Una sola parola: Virus!
Oggi sembrava un normale giorno lavorativo, quando alle 16.00, mentre stavo eseguendo dei comandi SQL su Oracle, vedo in basso a destra il segno inconfondibile dell’antivirus che ha trovato un virus nel sistema e lo ha messo in quarantena. Nemmeno il tempo di vedere che diavolo fosse quell’allarme, che il telefono squilla: “Mi è uscito un messaggio strano dall’antivirus”. Metto giù la cornetta e il telefono squilla ancora: altri 2, 3, 4 utenti che chiamano 🙁
Do un’occhiata al server dell’antivirus e vedo che metà pc sono infetti, per esserlo quasi tutti una decina di minuti dopo, quando il server ha letto le informazioni dai pc rimanenti!
La rete aziendale è munita di antivirus centralizzato che scarica gli aggiornamenti sui virus ogni 5 minuti (se disponibili sul sito del produttore) e poi lo installa remotamente in automatico su ogni pc. Inoltre il server spara pure tutti gli aggiornamenti di Windows e Office ad ogni client connesso. Questo per essere sempre aggiornati ed evitare appunto il male di Windows: i Virus.
Il bollettino è stato questo: infetti il 90% dei pc (siamo sui 100 pc attivi) e pure i server (che usano Windows server 2003). Si salvano solo questi pc:
- 5 pc spenti perchè gli occupanti sono a casa ammalati 😉
- 1 pc che è stato formattato 2 ore prima del contagio e si stava finendo di installarvi tutti i programmi.
- 1 pc che è sempre acceso e che serve per registrare le immagini delle telecamere di sorveglianza
- 1 pc di un utente che è da 2 settimane che si lamenta che è diventato lento (sarà per quello che il virus non ha contagiato quel pc?)
- 1 pc portatile che ha il disco quasi pieno (ma l’utente non vuole che glielo formattiamo senno poi perde le sue impostazioni): forse il virus non trovava spazio per installarsi su questo pc.
Domani sarà una giornata intensa perchè debellare tutti questi virus richiederà scansioni con utenti che non possono lavorare (non si tratta di 5 pc che magari si rimpiazzano con quelli di riserva, ma con “solo” quelli di riserva che sono funzionanti). Magari una persona a casa non si farebbe tanti problemi a debellare il virus: invece di fare tante scansioni, un bel format e via. Risolto il problema.
Ma con una realtà aziendale ciò è impensabile. Formattare un pc richiede tempo, soprattutto in virtù del fatto che ci viene installato software originale perfettamente licenziato.
Magari in pochi sono pratici di attivazione di prodotti originali, ma spesso l’operazione che sarebbe solo quella di click su autorizza la licenza su internet si traduce in dover chiamare un numero verde in cui inserire una marea di numeri prima di aver la propria copia autorizzata. Sembra semplice, ma ci si impiega meno a installare il software che a eseguire questa procedura telefonica 🙁
Per non parlare di attivare Autocad ed Inventor. Qui se non prende il codice da internet bisogna mandare una mail al centro autorizzazione che se va bene te li attiva parecchie ore dopo, se ti va male, devi passare per il tuo rivenditore (a cui paghi un canone di assistenza) che tartassa l’Autodesk finchè ti rilascia il tuo codice di sblocco. Morale: 1 settimana per attivare una licenza Inventor!
So che molti pensano che Windows è pieno di Virus solo perchè è il sistema più usato e quindi qui si concentrano i malintenzionati, mentre Linux essendo “di nicchia” non ha virus. Personalmente da informatico la penso molto diversamente.
I sistemi Unix sono molto più usati di Windows sui server, per cui un malintenzionato che compromettesse un server farebbe molti più danni di un pc di un utente. Certamente diverrebbe più famoso chi mettesse in ginocchio i server che fanno funzionare tutto quello che ci circonda (pensate a internet, i servizi di posta, ecc, ecc) che non uno che crea l’ennesimo virus tra i 100.000 (sparo questo numero a caso 🙂 ) già esistenti.
Il problema a mio avviso sta nella mancanza di sicurezza su cui poggia le fondamenta Windows stesso. Se le fondamenta traballano, difficile poi rendere il sistema sicuro. Del resto, sebbene su Windows esistano i privilegi (come utenti normali o amministratori) sembra che quello che è capitato oggi da noi abbia bypassato questa barriera.
