Вируси во GNU / Linux: факт или мит?

Кога и да се заврши дебатата вирус y GNU / Linux не е потребно многу време за да се појави корисникот (обично Виндоус) што вели:

«Во Линукс нема вируси затоа што креаторите на овие малициозни програми не губат време правејќи нешто за оперативен систем што скоро никој не го користи »

На што секогаш одговарав:

„Проблемот не е тоа, но креаторите на овие малициозни програми нема да губат време создавајќи нешто што ќе се коригира со првото ажурирање на системот, дури и за помалку од 24 часа“

И не згрешив, бидејќи овој одличен напис објавен во Број 90 (Година 2008) од списанието Тодо Линукс. Неговиот актер Давид Санто Орцеро ни обезбедува на технички начин (но лесно разбирливо) објаснувањето зошто GNU / Linux нема овој вид на малициозен софтвер.

100% препорачано. Сега тие ќе имаат повеќе од убедлив материјал за да го замолчат секој што зборува без солидна основа на оваа тема.

Преземи ја статијата (PDF): Митови и факти: Линукс и вируси

 

УРЕДЕН:

Еве ја препишаната статија, бидејќи сметаме дека е многу поудобно да се чита на овој начин:

================================================================= ======================

Дебатата за Linux и вируси не е ништо ново. Секој толку често гледаме е-пошта на списокот што прашува дали има вируси за Linux; и автоматски некој одговара потврдно и тврди дека ако не се попопуларни, тоа е затоа што Linux не е толку распространет како Виндоус. Исто така, има чести соопштенија за печат од развивачи на антивируси, во кои се вели дека издаваат верзии на вируси на Линукс.

Лично, имав друга дискусија со различни луѓе по пошта, или по список за дистрибуција, во врска со прашањето дали вирусите постојат или не во Линукс. Тоа е мит, но тешко е да се урне мит или, поточно, измама, особено ако е предизвикана од економски интерес. Некој е заинтересиран да ја пренесе идејата дека ако Линукс нема вакви проблеми, тоа е затоа што многу малку луѓе го користат.

За време на објавувањето на овој извештај, би сакал да напишам дефинитивен текст за постоењето на вируси во Linux. За жал, кога суеверието и економскиот интерес траат, тешко е да се изгради нешто дефинитивно.
Сепак, тука ќе се обидеме да дадеме разумно комплетен аргумент за да ги разоружаме нападите на секој што сака да се расправа.

Што е тоа вирус?

Како прво, ќе започнеме со дефинирање што е вирус. Тоа е програма што се копира и работи автоматски, и има за цел да го смени нормалното функционирање на компјутерот, без дозвола или знаење на корисникот. За да го направите ова, вирусите ги заменуваат извршните датотеки со други заразени со нивниот код. Дефиницијата е стандардна и претставува еднолиниско резиме на влезот на Википедија за вируси.
Најважниот дел од оваа дефиниција, и оној што го разликува вирусот од други малициозен софтвер, е дека вирусот се инсталира самиот, без дозвола или знаење на корисникот. ако не се инсталира сам, не е вирус: може да биде rootkit или тројанец.

Rootkit е лепенка за јадро што ви овозможува да скриете одредени процеси од корисничките области на корисничката област. Со други зборови, тоа е модификација на изворниот код на јадрото чија цел е комуналните услуги што ни овозможуваат да видиме што работи во кое било дадено време да не визуелизираат одреден процес или одреден корисник.

Тројанец е аналоген: тој е измена на изворниот код на одредена услуга за да се скрие одредена измамничка активност. Во двата случаи, потребно е да се добие изворен код на точната верзија инсталирана на машината Linux, да се закрпи кодот, да се состави повторно, да се добијат администраторски привилегии, да се инсталира закрпен извршен и да се иницира услугата - во случај на Тројан или оперативниот систем.целосно - во случај на
rootkit–. Процесот, како што гледаме, не е тривијален и никој не може да го стори сето ова „по грешка“. Двајцата при инсталацијата бараат некој со администраторски привилегии, свесно, да изврши низа чекори донесувајќи одлуки од техничка природа.

