LinuxDay 2005: Computer Virus e rilevamento
Upcoming SlideShare
Loading in...5
×
 

LinuxDay 2005: Computer Virus e rilevamento

on

  • 193 views

Computer virus e rilevamento. Installazione di un anti-virus su Linux.

Computer virus e rilevamento. Installazione di un anti-virus su Linux.

Statistics

Views

Total Views
193
Views on SlideShare
193
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

LinuxDay 2005: Computer Virus e rilevamento LinuxDay 2005: Computer Virus e rilevamento Presentation Transcript

  • Computer Virus e rilevamento © 2005 Simone Amati & Valerio Bruno
  • Cos’è un computer virusSemplicemente un programma che si riproduce! Commettere Il frutto dell’opera di uno programmatore atti criminosi Studiare le possbilità Information warfare Studiarli per proteggersi della vita artificiale da altri tipi di malware Virus polimorfici Esistono in molte forme: Worm Trojan Boot Virus Virus stealth1/10 © 2005 Simone Amati & Valerio Bruno
  • Come sono fatti1. Search file2. Verify file infection and attributes3. Write virus code in host file4. Execute host file2/10 © 2005 Simone Amati & Valerio Bruno
  • Come funzionano• Incubazione: controllo delsistema e delle difese• Infezione: scrittura in altri file• Attivazione• Propagazione3/10 © 2005 Simone Amati & Valerio Bruno
  • Cosa significa rilevare un virus Batterio Computer virus Criminale DNA Firma virale Impronta digitaleRiconoscere un’alterazione dei file del sistema o il codice viraleattraverso opportune tecniche: 1. Integrity-checking function: confronto tra checksum 2. Scanning function: confronto tra firme virali e stringhe di dati 3. Heuristic scanning: testa i programmi in una “sandbox”4/10 © 2005 Simone Amati & Valerio Bruno
  • Tecniche di rilevamento .1Integrity-checking function: 1. I file da monitorare vengono dati in pasto a particolari algoritmi digest (tipo MD5); 2. Il risultato della digestione è unico e viene memorizzato in un DB; 3. L’antivirus confronta i dati del DB con i digest calcolati on-the-fly. File 1 Digest1 DB Hash Memorizzazione digest File 1 Digest1 = Hash File 1 infetto Digest2 ≠ Hash5/10 © 2005 Simone Amati & Valerio Bruno
  • Tecniche di rilevamento .2Scanning function: Ogni file è una sequenza finita di byte; Ricerca di una determinata stringa nel file considerato; L’antivirus confronta le firme contenute nel DB con i byte del file.Algoritmi “famosi”: Knutt-Morris-Pratt: al più M + N confronti; Boyer-Moore: al più M + N ma in media N/M.6/10 © 2005 Simone Amati & Valerio Bruno
  • Tecniche di rilevamento .3Firme dinamiche: I virus polimorfici attraverso i loro motori di morfing alterano il codice binario inserendo istruzioni no-op o salti tra le varie istruzioni. La firma in questo modo non è costante.Heuristic scanning: 1. Eurustica statica: controlla le signature dei comportamenti per individuare comportamenti sospetti; 2. Euristica dinamica: esegue il programma in un computer virtuale (sandox) e ne analizza il comportamento.7/10 © 2005 Simone Amati & Valerio Bruno
  • Problema del rilevamentoÈ realmente possibile individuare sempre un virus? È stato dimostrato che qualunque sia il tipo di CV, nessun programma può, contemporaneamente, testare il proprio input alla ricerca del virus ed essere sicuro di non diffonderlo.8/10 © 2005 Simone Amati & Valerio Bruno
  • Come posso fare per difendere il mio pc?Nessuna soluzione antivirus può proteggerti da te stesso!• Non eseguire mai programmi che arrivano sotto forma di allegati ine-mail o da una qualsiasi altra fonte non affidabile!• Assicurati di effettuare una navigazione web sicura• Scarica i programmi solo da siti web sicuri e affidabili o dal sito delproduttore• Dotati di un antivirus e tenerlo sempre aggiornato• Mantieni sempre aggiornato il Sistema Operativo e tutti i software dicui disponi9/10 © 2005 Simone Amati & Valerio Bruno
  • Dalla teoria alla pratica:installare un sistema antivirus OpenSource su un desktop con Linux● Perché? I virus per Linux sono pochi e poco dannosi. ● Oggi, e domani? Vogliamo essere portatori sani di epidemie? ●
  • Caratteristiche del sistema● Scanner anti-virus Clamav● Blocco allapertura di file infetti Dazuko● Com oda interfaccia grafica per lo scanning Klamav © 2005 Simone Amati & Valerio  Bruno
  • Cosè Clamav ?Da www.clamav.net:A GPL virus scanner featuring:● command-line scanner● fast, multi-threaded daemon● milter interface for sendmail● database updater with support for digital signatures● virus scanner C library● on-access scanning (Linux® and FreeBSD)● detection of over 40000 viruses, worms and trojans● built-in support for RAR (2.0), Zip, Gzip, Bzip2, Tar, MS OLE2, MS Cabinet files, MS CHM (Compressed HTML), MS SZDD● built-in support for mbox, Maildir and raw mail files● built-in support for Portable Executable files compressed with UPX, FSG, and Petite
  • www.dazuko.org Cosè Dazuko? Un modulo del kernel che: 1) Intercetta le chiamate alla funzione di apertura dei file. 2) Esegue del codice per determinare se queste operazioni sono autorizzate. 3) Se non sono autorizzate le blocca. © 2005 Simone Amati & Valerio  Bruno
  • Cosè Klamav?● Uninterfaccia ad i comandi di Clamav.● Contiene un motore di ricerca di informazioni sui virus.● Permette scansioni programmate.● Gestisce la quarantena.● Gestisce impostazioni di Kmail per la scansione della posta. © 2005 Simone Amati & Valerio  Bruno
  • klamav.sourceforge.net © 2005 Simone Amati & Valerio  Bruno
  • Installazione dei moduli software pacchetti precompilati o codice sorgente?● Installazione del software tramite il proprio gestore di pacchetti – Più facile e veloce – Versioni non sempre aggiornate – Non sempre possibile● Ricompilazione dei sorgenti ed installazione manuale – Operazione non proprio banale – Scelta arbitraria della versione (ultima / ultimissima!) – Operazione fattibile per tutte le distribuzioni © 2005 Simone Amati & Valerio  Bruno
  • Note [dolenti] per linstallazione di Dazuko● Richiede Different Security Model feature e Default Linux Capability● I sorgenti installano il modulo in /lib/modules/<<versioneKernel>>/extra © 2005 Simone Amati & Valerio  Bruno
  • Note per linstallazione di Clamav● Se eseguite la compilazione “amanuense” vi conviene specificare i path:./configure –sbindir=/sbin –sysconfdir=/etc –enable-clamuko● In /etc controllate i file di configurazione – clamd.conf controlla il demone per la scansione automatica. – freshclam.conf controlla il programma per laggiornamento del database dei virus. © 2005 Simone Amati & Valerio  Bruno
  • Note per linstallazione di Klamav● Sul sito ci sono installer e sorgenti: la stessa cosa!● Richiede le librerie Qt e quelle di KDE, sia codice della libreria che headers. © 2005 Simone Amati & Valerio  Bruno
  • www.torlug.org © 2005 Simone Amati & Valerio Bruno