Вирусы в GNU / Linux: факт или миф?

Когда спор закончится вирус y GNU / Linux пользователю не нужно много времени, чтобы появиться (обычно Windows) что там написано:

«В Linux нет вирусов, потому что создатели этих вредоносных программ не тратят время, делая что-то для операционной системы, которой почти никто не пользуется »

На что я всегда отвечал:

«Проблема не в этом, но создатели этих вредоносных программ не будут тратить время на создание того, что будет исправлено с первым обновлением Системы даже менее чем за 24 часа»

И я не ошибся, так как эта отличная статья, опубликованная в Номер 90 (Год 2008) из журнала Todo Linux. Его актер Дэвид Санто Орсеро предоставляет нам технически (но легко понять) объяснение почему GNU / Linux отсутствует этот тип вредоносного ПО.

100% рекомендуется. Теперь у них будет более чем убедительный материал, чтобы заставить замолчать любого, кто говорит, не имея прочного основания на эту тему.

Скачать статью (PDF): Мифы и факты: Linux и вирусы

ИЗМЕНИТЬ:

Вот транскрибированная статья, поскольку мы считаем, что так читать намного удобнее:

================================================== ======================

В дебатах о Linux и вирусах нет ничего нового. Время от времени мы видим электронное письмо в списке с вопросом, есть ли вирусы для Linux; и автоматически кто-то отвечает утвердительно и заявляет, что если они не более популярны, то это потому, что Linux не так широко распространен, как Windows. Также часто появляются пресс-релизы от разработчиков антивирусов, в которых говорится, что они выпускают версии вирусов для Linux.

Лично я время от времени обсуждал с разными людьми по почте или списку рассылки вопрос о том, существуют ли вирусы в Linux. это миф, но разрушить миф или, скорее, мистификацию сложно, особенно если это вызвано экономическими интересами. Кто-то заинтересован в том, чтобы передать идею о том, что если в Linux нет таких проблем, то это потому, что очень мало людей используют его.

Во время публикации этого отчета я хотел бы написать исчерпывающий текст о существовании вирусов в Linux. К сожалению, когда процветают суеверия и экономические интересы, трудно построить что-то окончательное.
Однако мы постараемся привести здесь достаточно полный аргумент, чтобы обезвредить атаки любого, кто хочет спорить.

Что такое вирус?

Прежде всего, мы собираемся начать с определения того, что такое вирус. Это программа, которая копирует себя и запускается автоматически, и ее целью является изменение нормального функционирования компьютера без разрешения или ведома пользователя. Для этого вирусы заменяют исполняемые файлы другими, зараженными их кодом. Определение стандартное и представляет собой однострочное резюме статьи в Википедии о вирусах.
Самая важная часть этого определения и то, что отличает вирус от других вредоносных программ, заключается в том, что вирус устанавливает себя без разрешения или ведома пользователя. если он не устанавливается, это не вирус: это может быть руткит или троянец.

Руткит - это патч ядра, который позволяет скрыть определенные процессы от утилит пользовательской области. Другими словами, это модификация исходного кода ядра, цель которой состоит в том, что утилиты, которые позволяют нам видеть, что выполняется в любой момент времени, не отображают определенный процесс или определенного пользователя.

Троянец аналогичен: это модификация исходного кода определенной службы для сокрытия определенных мошеннических действий. В обоих случаях необходимо получить исходный код точной версии, установленной на машине Linux, исправить код, перекомпилировать его, получить права администратора, установить исправленный исполняемый файл и инициализировать службу - в случае трояна– или операционная система. Complete - в случае
руткит–. Процесс, как видим, нетривиальный, и все это «по ошибке» сделать никто не может. Оба они требуют при установке, чтобы кто-то с правами администратора сознательно выполнил серию шагов, принимая решения технического характера.

Это немаловажный семантический нюанс: чтобы вирус установился, все, что нам нужно сделать, это запустить зараженную программу от имени обычного пользователя. С другой стороны, для установки руткита или трояна важно, чтобы злоумышленник лично вошел в корневую учетную запись машины и неавтоматически выполнил ряд шагов, которые потенциально можно обнаружить. вирус распространяется быстро и эффективно; руткиту или трояну они нужны специально для нашей цели.

Передача вирусов в Linux:

Следовательно, механизм передачи вируса - это то, что на самом деле определяет его как таковое, и является основой их существования. Операционная система более чувствительна к вирусам, чем проще разработать эффективный и автоматизированный механизм передачи.

