Міфи про зловмисне програмне забезпечення в Unix / Linux

Чи можливо заразити мою скриньку Linux шкідливим програмним забезпеченням?

Я не чув, щоб це сталося з кимсь, кого я знаю, і я чув кілька разів, що це неможливо. Це правда?

Якщо так, що з антивірусним забезпеченням Linux (безпекою)?

По-перше, напевно можна мати віруси під Unix та Unix-подібними операційними системами, такими як Linux. Винахідник терміна " комп'ютерний вірус" Фред Коен зробив свої перші експерименти в рамках 4.3BSD. Документ «How-To» існує для запису вірусів Linux , хоча, схоже, він не оновлювався з 2003 року.

По-друге, вихідний код комп’ютерних вірусів sh-script пропливав довше 20 років. Дивіться папір Тома Даффа за 1988 рік і документ Дага Макіллроя за 1988 рік . Зовсім недавно для конференції було розроблено незалежний від платформи вірус LaTeX . Працює в Windows та Linux та * BSD. Природно, його ефекти гірші під Windows ...

По-третє, з’явилася декілька реальних, живих комп'ютерних вірусів для (принаймні) Linux, хоча незрозуміло, чи більше 2 або 3 цих (RST.a та RST.b) коли-небудь знайшли «в дикій природі».

Отже, справжнє питання - чи не може Linux / Unix / BSD укладати комп’ютерні віруси? але скоріше, враховуючи, наскільки велика кількість настільних ПК та серверів Linux, чому це населення не має виду дивовижної чуми вірусів, якими приваблює Windows?

Я підозрюю, що причина пов'язана з м'яким захистом, який надає традиційний захист користувача / групи / інші дискреційні засоби захисту, і роздробленою програмною базою, яку підтримує Linux. Я маю на увазі, мій сервер все ще працює Slackware 12.1, але зі спеціально складеним ядром та великою кількістю перекомпільованих пакетів. На моєму робочому столі працює Arch, який є постійним випуском. Незважаючи на те, що вони обидва працюють під управлінням "Linux", вони не мають багато спільного.

Стан вірусів на Linux може насправді бути нормальною рівновагою. Ситуація в Windows може бути "царем дракона", дійсно незвичною. Windows API , душевнохворих бароко, Win32, NT-рідний API, магічні імена пристроїв , як LPT, CON, AUXякі можуть працювати з будь-якого каталогу, списки управління доступом , що ніхто не розуміє, традиції розрахованого на одного користувача, більш того, одного кореневого користувача, машини, маркувальні файли виконується за допомогою частини імені файлу ( .exe), все це, ймовірно, сприяє стану зловмисного програмного забезпечення в Windows.

Це допомагає запобігти поширенню вірусів у Windows

Пам'ятайте, що Linux використовується багатьма способами, наприклад, файловими та серверами електронної пошти.

Файли на цих серверах (файли MS Office, повідомлення в Outlook, програми EXE) можуть зберігатися з інфекцією.

Незважаючи на те, що вони не повинні впливати на самі сервери, можна налаштувати сервер перевіряти кожен файл, який зберігається, щоб переконатися, що він чистий, і запобігти подальшому поширенню, коли вони будуть повернуті назад до машини Windows.

Я сам встановив його, коли друг попросить мене перевірити, чому їх машина Windows не працює, або коли я підключаю диск накопичувача на машині Windows.

Віруси для Linux в принципі можливі, і їх було декілька, проте в природі немає поширених вірусів Linux. Користувальницька база Linux досить мала, а в Linux набагато складніше вірусу завдати великої шкоди, оскільки модель користувача є досить обмежувальною на відміну від Windows XP. Тому автори вірусів зазвичай орієнтуються на Windows.

Є антивірусне програмне забезпечення Linux, наприклад, від McAfee, але жоден я Linux-користувач, якого я знаю, не використовує такого програмного забезпечення. Набагато важливіше встановлювати лише програмне забезпечення з надійних джерел і постійно оновлювати систему, своєчасно встановлюючи оновлення безпеки.

Як історична примітка, перший Інтернет-черв'як, черв’як Морріс , поширився через вразливості утиліти Unix. Він передує Linux, але показує, що можлива зараження систем на базі Unix.

На мою думку, є ще одна причина, крім зазначених в інших відповідях, що платформа Linux не має багато вірусів. Вихідний код майже всіх компонентів Linux є у вільному доступі.

