di comprensione, > piuttosto che fargli credere che quello che fa, lo fa bene, > o che non esistono problemi, automatizzando il più possibile > con batch et simila. > C'è da dire che, per quanti buoni propositi abbiamo, > molte volte purtroppo abbiamo le mani legate (segue su INSECURITY). È l'esempio degli access point permissivi di prima. > - > > [INSECURITY] > > Per quanti sforzi/capacità abbiamo, siamo condizionati > dall'insecurity: > > * Assunzione con contratti ridicoli di sistemisti, >che devono essere appena laureati, con esperienza pluriennale >che devono saper fare pure il caffè. >(Dove chi fa il colloquio -body rental- non sa nemmeno cosa > significhi quello che chiede e per capire le eventuali skill > fa una ricerca su Internet) >Quanti sistemisti odierni hanno avuto la possibilità di >essere affiancati a veri GURU delle generazioni precedenti? >C'è stato un "ricambio generazionale"? >Per quanto si possa studiare, l'esperienza è tutta un'altra cosa. Sante parole. Da questo deriva la capacità di generarsi denial of service da paura senza bisogno di attacchi
Re: [OT] Segnalazione windigo
Saluto esteso in lista. Per l'autore del thread: ti ringrazio per la segnalazione. E' sempre utile avere 2^0 occhio in più aperto. Al riguardo, non penso sia OT la segnalazione. Interessante la conversazione scaturita, come le riflessioni che sono state fatte. Di seguito alcune riflessioni prettamente personali e OT, ma che ho il desiderio di condividere. --- OT [sistemisti incapaci, uTonti, investimenti/interessi] --- [Stuxnet e co.] E' logico che ci siano pensieri discordanti e, purtroppo, molte volte siamo condizionati da ciò che sentiamo/vediamo non essendo testimoni oculari (e se lo fossimo non ne parleremo per 2^infinito di ragioni). Raggiungere una risposta senza esserne testimoni diretti e' un esercizio di logica inferenziale (fatemi passare il termine) dove purtroppo la "verità " di origine non e' certa (volutamente). Quando se ne parla, anche questo è voluto, altrimenti nessuno saprebbe nulla, come avviene per i bug 0day, fino a che la situazione non sia stata sfruttata per gli scopi prefissati. Quindi può benissimo esserci il "caso imprevedibile", "l'intento", "la mancanza di mezzi di difesa", vuoi anche l'inconsapevolezza. Riguardo gli ambienti citati (stuxnet), "dubito fortemente" che qualcuno abbia fatto "qualcosa" "inavvertitamente" o che possa mai essere stata qualcosa di "banale/prevedibile". - [Aumento di virus su sistemi Linux] G.U. Lauri, riguardo l'aspettare un'impennata di virus sui sistemi Linux "solo quando diverranno appetibili" non sono d'accordo. Non c'è nulla da aspettare, siamo in "crisi" già da un bel pò di anni a questa parte. Per confermarti quanto sto dicendo, se hai tempo/interesse /possibilità , tirati su una honeypot linux in dmz e guarda da te (chiedo venia per il tu). - [Sviluppo virus per sistemi Linux richiede ingenti investimenti] Per chi crede invece che siano necessari ingenti investimenti per violare sistemi, lo invito a riflettere un attimino. Cito G.U. Lauri non per riferirmi a lui, quanto il fatto che diversi hanno un pensiero simile: G.U.Lauri> Quello di cui parlo io è il mirare a torme di pesci piccoli, così come G.U.Lauri> si fa con gli utenti Windows. Al momento farlo bene è troppo costoso G.U.Lauri> perché sia redditizio. Andiamo ad esaminare su, un sito a caso, alexa.com [1] quali sono i siti più visitati dagli italiani. Stupisce se nella lista sono presenti molteplici siti in black list (malware, spam, frodi, ecc.)