Archivi categoria: SNAP

Trovato un malware in Ubuntu Snap Store: l’inizio della fine?

Facebooktwittergoogle_plusredditlinkedin

Recentemente gli amici di Canonical stanno puntando tutto sugli Snap, quei pacchetti che, di fatto, contengono tutto il necessario per l’esecuzione di un dato software, comprese le librerie, e che dovrebbero rendere meno impattante l’aggiornamento di app differenti che utilizzano la stessa “base”.

Che sia per le live patch del Kernel o per la distribuzione di software di utilità, gli Snap oramai sembrano diventare sempre di più la norma per la distribuzione Ubuntu, al punto che si trovano facilmente direttamente in Ubuntu Software, l’applicazione integrata per l’installazione di pacchetti dallo “store” ufficiale.

E’ saltato fuori recentemente che un paio di applicazioni distribuite come Snap, e presenti proprio in Ubuntu Software, contenessero anche un miner di criptovalute, ovvero un piccolo software che, sedendosi in background, utilizzava le risorse del computer ospite per cercare di generare, appunto, criptovalute (Bitcoin, Ethercoin, etc.).

La cosa preoccupante non è data solo da questo comportamento, ma anche dal fatto che lo stesso processo di mining si mascherasse come un demone systemd e che, oltre a questo, gli snap si occupassero di installare uno script che venendo eseguito in fase di boot, caricava il software direttamente in background, eseguendolo anche se l’applicazione fornita dallo stesso snap non era in esecuzione.

Il miner è stato identificato e segnalato su GitHub dall’utente tarwirdur che, nonostante porti la prova esplicita solo per l’applicazione incriminata, 2048buntu, indica anche che tutte le altre applicazioni dello stesso sviluppatore (Nicolas Tomb) installavano lo stesso contenuto; per questo Canonical ha già provveduto a rimuovere tutte le applicazioni di quell’autore in attesa di ulteriori indagini, nello scorso weekend, ma non avendo lo store di Canonical un’indicazione pubblica sul numero di installazioni, non è ben chiaro quanto questo malware sia diffuso.

In ogni caso è stato indicato, come futura nota, che probabilmente il posto migliore dove segnalare questo tipo di contenuti è il forum dello store di snapcraft, l’attuale repository di Snap utilizzato da Ubuntu.

Ma come è finito un cryptominer direttamente sullo store? Beh, semplicemente per il fatto che tutte le applicazioni che vengono inviate per la pubblicazione vengono sottomesse ad un sistema automatico di test che verifica il loro funzionamento e la loro corretta installazione su diverse distribuzioni Linux, ma non vengono controllate riga per riga per eventuali contenuti sospetti.

Inoltre, entrambe le applicazioni sono state pubblicate come software proprietario, rendendo non disponibile il codice e, quindi, facendo si che fosse possibile identificare questo comportamento malevolo solo dopo la loro installazione.

Alcuni, però, suppongono che questo comportamento non fosse realmente malevolo e che l’autore abbia inserito volutamente questo codice (in cui veniva citata una Ferrari) con il solo scopo di attirare l’attenzione sull’uso degli Snap (e di snapcraft) come vettore di trasporto per comportamenti illeciti.

Questa teoria è supportata anche dal fatto che il malware in questione non sfruttava realmente un problema (od un metodo specifico di funzionamento) degli Snap, e che poteva tranquillamente essere inserito anche in un PPA, una AppImage o uno di quei famosi script di installazione tanto in voga su GitHub negli ultimi anni (avete presente i vari

# curl https://github.com/... | bash

? Ecco, non fatelo!).

Quindi, è veramente un problema legato agli Snap? Sarà davvero questo il veicolo di infezione delle future macchine Linux? O è solo un modo per avvertire di un possibile problema che, in realtà esiste da anni?

Ai posteri l’ardua sentenza.