Предположим, у нас есть вирус, который хочет распространяться. Предположим, он был запущен обычным пользователем невинно при запуске программы. Этот вирус имеет исключительно два механизма передачи:

• Реплицируйте себя, касаясь памяти других процессов, привязываясь к ним во время выполнения.
• Открытие исполняемых файлов файловой системы и добавление их кода –payload– в исполняемый файл.

Все вирусы, которые мы можем рассматривать как таковые, имеют по крайней мере один из этих двух механизмов передачи. О двое. Механизмов больше нет.
Что касается первого механизма, давайте вспомним архитектуру виртуальной памяти Linux и принцип работы процессоров Intel. У них четыре кольца, пронумерованные от 0 до 3; чем меньше число, тем больше привилегий имеет код, работающий в этом кольце. Эти кольца соответствуют состояниям процессора и, следовательно, тому, что можно сделать с системой, находящейся в определенном кольце. Linux использует кольцо 0 для ядра и кольцо 3 для процессов. нет кода процесса, который работает на кольце 0, и нет кода ядра, который запускается на кольце 3. Существует только одна точка входа в ядро ​​из кольца 3: прерывание 80h, которое позволяет переходить из области, где оно находится код пользователя в область, где находится код ядра.

Архитектура Unix в целом и Linux в частности не делает возможным распространение вирусов.

Ядро, используя виртуальную память, заставляет каждый процесс полагать, что вся память принадлежит ему. Процесс, который работает в кольце 3, может видеть только виртуальную память, которая была настроена для него, для кольца, в котором он работает. Дело не в том, что память других процессов защищена; заключается в том, что для одного процесса память других находится вне адресного пространства. Если бы процесс обошел все адреса памяти, он даже не смог бы ссылаться на адрес памяти другого процесса.

Почему это нельзя обмануть?
Чтобы изменить то, что было прокомментировано - например, сгенерировать точки входа в кольце 0, изменить векторы прерывания, изменить виртуальную память, изменить LGDT… - это возможно только из кольца 0.
То есть, чтобы процесс мог касаться памяти других процессов или ядра, это должно быть само ядро. И тот факт, что существует единая точка входа и что параметры передаются через регистры, усложняет ловушку - фактически, она передается через регистр до того, что делать, что затем реализуется как случай в подпрограмме внимания. 80-часовой перерыв.
Другой сценарий - это случай операционных систем с сотнями недокументированных вызовов для звонка 0, где это возможно - всегда может быть плохо реализованный забытый вызов, для которого может быть разработано прерывание, - но в случае операционной системы с таким простой шаговый механизм, это не так.

По этой причине архитектура виртуальной памяти предотвращает этот механизм передачи; никакие процессы - даже те, которые имеют привилегии root - не имеют доступа к чужой памяти. Можно утверждать, что процесс может видеть ядро; Он отображается из его адреса логической памяти 0xC0000000. Но из-за кольца процессора, на котором оно работает, вы не можете его изменить; это создало бы ловушку, поскольку они являются областями памяти, принадлежащими другому кольцу.

«Решение» - это программа, которая изменяет код ядра, когда это файл. Но тот факт, что они перекомпилированы, делает это невозможным. Бинарный файл нельзя исправить, так как в мире существуют миллионы различных бинарных ядер. Просто при его перекомпиляции они что-то поместили или удалили из исполняемого файла ядра, или они изменили размер одной из меток, идентифицирующих версию компиляции - что происходит даже непроизвольно - бинарный патч нельзя было применить. Альтернативой может быть загрузка исходного кода из Интернета, исправление его, настройка для соответствующего оборудования, его компиляция, установка и перезагрузка машины. Все это должно выполняться программой автоматически. Непростая задача для области искусственного интеллекта.
Как мы видим, этот барьер не может преодолеть даже корневой вирус. Единственное решение - передача между исполняемыми файлами. Что тоже не работает, как мы увидим ниже.

Мой опыт работы администратором:

За более чем десять лет управления Linux я установил его на сотни машин в центрах обработки данных, студенческих лабораториях, компаниях и т. Д.