? Qual'è la percentuale degli utilizzatori di sistemi informatici collegati ad Internet (pc,tablet,smartphone ecc.) che siano in grado quanto meno di distinguere uno spam tanto da evitare di cascare nella rete di una botnet? Quanti si fanno "frodare" in modo "smart"? Ancora convinti che c'è bisogno di "ingenti somme"? O che la cosa riguardi solo utenti di sistemi W,X,L? Spam mirato per esempio sulla carta prepagata di Poste.it. Se su un campione di 1.000.000, ci cascano 1.000 (0,1%), magari di questi 1.000, solo la metà ha una carta attiva, ancora una volta, solo la metà di questi ha qualcosa da prelevare es. € 1,00, vediamo che realizzare lo spam con un sito trappola mi permette di guadagnare potenzialmente € 250,00. L'esempio non è reale ... perché nella realtà ci cascano "mooolte" più persone, ed i guadagni sono "moolti" di più. Basta farsi una ricerca su quanti sono stati frodati e hanno denunciato. Vi ricordate nell'epoca dei "modem" i dialer? Pensate che siano estinti? Mai capitato sugli smartphone? Immaginiamo i guadagni specie quando nella rete cascano smartphone con contratto aziendale? Questo "lato utenti/consumer". Ma pensate che siano migliori le condizioni lato azienda/professionisti? Quanti siti web, server, Linux sia della pubblica amministrazione che di aziende vengono violati ogni giorno (vedasi punto successivo insecurity)? Partendo dagli apparati di rete in poi, chi può dire oggi di avere il pieno controllo di ciò che avviene nella propria infrastruttura fino a livello di firmware/hardware, pur avendo esperienza e capacità professionali? Quanti utilizzano apparati di provenienza "made in X"? Se X ha capacità di risorse/tempo smisurate, che potere può acquisire (o già ha acquisito) a breve termine? Che "capacità" di difesa possiamo avere noi? A volte è il nostro "giocare al ribasso" sui costi dell'IT a permette all'attaccante di "risparmiare" sull'attacco. - [Opensource? Si, ma non basta - uTonti] Sono convinto che più i sistemi sono "aperti", più si arricchisce di conoscenza/padronanza chi li usa e più diventa importante "formare/responsabilizzare", più che "limitare/mascherare". Limitare ciò che possono "imparare" gli utenti, automatizzando il tutto e rendendoli "ignoranti", non penso sia una carta vincente. Tra l'altro, possono esserci piacevoli scoperte fra gli uTonti. Preferisco rompere la testa all'uTonto di turno fino a che ho pazienza/capacità /o sue capacità di comprensione, piuttosto che fargli credere che quello che fa, lo fa bene, o che non esistono problemi, automatizz
Re: [OT] Segnalazione windigo
On 27/03/2014 10:18, Gian Uberto Lauri wrote: Davide Prina writes: > > Il programma indicato ti avvisa se il tuo comando ssh ha l'opzione -G > > che non è prevista dal client pulito. > > però quel comando funziona solo se non ci sono varianti, se non c'è una > variante che usa, ad esempio, l'opzione -Q o magari le scritte sono > state tradotte in cirillico... ssh -G ti urla in faccia in qualsiasi lingua se -G non è un opzione prevista, se -G è una opzione che hai previsto tu e non si comporta come deve te ne accorgi lo stesso. 1) intendevo che l'attivazione di ssh in modo malevole avviene tramite altre opzione -Q (chi ha fatto l'opzione -G potrebbe aver fatto delle varianti che fanno cose leggermente diverse e aver usato un'altra opzione), in questo caso il comando: $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected" non funziona e non ti segnala il problema 2) poi intendevo se viene localizzato ssh e quindi sono tradotti i messaggi ammettiamo che il messaggio di ssh -G esca in italiano e quindi ho "opzione sconosciuta" $ echo "opzione sconosciuta" | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected" System infected accidenti, se sono inesperto direi che il mio sistema è infetto! > Visto che siamo su Debian io mi fiderei di più del comando debsums > $ debsums ssh > > Per maggiore sicurezza si può scaricare l'MD5 e usarlo per il > confronto... per sicurezza totale si può eseguire il debsums su un > supporto di sola lettura dove si è installato Debian. Beh, se ti ho cambiato /usr/bin/ssh posso pure sostituirti gli MD5 o debsums... infatti ho detto: 1) puoi scaricarti tu gli MD5 di debsums e usare quelli per il confronto 2) far partire debsums da un supporto in sola lettura dove sei sicuro che non ti sia stato modificato Ma rimane il fatto che da una parte non sappiamo difenderci da attacchi che non sappiamo che esistano, dall'altra l'errore umano è sempre in agguato. questo è vero, ma per difendersi, la