Ubuntu ama sempre più SNAP, forse presente di default su 18.04

Facebooktwittergoogle_plusredditlinkedin

Ci avviciniamo all’uscita della prossima versione di Ubuntu LTS, e le voci riguardo alle novità (anche mancate) continuano a rincorrersi. Ultima arrivata: SNAP sarà presente (ed usata) di default nella distribuzione. Di cosa sia SNAP ne abbiamo già parlato poco tempo fa, mentre l’integrazione di default non è una novità assoluta, dato che Ubuntu Mint 17.10 già lo integra; la notizia è vederlo in una distribuzione LTS, ovvero orientata alla stabilità e con l’impegno del produttore per un supporto a lungo termine.

Una delle limitazioni classiche e note delle distribuzioni LTS è l’invecchiamento del software: le versioni dei vari programmi sono scelte e fissate all’uscita della distribuzione e il supporto (di stabilità e sicurezza) vengono garantiti per quelle versioni, legate alle librerie ed agli altri sistemi presenti (e fissati nel tempo anche loro). Ma se questa limitazione è poco importante in un contesto server, per un uso più desktop poter disporre dell’ultima versione di una certa applicazione, con feature o compatibilà migliori, può essere davvero importante; un esempio può essere una Ubuntu 14.04 (supportata fino al 2019) esclusa dall’ultima release di LibreOffice, o con una applicazione Skype ormai dismessa e non più compatibile.
I pacchetti SNAP, essendo autosufficienti, possono essere aggiornati senza dover aggiornare le librerie di sistema, e quindi permettono l’aggiornamento del software senza minare la stabilità di sistema.

Tutto bene e bello, quindi? Sembra di no, in quanto alcuni utenti hanno esposto degli svantaggi:

  • tempi di apertura delle applicazioni più alti
  • spazio disco richiesto molto più grande
  • aspetto delle applicazioni non uniforme (insomma, sono brutte)

La sensazione è che per superare un problema se ne creino altri, e quindi che la soluzione non sia del tutto adeguata; inoltre, chi cercherà stabilità probabilmente non avrà bisogno delle applicazioni distribuite via SNAP, e chi invece avrà bisogno delle ultime versioni di certe applicazioni probabilmente potrebbe fare a meno delle LTS. O no?

SNAP avanza nel mondo Linux, Kernel incluso!

Facebooktwittergoogle_plusredditlinkedin

Appena rilasciato il kernel 4.15, si apre il periodo di tempo dedicato alle modifiche proposte per il kernel 4.16. La prima novità è l’aggiunta di Bison e Flex agli strumenti necessari per la compilazione (tradizionalmente limitati a GCC e Make): la novità è dettata dal bisogno di generare alcuni file e non solo compilarli. I nuovi strumenti richiesti sono però di uso comune, e quindi non dovrebbero affatto essere un problema per chi vorrà continuare a compilarsi “in proprio” il kernel.

Un’altra novità salta subito all’occhio: se da sempre il sistema di building del kernel ha previsto la pacchettizzazione in deb ed rpm, ora viene aggiunta la possibilità di creare pacchetti SNAP.
SNAP è un sistema particolarmente apprezzato per le applicazioni, in quanto permette di creare pacchetti autosufficienti: non solo l’eseguibile, ma anche tutti i file di supporto necessari (vedi librerie), permettendo l’esecuzione in un ambiente particolarmente isolato, una sandbox, tanto che Ubuntu lo vede come sostituto dei vari apt e yum.

Sebbene il kernel non sembri indicato per questo tipo di pacchetto, un vantaggio dell’utilizzo di questa tecnologia potrebbe essere la possibilità di aggiornamento atomico, secondo una logica “o tutto o niente”: fino alla completa installazione del nuovo pacchetto, quello vecchio rimane disponibile ed usabile, senza il pericolo che un’operazione andata male comprometta un componente critico come il kernel. La patch è stata introdotta l’anno scorso da Canonical, ma dal prossimo kernel farà parte degli strumenti uffciali.

Proprio per la capacità di essere autosufficiente, lo stesso pacchetto SNAP è installabile allo stesso modo su molte (se non tutte) distribuzioni Linux. E proprio per questo alla lista di applicazioni disponibili sullo SNAP store (di Ubuntu) si stanno aggiungendo sempre più applicazioni, comprese Slack, Spotify e Skype.