Што не е неважна семантичка нијанса: за да се инсталира самиот вирус, сè што треба да сториме е да извршиме заразена програма како обичен корисник. Од друга страна, за инсталирање на rootkit или Trojan од суштинско значење е злонамерен човек лично да влезе во root-сметката на машината, и на неавтоматизиран начин, да изврши серија чекори што се потенцијално откриени. вирус се шири брзо и ефикасно; на rootkit или на тројанец им требаат за да нè насочат конкретно.

Пренос на вируси на Linux:

Оттука, механизмот за пренос на вирус е тој што навистина го дефинира како таков и е основа за нивното постоење. оперативниот систем е почувствителен на вируси, толку полесно е да се развие ефикасен и автоматски механизам за пренос.

Да претпоставиме дека имаме вирус кој сака самиот да се шири. Да претпоставиме дека е лансиран од нормален корисник, невино, при лансирање програма. Овој вирус има исклучиво два механизми на пренесување:

• Реплицирајте се со допирање на меморијата на другите процеси, прицврстувајќи се на нив при извршувањето.
• Отворање на извршните системи на датотечниот систем и додавање на нивниот код –payload– на извршната.

Сите вируси што можеме да ги сметаме за такви имаат барем еден од овие два механизми за пренесување. О двајцата. Нема повеќе механизми.
Во врска со првиот механизам, да се потсетиме на архитектурата на виртуелната меморија на Linux и како работат процесорите на Intel. Овие имаат четири прстени, нумерирани од 0 до 3; колку е помал бројот, толку се поголеми привилегиите што ги има кодот што работи во тој прстен. Овие прстени одговараат на состојбите на процесорот и, според тоа, што може да се направи со системот да биде во одреден прстен. Linux користи прстен 0 за јадрото, и прстен 3 за процеси. нема процесен код што работи на прстенот 0 и нема кернелен код што работи на прстенот 3. Постои само една влезна точка во јадрото од прстенот 3: прекин од 80 часа, што овозможува скокање од областа каде што е корисничкиот код до областа каде што е кодот на јадрото.

Архитектурата на Unix воопшто и Linux особено не го прави ширењето на вирусите изводливо.

Кернелот со употреба на виртуелна меморија го тера секој процес да верува дека ја има целата меморија за себе. Процес - кој работи во прстен 3 - може да ја види само виртуелната меморија што е конфигурирана за неа, за прстенот во кој работи. Не е дека меморијата на другите процеси е заштитена; е дека за еден процес меморијата на другите е надвор од просторот за адреси. Ако некој процес ги победи сите мемориски адреси, тој не би можел да упати ниту мемориска адреса на друг процес.

Зошто ова не може да се измами?
За да го измените коментираното - на пример, генерирајте влезни точки во прстенот 0, изменете ги векторите на прекини, изменете ја виртуелната меморија, изменете го LGDT… - тоа е можно само од прстенот 0.
Тоа е, за некој процес да може да ја допре меморијата на други процеси или јадрото, тоа треба да биде самиот јадро. И фактот дека постои единствена точка за влез и дека параметрите се пренесуваат преку регистри, ја комплицира стапицата - всушност, таа се пренесува преку регистарот сè до што да се прави, што потоа се спроведува како случај во рутина за внимание. 80 час прекин.
Друго сценарио е случај на оперативни системи со стотици недокументирани повици на ringвонење 0, каде тоа е можно - секогаш може да има слабо спроведен заборавен повик на кој може да се развие стапица - но во случај на оперативен систем со таков едноставен чекор механизам, тоа не е.

Поради оваа причина, архитектурата на виртуелната меморија го спречува овој механизам за пренос; никакви процеси - дури ни оние со root привилегии - немаат начин да пристапат до меморијата на другите. Можеме да тврдиме дека еден процес може да го види јадрото; Ја има мапирано од неговата логичка мемориска адреса 0xC0000000. Но, поради прстенот на процесорот на кој работи, не можете да го модифицирате; би генерирал стапица, бидејќи тие се мемориски области кои припаѓаат на друг прстен.