maggior parte delle volte, basta applicare delle semplici regole. L'attaccante (programma) è solitamente molto stupido e, ad esempio, non è in grado di capire se hai cambiato la porta in cui è in ascolto un servizio. > Ad esempio: almeno fino a qualche anno fa, ora non saprei dire se è > ancora vero, la più grande rete distribuita di calcolo era quella > dell'LHC e guarda caso tutti i PC sono GNU/Linux. Impadronirsi di tale > rete permetterebbe a chiunque di avere una potenza di calcolo immensa e > distribuita uniformemente su tutti i continenti (Antartico compreso) e > in molti stati del mondo. Parli del Grid? Più che prendere il controllo di nodi nel Grid (cosa molto visibile e tendenzialmente effimera) cercherei di prendere il controllo di macchine nei singoli data center. si, ma tutte eseguono lo stesso programma... h... trovi una vulnerabilità o riesci a sostituirlo e bingo puoi fare mining di bitcoin e prenderteli tutti, chi ti può pareggiare... Per curiosità ho cercato e trovato questo: By 2012, data from over 300 trillion (3 x 10^14) LHC proton-proton collisions had been analyzed,[4] and LHC collision data was being produced at approximately 25 petabytes per year. As of 2012, The LHC Computing Grid had become the world's largest computing grid comprising over 170 computing facilities in a worldwide network across 36 countries da: https://en.wikipedia.org/wiki/Worldwide_LHC_Computing_Grid Se hai marble installato o altro software adatto puoi vedere anche i siti sparsi per il mondo (non c'è l'Antartide... probabilmente l'hanno tolto o è la mia memoria che ha fatto cilecca) http://wlcg.web.cern.ch/sites/wlcg.web.cern.ch/files/LCG-Tier0-1-2_Jan14.kml Che è più o meno quello che capita adesso. Magari windingo è già in alcune di quelle macchine... penso che queste siano configurate più o meno tutte allo stesso modo e anche la gestione sia più o meno la stessa... quindi io ne dubiterei, del fatto che qualcuna sia stata infettata. Quello di cui parlo io è il mirare a torme di pesci piccoli, così come si fa con gli utenti Windows. Al momento farlo bene è troppo costoso perché sia redditizio. perché se ti metti a fare mining di bitcoin & C. diventa altro che redditizio. Secondo me puoi diventare milionario in poco tempo. Magari ti basta un giorno per rendere il resto dei PC che stanno facendo mining obsoleti > Penso che se consideriamo qualsiasi dispositivo dove c'è installato un > sistema operativo, allora si avrà che la maggior parte ha GNU/Linux o un > sistema operativo derivato da software libero... quindi i numeri già ci > sono... E non mi pare che Android da questo punto di vista sia una isola felice... Peraltro, non esiste "un solo" Android a quanto ho sentito dire da chi sviluppa per Mobile. sono ignorante pure io... da quello che so il problema sono le versioni. Chi compra il
Re: [OT] Segnalazione windigo
Risposta in digest a più messaggi Davide Prina writes: > > Il programma indicato ti avvisa se il tuo comando ssh ha l'opzione -G > > che non è prevista dal client pulito. > > però quel comando funziona solo se non ci sono varianti, se non c'è una > variante che usa, ad esempio, l'opzione -Q o magari le scritte sono > state tradotte in cirillico... ssh -G ti urla in faccia in qualsiasi lingua se -G non è un opzione prevista, se -G è una opzione che hai previsto tu e non si comporta come deve te ne accorgi lo stesso. Anche se devo dire che mettere mano ai sorgenti di ssh e non fare una fesseria non è una cosa da tutti... Io non mi fido :) > Visto che siamo su Debian io mi fiderei di più del comando debsums > $ debsums ssh > > Per maggiore sicurezza si può scaricare l'MD5 e usarlo per il > confronto... per sicurezza totale si può eseguire il debsums su un > supporto di sola lettura dove si è installato Debian. Beh, se ti ho cambiato /usr/bin/ssh posso pure sostituirti gli MD5 o debsums... > > Come ho già detto una volta, aspettiamoci un virus per Linux veramente > > cattivo e dannoso. > > secondo me ne esistono di già di programmi "malevoli", ma