OutlawCountry: la CIA non risparmia nemmeno Linux | WikiLeaks

03 Luglio 2017 77

Wikileaks continua a pubblicare i dati trafugati dalla CIA. Il nuovo capitolo della colossale operazione nota come Vault 7 ci racconta di OutlawCountry, un virus scritto dall'agenzia di sicurezza americana per colpire sistemi Linux. Anche in questo caso si tratta di software ormai obsoleto: l'ultimo aggiornamento del manuale risale al 2015 e nelle istruzioni si parla chiaramente di vulnerabilità nel kernel in versione 2.6 (guarda caso, lo stesso che ha costretto un provider web sudcoreano a sborsare 1 milione di dollari per riavere indietro i file tenuti "in ostaggio" da un ransomware). Oggi siamo oltre la 4.1, ma WannaCry e NotPetya ci hanno ricordato recentemente che un parco macchine globale perfettamente aggiornato è pura utopia.

Il virus prende la forma di un modulo kernel aggiuntivo che, una volta caricato, aggiunge una nuova voce nella configurazione del firewall integrato. Dopodiché il modulo si cancella dal sistema per non lasciare tracce.

A questo punto, forte della nuova "porta aperta" nel firewall, si potrebbe facilmente configurare da remoto la macchina affinché tutte le informazioni scambiate su Internet passino attraverso un server esterno. Ricordiamo che Linux è spesso usato anche in ambito aziendale/professionale: immaginate quanti dati (e di quanta gente) sarebbe in grado di intercettare questo hack se eseguito su un server Web.

Resta da capire, allo stato attuale, il veicolo d'infezione. OutlawCountry richiede accesso fisico al sistema, quindi per essere eseguito da remoto deve per forza appoggiarsi su un exploit aggiuntivo che permetta di ottenere accesso con privilegi amministrativi, o un'operazione di furto di credenziali e così via.

Insomma, anche questo malware sarà di rilevanza pressoché marginale per utenti privati, ma potrebbe essere vitale per chi si occupa di gestire server un po' vecchiotti: come abbiamo già visto nel caso di EternalBlue, una volta che un exploit è pubblico bastano pochi giorni affinché inizino a diffondersi i primi malware basati su di esso.

Il più piccolo e potente iPhone di sempre? Apple iPhone SE, compralo al miglior prezzo da Trony a 279 euro.

77

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
superfrenc

Tu hai evidenti difficoltà di comprensione, ma continua pure a renderti ridicolo...

Boronius

Certo, ma esistono anche le regressioni, un vecchio kernel sicuro che dopo un update maldestro apre la falla

NicoRoma90

non è semplice... io proverei a sniffare tutto il traffico del PC con Wireshark e vedere se qualche pacchetto va finire in "posti strani"

NicoRoma90

bah complotto non lo so, ti assicuro che si può fare benissimo anche senza avere chissà che conoscenza a livello di sicurezza o programmazione... la cosa più difficile per me rimarrà sempre far cascare la vittima all'attacco (il più delle volte fargli aprire un pdf o un exe).... se ti interessa dai un occhio a metasploit framework e nello specifico reverse tcp ip

OfficialFlorekx

è tutto un complotto? AHAHAHAH

Mako

certo, non ho detto che linux è impenetrabile, ho detto solo che è molto più sicuro di windows, ci mancherebbe che è impenetrabile

SL7Z4

Si, ma non è mai possibile prevedere tutto. Con questo non voglio fare polemica, sia ben chiaro, ma si sa che un sistema sicuro al 100% non esiste.

Mako

il fatto che linux sia open source ha fatto in modo che cose come queste siano fixate da 4 anni

SL7Z4

Ma per Linux può peggiorare se qualche pezzo grosso ci si mette.
Ci hai mai pensato?

Achille

Gli altri mi hanno fornito una spiegazione esaustiva, tu no xD

Alessandro

E come dovresti trovarli?

superfrenc

"per quanto ne so..." Appunto, stai dimostrando che non ne sai abbastanza... ma nonostante tutto hai l'inutile pretesa di provare comunque ad avere ragione.
Gli esempi che ti ho fatto erano per bambino da 1° elementare...
Se non hai capito é perché non hai voluto capire.
Dopo la spiegazione di decine di altri utenti, sei finalmente convinto che il solo ad arrampicarsi sugli specchi sei stato tu?

NicoRoma90

hanno il sysadmin

NicoRoma90

concordo. poi se apre solo le porte senza avviare alcun servizio, mi sfugge il pericolo che si possa correre

NicoRoma90

virus evidenti... ci sono virus che non ti accorgi di avere

OfficialFlorekx

Uso Windows e Linux,non ho mai preso un virus.

