I miti sul malware in Unix / Linux

142

È possibile che il mio box Linux venga infettato da un malware?

Non ne ho sentito parlare a nessuno che conosco e ho sentito alcune volte che non è possibile. È vero?

In tal caso, che succede con il software antivirus (di sicurezza) Linux?

security malware

— Stefan
fonte

1

Dai un'occhiata a questa risposta a quora: goo.gl/UVCsgz copre i motivi principali per cui Linux / Unix è diverso da Windows in termini di possibilità di essere infettati casualmente da malware.

— arielf

2

Un altro articolo che ho trovato informativo, anche se non buono come quello collegato da @arielf

— Wildcard

135

In primo luogo, è certamente possibile avere virus con sistemi operativi Unix e simili a Linux come Linux. L'inventore del termine virus informatico , Fred Cohen, fece i suoi primi esperimenti con 4.3BSD. Esiste un documento How-To per la scrittura di virus Linux , anche se sembra che non abbia avuto un aggiornamento dal 2003.

In secondo luogo, il codice sorgente per i virus informatici sh-script è in circolazione da oltre 20 anni. Vedi l'articolo di Tom Duff del 1988 e l'articolo di Doug McIllroy del 1988 . Più recentemente, un virus LaTeX indipendente dalla piattaforma è stato sviluppato per una conferenza. Funziona su Windows e Linux e * BSD. Naturalmente, i suoi effetti sono peggiori in Windows ...

Terzo, sono comparsi una manciata di virus informatici vivi per (almeno) Linux, sebbene non sia chiaro se più di 2 o 3 di questi (RST.a e RST.b) siano mai stati trovati "in libertà".

Quindi, la vera domanda non è che Linux / Unix / BSD possano contrarre virus? ma piuttosto, data la dimensione della popolazione di desktop e server Linux, perché quella popolazione non ha quel tipo di incredibile piaga di virus che Windows attira?

Ho il sospetto che la ragione abbia qualcosa a che fare con la lieve protezione fornita dalle tradizionali protezioni discrezionali di utenti / gruppi / altri utenti Unix e dalla base software fratturata che supporta Linux. Voglio dire, il mio server esegue ancora Slackware 12.1, ma con un kernel compilato su misura e molti pacchetti ricompilati. Il mio desktop esegue Arch, che è una versione progressiva. Anche se entrambi eseguono "Linux", non hanno molto in comune.

Lo stato dei virus su Linux potrebbe effettivamente essere il normale equilibrio. La situazione su Windows potrebbe essere il "re dei draghi", situazione davvero insolita. L'API di Windows è follemente barocco, Win32, API NT-native, i nomi dei dispositivi magici come LPT, CON, AUXche può lavorare da qualsiasi directory, gli ACL che nessuno capisce, la tradizione del singolo utente, anzi utente root singola, macchine, di marcatura eseguibile utilizzando parte del nome del file ( .exe), tutto ciò probabilmente contribuisce allo stato del malware su Windows.

— Bruce Ediger
fonte

35

Un problema che hai passato inosservato che vale la pena considerare è che l'ABI di Windows è rimasto stabile per anni. (O meglio, MS ha fatto molti problemi per supportare tutti i vari ABI che hanno rilasciato in modo trasparente. WoW64, per esempio.) Ciò significa che un eseguibile che gira su Windows 3.1 può ben funzionare su Windows 7. Questo rende una monocultura all'interno di una monocultura: gli autori di malware non devono ricostruire i loro programmi per ogni versione di Windows, come spesso devi fare per Linux.

— Warren Young,

50

Penso che un altro motivo del basso livello di virus nei sistemi Unix / Linux e Mac sia la presenza di sistemi globali di gestione dei pacchetti, con repository di fiducia configurati per impostazione predefinita. Mentre per Windows vai online per scaricare software da venditori malevoli diretti che trovano durante la ricerca su Google, su unix / linux / mac usi il tuo software interno per sfogliare un repository in cui le nuove voci vengono esaminate e rimosse se si notano problemi.