se uno tiene > il sistema costantemente aggiornato, non installa cose trovate con un > motore di ricerca su fonti sconosciute Io posso anche concordare con te che quelle che citi siano cose da fare (e guarda caso concordo). Ma rimane il fatto che da una parte non sappiamo difenderci da attacchi che non sappiamo che esistano, dall'altra l'errore umano è sempre in agguato. E poi... > La causa della diffusione di rootkit e simili su GNU/Linux sono dovuti a > persone che si fanno chiamare sistemisti, ma che in realtà non lo sono: > non fanno gli aggiornamenti di sicurezza, non adottano politiche di > sicurezza, forniscono l'accesso come root a, praticamente, chiunque > glielo chieda, ... E sono dannatamente diffusi... > Ho visto e sentito di persone che hanno installato server e poi, visto > che funzionavano, li hanno lasciati così per anni, senza fare la minima > manutenzione, controlli, ... Dobbiamo avere una marea di conoscenti in comune :) > Ho visto persone che agiscono su server GNU/Linux, che non conoscono > l'"argomento" e quando hanno un problema, fanno una ricerca con un > motore di ricerca e vanno a tentativi con quello che trovano in rete, > senza sapere quello che hanno fatto/installato/... No, veramente, comincio ad avere crisi di identità... Ma sei tu o sono io? :) :) :) (se non fosse tragica questa abbondanza di idiozia) > Ad esempio: almeno fino a qualche anno fa, ora non saprei dire se è > ancora vero, la più grande rete distribuita di calcolo era quella > dell'LHC e guarda caso tutti i PC sono GNU/Linux. Impadronirsi di tale > rete permetterebbe a chiunque di avere una potenza di calcolo immensa e > distribuita uniformemente su tutti i continenti (Antartico compreso) e > in molti stati del mondo. Parli del Grid? Più che prendere il controllo di nodi nel Grid (cosa molto visibile e tendenzialmente effimera) cercherei di prendere il controllo di macchine nei singoli data center. Che è più o meno quello che capita adesso. Magari windingo è già in alcune di quelle macchine... Quello di cui parlo io è il mirare a torme di pesci piccoli, così come si fa con gli utenti Windows. Al momento farlo bene è troppo costoso perché sia redditizio. > Penso che se consideriamo qualsiasi dispositivo dove c'è installato un > sistema operativo, allora si avrà che la maggior parte ha GNU/Linux o un > sistema operativo derivato da software libero... quindi i numeri già ci > sono... E non mi pare che Android da questo punto di vista sia una isola felice... Peraltro, non esiste "un solo" Android a quanto ho sentito dire da chi sviluppa per Mobile. cosmo writes: > In data mercoledì 26 marzo 2014 19:31:56, Gian Uberto Lauri ha scritto: > > Se lo trovi inappropriato, mi spiace per te. > > A me spiace che tu mi abbia spedito DUE copie della stessa mail: la prossima > volta, se riesci, evitalo, grazie. Come dicevo prima, l'errore umano è sempre in agguato. Sul PC ho istruito il programma che uso per la posta affinché risponda ai messaggi della lista solo in lista. Sul tablet mi capita di scordarmene di farlo a manina. Così io mando un messaggio e la persona a cui rispondo ne prende due... > > Una ipotesi speculativa (o hai prove concrete?) conto una analisi > > dettagliata di costi del malaware. La seconda al momento mi pare più > > sensata. > > Lo sarebbe se stessimo parlando dei server della banca popolare > della Tuscia, non di un impianto per l'arricchimento dell'uranio in > Iran. Per quanto riguarda le prove: esattamente come te non ne ho, > ma: Non trovo la tua ipotesi sufficientemente solida. Vedi, quando parli di > Negli ambienti vicini alle intelligence coinvolte (gentaglia che > però non dice mai cose banali) si afferma che stuxnet sia stato >
Re: [OT] Segnalazione windigo
Il giorno 27/mar/2014, alle ore 07:51, Marco Bertorello ha scritto: > W l'elaborazione batch! Abbasso gli utenti! :D cosi' ti perderesti il gusto di inchiodargli torrent da firewall mentre stanno scaricando l'ultimo importante documento per il loro lavoro con estensione .avi signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [OT] Segnalazione windigo
