Malware solo per Windows?

Una delle storielle più false che si raccontano tra loro i fan di sistemi operativi desktop o server non-Windows è che il malware esista solamente su Windows.

Di recente è stato scoperto un rootkit per Linux che aggiunge un IFRAME ai web server basati su nginx.

CrowdStrike ha analizzato il malware, che colpisce il kernel 2.6.32-5, l’ultima versione distribuita da Debian Squeeze.

Il rootkit sembra stato creato ex-novo, non sembra essere una ricompilazione di qualcosa di esistente e sembra di origine russa (come nginx).

La persistenza del rootkit dopo il reboot è garantita da un processo che verifica ogni tre minuti /etc/rc.local e controlla se contiene il comando

insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko

la cui presenza viene però nascosta, come dettagliato nell’articolo di CrowdStrike.

Non è ancora chiaro come avvenga la prima installazione del malware, che richiede privilegi di root. L’analisi della qualità del codice suggerisce che chi l’ha scritto potrebbe non avere le capacità di scrivere un proprio sistema di privilege escalation locale. (via F-Secure)

Samba nuovo per Debian vecchio

Oggi mi sono trovato nuovamente di fronte al problema di mettere dei client Windows 7 in un dominio con DC Samba. Il problema e` che occorre una versione recente di Samba (3.4.x o 3.5.x) e che spesso i server che ho presso i clienti hanno una versione vecchia di Debian, versione che quando e` possibile evito di aggiornare, seguendo la regola d’oro che dice “Quando va che tanto basta, non toccar che poi si guasta”.

Se serve Samba 3.4.x per Debian Lenny, e` disponibile nel repository dei backports, ma se si deve installare su vecchie Debian Etch o addirittura Sarge, tutto potrebbe essere molto ma molto rognoso.

Per fortuna mi e` venuto in aiuto un sito, http://enterprisesamba.org/, che mette a disposizione Samba (recente) bello pronto e pacchettizzato (a 32 e 64 bit) per diverse distribuzioni Linux, fra le quali Debian, e supporta versioni decisamente vecchie (ad oggi, Lenny, Etch e Sarge). Il sito manca purtroppo di chiarezza su quali siano esattamente le differenze fra le loro scelte di patch (o assenza di patch) e di parametri di compilazione fra la versione “Debian ufficiale” e la loro, pero` messo alle strette ho deciso di dare loro fiducia, e direi che l’installazione di Samba 3.4.x dal loro sito su una Debian Etch abbia avuto esito assolutamente positivo. Occorre solo fare un minimo di attenzione alle dipendenze quando si aggiorna (di fatto si sostiuisce) la versione Debian originale di Samba con questa.

Domani finiro` di mettere le macchine client nel dominio, e vedremo se mi pentiro` di aver detto che funziona con troppo anticipo e troppo entusiasmo. Se qualcuno volesse seguire le mie orme, vi ricordo che oltre alla versione giusta di Samba, occorre anche applicare una piccola patch ai client Win7, come scritto qui: http://wiki.samba.org/index.php/Windows7

Firewall quasi-embedded con Alix Board e Debian Linux

Dopo aver installato una buona quantita` di firewall per piccole esigenze usando OpenWRT, mi sono stancato della scarsita` dell’ hardware (Linksys WRT54GL) e mi sono dedicato alla ricerca di una piattaforma embedded o quasi che fosse piu` potente ma non costasse un rene.

Dopo diverse peripezie, ho trovato (mi hanno consigliato) le Alix Board. Si tratta di schede quasi-embedded, nel senso che prevedono anche funzionalita` da “vero computer”, tipo USB, interfaccia IDE, VGA (su alcuni modelli). Ho scelto il modello 2D13, che fornisce 256 MB di RAM (fissa), una porta ide, una porta per schede CompactFlash, due USB, una seriale (e una seconda on-board senza connettore esterno), 3 ethernet 10/100, uno zoccolo per schede Mini-PCI e una CPU AMD Geode. Niente tastiera e video. Su questa scheda e` possibile (con qualche customizzazione) installare una Debian con kernel per 486. L’installazione e` un po` funambolica, ma se vi interessa (scrivetemi nei commenti) posso fornire un link a una immagine gia` pronta da caricare con un semplice “dd” sulla vostra scheda CompactFlash.

Il sistema e` sufficientemente potente da poter installare una quantita` decente di applicazioni, su una SD da 1 GB ci sta tranqillamente una installazione anche abbastanza complessa. Chiaramente i limiti sono principalmente sulla lentezza della CPU (non aspettiamoci di fare passare traffico a 100 Mbit, pero` a 50 si arriva) e nella lentezza spaventosa della CF. Quest’ultima probabilmente sarebbe decisamente migliorabile se avessi installato una CF piu` costosa e performante. Occorre anche ricordare che la CF, come tutti i dispositivi flash memory, ha una vita limitata dal numero di scritture, quindi non pensate di installare un server FTP dove i files cambiano spesso, un proxy con caching, o un database. Sarebbe lento e massacrerebbe la CF molto in fretta.

Se pero` vi serve un firewall, concentratore VPN (per pochi utenti), proxy web senza cache (per autenticare o per logging), o un centralino Asterisk puramente voip (senza schede per linee telefoniche PSTN o ISDN) questa potrebbe essere la vostra soluzione. Considerando poi che ho trovato proprio oggi delle schede Mini-PCI per 1, 2 o 4 canali ISDN BRI (marca OpenVox) ecco che (posto che la CPU ce la faccia) potremmo anche farci un centralino con 4 ISDN BRI.

Il consumo elettrico ridicolo (meno di 15 W) e il costo ridotto (circa 140 euro con alimentatore, scatola, e scheda CF economica da 4 GB) rendono questa soluzione interessante anche in una configurazione ridondante active-standby, anche per clienti con budget molto limitati.