— Hayylem,

33

Inoltre, essendo Windows la terra del proprietario (anche se ciò accade su altre piattaforme, ti guardo Mac OS), le persone tendono a cercare software crackati per questa piattaforma in modo significativamente più che per altri. Andare nei vicoli bui online non è diverso dall'andare nei vicoli bui nella vita reale: aspettarsi problemi. Come puoi fidarti di uno spacciatore per fornire ciò che pubblicizza? E in una forma non modificata? Quindi, come puoi fidarti dei rivenditori di software crackati per fornire ciò che pubblicizzano? E senza che il software sia stato modificato?

— Hayylem,

5

Inoltre i dati sono separati dai file di codice e di configurazione (var & home; bin & usr; ecc.). Cerca in Windows, Programmi, file binari, file di configurazione, dati (MS SQL). Puoi montare dirs senza exec per i dati. Le app non eseguono tutti i file che vi vengono indirizzati (elaboratori di testi dei client di posta). Codice aperto per la revisione. Risoluzione rapida dei problemi (controllare i tempi di risposta per i ragazzi di RedHat e Debian dopo aver trovato una minaccia nel kernel). Quando si è verificato un problema, il Distro invia un aggiornamento (non me ne sono reso conto per esempio- KDE sta cercando + x flag su scorciatoie da desktop per esempio per eseguirli che mancavano ad un certo punto)

— jet

1

Il commento di Haylem qui sopra è giusto, sarebbe interessante vedere se questo sta cambiando il gioco per ridurre l'immagine "molto sicura" dei Mac OSX, ora qualche anno dopo ... Vedo malfunzionamenti su OSX quasi ogni giorno , poiché gli utenti hanno scaricato e installato software non funzionante (la persona media non si stacca nemmeno dall'eseguire 'file.sh' che si apre nel terminale e digitando la password

— dell'amministratore

49

Aiuta a prevenire la diffusione di virus in Windows

Ricorda che Linux è usato in molti modi, come server di file ed e-mail.

I file in questi server (file MS Office, messaggi Outlook, programmi EXE) possono essere archiviati con un'infezione.

Anche se non dovrebbero influire sui server stessi, si potrebbe configurare il server per controllare ogni file nel momento in cui è archiviato per assicurarsi che sia pulito e impedire la diffusione futura quando vengono spostati su un computer Windows.

Io stesso l'ho installato per quando un amico mi chiede di controllare perché la sua macchina Windows non funziona o per quando collego la mia pen drive su una macchina Windows.

— lamcro
fonte

39

+1 il vero motivo dell'esistenza del software AV su Linux, non è tanto per la ricerca di problemi che potrebbero influenzare il sistema, ma per problemi che potrebbero influenzare altri sistemi (come Windows).

— xenoterracide,

1

Questa dovrebbe essere una risposta accettata. Il resto della mia famiglia usa Windows. Ritengo sia più sicuro collegare unità flash esterne al mio desktop Linux, scansionarle e quindi dichiararle sicure per la connessione ad altre macchine in casa.

— Johan

È un bel punto di vista; molte persone usano Linux in quel modo (usb), ma probabilmente non si sono mai veramente resi conto che potrebbe esserci anche una scansione basata su applicazioni per virus Windows su Linux.

— Ho dimenticato la password il

1

Riavvio semi-raramente il mio PC Windows da un'unità USB Linux in modo da poter eseguire scansioni AV.

— Jesse Chisholm,

23

I virus per Linux sono possibili in linea di principio e ce ne sono stati alcuni, tuttavia in natura non esistono virus Linux diffusi. La base di utenti Linux è piuttosto piccola e sotto Linux è molto più difficile per un virus fare molto danno in quanto il modello utente è piuttosto restrittivo rispetto ad esempio a Windows XP. Pertanto, gli autori di virus normalmente prendono di mira Windows.

Esiste un software antivirus Linux, ad esempio da McAfee, ma nessun utente Linux che conosco utilizza tale software. È di gran lunga più importante installare solo software da fonti affidabili e mantenere il sistema sempre aggiornato installando gli aggiornamenti di sicurezza in modo tempestivo.

— fschmitt
fonte

3

Vorrei solo aggiungere che anche se riesci a ottenere un virus (nei miei 10 anni di Linux non ne ho mai visto uno) lo scenario peggiore è che la tua cartella utente sarà compromessa.