In data mercoledì 26 marzo 2014 19:31:56, Gian Uberto Lauri ha scritto: > Se lo trovi inappropriato, mi spiace per te. A me spiace che tu mi abbia spedito DUE copie della stessa mail: la prossima volta, se riesci, evitalo, grazie. > Una ipotesi speculativa (o hai prove concrete?) conto una analisi > dettagliata di costi del malaware. La seconda al momento mi pare più > sensata. Lo sarebbe se stessimo parlando dei server della banca popolare della Tuscia, non di un impianto per l'arricchimento dell'uranio in Iran. Per quanto riguarda le prove: esattamente come te non ne ho, ma: # > Scusa, ma la hai letta la storia di stuxnet Certo, altrimenti non sarei intervenuto; tu invece non hai letto della storia dell'importatore iraniano di hardware che riforniva anche l'impianto di Natanz e che è stato impiccato due settimane fa. > E che avrebbe a che fare con le tecniche di attacco informatico la morte di > quel tizio? Assemblava e riforniva hardware a vari enti governativi iraniani, agenzia nucleare iraniana compresa, come ti ho già scritto... Negli ambienti vicini alle intelligence coinvolte (gentaglia che però non dice mai cose banali) si afferma che stuxnet sia stato inoculato in quel modo nella rete di Natanz e che le voci dello stesso propalato via pendrive fossero fumo negli occhi da dare in pasto ai servizi iraniani per proteggere il loro uomo - in Iran gli scienziati e i tecnici nucleari si guardano le spalle ogni giorno: se ogni tanto l'automobile di un tuo collega saltasse in aria (con il tuo collega dentro, ovvio) tu collegheresti al tuo pc casalingo una pendrive raccolta in giardino? O al pc del tuo ufficio una pennina che hai usato nel pc a casa? Secondo me, no E poi figuriamoci, perfino Alla technogym (quella delle macchine da palestra) i computer del centro ricerca non hanno porte USB da molti anni, ormai. Saluti # -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/4832673.Ra9BlU9IWb@debian
Re: [OT] Segnalazione windigo
On 26/03/2014 13:10, Gian Uberto Lauri wrote: elio marvin writes: http://www.ilsoftware.it/articoli.asp?tag=Windigo-malware-bersaglia-25mila-server-Linux_10795 e ho provato il comando suggerito, che mi ha risposto "system clean". Il programma indicato ti avvisa se il tuo comando ssh ha l'opzione -G che non è prevista dal client pulito. però quel comando funziona solo se non ci sono varianti, se non c'è una variante che usa, ad esempio, l'opzione -Q o magari le scritte sono state tradotte in cirillico... Visto che siamo su Debian io mi fiderei di più del comando debsums $ debsums ssh Per maggiore sicurezza si può scaricare l'MD5 e usarlo per il confronto... per sicurezza totale si può eseguire il debsums su un supporto di sola lettura dove si è installato Debian. Come ho già detto una volta, aspettiamoci un virus per Linux veramente cattivo e dannoso. secondo me ne esistono di già di programmi "malevoli", ma se uno tiene il sistema costantemente aggiornato, non installa cose trovate con un motore di ricerca su fonti sconosciute (o se lo fa adotta le precauzioni appropriate: chroot, macchina virtuale, utente con solo i permessi base), non installa prodotti che non gli servono e che restano in ascolto su porte raggiungibili dall'esterno (se li installa cambia la porta di default), ... allora le probabilità di essere infettato da un rootkit o simile sono davvero remote. La causa della diffusione di rootkit e simili su GNU/Linux sono dovuti a persone che si fanno chiamare sistemisti, ma che in realtà non lo sono: non fanno gli aggiornamenti di sicurezza, non adottano politiche di sicurezza, forniscono l'accesso come root a, praticamente, chiunque glielo chieda, ... Ho visto e sentito di persone che hanno installato server e poi, visto che funzionavano, li hanno lasciati così per anni, senza fare la minima manutenzione, controlli, ... Ho visto persone che agiscono su server GNU/Linux, che non conoscono l'"argomento" e quando hanno un problema, fanno