Tutti gli utenti della nostra rete non sono amministratori (come magari capita tra gli utenti dei pc domestici), ma Power User. Cosa Power User? Si, purtroppo non si può definire gli utenti User e basta, perchè altrimenti software come Autocad, Inventor, Office e molti altri, smettono si funzionare (perchè c’è chi deve scrivere la licenza sul registro, chi mettere chi sa cosa chi sa dove).
In ogni caso anche non avendo i privilegi completi (nessun utente può installarsi il software che vuole in Power User) il virus è dilagato alla faccia dell’antivirus e protezioni di Windows 🙁
Le sicurezze date dal modello Amministratore/Utente normale, tipiche del mondo Unix, sembrano non così ben implementate in Windows.
Preferisco comunque stendere un velo pietoso sulla vicenda, tanto ne sentirete ogni giorno di questi racconti sui Virus e Windows e concluso queste riflessioni tornando al mondo Linux.
Se il modello di privilegi User/Root di Linux poggia su solide basi derivanti dalla tradizione Unix, cosa che mi permette di essere fiducioso per l’impatto di virus su Linux, lo sono ancora di più pensando agli altri sistemi di protezione implementati in molte distribuzioni, per arginare l’eventuale comportamento poco accorto di un amministratore.
Su Fedora è di default installato SELINUX, un sistema di tagging dei file e relative regole di protezione, che se sembrano scoccianti per un utente normale (soprattutto se in modalità Enforcing), sono una sicurezza non da poco.
Se ad esempio (qui semplifico tutto il ragionamento su SELINUX, per non dilungarmi troppo, e porto esempi che danno solo l’idea di quello che ci sta sotto in realtà) scaricate un programma eseguibile da internet dal vostro browser come utente normale e, visto che amministrate la vostra macchina Linux, decidete di copiarlo sotto /usr/bin da super utente, così da renderlo eseguibile anche per vostra sorella che utilizza il vostro pc col suo utente, SELINUX impedirà l’esecuzione di tale programma, essendo il tagging del file non conforme a un programma posto in area di sistema.
La cosa è noioso perchè magari scaricate i driver ufficiali Nvidia o ATI dal sito, li installate con la loro procedura di installazione, riavviate e i driver non funzionano perchè SELINUX li blocca essendo file scaricati da internet e quindi potenzialmente pericolosi.
Ma se invece dei driver ufficiali aveste scaricato senza saperlo un virus e lo aveste eseguito, gli eventuali programmi maligni installati sull’area di sistema sarebbero stati bloccati da SELINUX 😉
Altri meccanismi di protezioni, credo attuati anche da Ubuntu di default, sono l’utilizzo di GCC (il compilatore C) con l’estensione per rilevare eventuali buffer overflow in fase di runtime. Questo blocca uno degli eventuali bachi di programmazione che un virus potrebbe sfruttare per ottenere i privilegi di Root ed infettare il sistema.
Per conclude questo lungo post (che spero che gli amanti di Windows non si arrabbino per le mie opinioni): domani sarà una lotta all’ultimo virus su Windows, ma qui su Linux sarà una gioia lavorare senza quei grattacapi. W Linux 😉
Ciao
Io non condivido le tue idee sulla maggior sicurezza di Linux rispetto a Windows. innanzitutto bisogna vedere che versione di che windows stai parlando. Windows Vista e Windows 7 implementano tecniche molto avanzate nella protezione da buffer overflow, come la randomizzazione dell’address space di un processo (stack, heap, ecc…) Inoltre windows permette di impostare a livello di sistema operativo quali pagine di memoria possono essere eseguibili e quali no, limitando quindi il rischio di esecuzione di exploit. Anche sotto linux esistono protezioni di questo tipo però non sono attive di default perché possono causare problemi nell’esecuzione di alcune applicazioni. Inoltre a livello di sicurezza delle applicazioni anche linux ha le sue magagne, infatti le segnalazioni di vulnerabilità di sicurezza di applicazioni linux sono numerose come per le applicazioni per windows. La differenza sta tutta tra il monitor e la tastiera 🙂 Generalmente un utente Windows è meno esperto e accorto rispetto a un utente linux quindi è più probabile che incappi in software non fidato senza che se ne renda conto. L’affermazione per cui windows è più soggetto ad attacchi di malware perchè è il sistema operativo più diffuso è tanto banale quanto vera. Al giorno d’oggi lo sviluppo di un malware non è un’attività banale, richiede un’elevata conoscenza del sistema vittima e di tecniche avanzate per impedirne la rilevazione (polimorfismo, anti-VM, anti-debugging, ecc..), e il codice risultante è valido solo per il sistema verso il quale è stato studiato, essendo molto differenti i comportamenti dei vari sistemi operativi a basso livello. Non si può quindi sapere come e quanto reggerebbe linux ad attacchi di simile portata. Considera che se mai dovessero iniziare a proliferare malware per linux (o MACOs X) si rischierebbero epidemie devastanti in quanto gli utenti di questi OS attualmente si considerano “esenti” da rischi e quindi l’infezione avverrebbe senza opposizione!!
