News:

Scarica subito LibreOffice 24.2 ancora più compatibile con la nota suite per ufficio commerciale.

Menu principale

Fate attenzione quando si copiano comandi dal web sul terminale

Aperto da Tony, Domenica 29 Gennaio 2017, 17:47:39

Discussione precedente - Discussione successiva

Tony

Questo sito mostra, con un esempio innocuo, come possa essere pericoloso fare un copia ed incolla di comandi dal web sul terminale.
Provate ad aprire un terminale e copiateci dentro il comando che vedete sul sito (ls -lat).
Noterete dei messaggi che avvisano che il pc è stato hackerato; per finta, però. E' solo un esempio.
Riassumo all'osso l'articolo, per chi capisce poco l'inglese.
Tra ls e -lat c'è, in realtà, altro codice che non è visibile, perché sono usati dei caratteri piccolissimi (addirittura a grandezza 0) e lo stesso colore dello sfondo.
L'articolo conclude avvisando che le cose potrebbero essere ben peggiori.
Se il codice visibile avesse il comando sudo, anche i comandi nascosti agirebbero con i poteri da amministratore. Si potrebbe, ad esempio, usare questa strategia per installare un keylogger. Le possibilità sono infinite.
Quindi in caso di fonti non fidate, meglio incollare prima il codice in un editore di testi, prima di eseguirlo.
Aggiungo che, indipendetemente dall'uso di sudo, che conferisce al codice, visibile e non, un potere maggiore, anche un semplice codice che cancella tutti i vostri dati nella home o nei dischi a cui può accedere non è una bella cosa.

Linux non è solo un sistema operativo ma...
"È uno stato mentale, dove prima ti perdi e poi ti ritrovi"
(cit. Point Break).
Il mio pc.

cuzzo

Sempre sul chi va là,  :roll:
non ti puoi distrarre un'attimo.....  :ok:

gnao dal cuzzo  ;)
Il tipo barcollava in mezzo alla strada e ho dovuto sterzare diverse volte prima d'investirlo.

Braccobaldo

#2
Possiamo dire che i comandi "copiati" da forum come questo, soprattutto quando sono stati inseriti come "codice", sono tranquilli? ... O non ci dobbiamo fidare neanche di noi?  :)

EDIT:

io mi rispondo da solo.
A parte che in qualche modo ci conosciamo tutti, e la storia della fonte alla quale si attinge è già di per se una garanzia. Ma quando questo non bastasse, a meno che non mi è sfuggito qualcosa, i comandi postati usando la funzione "inserisci codice" sono a prova di manomissione e di furbizie, un esempio qui sotto:

[color=yellow][size=24pt]la gallina ha fatto l'uovo[/size][/color]

io ho provato a cambiare il colore e le dimensioni e il risultato è che non solo non se li è filati ma mostra anche tutte le modifiche che ho tentato di apportare.

Per cui sì, concordo, il web può essere un posto pericoloso. Ma nel web ci sono anche posti come questo che sono dei "Santuari", nei quali si può stare tranquilli. Soprattutto quando vengono utilizzati secondo le regole... ;)

Tony


Linux non è solo un sistema operativo ma...
"È uno stato mentale, dove prima ti perdi e poi ti ritrovi"
(cit. Point Break).
Il mio pc.

Braccobaldo

Naturalmente io la prova l'ho fatta con il comando postato da nell'articolo e mi è passato un brivido per la schiena, considerando che io con Slackware non uso neanche il sudo ma su. Se succede una cosa del genere l'unica cosa è strappare via il pc dalla rete elettrica >:-|
In teoria ci si dovrebbe accorgere che c'è qualcosa di inconsueto, oppure esiste anche la possibilità che il terminale lavori silenziosamente, senza output: ti fa il servizio e te ne accorgi solo quando ti chiamano dalla banca?  :sigh: ...

...Anche se, in effetti, io sono proprio fortunato ad essere uno squattrinato: non mi può succedere niente!   ;D ;D

Tony

Certo, il terminale potrebbe anche eseguire qualche comando silenziosamente.
Ma non hai nulla da temere se hai il conto corrente che non conta e soprattutto sei in compagnia. Benvenuto nel club, socio!

Linux non è solo un sistema operativo ma...
"È uno stato mentale, dove prima ti perdi e poi ti ritrovi"
(cit. Point Break).
Il mio pc.

Leonzio

Linux Mint-LinuxBox 3.11.0-14-generic #21-Ubuntu SMP Tue Nov 12 17:04:55 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux
http://www.youtube.com/watch?v=3F1zqF-okQs Non sono suo allievo - lui e il mio magister hanno tuttavia avuto il medesimo Maestro -, ma non posso che dargli ragione.

SupertuxKart

Bravo Tony  :ok:.
questa è una cosa che ricordo dal tempo del Dos, qualche programmatore "furbo" nascondeva le righe del codice in questa maniera, ne ho pizzicati un paio all'epoca. Comunque in effetti bisogna stare sempre attenti, una distrazione e zzzzzzzzzzzacchete, computer compromesso.

:ciao:

Tony


Linux non è solo un sistema operativo ma...
"È uno stato mentale, dove prima ti perdi e poi ti ritrovi"
(cit. Point Break).
Il mio pc.

1234567

Devo considerarmi molto fortunata (Cannosa) visto che non avendo alcuna confidenza con il terminale NON smanetto mai???
Non tutto il male vien per nuocere quindi: anche l'ignoranza aiuta!  :rofl:
Il più redditizio dei commerci è comprare gli uomini per quello che valgono e rivenderli per quello che credono di valere

drugo

Citazione di: Superciuk il Domenica 29 Gennaio 2017, 22:46:18
...Anche se, in effetti, io sono proprio fortunato ad essere uno squattrinato: non mi può succedere niente!   ;D ;D
:rofl: :rofl: sono in buona compagnia

@tony: grazie  ;) in effetti non ci avevo mai pensato.
PS: Siccome "fidarsi è bene, non fidarsi è meglio", quando seguite una guida in internet, prendete la buona abitudine di fare copia e incolla prima in un editor di testo, controllando così che non ci siano codici strani, poi  nel terminale; vi eviterete spiacevoli sorprese!
PPS: Un'amicizia è sempre un'amicizia anche se virtuale!

drugo

PS: Siccome "fidarsi è bene, non fidarsi è meglio", quando seguite una guida in internet, prendete la buona abitudine di fare copia e incolla prima in un editor di testo, controllando così che non ci siano codici strani, poi  nel terminale; vi eviterete spiacevoli sorprese!
PPS: Un'amicizia è sempre un'amicizia anche se virtuale!

stupenDOS

Interessante.
La prima cosa che ho pensato è a quante volte ho copiato e incollato del codice. Che sarà successo?
La seconda è che incollando sul terminale in realtà il codice nascosto dovrebbe comparire, corretto? Quindi se uno non è proprio distratto non dovrebbe inserire la password.


Josh

Citazione di: stupenDOS il Martedì 31 Gennaio 2017, 21:37:14La seconda è che incollando sul terminale in realtà il codice nascosto dovrebbe comparire, corretto? Quindi se uno non è proprio distratto non dovrebbe inserire la password.

Per qualche strana ragione a volte il codice copiato nella shell viene eseguito automaticamente. Ovviamente se serve la password la chiede, ma anche un comando che non richiede il root se ben strutturato può fare danni.
"Sii un uomo migliore di tuo padre"