una ricerca con un motore di ricerca e vanno a tentativi con quello che trovano in rete, senza sapere quello che hanno fatto/installato/... Quando? Quando sarà conveniente farlo, ovvero si avrà un ritorno economico maggiore della spesa investita. veramente sarebbe più che conveniente farlo già ora, ma, penso io che, i "maggiori sistemi" (quelli più importanti) siano gestiti da persone competenti o perlomeno che riducono al minimo, tramite le loro azioni, le probabilità di "infezione". Ad esempio: almeno fino a qualche anno fa, ora non saprei dire se è ancora vero, la più grande rete distribuita di calcolo era quella dell'LHC e guarda caso tutti i PC sono GNU/Linux. Impadronirsi di tale rete permetterebbe a chiunque di avere una potenza di calcolo immensa e distribuita uniformemente su tutti i continenti (Antartico compreso) e in molti stati del mondo. Paradossalmente, più si avvera la speranza comune di una sempre maggiore base di utenti GNU/Linux, più si avvicina il momento in cui diventi economicametne fattibile creare un virus fetente per tale sistema. qui si può dire che c'è un punto debole. Molte società commerciali si sono accorte della potenzialità del software libero e purtroppo hanno, in molti casi, cercato di trasformarlo in un prodotto proprietario aggiungendo parti loro che non sono distribuite tramite sorgente e, in alcuni casi, hanno snaturato la sicurezza intrinseca di un sistema GNU/Linux. Questo si può riscontrare maggiormente sui telefoni cellulari, che possono davvero diventare un bersaglio molto facile da colpire: basta dire che chi possiede un cellulare con software libero (e non) non fa solitamente nessun aggiornamento di sicurezza o per lo meno non lo fa appena è disponibile. Penso che se consideriamo qualsiasi dispositivo dove c'è installato un sistema operativo, allora si avrà che la maggior parte ha GNU/Linux o un sistema operativo derivato da software libero... quindi i numeri già ci sono... Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Strumenti per l'ufficio: https://www.libreoffice.org GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/53332f77.6000...@gmail.com
Re: [OT] Segnalazione windigo
Se lo trovi inappropriato, mi spiace per te. -- Gian Uberto Lauri Messaggio inviato da un tablet > In realtà, credo che nessuno delle migliaia di server linux infettati sia > stato acquistato in un supermercato - e credo proprio che nessun client linux > sia stato a sua volta infettato automagicamente dopo essersi collegato a un > server compromesso. > E non penso nemmeno che sia appropriato il commento di Lauri (*) > sull'invasione prossima ventura di virus per linux: nessuna vulnerabilità è > stata sfruttata per costruire la botnet, solo debolezze sistemiche ampiamente Gli account compromessi erano solo quelli di chi si collegava al sistema per la manutenzione. Ovvero teniamoci una porta comoda aperta. Al momento con Linux gli unici attacchi lucrativi sono quelli che coinvolgono macchine potenti in grado di sostenere alcuni servizi network intensivi. Quando il numero di utenti Linux sarà sufficiente allora sarà lucrativo attaccare le loro info personali (i.e. aggirare le difese dei siti di nome banking). > (*) mi sembra di ricordare che anche sulla proliferazione di Stuxnet io e > Lauri abbiamo idee divergenti: lui pensa che sia stato introdotto in the wild > per raggiungere il suo bersaglio (le centrifughe dell'impianto iraniano di > Natanz) mentre pare proprio che sia avvenuto esattamente il contrario. Una ipotesi speculativa (o hai prove concrete?) conto una analisi dettagliata di costi del malaware. La seconda al momento mi pare più sensata. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/07dc956a-2773-4720-87fa-6d1be1684...@eng.it
Re: [OT] Segnalazione windigo
