Alfonso Maruccia

LKRG, anche Linux ha il suo antivirus

Un nuovo progetto mira a realizzare un vero e proprio "antivirus" per Linux, o per meglio dire un modulo caricabile nel kernel e potenzialmente in grado di intercettare i possibili attacchi prima dell'arrivo delle patch

Roma -L'ultima iniziativa per la sicurezza di Linux si chiama Linux Kernel Runtime Guard (LKRG), progetto che mira alla creazione di un modulo accessorio da caricare direttamente all'interno del kernel per garantire al Pinguino misure di sicurezza limitate ma potenzialmente efficaci contro exploit e malware.

I lavori su LKRG sono in realtà iniziati già nel 2011, anche se la prima versione utilizzabile - LKRG v0.0 - è stata rilasciata solo di recente. Il modulo esegue controlli sull'integrità in fase di runtime, alla caccia di possibili vulnerabilità di sicurezza ed exploit "aizzati" contro il kernel di Linux.

Diversamente dai progetti alternativi come Additional Kernel Observer (AKO), pensati come patch per l'intero kernel, la natura modulare di LKRG dovrebbe migliorare in maniera sensibile la sicurezza, la stabilità e le performance del sistema. Non è un caso che esistan varianti del modulo specifiche per le principali distro Linux come RHEL7, Ubuntu 16.04 e altre.
LKRG funziona in maniera non dissimile a un antivirus per Windows, che agisce a livello di kernel per intercettare malware e attacchi; diversamente da un antivirus completo, però, LKRG può contare su dimensioni molto più compatte.

Come un antivirus per Windows, suggeriscono poi gli sviluppatori, LKRG si può per sua natura bypassare se gli autori dell'attacco sanno dove mettere le mani. Al momento il modulo impatta negativamente sulle prestazioni per il 6,5%, ma in futuro i risultati dovrebbero migliorare.

Per quanto riguarda l'efficacia nel contrasto agli attacchi, infine, LKRG ha dimostrato efficacia nell'intercettare exploit per le vulnerabilità CVE-2014-9322 (BadIRET), CVE-2017-5123 (waitid(2) missing access_ok) e CVE-2017-6074 (use-after-free in DCCP protocol) ma non contro Dirty COW.

Alfonso Maruccia
Notizie collegate
  • AttualitàDirty COW, arma per un nuovo malware su AndroidIdentificata una nuova minaccia contro i gadget mobile basati sull'OS di Google ma non aggiornati, costretti a fare i conti con una vulnerabilitÓ vecchia di anni. Le app infette non sono, fortunatamente, finite sullo store Play
  • SicurezzaLinux, troppe le vulnerabilità per l'USBI ricercatori identificano decine di falle di sicurezza all'interno dei driver di periferica del kernel del Pinguino, un problema che merita maggiore attenzione come confermato dai commenti dello stesso Linus Torvalds
26 Commenti alla Notizia LKRG, anche Linux ha il suo antivirus
Ordina
  • Linux ha i programmi quindi per definizione necessita di un antivirus. Non si scappa. Nessun OS è immune dai virus perchè un virus è un programma, né più e né meno
    non+autenticato
  • - Scritto da: suc
    > Linux ha i programmi quindi per definizione
    > necessita di un antivirus. Non si scappa. Nessun
    > OS è immune dai virus perchè un virus è un
    > programma, né più e né
    > meno

    Un virus, per definizione, e' un programma che si installa ad insaputa dell'utente, va in esecuzione sempre ad insaputa dell'utente ed e' in grado di replicarsi e propagarsi su altri sistemi partendo da quello dell'utente.

    Quindi non e' un semplice malware che lo scarichi e lo fai partire tu.

    Inoltre, a differenza di quegli altri sistemi a finestre colorate, un programma su linux gira con i privilegi dell'utente e quindi il peggio che puo' fare e' cancellare i files dell'utente, che essendo utente linux si e' comunque fatto il backup.

    Invece su winsozz, per via delle vulnerabilita' a beneficio NSA, un malware ESCALA PRIVILEGI, diventa admin, e modifica pesantemente il sistema.
  • > Invece su winsozz, per via delle vulnerabilita' a
    > beneficio NSA, un malware ESCALA PRIVILEGI,
    > diventa admin, e modifica pesantemente il
    > sistema.