„Решението“ ќе биде програма што го модифицира кодот на јадрото кога е датотека. Но, фактот дека тие се повторно составени го прави невозможно. Бинарното не може да се закрпи, бидејќи во светот има милиони различни бинарни јадра. Едноставно, кога повторно ја составија, тие ставија или отстранија нешто што може да се изврши од јадрото, или ја сменија големината на некои од етикетите што ја идентификуваат верзијата за компилација - нешто што се прави дури и ненамерно - бинарната лепенка не може да се примени. Алтернативата би била да го преземете изворниот код од Интернет, да го закрпите, да го конфигурирате за соодветниот хардвер, да го компајлирате, инсталирате и да ја рестартирате машината. Сето ова треба да го стори програма, автоматски. Доста предизвик за областа на вештачката интелигенција.
Како што можеме да видиме, дури и вирус како корен не може да ја прескокне оваа бариера. Единственото решение што преостанува е преносот помеѓу извршните датотеки. Кој не работи ниту како што ќе видиме подолу.

Моето искуство како администратор:

За повеќе од десет години управувам со Linux, со инсталации на стотици машини во центри за податоци, студентски лаборатории, компании итн.

• Никогаш не добив вирус
• Никогаш не сум сретнал некој што се сретнал
• Никогаш не сум сретнал некој што се сретнал со некој што се сретнал

Знам повеќе луѓе кои го виделе чудовиштето од Лох Нес отколку што виделе вируси на Линукс.
Лично, признавам дека бев несовесен и започнав неколку програми што самопрогласените „специјалисти“ ги нарекуваат „вируси за Linux“ - отсега ќе ги нарекувам вируси, за да не го направам текстот педантен -, од мојата вообичаена сметка против мојата машина, за да видам дали е можен вирус: и баш вирусот што циркулира таму - и кој, патем, не зарази никакви датотеки - и вирус кој стана многу познат и се појави во печатот . Се обидов да го инсталирам; и по дваесет минути работа, се откажав кога видов дека едно од неговите барања е да го има директориумот tmp на партиција од типот MSDOS. Јас лично не познавам некој што создава специфична партиција за tmp и ја форматира на FAT.
Всушност, некои таканаречени вируси што ги тестирав за Linux бараат високо ниво на знаење и root-лозинка за инсталирање. Ние би можеле да се квалификуваме, во најмала рака, како „откачен“ вирус ако му треба нашата активна интервенција за да ја зарази машината. Понатаму, во некои случаи тие бараат широко познавање на UNIX и коренската лозинка; што е далеку од автоматската инсталација за која се претпоставува дека е.

Инфицирање на извршни на Linux:

На Linux, еден процес може едноставно да го направи она што го дозволува неговиот ефикасен корисник и ефективна група. Точно е дека постојат механизми за размена на вистински корисник со готовина, но малку друго. Ако погледнеме каде се извршните функции, ќе видиме дека само root има привилегии за запишување и во овие директориуми и во содржаните датотеки. Со други зборови, само root може да ги менува таквите датотеки. Ова е случај во Уникс од 70-тите години на минатиот век, во Линукс од неговото потекло и во датотечен систем што поддржува привилегии, сè уште не се појави грешка што дозволува друго однесување. Структурата на извршните датотеки на ELF е позната и добро документирана, па затоа е технички можно датотека од овој тип да го вчита товарот во друга ELF-датотека ... се додека ефективниот корисник на првата или ефективната група на прво имаат привилегии за пристап.читање, пишување и извршување на втората датотека. Колку извршни систем на датотеки може да зарази како обичен корисник?
Ова прашање има едноставен одговор, ако сакаме да знаеме колку датотеки можеме да „заразиме“, ја активираме командата:

$ find / -type f -perm -o=rwx -o \( -perm -g=rwx -group `id -g` \) -o \( -perm -u=rwx -user `id -u` \) -print 2> /dev/null | grep -v /proc