In data mercoledì 26 marzo 2014 16:27:22, Marco Bertorello ha scritto: > Per risolvere la cosa, bisognerebbe far sparire i PC dai supermercati > e farli tornare ad appannaggio esclusivo delle università o delle > grosse corporation ma... sicuri che sarebbe meglio? In realtà, credo che nessuno delle migliaia di server linux infettati sia stato acquistato in un supermercato - e credo proprio che nessun client linux sia stato a sua volta infettato automagicamente dopo essersi collegato a un server compromesso. E non penso nemmeno che sia appropriato il commento di Lauri (*) sull'invasione prossima ventura di virus per linux: nessuna vulnerabilità è stata sfruttata per costruire la botnet, solo debolezze sistemiche ampiamente note fin dai tempi del Condor - dal quale, chissà, avranno preso ispirazione per rubare le password con cui accedere al *primo* server della botnet. Contro la pigrizia dei sysadmin non si può fare molto. E per me va bene anche così, dopotutto non sono robot ma esseri umani. (*) mi sembra di ricordare che anche sulla proliferazione di Stuxnet io e Lauri abbiamo idee divergenti: lui pensa che sia stato introdotto in the wild per raggiungere il suo bersaglio (le centrifughe dell'impianto iraniano di Natanz) mentre pare proprio che sia avvenuto esattamente il contrario. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/4324171.RixMHeYOPS@debian
Re: [OT] Segnalazione windigo
In data mercoledì 26 marzo 2014 13:15:12, Christian Surchi ha scritto: > Il giorno mer, 26/03/2014 alle 12.57 +0100, elio marvin ha scritto: > > Ciao lista, ho letto l'artico del link: > > http://www.ilsoftware.it/articoli.asp?tag=Windigo-malware-bersaglia-25mil > > a- server-Linux_10795 > > e ho provato il comando suggerito, che mi ha risposto "system clean". > > > > Inutili allarmismi? o può veramente servire. > > segnalo una lettura ben più interessante sull'argomento! > > http://www.welivesecurity.com/2014/03/18/operation-windigo-the-vivisection- > of-a-large-linux-server-side-credential-stealing-malware-campaign/ Interessante, niente da dire, pertanto come detto da Gian Uberto, rimaniamo in attesa di una futura invasione, come logico aspettarsi. Mia personale riflessione: quasi quasi sarebbe meglio che linux si divulgasse il più lentamente possibile . . . o no!? Speriamo bene, grazie mille. -- elio -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/201403261525.40576.emarvin3...@gmail.com
Re: [OT] Segnalazione windigo
Il giorno mer, 26/03/2014 alle 12.57 +0100, elio marvin ha scritto: > Ciao lista, ho letto l'artico del link: > http://www.ilsoftware.it/articoli.asp?tag=Windigo-malware-bersaglia-25mila- > server-Linux_10795 > e ho provato il comando suggerito, che mi ha risposto "system clean". > > Inutili allarmismi? o può veramente servire. segnalo una lettura ben più interessante sull'argomento! http://www.welivesecurity.com/2014/03/18/operation-windigo-the-vivisection-of-a-large-linux-server-side-credential-stealing-malware-campaign/ -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1395836112.25625.4.ca...@zorn.fi.trl
Re: [OT] Segnalazione windigo
elio marvin writes: > Ciao lista, ho letto l'artico del link: > http://www.ilsoftware.it/articoli.asp?tag=Windigo-malware-bersaglia-25mila-server-Linux_10795 > e ho provato il comando suggerito, che mi ha risposto "system clean". > > Inutili allarmismi? o può veramente servire. Il programma indicato ti avvisa se il tuo comando ssh ha l'opzione -G che non è prevista dal client pulito. Come ho già detto una volta, aspettiamoci un virus per Linux veramente cattivo e dannoso. Quando? Quando sarà conveniente farlo, ovvero si avrà un ritorno economico maggiore della spesa investita. Paradossalmente, più si avvera la speranza comune di una sempre maggiore base di utenti GNU/Linux, più si avvicina il momento in cui diventi economicametne fattibile creare un virus fetente per tale sistema. -- /\ ___Ubuntu: ancient /___/\_|_|\_|__|___Gian Uberto Lauri_ African word //--\| | \| | Integralista GNUslamicomeaning "I can \/ coltivatore diretto di software not install già sistemista a tempo (altrui) perso...Debian" Warning: gnome-config-daemon considered more dangerous than GOTO -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/21298.50111.219540.967...@mail.eng.it