    Qua si parla di Linux, stai in tema, complimenti per aver vinto il premio trave dell'oqulo!
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: suc
    > > Linux ha i programmi quindi per definizione
    > > necessita di un antivirus. Non si scappa.
    > Nessun
    > > OS è immune dai virus perchè un virus è un
    > > programma, né più e né
    > > meno

    E poi... un virus per cosa lo si fa?
    Perché vada un un posto semideserto?
    Comunque:
    https://www.ubuntu-it.org/scopri-ubuntu/desktop
    (spunta su "Difesa contro i virus")
    ... pure lì!

    > Un virus, per definizione, e' un programma che si
    > installa ad insaputa dell'utente, va in
    > esecuzione sempre ad insaputa dell'utente ed e'
    > in grado di replicarsi e propagarsi su altri
    > sistemi partendo da quello
    > dell'utente.
    >
    > Quindi non e' un semplice malware che lo scarichi
    > e lo fai partire
    > tu.
    >
    > Inoltre, a differenza di quegli altri sistemi a
    > finestre colorate, un programma su linux gira con
    > i privilegi dell'utente e quindi il peggio che
    > puo' fare e' cancellare i files dell'utente, che
    > essendo utente linux si e' comunque fatto il
    > backup.

    Finestre colorate come queste?
    https://www.ubuntu-it.org/scopri-ubuntu/desktop
    Anche altrove si può fare il backup.

    > Invece su winsozz, per via delle vulnerabilita' a
    > beneficio NSA, un malware ESCALA PRIVILEGI,
    > diventa admin, e modifica pesantemente il
    > sistema.

    Da considerare Windows e OSX anche come luoghi molto frequentati.
    I terroristi non vanno a fare le stragi nel Sahara o in Alaska.
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: suc
    > > OS è immune dai virus perchè un virus è un
    > > programma, né più e né
    > > meno
    >
    > Un virus, per definizione,

    Non so da quale fonte prendi questa definizione ma ci sono alcuni particolari sui quali non sono d'accordo.

    > e' un programma che si installa
    Bhe... non è che proprio si installa. al massimo implementa delle misure che gli consentano di *riprendere* il controllo di un sistema tra i vari reboot.

    > ad insaputa dell'utente, va in
    > esecuzione sempre ad insaputa dell'utente

    io direi che il sistema esegue codice non autorizzato dall'amministratore di sistema.

    > ed e'
    > in grado di replicarsi e propagarsi su altri
    > sistemi partendo da quello
    > dell'utente.

    Non è detto. Questa implementazione è totalmente a discrezione del programmatore. Dipende dagli scopi del programmatore.

    > Quindi non e' un semplice malware che lo scarichi
    > e lo fai partire
    > tu.

    ╚ una possibilità. Gli esseri umani possono essere coinvolti come no.

    >
    > Inoltre, a differenza di quegli altri sistemi a
    > finestre colorate, un programma su linux gira con
    > i privilegi dell'utente e quindi il peggio che
    > puo' fare e' cancellare i files dell'utente, che
    > essendo utente linux si e' comunque fatto il
    > backup.

    Sulla storia dei backup non ci sono differenze tra gli utenti di qualunque sistema operativo. Alla fine impari che ti serve quando non ce l'hai.
    Per quanto riguarda la privilege escalation funziona anche su linux sfruttando le vulnerabilità di processi con privilegi alti o programmi con il bit suid attivo (presenti su tutti i sistemi).

    > Invece su winsozz, per via delle vulnerabilita' a
    > beneficio NSA, un malware ESCALA PRIVILEGI,
    > diventa admin, e modifica pesantemente il
    > sistema.

    non vedo molte differenze con tra i sistemi operativi multi utente. se il codice riesce a aumentare i propri privilegi (o a ottenerli dal processo) fa tutto quello che crede.
    non+autenticato
  • > Un virus, per definizione, e' un programma che ...