^^

Rosicate voi con Windows... Messi da parte i Bitcoin? Ahahahahah... LoL... ;)

Aster

Il problema e che durante il corso di reti al università c'è stato un seminario di 4 ore dove ha parlato il massimo esperto debian ne mondo per la sicurezza (italiano ora al google) e diceva che solo 20% degli addetti riesce a costruire o impostare o implementare un firewall efficace

Aster

Faccio un po di pubblicità;) e antergos

Palux

sì, lo 0 che fa passare da uno a dieci

ice.man

di solito i server web sono cmq dietro ad uno firewall aziendale (che in realtà medio piccole è di solito integrato nel router cisco piuttosto che bsd) che con opportune ACL concede l'accesso solo alle porte che servono
quindi anche se vengono aperte porte sul server....non sono cmq accessibili dall'esterno
potrebbero esserci piu problemi a livello di intranet dove di solito si usano policy piu lasche

Eros Nardi

E per i server che non hanno schermo ne sedia?

DuN3DaiN

Lol
Per usarlo necessita di accesso alla shell e privilegi di amministratore
è una regola che crea un netfilter su iptables visibile all'amministratore di sistema ma dal nome oscuro "dpxvke8h18" quindi difficilmente individuabile...
https://uploads.disquscdn.c... https://uploads.disquscdn.c...

Svarion

sbagliatissimo, se rilasci un aggiornamento minore passi da 4.1 a 4.1.1...semmai possiamo dire che 4.1 equivale a 4.1.0

il Gorilla con gli Occhiali

I microbi?

Davide Neri

La numerazione del software non è fatta con numeri reali. È un simbolismo diverso con regole diverse. La cosa più ovvia è che si possono usare più punti separatori, perché raggruppano più numeri ciascuno dei quali ha un suo significato. Non è tutto un numero.

Davide Neri

Per Linux, azienda di assistenza non vuol dire tutti gli sviluppatori, per Windows sì. È una grossa differenza. Con Windows, corrotto uno corrotto tutto.

DeeoK

Il bordo della scrivania?

Raxien

La tastiera e il mouse? :|

C. Bianco

neanche io che ogni tanto ci gioco farei un'affermazione del genere, soprattutto con i portatili è volersi male.

Dea1993
Shell access and root privileges are needed to install OutlawCountry,
meaning CIA operatives must compromise machines via other means before
deploying this malware strain.


non per dire, ma grazie al cavolo.
è un malware che richiede che sia l'utente ad installarlo e a fornirgli i privilegi di root.
quindi non c'è niente di assurdo.
non sfrutta vulnerabilità per vare un privilege escalation e inserire questo modulo senza il permesso dell'utente.
quindi nulla di grave.
oltretutto vale solo per kernel 2.6, ovvero un kernel nato oltre 7 anni fa.

Mako

e la situazione non pare migliorare

Mako

comunque molto indietro

Dea1993

a livello di sicurezza anche windows ha recuperato molto da windows vista.

SL7Z4

Abbombah!

SL7Z4

Per il momento.

Mako

però dire che linux è il triplo più sicuro di windows non è falso

M_90®

"con linucs si giocah" cit

AluCArDz

Il 90% dei problemi al computer si trovano tra lo schienale della sedia e lo schermo.

Mako

te non stai simpatico nemmeno a tua madre

Aster

nessun problema lo riavvio di rado quindi non cambia molto anche se esce:)

SL7Z4

È proprio il tuo tallone...

XD

Ansem The Seeker Of Darkness

dagli tempo, su kernel linux è uscito ed è segnato come mainline ;)

SL7Z4

Lo so Dea, era per far notare il pensiero dei più.

Dea1993

ma non solo hdblog... molti blog su informatica e tencologia concorrenti quando parlano di linux fanno sempre grandi strafalcioni

Dea1993

ok, ma... kernel 2.6... quindi parliamo di un kernel che ha più di 7 anni alle spalle (che poi prima della release 3 la numerazione era differente e il ramo 2.6 è durato molto tempo, quindi 7 anni fa era una delle utile release del ramo 2.6).

caribba

Si lo so, la mettevo sul ridere, il pressapochismo le news di hdblog è disarmante

SL7Z4

"Linucs non ha virus, con linucs si achera, non si viene acherati"
Cit.

XD

Dea1993

allora potevano lasciar scritto siamo oltre la 2.6 xD
dicendo oltre la 4.1, immagino che siano uscite giusto 1 o 2 release dopo, e non altre 11 :)

Achille

Si grazie mi sono scordato di ciò xD

Ahh devo rimettermi a studiare informatica, non matematica xP

Asus VivoBook Flip 14: eccolo nella nostra anteprima video da IFA

Asus ZenBook Flip 14 e 15: la nostra video anteprima da IFA 2017

Recensione Surface Pro Core i5 e Core i7: fanless è meglio

Recensione Acer Aspire VX 15: gaming economico e competitivo