Il tutto te lo dico da convinto utente linux, che però non considera Windows come il male del mondo 😀
Su linux è raro che si scarichino singoli pacchetti dalla rete, di solito si usano i comodi PPA (almeno per il mondo debian) e i repo ufficiali per le distro semi-commerciali come Red Hat o Suse.
Quindi alla fine se anche windows utilizzasse tale metodo per gestire l’installazione dei programmi, sarebbe un mondo migliore 😀
In ambito aziendale qui abbiamo ancora macchine con Windows 2000 (un 40%) e il resto è con Windows XP. Difficilmente si passerà a Windows 7 prima di 6 mesi minimo (e lo sarà solo sulle nuove macchine). Cambiare un parco macchine attivo non è una spesa purtroppo banale in realtà aziendale 🙁
p.s: la battaglia sta continuando. Forse abbiamo isolato il ceppo e ora si parte con la disinfestazione di massa su ogni pc in pausa pranzo…
Forse una delle differenze fondamentali è proprio questa: con linux posso aggiornare continuamente verso le ultime tecnologie/versioni dei software, il limite diventa solo il tempo per aggiornare 100 postazioni (parlo naturalmente di aggiornamento di versione della distribuzione, gli aggiornamenti interni alla stessa versione sono più o meno automatici)
Con windows per avere l’ultima versione in fatto di protezione da buffer overflow devo comprare la nuova versione. Quindi c’è un impegno economico, non solo in termini di licenze ma anche di hardware.
Io sono sicuro al 99% che una macchina su cui gira windows 2000 posso aggiornarla all’ultima versione di red hat o ubunut o suse senza problemi (credo che sia anche più veloce senza necessità di installare desktop leggeri o fare configurazioni particolari), invece non mi sento altrettanto sicuro anche solo a passare a windowsXP. Probabilmente la prima lamentela degli utenti è che il pc è diventato lentissimo.
Insomma se decido di aggiornare windows ad ogni nuova versione che esce, e ricordiamoci che farlo quando è uscito vista sarebbe stato il suicidio aziendale, devo mettere in conto anche di rinnovare quasi tutto il parco macchine.
Quindi spendendo poco, diciamo 200 euro a pc perché siamo molto tirchi, diventano già 20.000 euro, ok non sono tutti da cambiare, quindi spendiamo 15.000. Peccato che ancora non abbiamo incluso il costo delle licenze, facciamo che sono tutte licenze oem, ok va bene sono altri 100 euro a licenza. Quindi diventano altri 7.500 euro per un totale di 22.500 a cui vanno aggiunti i costi di licenza upgrade per i restanti. Poi se ci aggiungiamo i costi di smaltimento dei pc vecchi, nessun rivenditore te li ritira e se li rottama, e i costi di installazione dei software necessari, si lo fa il personale interno ma io comunque lo stipendio lo pago, andiamo su cifre ancor maggiori.
Non dico che con Linux non ha nessuno dei costi che ho citato (ad esempio anche con linux cambio il parco macchine e smaltisco i pc), ma solo che diventa un’operazione mooolto più diluita nel tempo, non segue necessariamente l’aggiornamento del sistema operativo.
Non cominciamo però a fare disquisizioni del tipo si ma autocad va solo su windows, presumo che dei 100 pc solo 5/10 montino autocad e per questi si può mantenere windows. Per gli altri 95 che hanno office forse basta e avanza openoffice.
Sono perfettamente daccordo con Bobonov: su un pc vecchio si può installare Linux con un desktop leggero e avere le persone che lavorano con sistema sempre aggiornato. Le macchine con Windows 2000 non sono state aggiornate a Win Xp, non tanto per il costo della licenza che pure a un suo peso, ma perchè l’hardware è datato (gli ultimi PIII in uso sono stati smaltellati solo nell’ultimo anno, prima erano in uso) e pertanto si deve cambiare sia PC che sistema operativo 🙁
Di autocad ne abbiamo tanti, essendo l’azienda di progettazione edilizia: 22 licenza di Inventor e 10 di autocad. Tutti gli altri PC sono Office e anche meno (solo gestionale). Purtroppo qui abbiamo che Inventor 2010 sono 6 (o 7) DVD di installazione: servono 4h per creare una immagine di deploy del prodotto! Non è un caso che con Inventor siamo fermi a Inventor 9 pur avendo le licenze del 2008/2009/2010: sarebbe neccessario cambiare tutte le macchine della progettazione ad ogni nuova versione! Costi su costi.