Скажімо, команда з 5 членів розробляє додаток. До списку ми включаємо тестерів та декількох інших, і код може знати не більше 10 осіб. З цих десяти шансів, що деякі з них не матимуть достатньо детальних знань про код. Отже, кількість людей, які знають код досить добре, щоб вказувати на помилки, отворів у безпеці дуже менше.

Тепер, якщо цей код зроблено вільним / відкритим кодом, пара очей, які його переглянуть, різко зросте. Звідси збільшується ймовірність знайти отвори в безпеці.

Ці нові учасники приносять свій досвід з ними, і часто свіжі очі здатні помітити лазівки, які розробники спочатку ігнорували / сприймали як належне / пропускали.

Чим популярнішим є додаток, тим більше його користувачів. Я думаю, що ця свобода / відкритість сприяє зменшенню кількості вразливих платформ Linux.

Вже є хороші відповіді, але я все ж хотів би щось внести.

Включаючи прості практики безпеки, які все ще краще, ніж Windows, навіть після цього часу, і всі ці віруси, я також вважаю, що проблеми значною мірою є соціальними.

Я вважаю, що головним фактором є різноманітність дистрибутивів. Це підвищує працею, яка бере участь у тому, щоб вірус мав те, що йому потрібно поширити. Це в поєднанні з демографічними показниками користувачів Linux, які не так вже ймовірні (імхо) натискати на хитру електронну пошту або взагалі наражати себе на небезпеку, означає, що успіх вірусу ще більше гальмується.

Люди, ймовірно, більш мотивовані для нападу на вікна.

Хоча так, для Linux існує кілька вірусів , про них не потрібно занадто хвилюватися. Вони досить рідкісні, щоб, швидше за все, сумувати за тобою.

Те, про що ви можете, і про що варто турбуватися, - це глисти . Ці програми, на відміну від вірусів, які зазвичай використовують взаємодію користувачів з метою зараження, поширюють усі між собою між серверами, використовуючи вразливості в службах і платформах. Черви шукають більше серверів для зараження, встановлюють себе на вразливі машини та часто змінюють свою поведінку - наприклад, для обслуговування вірусів відвідувачам клієнтів Windows.

Проста відповідь полягає в тому, що жодна операційна система не є 100% захищеною, якщо тільки вона не читає з носія лише для читання при запуску не є 100% захищеною.

Однак у Windows є більше векторів для інфекцій, ці вектори є більш доступними, і коли зараження може завдати набагато більше шкоди. Це можна легко побачити, прочитавши "RootKit Арсенал" або інші книги.

Кількість подвигів на будь-якій машині приблизно пропорційна (приріст ave для вкорінення однієї машини) * кількість машин / (вартість створення вкоріненого зловмисного програмного забезпечення).

Оскільки кількість подвигів пропорційна кількості комп’ютерів, то має сенс, що кількість шкідливих програм більша в Windows.

Але, дурно вважати єдину причину. У Windows більше вірусів, тому що там працює більше комп'ютерів. Зауважте, що зараження шкідливим програмним забезпеченням у Linux набагато дешевше, ніж у Windows, оскільки шкода більше міститься. Зрозуміло, сума, отримана одним вкоріненням, менша). Зауважте також, що вартість вкорінення вища через причини, про які я згадую в першому пункті.

Майте на увазі, це правда, як і зараз. На даний момент linux - це краще архітектурна система, ніж Windows. Однак є сили, які говорять про те, що нам потрібно швидше розвивати зручні для користувача функції. Це може призвести до спрощення існування помилок та створення вірусів. Вже зараз я вважаю, що Ubuntu майже такий же глючний, як і Windows.

Інші відповіді дали хороші історичні довідки щодо вірусів на Unix та Linux. Більш сучасні приклади включають кампанії зловмисного програмного забезпечення "Windigo" та "Mayhem" . Вони заразили багато тисяч систем. Як повідомляється, Mayhem використовує вразливість Shellshock для поширення.

Що стосується програмного забезпечення для виявлення зловмисних програм Linux, у вас є як відкриті, так і комерційні альтернативи. На мою упереджену думку, найефективнішим є Second Look . Він використовує криміналістику пам'яті та перевірку цілісності для виявлення шкідливих програм Linux. Я розробник Second Look.