— Patkos Csaba,

37

No, lo scenario peggiore è il completo compromesso del sistema. La gente del kernel ha appena chiuso un enorme buco nel kernel circa sei settimane fa che consentirebbe a qualsiasi programma della GUI di aumentare i propri privilegi a livello di root. Fai un po 'di googling in giro e troverai altri buchi passati di questa natura. È vero che Linux ha una migliore sicurezza in molti modi rispetto a Windows, ma come qualsiasi altra base di codice di milioni di righe di codice, puoi essere sicuro che ci siano altri buchi in attesa di essere trovati. Anch'io raccomanderei di mantenere i sistemi patchati piuttosto che l'antivirus, ma anche tenere la testa fuori dalla sabbia.

— Warren Young,

6

Devo differire per il motivo "la base di utenti è piuttosto piccola". Il primo virus per PC molto diffuso fu "Brain", nel 1988. Sicuramente Linux nel 2010 ha più utenti desktop rispetto a MS-DOS nel 1988. Perché Linux non ha più virus, anzi, perché non ha un diffuso virus "Brain"?

— Bruce Ediger,

7

I PC hanno raggiunto un chiaro dominio della piattaforma intorno al 1988. L'unghia più alta viene martellata, quindi come oggi.

— Warren Young,

6

l'eco è corretto. Software AV per Linux, non è davvero lì per proteggere il sistema Linux stesso. è lì per scansionare i file che Linux sta servendo. Questo è il motivo per cui la maggior parte di questi AV guarda solo i file ai quali è diretta la scansione, invece di qualsiasi file a cui si accede o cambia sul sistema.

— xenoterracide,

21

Come nota storica, il primo worm Internet, Morris Worm , si è diffuso attraverso le vulnerabilità delle utility Unix. Precede Linux, ma dimostra che è possibile che i sistemi basati su Unix siano infetti.

— KeithB
fonte

2

Tuttavia, il worm Morris non era un virus. Un virus deve collegarsi a qualche altro software, mentre il software che Robert Morris ha scritto era in quel senso indipendente. Si è auto-replicante ma anche autosufficiente, e quindi un worm piuttosto che un virus.

— un CVn del

@ MichaelKjörling malware allora?

— Braiam,

6

Secondo me, c'è un motivo in più, oltre a quelli menzionati in altre risposte, che la piattaforma Linux non ha molti virus. Il codice sorgente di quasi tutti i componenti di Linux è disponibile gratuitamente.

Supponiamo che un team di 5 membri sviluppi un'applicazione. Includiamo tester e pochi altri nell'elenco e al massimo 10 persone conosceranno il codice. Di questi dieci, è probabile che alcuni non avranno abbastanza conoscenza dettagliata del codice. Da qui il numero di persone che conoscono il codice abbastanza bene da evidenziare bug, le falle di sicurezza sono molto inferiori.

Ora se questo codice viene reso libero / open source, la coppia di occhi che lo esaminerà aumenta drasticamente. Quindi aumenta anche la probabilità di trovare falle di sicurezza.

Questi nuovi collaboratori portano la loro esperienza con loro e spesso occhi nuovi sono in grado di notare lacune che originariamente gli sviluppatori hanno ignorato / dato per scontato / perso.

Più popolare è l'applicazione, più collaboratori ha. Penso che questa libertà / apertura contribuisca a ridurre il numero di vulnerabilità della piattaforma Linux.

— Andrew-Dufresne
fonte

5

Odio davvero dirlo, ma la natura open o closed source può influenzare solo la velocità con cui viene raggiunto un determinato stato di bug. Vedi: "Milk or Wine" di Andy Ozment ( andyozment.com/papers/… ) e "I sistemi aperti e chiusi sono equivalenti" di Ross Anderson ( cl.cam.ac.uk/~rja14/Papers/toulousebook.pdf )

— Bruce Ediger,

Grazie Bruce per aver condiviso i link. Li supererò sicuramente.

— Andrew-Dufresne,

3

Quale utente Linux rivede tutto il codice sorgente prima di emettere un sudo make install?