    No. Quella è la definizione di worm, non di virus. Un virus è un pezzo di codice che si inserisce dentro altri programmi, e passa da uno all'altro, modificando deliberatamente gli eseguibili. I virus veri e propri erano molto comuni ai tempi del DOS, adesso sono molto più rari, mentre i worm sono molto più comuni.
    non+autenticato
  • > Invece su winsozz, per via delle vulnerabilita' a
    > beneficio NSA, un malware ESCALA PRIVILEGI,
    > diventa admin, e modifica pesantemente il
    > sistema.

    Scala*
  • imho sarebbe meglio lavorare su soluzioni di sandboxing pervasive

    l'antivirus alla fin fine nasce come un afterthought, un medicamento per tappare le deficienze prodotte dal modello di esecuzione dei comuni sistemi operativi
    non+autenticato
  • Forse sta roba l'hanno scritta quelli di SpaceX! ma certo!

    Don't panic!!!!
    non+autenticato
  • Chi svilluppa antiviru per Linus è un incompetente, non a capito che ha Linus non servo antiviru. Avviluppare un antiviru per Linus è solo una perdita di tempo. Linus è immune ai virus bay definiscio. Mai visti viru su Linus.
    Se non ci credete chiedete ha Mastro Torvaldo e hagli altri linari convinti del forum, massimi esperti di infornatica del globo mondiale.
    E chi mi risponde non dandomi raggione è uno che fa rima con raggione.
    E chi mi risponde tanto per darmi raggione è uno che fa rima con raggione.
    E chi dice che non so l'itagliano vada a prenderselo dove fa rima con itagliano.
    Ci siamo carpiti, non rompetemi i raggioni.
    non+autenticato
  • davvero pensi di far ridere?
    non+autenticato
  • - Scritto da: espertone
    > davvero pensi di far ridere?

    secondo me, sarebbe da ricoverare e basta. Ma poi si creerebbe un precedente e su Punto-Infoiati ci rimarebbero davvero in pochi.
    non+autenticato
  • - Scritto da: linaro convinto
    > Chi svilluppa antiviru per Linus è un
    > incompetente, non a capito che ha Linus non servo
    > antiviru. Avviluppare un antiviru per Linus è
    > solo una perdita di tempo. Linus è immune ai
    > virus bay definiscio. Mai visti viru su
    > Linus.
    > Se non ci credete chiedete ha Mastro Torvaldo e
    > hagli altri linari convinti del forum, massimi
    > esperti di infornatica del globo
    > mondiale.
    > E chi mi risponde non dandomi raggione è uno che
    > fa rima con
    > raggione.
    > E chi mi risponde tanto per darmi raggione è uno
    > che fa rima con
    > raggione.
    > E chi dice che non so l'itagliano vada a
    > prenderselo dove fa rima con
    > itagliano.
    > Ci siamo carpiti, non rompetemi i raggioni.

    ai insistito troppo, io avrebbi fatto un pos piu cortuto, si vedesse da lontano he stai skerzando ma male.
    non+autenticato
  • Sei solo un cantinario al contrario di noi persone normali i quali usano Windows, mentre tu usi i software pezzenti fatti nelle cantine umide e malsane. E poi stai cercando di copiare il mio stile il quale tu non sei capace (e quindi non conosco la grammatica!)
    non+autenticato
  • fai cagare e smettila di risponderti da solo.
    non+autenticato
  • Trollata carina, ma a vuoto poiché l'autore dell'articolo non ha capito cos'è questo progetto e lo ha riclassificato come "antivirus". In effetti il suo scopo è tutt'altro: osservare che non vi siano modifiche a runtime al kernel (dissimile ma non troppo e limitato, come sempre su Linux, al securelevel di {Free,Open}BSD) e che non vi siano cambi di UID&c ai processi in run.

    Sui *BSD vi è da decenni il securelevel che blocca ogni modifica a runtime (incluso caricamento/scaricamento moduli) al kernel ed altre strategie, non c'entra un tubo con i virus di Windows, non serve ad impedire in alcun modo ad un'applicazione malevola di (auto)installarsi né altrimenti operare ma solo ad impedire alcuni tipi di exploit.
    non+autenticato
  • - Scritto da: xte
    > Trollata carina, ma a vuoto poiché l'autore
    > dell'articolo non ha capito cos'è questo progetto
    > e lo ha riclassificato come "antivirus". In
    > effetti il suo scopo è tutt'altro: osservare che
    > non vi siano modifiche a runtime al kernel
    > (dissimile ma non troppo e limitato, come sempre
    > su Linux, al securelevel di {Free,Open}BSD) e che
    > non vi siano cambi di UID&c ai processi in
    > run.
    >
    > Sui *BSD vi è da decenni il securelevel che
    > blocca ogni modifica a runtime (incluso
    > caricamento/scaricamento moduli) al kernel ed
    > altre strategie, non c'entra un tubo con i virus
    > di Windows, non serve ad impedire in alcun modo
    > ad un'applicazione malevola di (auto)installarsi
    > né altrimenti operare ma solo ad impedire alcuni
    > tipi di
    > exploit.