• Я никогда не заражался вирусом
• Я никогда не встречал человека, у которого
• Я никогда не встречал человека, который встречал кого-то, кто

Я знаю больше людей, которые видели Лох-Несское чудовище, чем вирусов Linux.
Лично я признаю, что был безрассудным, и я запустил несколько программ, которые самопровозглашенные «специалисты» называют «вирусами для Linux» - с этого момента я буду называть их вирусами, чтобы не делать текст педантичным - от моя обычная учетная запись на моей машине, чтобы увидеть, возможен ли вирус: как вирус bash, который там циркулирует и который, кстати, не заразил никакие файлы, так и вирус, который стал очень известным и появился в прессе. Пытался установить; и после двадцати минут работы я сдался, когда увидел, что одно из его требований - иметь каталог tmp в разделе типа MSDOS. Лично я не знаю никого, кто бы создал определенный раздел для tmp и отформатировал его в FAT.
Фактически, некоторые так называемые вирусы, которые я тестировал для Linux, требуют высокого уровня знаний и установки пароля root. Мы могли бы квалифицироваться, по крайней мере, как «дрянной» вирус, если он требует нашего активного вмешательства, чтобы заразить машину. Более того, в некоторых случаях они требуют глубоких знаний UNIX и пароля root; что довольно далеко от предполагаемой автоматической установки.

Заражение исполняемых файлов в Linux:

В Linux процесс может просто делать то, что позволяют его эффективный пользователь и эффективная группа. Верно, что существуют механизмы обмена реального пользователя на наличные, но мало что еще. Если мы посмотрим, где находятся исполняемые файлы, мы увидим, что только root имеет права записи как в эти каталоги, так и в содержащиеся в них файлы. Другими словами, только root может изменять такие файлы. Так обстоит дело в Unix с 70-х годов, в Linux с момента его появления и в файловой системе, которая поддерживает привилегии, еще не появилось ошибок, допускающих другое поведение. Структура исполняемых файлов ELF известна и хорошо документирована, поэтому технически возможно, чтобы файл этого типа загружал полезную нагрузку в другой файл ELF ... до тех пор, пока эффективный пользователь первой или эффективной группы первый имеет права доступа на чтение, запись и выполнение второго файла. Сколько исполняемых файлов файловой системы он мог бы заразить как обычный пользователь?
На этот вопрос есть простой ответ: если мы хотим знать, сколько файлов мы можем «заразить», мы запускаем команду:

$ find / -type f -perm -o=rwx -o \( -perm -g=rwx -group `id -g` \) -o \( -perm -u=rwx -user `id -u` \) -print 2> /dev/null | grep -v /proc

Мы исключаем каталог / proc, потому что это виртуальная файловая система, которая отображает информацию о том, как работает операционная система. Файлы типов файлов с привилегиями выполнения, которые мы найдем, не представляют проблемы, поскольку они часто представляют собой виртуальные ссылки, которые кажутся читаемыми, записанными и выполняемыми, и если пользователь попробует это сделать, это никогда не сработает. Мы также исключаем ошибки, их много - поскольку, особенно в / proc и / home, есть много каталогов, куда обычный пользователь не может войти - этот сценарий занимает много времени. В нашем конкретном случае, в машине, где работают четыре человека, ответ был:

/tmp/.ICE-unix/dcop52651205225188
/tmp/.ICE-unix/5279
/home/irbis/kradview-1.2/src
/kradview

Выходные данные показывают три файла, которые могут быть заражены, если запущен гипотетический вирус. Первые два - это файлы типа сокета Unix, которые удаляются при запуске и не подвержены воздействию вирусов, а третий - это файл программы разработки, который удаляется при каждой перекомпиляции. Вирус с практической точки зрения не распространится.
Из того, что мы видим, единственный способ распространить полезную нагрузку - это быть root. В этом случае для работы вируса у пользователей всегда должны быть права администратора. В этом случае он может заразить файлы. Но здесь возникает загвоздка: чтобы передать инфекцию, вам нужно взять другой исполняемый файл, отправить его по почте другому пользователю, который использует машину только как root, и повторить процесс.
В операционных системах, где необходимо быть администратором для выполнения общих задач или запускать множество ежедневных приложений, это может иметь место. Но в Unix необходимо быть администратором, чтобы настроить машину и изменить файлы конфигурации, поэтому количество пользователей, которых учетная запись root использует в качестве ежедневной, невелико. Это более; в некоторых дистрибутивах Linux даже не включена учетная запись root. Почти во всех из них, если вы обращаетесь к графической среде как таковой, фон меняется на интенсивный красный, и постоянно повторяются сообщения, напоминающие, что эту учетную запись использовать не следует.
Наконец, все, что нужно сделать от имени пользователя root, можно без риска выполнить с помощью команды sudo.
По этой причине в Linux исполняемый файл не может заразить других, пока мы не используем учетную запись root в качестве учетной записи общего пользования; И хотя антивирусные компании настаивают на том, что для Linux существуют вирусы, на самом деле самое близкое, что можно создать в Linux, - это троянец в пользовательской области. Единственный способ, которым эти трояны могут повлиять на что-либо в системе, - это запустить ее как root и с необходимыми привилегиями. Если мы обычно используем машину как обычные пользователи, процесс, запущенный обычным пользователем, не может заразить систему.