— Calmarius,

5

Ci sono già buone risposte ma vorrei comunque contribuire con qualcosa.

Includendo le semplici pratiche di sicurezza che sono ancora migliori di Windows anche dopo tutto questo tempo, e tutti quei virus, credo anche che i problemi siano in gran parte sociali.

Credo che il fattore principale sia la diversità delle distro. Ciò aumenta il lavoro necessario per garantire che un virus abbia ciò di cui ha bisogno per diffondersi. Questo, combinato con la demografia degli utenti di Linux che non hanno la probabilità (imho) di fare clic su un'e-mail ingannevole o che generalmente si mettono a rischio, significa che il successo di un virus è ulteriormente inibito.

Le persone sono anche probabilmente più motivate ad attaccare Windows.

— barrymac
fonte

4

Sebbene sì, ci sono alcuni virus per Linux, non devi preoccuparti troppo di loro. Sono abbastanza rari da probabilmente sentirti completamente mancato.

Quello che puoi, e di cui dovresti preoccuparti, sono i worm . Questi programmi, a differenza dei virus che solitamente infettano l'interazione dell'utente per infettarsi, si diffondono da soli tra i server, sfruttando le vulnerabilità nei servizi e nelle piattaforme. I worm cercano altri server da infettare, si installano su macchine vulnerabili e modificano frequentemente il loro comportamento, ad esempio per servire virus a visitare i client Windows.

— SF.
fonte

3

La semplice risposta è che nessun sistema operativo è sicuro al 100%, a meno che non si legga da un supporto di sola lettura all'avvio sia sicuro al 100%.

Tuttavia, Windows ha più vettori per le infezioni, quei vettori sono più facilmente accessibili e una volta infettati possono causare molti più danni. Questo può essere facilmente visto leggendo il "RootKit Arsenal" o altri libri.

Il numero di exploit su qualsiasi macchina è approssimativamente proporzionale a (ave gain per il rooting di una macchina) * numero di macchine / (costo per creare malware di rooting).

Poiché il numero di exploit è proporzionale al numero di computer, è logico che la quantità di malware sia maggiore su Windows.

Ma è stupido supporre l'unica ragione. Windows ha più virus perché ci sono più computer che lo eseguono. Si noti che in Linux l'infezione da malware è molto meno costosa rispetto a Windows perché il danno è più contenuto. Viceversa, l'importo ottenuto da un root è inferiore). Si noti inoltre che il costo del rooting è più elevato a causa delle ragioni che menziono nel primo paragrafo.

Tieni presente che per ora è vero. A questo punto Linux è un sistema migliore rispetto a Windows. Vi sono tuttavia forze che affermano che abbiamo bisogno di uno sviluppo più rapido delle funzionalità intuitive. Ciò può portare a semplificare l'esistenza di bug e la creazione di virus. Trovo già che Ubuntu sia difettoso quasi quanto Windows.

— HandyGandy
fonte

Il supporto di avvio in sola lettura riduce solo la superficie di attacco e non impedisce il malware.

— symcbean

ri: Windows has more ... computers running it. Beh, più computer degli utenti finali che lo eseguono. Credo che ci siano più server senza testa che eseguono un po 'di * Nix (variante Unix, variante Linux) rispetto a Windows. I primi tempi in cui DOS e Windows avevano una sicurezza pari a zero rappresentavano un fattore determinante per il targeting di quella piattaforma.

— Jesse Chisholm,

1

Altre risposte hanno fornito buoni riferimenti storici per i virus su Unix e Linux. Esempi più contemporanei includono le campagne malware "Windigo" e "Mayhem" . Questi hanno infettato molte migliaia di sistemi. È stato segnalato che Mayhem sta usando la vulnerabilità Shellshock per diffondersi.

Per quanto riguarda il software di rilevamento malware di Linux, hai alternative sia open source che commerciali. Il più efficace, secondo la mia opinione distorta, è Second Look . Utilizza le analisi forensi della memoria e la verifica dell'integrità per rilevare malware Linux. Sono uno sviluppatore di Second Look.

— Andrew Tappert
fonte