Malware cross-platform

La chimera che alcune piattaforme diverse da Windows siano esenti da malware è sempre più una chimera e offre un pericoloso senso di falsa sicurezza.

La presunzione di sicurezza si accompagna spesso ad un’altra falsa presunzione, quella che il malware sia un software che cancelli i dati, faccia cadere le lettere dello schermo, comprometta i file o faccia comunque di tutto per palesarsi.

Queste cose succedevano oltre 10 anni fa; sarebbe il caso che tutti passassero nel XXI secolo, dove il malware ha, per ora, l’unico scopo di sfruttare per scopi poco legali la connessione Internet della vittima e di farlo cercando di farsi scoprire il meno possibile. Quindi niente cancellazioni o alterazioni: lo scopo è far credere all’utente che non sia cambiato nulla.

Poco importa, quindi se si utilizzano sistemi *NIX con accessi poco privilegiati al sistema: al malware interessa la vostra connessione ad Internet, se poi riesce a sfruttare un baco per elevare i privilegi e rendersi meno riconoscibile, tanto meglio.

Un esempio di questo tipo di malware è Trojan.Jnanabot AKA OSX/Koobface.A AKA trojan.osx.boonana.a, un malware multipiattaforma scritto in Java in grado di insediarsi tanto su Windows quanto sui sistemi *NIX.

Jnanabot ha un comportamento tipico di questa categoria di malware: una volta installato, si posiziona in una directory nascosta e, attraverso un sistema di comunicazione criptato, chiama casa per segnalare la conquista di una nuova vittima e attende istruzioni. Tra le attività illegali che possono venir fatte eseguire dal centro di controllo del malware ci sono attacchi DoS e il post di messaggi fraudolenti sul profilo facebook della vittima, che darà la colpa a qualche applicazione del social network.

Benché Jnanabot possa infettare con successo anche i sistemi Linux, non è in grado, per ora, di sopravvivere ad un reboot. Forse non è, quindi, più il caso di considerare l’uptime di un server un motivo di vanto, specialmente se nel server è installato un interprete Java. (via The Register)

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

13 pensieri riguardo “Malware cross-platform”

  1. Articolo molto interessante già da tempo nutrivo la quasi certezza della non vulnerabilità dei sistemi *nix ai virus/worm attuali.
    grazie
    Luca

    1. Grazie Luca.
      Per quanto riguarda i sistemi *NIX, da SysAdmin ti posso dire che il malware per quelle piattaforme e’ sempre esistito e i SysAdmin lo sanno benissimo.

  2. Resta il fatto che su Linux è praticamente innocuo.
    Tra l’altro: come può un server (visto che su un PC domestico, data la non resistenza a un reboot, è praticamente quasi inutile come malware) venire a contatto con questo programma? Non specificate le modalità di installazione del software.

    1. “Praticamente innocuo” mi sembra una definizione eccessiva per difetto. Se si installa fa casino tanto quanto su altre piattaforme. Non sopravvive ad un reboot, ma i server Linux vengono riavviati molto meno spesso di altri server. Inoltre Trojan.Jnanabot potrebbe essere la testa di ponte con cui si installa altro software che sopravvive ai reboot, che costituisce il vero malware (come le vulnerabilita’ delle pagine web, per capirci).
      Per le modalita’ di infezione basta che un SysAdmin vada su siti strani per cercare soluzioni. E non basta dire che il vero SysAdmin non fa queste cose perche’ i veri SysAdmin sono delle idee platoniche.

  3. “Per le modalita’ di infezione basta che un SysAdmin vada su siti strani per cercare soluzioni. E non basta dire che il vero SysAdmin non fa queste cose perche’ i veri SysAdmin sono delle idee platoniche.”

    Un sysadmin vuole andare su un sito strano e usa….il server?!?
    Il server a me risulta che stia fermo immobile e fornisca lui i servizi richiesti; no che venga usato come un comune PC per visitarci siti…

    1. Alcune volte succede, specialmente quando uno e’ sotto pressione (aggiornamenti, fermi di servizi, eccetera). Purtroppo i cosiddetti “ambienti ideali” sono altrettante idee platoniche. Tanto quanto lo sono i “SysAdmin ideali”.

      In ogni modo il fatto che esistano svariati esempi di server Linux compromessi dimostra che nessuno si deve sentire al riparo per il fatto di usare un SO diverso da Windows.

      Se uno usa OSX, FreeBSD o Linux e si sente al sicuro perche’ si sente “migliore” o perche’ ritiene di utilizzare un SO “migliore” sta dando una bella mano a chi sfrutta il malware.

  4. Non è vero.
    Nessuno usa i server come normali PC per visitare internet!
    Solo i server “amatoriali” che coesistono sul PC desktop ma i server quelli “veri” non funzionano come dite voi..il server ha il compito di rispondere alle richieste che gli vengono fatte..non viene usato per altro come visitare siti internet!

    “In ogni modo il fatto che esistano svariati esempi di server Linux” Quali? Nel grafico lì sopra Vedo solo Win e OS X e non citate nessunissimo esempio!

    1. Il grafico sopra mostra la diffusione di Jnanabot, non dell’universo malware.
      Domanda: questo “server ideale” come fa le installazioni e gli aggiornamenti?
      Ripeto e ribadisco: sentirsi al sicuro solo per il fatto di usare un sistema operativo è un clamoroso errore di valutazione.

  5. Mah… io dovunque ho sempre visto usare server senza interfaccia grafica, e sempre in accesso terminale [SSH o quant’altro] o via un sistema di amministrazione web. Tutto questo fatto da un CLIENT che e’ il pc in uso al Sysadmin.
    Che viene usato anche per cercare eventuali soluzioni o simili.
    Di navigare DIRETTAMENTE dal server non ne ho MAI sentito parlare. Solitamente la console locali di un server NON e’ facilmente accessibile [Il server se ne sta chiuso in una stanza apposita insieme agli altri server] e quindi l’admin NON accede al sistema via interfaccia grafica, e quindi di nuovo e’ MOLTO difficile che ci faccia pasticci. Ovviamente parlando di sistemi *NIX. Sotto sistemi Windows la faccenda cambia soprattutto visto che NON c’e’ modo di evitare l’interfaccia grafica, e quindi e’ piu’ “comodo” lavorare solamente da dentro il server.

Spazio per un commento