Re: Malware per Linux

[Portobello <c.portobello@fastwebnet.it>]

Il 20/12/19 21:04, Davide Prina ha scritto:
> On 20/12/19 10:53, Portobello wrote:
>
> > "Dagli autori di WannaCry un malware che infetta anche Linux
>
> un malware non è altro che un programma che tenta di fare cose che 
> l'utente/proprietario della macchina non vorrebbe fossero fatte.
>
> Detto questo è sufficiente che l'utente esegua un eseguibile che può 
> installare o mandare in esecuzione un malware sulla sua macchina. Dove 
> per eseguibile si intende tutto ciò che esegue istruzioni, compreso i 
> javascript (quindi è sufficiente "navigare" il web).
>
> Per proteggersi bisognerebbe compiere azioni per diminuire le 
> possibilità che il malware possa eseguire quanto è stato programmato a 
> fare.
>
> Un sistema GNU/Linux è progettato tenendo in conto la sicurezza, poi 
> naturalmente è chi lo usa che può compromettere quanto previsto in fase 
> di progettazione, compiendo azioni non corrette.
>
> Fino a poco tempo fa ti avrei consigliato di aggiornare costantemente la 
> tua macchina Debian, con la frequenza più alta possibile (es: 
> giornalmente), di evitare di scaricare pacchetti/sorgenti/eseguibili da 
> siti diversi dal repository ufficiale (o comunque da siti di cui non sei 
> sicuro), di usare il sistema nel modo corretto (es: non usare root per 
> eseguire l'ambiente grafico) e cose simili.
>
> Purtroppo ora questo non è più sufficiente a causa dei bug hardware che 
> stanno uscendo negli ultimi tempi. La maggior parte degli ultimi bug 
> trovati non possono essere corretti né via software sul sitema operativo 
> nè via software nell'hardware (con gli aggiornamenti di firmware). 
> Quello che viene dato sono delle mitigazioni che rendono meno probabile 
> e/o più complesso riuscire a sfruttare il bug.
> Come passato in lista qualche settimana fa, il manutentore del ramo 
> stable di Linux ha fatto delle dichiarazioni molto pesanti in merito, 
> indicando che purtroppo bisogna scegliere tra sicurezza (e lentezza) o 
> prestazioni (e insicurezza) e che verranno disabilitate in Linux delle 
> funzionalità delle CPU che permettono di avere un sistema performante.
> Linus stesso ha detto che è veramente inutile cercare di correre dietro 
> a tutti queste mitigazioni, dato che è come cercare di correre dietro 
> qualcosa che è incolmabile poiché appena pensi di aver reso meno 
> insicuro qualcosa spunta una nuova problematica...
> Questi bug sono causati principlamente dal fatto che i produttori 
> hardware hanno per anni pensato solo a buttar fuori hardware sempre con 
> maggiori prestazioni (soprattutto rispetto alla concorrenza), in molti 
> casi, senza badare alla sicurezza.
> Dal punto di vista dei produttori hardware ho letto poco tempo fa che 
> intel iniziava ad ipotizzare una possibile soluzione per risolvere il 
> problema della vulnerabilità Side-Channel, su cui si basano molti dei 
> bug trovati.
> Questo vuol dire che se compri un PC nuovo, stai comprando un PC con bug 
> hardware di sicurezza, indipendentemente dal sistema operativo che poi 
> userai.
>
> Quindi ora non è più sufficiente avere un sistema operativo "affidabile" 
> per avere sotto controllo i problemi di sicurezza causati da malware, ma 
> occorre anche un hardware che abbia pochi problemi gravi di sicurezza.
>
> Nota: i problemi dei bug hardware di norma hanno incidenza su tutti i 
> sistemi operativi, tranne alcuni casi (ora non ricordo, ma avevo letto 
> che un problema aveva incidenza solo su windows per come era stata 
> implementata una sua parte core, mentre GNU/Linux non era affetto).
>
> Per avere un'idea dei principali bug di CPU scoperti e se il tuo sistema 
> è vulnerabile puoi installare il pacchetto:
> # apt install spectre-meltdown-checker
Ciao Lista,
Perbacco, pensavo che fosse già installato e invece no. Ma forse lo 
avevo messo sulla oldstable.
Comunque ora lo ho installato anche sulla stable di Buster.

> ed eseguirlo
> # spectre-meltdown-checker
Qui mi da dei risultati preoccupanti nella prima parte.
Hardware check
* Hardware support (CPU microcode) for mitigation techniques
  * Indirect Branch Restricted Speculation (IBRS)
    * SPEC_CTRL MSR is available:  NO
    * CPU indicates IBRS capability:  NO
    * CPU indicates preferring IBRS always-on:  NO
    * CPU indicates preferring IBRS over retpoline:  NO
  * Indirect Branch Prediction Barrier (IBPB)
    * PRED_CMD MSR is available:  NO
    * CPU indicates IBPB capability:  NO
  * Single Thread Indirect Branch Predictors (STIBP)
    * SPEC_CTRL MSR is available:  NO
    * CPU indicates STIBP capability:  NO
    * CPU indicates preferring STIBP always-on:  NO
  * Speculative Store Bypass Disable (SSBD)
    * CPU indicates SSBD capability:  NO
  * L1 data cache invalidation
    * FLUSH_CMD MSR is available:  NO
    * CPU indicates L1D flush capability:  NO
  * CPU supports Software Guard Extensions (SGX):  NO
  * CPU microcode is known to cause stability problems:  NO  (model 
0x5f family 0xf stepping 0x2 ucode 0x62 cpuid 0x50ff2)
  * CPU microcode is the latest known available version:  UNKNOWN 
(latest microcode version for your CPU model is unknown)
* CPU vulnerability to the speculative execution attack variants
  * Vulnerable to CVE-2017-5753 (Spectre Variant 1, bounds check 
bypass):  YES
  * Vulnerable to CVE-2017-5715 (Spectre Variant 2, branch target 
injection):  YES
In tutte quelle cose dove mi dice NO, forse si può rimediare in qualche 
modo ? Ci sono anche due vulnerabilità a Spectre.
Per il resto del Report dice che è tutto  STATUS:  NOT VULNERABLE.
Ma lo devo leggere un po meglio e con calma, perché ci sono parecchi 
warning.

> leggiti anche il disclaimer
>
> Infine, se io dovessi scegliere un sistema guardando dal punto di vista 
> della sicurezza, allora preferirei di gran lunga GNU/Linux, dove i bug 
> di sicurezza di solito sono risolti in tempi molto brevi e quando scopri 
> che c'è quel problema in realtà hai già installato la patch.
>
> Ciao
> Davide

Grazie
Saluti