Мифы и ложь:

Мы находим множество мифов, мистификаций и просто лжи о вирусах в Linux. Составим их список на основе дискуссии, которая состоялась некоторое время назад с представителем производителя антивируса для Linux, которого очень обидела статья, опубликованная в том же журнале.
Это обсуждение является хорошим справочным примером, поскольку оно затрагивает все аспекты вирусов в Linux. Мы собираемся рассмотреть все эти мифы один за другим, поскольку они обсуждались в той конкретной дискуссии, но которая многократно повторялась на других форумах.

Миф 1:
Не всем вредоносным программам, особенно вирусам, требуются права root для заражения, особенно в случае исполняемых вирусов (формат ELF), которые заражают другие исполняемые файлы.».

Ответ:
Тот, кто делает такое заявление, не знает, как работает система привилегий Unix. Чтобы повлиять на файл, вирусу нужна привилегия чтения - он должен быть прочитан, чтобы изменить его -, и записи - он должен быть записан для того, чтобы модификация была действительной - в исполняемый файл, который он хочет выполнить.
Так бывает всегда, без исключений. И в каждом из дистрибутивов пользователи без полномочий root не имеют этих привилегий. Тогда просто не будучи root, заражение невозможно. Эмпирический тест: в предыдущем разделе мы видели простой скрипт для проверки диапазона файлов, которые могут быть затронуты заражением. Если мы запустим его на нашей машине, мы увидим, насколько он незначительный, а по отношению к системным файлам - null. Кроме того, в отличие от таких операционных систем, как Windows, вам не нужны права администратора для выполнения общих задач с программами, которые обычно используются обычными пользователями.

Миф 2:
Им также не нужно быть root, чтобы удаленно входить в систему, в случае с Slapper, червь, использующий уязвимость в SSL Apache (сертификаты, позволяющие безопасную связь), создал свою собственную сеть зомби-машин в сентябре 2002 года.».

Ответ:
Этот пример относится не к вирусу, а к червю. Разница очень важна: червь - это программа, которая использует службу Интернета для своей передачи. Это не влияет на местные программы. Следовательно, это влияет только на серверы; не к конкретным машинам.
Черви всегда были очень малочисленны и распространены незначительно. Три действительно важных из них родились в 80-х годах, когда Интернет был невиновен, и все всем доверяли. Напомним, что именно они повлияли на sendmail, fingerd и rexec. Сегодня все сложнее. Хотя мы не можем отрицать, что они все еще существуют и что, если их не остановить, они чрезвычайно опасны. Но теперь время реакции на червей очень короткое. Это случай Slapper: червь, созданный на основе уязвимости, обнаруженной и исправленной за два месяца до появления самого червя.
Даже если предположить, что у всех, кто использует Linux, Apache установлен и работает все время, простого ежемесячного обновления пакетов было бы более чем достаточно, чтобы никогда не подвергаться риску.
По общему признанию, ошибка SSL, вызванная Slapper, была критической - по сути, самой большой ошибкой за всю историю SSL2 и SSL3 - и как таковая была исправлена ​​в течение нескольких часов. То, что через два месяца после того, как эта проблема была обнаружена и решена, кто-то создал червя для ошибки, которая уже была исправлена, и что это самый убедительный пример, который можно назвать уязвимостью, по крайней мере, это успокаивает.
Как правило, решение проблемы с червями заключается не в том, чтобы покупать антивирус, устанавливать его и тратить вычислительное время на то, чтобы поддерживать его постоянно. Решение - использовать систему обновлений безопасности нашего дистрибутива: после обновления дистрибутива проблем не будет. Запуск только необходимых нам сервисов также является хорошей идеей по двум причинам: мы улучшаем использование ресурсов и избегаем проблем с безопасностью.

Миф 3:
Я не думаю, что ядро ​​неуязвимо. На самом деле существует группа вредоносных программ под названием LRK (Linux Rootkits Kernel), которые основаны именно на том факте, что они используют уязвимости в модулях ядра и заменяют системные двоичные файлы.».