Ние го исклучуваме директориумот / proc бидејќи тој е виртуелен систем на датотеки што прикажува информации за тоа како работи оперативниот систем. Датотеките од типот на датотека со привилегии за извршување што ќе ги откриеме не претставуваат проблем, бидејќи тие често се виртуелни врски што се чини дека се читаат, пишуваат и извршуваат и ако корисникот ги проба, тоа никогаш не работи. Ние исто така ги отфрламе грешките, изобилство - бидејќи, особено во / proc и / дома, има многу директориуми каде што обичен корисник не може да влезе -. Оваа скрипта трае долго време. Во нашиот конкретен случај, на машина каде што работат четири лица, одговорот беше:

/tmp/.ICE-unix/dcop52651205225188
/tmp/.ICE-unix/5279
/home/irbis/kradview-1.2/src
/kradview

Излезот покажува три датотеки што можат да бидат заразени ако се спроведе хипотетички вирус. Првите две се датотеки од типот сокет Unix кои се бришат при стартување - и не можат да бидат засегнати од вирус - и третиот е датотека на програма во развој, која се брише секогаш кога ќе се состави повторно. Вирусот, од практична гледна точка, не би се ширел.
Според она што го гледаме, единствениот начин да се шири носивоста е да се биде root. Во овој случај, за да работи вирус, корисниците секогаш мора да имаат администраторски привилегии. Во тој случај, може да зарази датотеки. Но, тука е уловот: за да ја ширите инфекцијата, треба да земете друг извршен, да го испратите по пошта на друг корисник кој ја користи машината само како корен и повторете го процесот.
Во оперативните системи каде што е потребно да се биде администратор за вообичаени задачи или да се извршуваат многу дневни апликации, тоа може да биде случај. Но, во Unix потребно е да бидете администратор за да ја конфигурирате машината и да ги менувате конфигурациските датотеки, така што бројот на корисници што root сметката ги користи како дневна сметка е мал. Тоа е повеќе; некои дистрибуции на Linux дури и не ја имаат овозможено root-сметката. Во скоро сите, ако имате пристап до графичкото опкружување како такво, позадината се менува во интензивно црвена и се повторуваат постојани пораки кои потсетуваат дека оваа сметка не треба да се користи.
Конечно, сè што треба да се направи како root може да се направи со судо команда без ризик.
За оваа причина, во Linux извршна не може да зарази други сè додека не ја користиме root-сметката како заедничка употреба; И иако антивирусните компании инсистираат да кажат дека има вируси за Linux, навистина најблиското нешто што може да се создаде во Linux е тројанец во корисничката област. Единствениот начин на кој овие тројанци можат да влијаат на нешто врз системот е да го извршат како root и со потребните привилегии. Ако обично ја користиме машината како обични корисници, не е можно процесот што го започнал обичен корисник да го зарази системот.

Митови и лаги:

Наоѓаме многу митови, измами и обични лаги за вируси во Линукс. Ајде да направиме список со нив врз основа на дискусија што се случи пред извесно време со претставник на производител на антивирус за Linux, кој беше многу навреден од написот објавен во истото ова списание.
Таа дискусија е добар референтен пример, бидејќи ги опфаќа сите аспекти на вирусите во Linux. Toе ги разгледаме сите овие митови еден по еден, како што беа дискутирани во таа специфична дискусија, но што се повторуваше многу пати на други форуми.

Мит 1:
"Не на сите малициозни програми, особено на вирусите, им се потребни привилегии за root за инфицирање, особено во конкретниот случај на извршни вируси (формат ELF) кои инфицираат други извршни".

Одговор:
Кој прави такво тврдење, не знае како функционира системот за привилегии на Unix. За да влијае на датотека, на вирусот му треба привилегија да чита - мора да се прочита за да се измени - и да се напише - мора да се напише за измената да биде валидна - на извршната датотека што сака да ја изврши.
Ова е секогаш така, без исклучоци. И во секоја дистрибуција, не-root корисниците ги немаат овие привилегии. Тогаш, едноставно, без да се биде корен, инфекцијата не е можна. Емпириски тест: Во претходниот дел видовме едноставна скрипта за да се провери опсегот на датотеки што можат да бидат засегнати од инфекција. Ако го активираме на нашата машина, ќе видиме како е занемарлива, а во однос на системските датотеки, нула. Исто така, за разлика од оперативните системи како Виндоус, не ви требаат администраторски привилегии за да извршувате заеднички задачи со програми што обично ги користат нормалните корисници.