Purtroppo il problema più grosso non è Windows ma i programmi che vi girano. Se tu avessi avuto le ultime versioni di questi, o se le vecchie versioni fossero state realizzate seguendo i crismi del buon scrivere software, avresti potuto impostare su tutti i PC account utent di tipo limitato, e non Power User che è parente stretto di amministratore. A questo punto, e solo allora, avresti potuto addossare le giuste colpe a Windows.
BTW MS Office perlomeno dalla 2000 funziona senza problemi su account limitato.
A scanso di equivoci sono un utente Linux più che soddisfatto, però non vedo perché dare sempre addosso a Windows se per prima cosa non lo si utilizza, o per varie ragioni si è costretti a non utilizzarlo, seguendo i minimi criteri di sicurezza.
Purtroppo già Office 2000 Professional che avevamo provato ad utilizzare con utente normale da noi non funzionava: il correttore ortografico risultava disabilitato 🙁 e se non ricordo male, questo avveniva pure come Power User (ma qui vado a memoria). Era l’anno 2002. Successivamente il problema fu risolto da un service pack.
Altri grossi problemi avuti con Office 2000 è che, se installati da utente Administrator e poi usati da utenti power user, nel momento in cui si è passati a Outlook 2007 da Oulook 2003 (mantenendo Office 2000), il profilo dell’utente continuava a caricare Outlook 2003 anche se era installato Outlook 2007 (e l’installazione del 2007 teoricamente doveva cancellare la precedente versione). Per chi aveva Office 2003 questo passaggio è stato invece indolore.
Questo perchè, mentre l’Outlook era licenziato con l’Exchange e quindi aggiornato all’ultima versione, l’Office è rimasto quello acquistato a suo tempo ed ora è 5% Office 2000, 65% Office 2003 e il restante Office 2007.
Condivido pienamente che il software deve essere scritto secondo carismi di sicurezza fin dalla sua origine e, cosa importante, eventuali bachi di sicurezza devono essere sempre chiusi appena vengono scoperti (in questo trovo gli aggiornamenti di sicurezza pianificati mese in mese sbagliati, sia che avvengano sul mondo Linux che su Windows: se un baco viene corretto, ciò deve corrispondere a un rilascio della correzione in “tempo reale”)
La mia esperienza è diversa (salvo smentite la settimana prossima!)
una rete di 70 pc, nemmeno un allarme.
Tutti i pc sono dietro un firewall hardware, una macchina gentoo linux 2.6 sulla quale gira squid e iptables.
Un caso?
Avete mai pensato di usare un software di imaging?
Se un giorno le immagini delle macchine ti dovessero servire, puoi ripristinare un sistema in 20 minuti.
Non usiamo fare immagini, perchè la variabilità del software installato e del parco macchine non omogeneo richiederebbe di avere pressochè una immagine di un 50% dei pc 🙁
Gli unici pc di cui si fa l’immagine sono i centri di lavoro, perchè essendo il pc di tipo industriale non si può sostituire se non con un fermo macchiana di 1g (e ciò è antieconomico), pertanto abbiamo le immagini dei dischi fissi pronte alla sostituizione 😉
@Fab:
legggiti questo:
http://guiodic.wordpress.com/2009/06/19/microsoft-non-correggera-i-problemi-di-sicurezza-di-windows-7/
e questo:
http://guiodic.wordpress.com/2009/05/16/due-video-che-mostrano-insicurezza-di-windows-7/
e se sei una persona riflessiva considera windows “come il male del mondo”
Gildo
Forse cambiare antivirus sarebbe meglio che dare la colpa a windows…dubito che un antivirus serio possa aver fatto passare una roba del genere. Per curiosità chee antivirus usate e che virus era per propagarsi cosi velocemente?
grazie
cosi velocemente su macchine cosi disomogenee (2000 xp e addirittura su 2003 server).