Ответ:
Руткит - это, по сути, патч ядра, который позволяет скрыть существование определенных пользователей и процессов от обычных инструментов благодаря тому, что они не будут отображаться в каталоге / proc. Обычно они используют его в конце атаки, в первую очередь, они собираются использовать удаленную уязвимость, чтобы получить доступ к нашей машине. Затем они предпримут серию атак, чтобы повысить привилегии до получения учетной записи root. Когда они это делают, проблема заключается в том, как установить службу на нашу машину, не будучи обнаруженной: вот тут-то и появляется руткит. Создается пользователь, который будет эффективным пользователем службы, которую мы хотим скрыть, они устанавливают руткит и скрывают как этого пользователя, так и все процессы, принадлежащие этому пользователю.
Как скрыть существование пользователя, полезного для вируса, - это то, что мы могли бы обсудить подробно, но вирус, который использует руткит для установки, кажется забавным. Представим себе механику вируса (в псевдокоде):
1) Вирус попадает в систему.
2) Найдите исходный код ядра. Если нет, он сам устанавливает.
3) Настройте ядро ​​для аппаратных опций, применимых к рассматриваемой машине.
4) Скомпилируйте ядро.
5) Установите новое ядро; при необходимости модифицируйте LILO или GRUB.
6) Перезагрузите машину.

Для шагов (5) и (6) требуются привилегии root. Несколько сложно то, что шаги (4) и (6) не обнаруживаются зараженными. Но самое забавное, что есть кто-то, кто считает, что есть программа, которая может выполнять шаги (2) и (3) автоматически.
В качестве кульминации, если мы встретим кого-то, кто говорит нам, что «когда будет больше машин с Linux, будет больше вирусов», и рекомендует «установить антивирус и постоянно его обновлять», возможно, это связано с компанией, которая продает антивирус и обновления. . Будьте осторожны, возможно, это тот же хозяин.

Антивирус для Linux:

Это правда, что есть хорошие антивирусы для Linux. Проблема в том, что они не делают того, что утверждают защитники антивирусов. Его функция - фильтровать почту, которая переходит от вредоносных программ и вирусов к Windows, а также проверять наличие вирусов Windows в папках, экспортированных через SAMBA; поэтому, если мы используем нашу машину в качестве почтового шлюза или NAS для машин Windows, мы можем защитить их.

Клам-АВ:

Мы не закончим наш отчет, не остановившись на главном антивирусе для GNU / Linux: ClamAV.
ClamAV - это очень мощный антивирус под лицензией GPL, который компилируется для большинства Unix, доступных на рынке. Он предназначен для анализа вложений в почтовые сообщения, проходящие через станцию, и их фильтрации на вирусы.
Это приложение отлично интегрируется с sendmail, что позволяет фильтровать вирусы, которые могут храниться на серверах Linux, которые отправляют почту компаниям; наличие базы данных вирусов, которая обновляется ежедневно, с цифровой поддержкой. База данных обновляется несколько раз в день, это живой и очень интересный проект.
Эта мощная программа способна анализировать вирусы даже во вложениях в более сложных форматах для открытия, таких как RAR (2.0), Zip, Gzip, Bzip2, Tar, MS OLE2, файлы MS Cabinet, MS CHM (HTML COprinted) и MS SZDD. .
ClamAV также поддерживает файлы почты в форматах mbox, Maildir и RAW, а также файлы Portable Executable, сжатые с помощью UPX, FSG и Petite. Пара Clam AV и spamassassin - идеальная пара для защиты наших клиентов Windows от почтовых серверов Unix.

ЗАКЛЮЧЕНИЕ

На вопрос Есть ли уязвимости в Linux-системах? ответ конечно да.
В этом никто в здравом уме не сомневается; Linux - это не OpenBSD. Другое дело, что правильно обновленное окно уязвимости в системе Linux. Если мы спросим себя, есть ли инструменты, позволяющие воспользоваться этими дырами в безопасности и использовать их? Ну да, но это не вирусы, это эксплойты.

Вирус должен преодолеть еще несколько трудностей, которые защитники Windows всегда считали недостатком / проблемой Linux и которые усложняют существование настоящих вирусов - перекомпилируемых ядер, множества версий многих приложений, множества дистрибутивов и т. Д. они не передаются автоматически прозрачно для пользователя и т. д. -. Текущие теоретические «вирусы» необходимо устанавливать вручную из учетной записи root. Но это нельзя считать вирусом.
Как я всегда говорю своим ученикам: пожалуйста, не верьте мне. Загрузите и установите руткит на машину. А если хотите большего, читайте исходный код «вирусов» на маркете. Правда в исходном коде. «Самопровозглашенному» вирусу трудно продолжать называть его таким образом после прочтения кода. А если вы не умеете читать код, я рекомендую одну простую меру безопасности: использовать учетную запись root только для администрирования машины и поддерживать обновления безопасности в актуальном состоянии.
Только в этом случае вирусы не смогут проникнуть в вас, и очень маловероятно, что черви или кто-то успешно атакует вашу машину.