Мит 2:
"Ниту, пак, треба да бидат root за да влезат во системот од далечина, во случајот на Slapper, црв кој, искористувајќи ранливост во SSL на Apache (сертификатите што овозможуваат безбедна комуникација), создаде своја мрежа на машини за зомби во септември 2002 година".

Одговор:
Овој пример не се однесува на вирус, туку на црв. Разликата е многу важна: црв е програма што експлоатира услуга за Интернет да се пренесува самостојно. Тоа не влијае на локалните програми. Затоа, тоа влијае само на серверите; не на одредени машини.
Црвите отсекогаш биле многу малку и има занемарлива инциденца. Трите навистина важни се родени во 80-тите години, време кога Интернетот беше невин, и секој веруваше на секого. Да се ​​потсетиме дека тие беа оние што влијаеа на испраќањето, прстот и рексекот. Денес работите се посложени. Иако не можеме да негираме дека тие сè уште постојат и дека, доколку не бидат контролирани, тие се крајно опасни. Но, сега, времето на реакција на црвите е многу кратко. Ова е случај со Slapper: црв создаден на ранливост откриен - и закрпен - два месеци пред појавата на самиот црв.
Дури и да претпоставиме дека секој што користи Linux има Apache инсталирано и работи цело време, едноставно ажурирање на пакетите месечно би било повеќе од доволно за никогаш да не се ризикува.
Точно е дека грешката SSL што ја предизвика Слепер беше критична - всушност, најголемата грешка пронајдена во целата историја на SSL2 и SSL3 - и како таква беше поправена за неколку часа. Дека два месеца откако проблемот беше пронајден и решен, некој направи црв на грешка што веќе е исправена и дека ова е најмоќниот пример што може да се даде како ранливост, барем тоа смирува.
Како општо правило, решението за црвите не е да купите антивирус, да го инсталирате и да губите време за компјутерско работење, задржувајќи го тој жител. Решението е да се искористи системот за безбедносно ажурирање на нашата дистрибуција: ажурирана дистрибуција, нема да има проблеми. Водењето само на услугите што ни се потребни е исто така добра идеја од две причини: го подобруваме користењето ресурси и избегнуваме безбедносни проблеми.

Мит 3:
"Јас не мислам дека јадрото е неповредливо. Всушност, постои група малициозни програми наречени LRK (Linux Rootkits Kernel), кои се базираат токму на искористување на ранливоста во модулите на јадрото и замена на бинарните системи на системот.".

Одговор:
Rootkit во основа е лепенка за јадрото што ви овозможува да го скриете постоењето на одредени корисници и процеси од вообичаените алатки, благодарение на фактот што тие нема да се појават во директориумот / proc. Нормалната работа е што тие го користат на крајот од нападот, на прво место, тие ќе искористат далечинска ранливост за да добијат пристап до нашата машина. Тогаш тие ќе преземат низа напади, за да ги зголемат привилегиите се додека не ја добијат основната сметка. Проблемот кога ќе го сторат тоа е како да инсталираат услуга на нашата машина без да бидат откриени: тука влегува rootkit. Создаден е корисник кој ќе биде ефективен корисник на услугата што сакаме да биде скриена, тие го инсталираат rootkit и ги кријат и тој корисник и сите процеси што припаѓаат на тој корисник.
Како да се скрие постоењето на корисник е корисно за вирусот е нешто за што би можеле да разговараме долго, но вирусот што користи rootkit за да се инсталира се чини дека е забавен. Да ја замислиме механиката на вирусот (во псевдокод):
1) Вирусот влегува во системот.
2) Лоцирајте го изворниот код на јадрото. Ако не е, тој сам го инсталира.
3) Конфигурирајте го јадрото за хардверски опции што се однесуваат на предметната машина.
4) Составете го јадрото.
5) Инсталирајте го новиот јадро; модифицирање на LILO или GRUB доколку е потребно.
6) Рестартирајте ја машината.