Poi non vorrei sembrare presuntuoso ma dubito che autocad/inventor necessitino di un power user per funzionare. Se così fosse sono software fatti col didietro e buona colpa di quello che è successo è loro e dell’antivirus…
Utilizziamo Avast. Il virus sembra l’ennesima variante di un Net Worm che si intrufola sfruttando i servizi in rete e/o software di messaggistica istantanea. Qui piazza molti sottovirus differenti (motivo per cui poi l’antivirus li trovava), ma non sono loro la causa principale. L’infezione è stata scoperta trovando un sottovirus, ma ovviamente quello principale era già in azione.
Abbiamo piazzato anche una macchina di test con Kaspersky Antivirus, ma non è riuscito a estirpare il virus neppure lui (adessi stiamo provando la disinfestazione con CD di ripristino e macchina staccata dalla rete, per vedere se almeno questo funziona e poi il pc rimane immune).
Purtroppo il power user era necessario perchè Inventor/Autocad doveva scrivere delle chiavi di registro ogni volta in cui veniva avviato (anche se installato e autorizzato come Amministratore). Non ti so dire delle ultimissime versioni, visto che utilizziamo ancora versioni di qualche anno fa, causa l’hardware in uso e/o software interno agganciato ad autocad.
Scusate ma qui mi sembra si stia travisando….. L’antivirus, il firewall, l’antispyware etc etc. sono tutti strumenti creati per rimediare alle carenza del sistema operativo.
Non dimentichiamoci che i virus in particolare sfruttano debolezze note e meno note del sistema operativo. Il compito dell’antivirus è di “rimediare” a queste pecche cercando di evitare l’intrusione del virus (non chiude il buco di sicurezza)
Sicuramente l’antivirus è complice nel non aver saputo prevenire l’infezione, perché non dimentichiamoci che il problema alla base è un altro, windows.
Mi ricordo il virus sasser che ha impestato e mandato in malore svariate reti aziendali. Sfruttava un noto buco di un servizio windows.
http://www.microsoft.com/italy/security/incident/sasser.mspx
Questo era (è forse lo è anche ora) pestilenziale specialmente su rete fastweb. Mi ricordo che per installare ed aggiornare il pc di un amico non è bastato scaricare SP2 e antivirus e relativo aggiornamento tramite linux per poi installarlo su win con chiavetta usb. Ho dovuto configurare ilproxy su linux e far andare windows attraverso il proxy per ultimare gli aggiornamenti del sistema operativo. Insomma un discreto bagno di sangue per una semplice e stupida macchina.
In effetti mi ricodo del Virus Blaster (altra infezione di massa di metà dei pc e a quel tempo mi sembra utiizzassimo il Norton antivirus) che si era intrufolato sfruttando un baco di Windows (e quando ci era giunta la segnalazione dal bollettino Microsoft di instlallare la patch, il virus era già dentro a diverse macchine) 🙁
Ecco una lista parziale dei visrus trovati:
Avast:
Win32:Rootkit-Get [RTK]
BV:Autorun-S [Wm]
Kaspersky:
Net.Worm.Win32.Kido.Im
Trojan.Win32.Genome.ftkf
Worm.Win32.Autoit.tc
Packed.Win32.Krap.l
Il Symantec lo riconosce come virus W32.Downadup che sfrutta un baco critico di sicurezza di Windows: MS08-067. Peccato che il buco sia “teoricamente” chiuso tramite l’aggiornamento K958644 del 2008 installato su ogni pc.
Di positivo è che ci sono i 4 pc non infetti e che sembrano resistere agli attacchi: se scopriamo cosa hanno in più (o in meno) rispetto agli altri, forse si può capire come bloccarli, perchè ora ben 7 tools/antivirus non arginano la situazione 🙁
Ancora su windows 7:
http://www.techup.it/news/windows_7_affamato_di_memoria-03382
Mi meraviglio come nel 2010 la gente continui ad usare Windows. Ma è pure un sistema operativo? Due giorni fa in ufficio in Windows Server 2003 originale con tanto di licenza si è beccato così tanti virus che ho dovuto riformattare tutto. Te lo sogni con Linux di riformattare o di prendere virus. Windows è nato coi virus e morirà coi virus. E in tutto questo sul server Windows c’era un server importante che è bello che andato. Sono 7 anni che sui miei computer non uso più quella cosa chiamata Windows è la differenza si sente moltissimo 😉 .
In effetti tutti i nostri server con Windows 2003 sono risultati infetti e siamo riusciti a ripulirli solo 1 mese dopo l’infezione!