    E mica ti saressti aspettato qualcosa di diverso dalla mera cazzata dal maruccia, più di un paio di puttanate prese a gratto da altri siti di news che ti aspettavi? non vorrai farci credere che abbia scritto un articolo sensato qualche volta?

    Giornalai sono, non giornalisti. O forse giostrai magari, ma anche no! Rotola dal ridere
    non+autenticato
  • - Scritto da: linaro convinto
    > Chi svilluppa antiviru per Linus è un
    > incompetente, non a capito che ha Linus non servo
    > antiviru. Avviluppare un antiviru per Linus è
    > solo una perdita di tempo. Linus è immune ai
    > virus bay definiscio.

    Non sapevo che Linux non avesse programmi. Sai cosa è un virus? E' un programma che fa cose cattive, ma è un programma.
    non+autenticato
  • - Scritto da: linaro convinto
    > Chi svilluppa antiviru per Linus è un
    > incompetente, non a capito che ha Linus non servo
    > antiviru. Avviluppare un antiviru per Linus è
    > solo una perdita di tempo. Linus è immune ai
    > virus bay definiscio. Mai visti viru su
    > Linus.
    > Se non ci credete chiedete ha Mastro Torvaldo e
    > hagli altri linari convinti del forum, massimi
    > esperti di infornatica del globo
    > mondiale.
    > E chi mi risponde non dandomi raggione è uno che
    > fa rima con
    > raggione.
    > E chi mi risponde tanto per darmi raggione è uno
    > che fa rima con
    > raggione.
    > E chi dice che non so l'itagliano vada a
    > prenderselo dove fa rima con
    > itagliano.
    > Ci siamo carpiti, non rompetemi i raggioni.

    Infatti tu l'italiano lo conosci benissimo.
    E' il virus che ti fa scrivere così. Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • Il 6'5% mi pare un po' troppo....
    non+autenticato
  • Se uno è così sfigato da aver bisogno di antivirus (win o lnx, non fa differenza) è giusto che si becchi il calo di prestazioni.
    non+autenticato
  • - Scritto da: plutoplato
    > Se uno è così sfigato da aver bisogno di
    > antivirus (win o lnx, non fa differenza) è giusto
    > che si becchi il calo di
    > prestazioni.

    Per Win puoi essere bravo quanto vuoi, ma usarlo online fisso senza AV mi sembra cmq pericoloso, okkio..
    non+autenticato
  • - Scritto da: plutoplato
    > Se uno è così sfigato da aver bisogno di
    > antivirus (win o lnx, non fa differenza) è giusto
    > che si becchi il calo di
    > prestazioni.
    nun ciai capito un sasso! Rileggiti l'articolo 10 volte per capire a cosa serve questo modulo del kernel
    non+autenticato
  • - Scritto da: lamerazzo
    > - Scritto da: plutoplato
    > > Se uno è così sfigato da aver bisogno di
    > > antivirus (win o lnx, non fa differenza) è
    > giusto
    > > che si becchi il calo di
    > > prestazioni.
    > nun ciai capito un sasso! Rileggiti l'articolo 10
    > volte per capire a cosa serve questo modulo del
    > kernel

    certo che se l'inffabile alfonso avesse tradotto questo :

    < LKRG attempts to post-detect and hopefully promptly respond to unauthorized modifications to the running Linux kernel (integrity checking) or to credentials (such as user IDs) of the running processes (exploit detection). For process credentials, LKRG attempts to detect the exploit and take action before the kernel would grant the process access (such as open a file) based on the unauthorized credentials >

    si evitavano i soliti voli pindarici.
    non+autenticato