Чекорите (5) и (6) бараат привилегии за root. Донекаде е комплицирано што чекорите (4) и (6) не се откриени од заразените. Но, смешно е што има некој што верува дека постои програма што може да направи чекор (2) и (3) автоматски.
Како кулминација, ако наидеме на некој што ќе ни каже „кога има повеќе машини за Linux ќе има повеќе вируси“ и ќе препорача „да имаме инсталирано антивирус и постојано да го ажурираме“, тоа може да биде поврзано со компанијата што продава антивирусот и ажурирањата. Бидете сомнителни, можеби истиот сопственик.

Антивирус за Linux:

Вистина е дека има добар антивирус за Linux. Проблемот е во тоа што тие не го прават она што го тврдат антивирусните застапници. Неговата функција е да ја филтрира поштата што преминува од малициозен софтвер и вируси на Виндоус, како и да провери постоење на вируси на Виндоус во папки извезени преку САМБА; па ако ја користиме нашата машина како портал за пошта или како NAS за машини за Виндоус, можеме да ги заштитиме.

Clam-AV:

Нема да го завршиме нашиот извештај без да зборуваме за главниот антивирус за GNU / Linux: ClamAV.
ClamAV е многу моќен GPL антивирус кој собира за повеќето Unix достапни на пазарот. Тој е дизајниран да ги анализира прилозите кон поштенските пораки што минуваат низ станицата и да ги филтрира за вируси.
Оваа апликација совршено се интегрира со sendmail за да овозможи филтрирање на вируси што можат да се складираат во серверите Linux, кои обезбедуваат пошта до компаниите; има вирусна база на податоци што се ажурира секој ден, со дигитална поддршка. Базата на податоци се ажурира неколку пати на ден, и тоа е жив и многу интересен проект.
Оваа моќна програма е способна да анализира вируси дури и во прилози во покомплексни формати за отворање, како што се RAR (2.0), Zip, Gzip, Bzip2, Tar, MS OLE2, MS Cabinet датотеки, MS CHM (HTML испечатени) и MS SZDD .
ClamAV исто така поддржува mbox, Maildir и поштенски датотеки во RAW формат и преносни извршни датотеки компресирани со UPX, FSG и Petite. Clam AV и спамасанин пар се совршен пар за да ги заштитиме нашите клиенти на Windows од серверите за пошта на Unix.

ЗАКЛУЧОК

На прашањето Дали има ранливост во Линукс системите? одговорот е секако да.
Никој со здрав ум не се сомнева во тоа; Linux не е OpenBSD. Друга работа е прозорецот за ранливост што го има системот на Linux и е правилно ажуриран. Ако се запрашаме, дали има алатки за да ги искористиме овие безбедносни дупки и да ги искористиме? Па, да, но овие не се вируси, тие се експлоатира.

Вирусот мора да надмине уште неколку тешкотии што секогаш биле ставени како грешка / проблем на Линукс од страна на бранителите на Виндоус, и кои го комплицираат постоењето на вистински вируси - јадра што се прекомпатираат, многу верзии на многу апликации, многу дистрибуции, работи што тие не се автоматски се пренесува транспарентно на корисникот итн .–. Тековните теоретски "вируси" мора да се инсталираат рачно од основната сметка. Но, тоа не може да се смета за вирус.
Како што секогаш им велам на моите студенти: не верувајте ми, ве молам. Преземете и инсталирајте rootkit на машината. И, ако сакате повеќе, прочитајте го изворниот код на „вирусите“ на пазарот. Вистината е во изворниот код. Тешко е за „самопрогласен“ вирус да продолжи да го именува на тој начин откако ќе го прочита неговиот код. И, ако не знаете како да читате код, единствена безбедносна мерка што ја препорачувам: користете ја основната сметка само за управување со машината и ажурирајте ги безбедносните ажурирања.
Само со тоа е невозможно да влезат вируси во вас и многу е малку веројатно дека црви или некој успешно ќе ја нападне вашата машина.