Вируси у ГНУ / Линук-у: чињеница или мит?

Кад год расправа заврши вирус y ГНУ / Линук не треба много времена да се корисник појави (обично Виндовс) шта каже:

«У Линуку нема вируса јер творци ових злонамерних програма не губе време радећи нешто за оперативни систем који готово нико не користи »

На шта сам увек одговарао:

„Проблем није у томе, али креатори ових злонамерних програма неће губити време стварајући нешто што ће бити исправљено првим ажурирањем Система, чак и за мање од 24 сата“

И нисам погрешио, јер је овај изврстан чланак објављен у Број 90 (2008. година) из часописа Тодо Линук. Његов глумац Давид Санто Орцеро пружа нас на технички начин (али лако разумљив) објашњење зашто ГНУ / Линук недостаје ова врста злонамерног софтвера.

100% препоручено Сада ће имати више него убедљив материјал да утишају свакога ко говори без солидне основе на ову тему.

Преузми чланак (ПДФ): Митови и чињенице: Линук и вируси

ЕДИТЕД:

Ево преписаног чланка, јер сматрамо да је много угодније читати на овај начин:

==== = ======================

Расправа о Линуку и вирусима није нова. Свако толико на списку видимо е-пошту са питањем да ли постоје вируси за Линук; и аутоматски неко потврдно одговара и тврди да ако нису популарнији, то је зато што Линук није толико раширен као Виндовс. Честа су и саопштења за штампу програмера антивируса у којима се наводи да издају верзије Линук вируса.

Лично сам разговарао са другим људима путем поште или путем листе дистрибуције у вези са питањем да ли вируси постоје у Линуку или не. То је мит, али тешко је срушити мит или, тачније, подвалу, поготово ако је то узроковано економским интересом. Неко је заинтересован да пренесе идеју да ако Линук нема овакве проблеме, то је зато што га врло мало људи користи.

У време објављивања овог извештаја желео бих да напишем коначан текст о постојању вируса у Линуку. На несрећу, када се сујеверје и економски интерес рашире, тешко је изградити нешто дефинитивно.
Међутим, ми ћемо овде покушати изнијети разумно потпун аргумент како бисмо разоружали нападе свакога ко то жели да аргументује.

Шта је вирус?

Пре свега, почећемо дефинисањем вируса. То је програм који се копира и аутоматски покреће и чији је циљ да измени нормално функционисање рачунара, без корисникове дозволе или знања. Да би то учинили, вируси замењују извршне датотеке другима зараженим њиховим кодом. Дефиниција је стандардна и представља једнослони резиме уноса на Википедији о вирусима.
Најважнији део ове дефиниције и оно по чему се вирус разликује од другог малвера је то што се вирус сам инсталира, без корисникове дозволе или знања. ако се не инсталира сам, није вирус: то може бити рооткит или тројански вирус.

Рооткит је закрпа језгра која вам омогућава да сакријете одређене процесе од услужних програма корисничког подручја. Другим речима, ради се о модификацији изворног кода језгра чија је сврха да услужни програми који нам омогућавају да видимо шта се покреће у било ком тренутку не визуализују одређени процес или одређеног корисника.

Тројанац је аналоган: то је модификација изворног кода одређене услуге како би се сакриле одређене лажне активности. У оба случаја потребно је добити изворни код тачне верзије инсталиране на Линук машини, закрпати га, поново га компајлирати, добити администраторске привилегије, инсталирати закрпљену извршну датотеку и иницијализовати услугу - у случају тројанског програма - или оперативни систем. комплетан - у случају
рооткит–. Процес, како видимо, није безначајан и нико све то не може да уради „грешком“. Обоје у својој инсталацији захтевају да неко са администраторским привилегијама, свесно, изврши низ корака доносећи одлуке техничке природе.

Што није неважна семантичка нијанса: да би се вирус сам инсталирао, довољно је да покренимо заражени програм као обичан корисник. С друге стране, за инсталацију рооткита или тројанца неопходно је да злонамерни човек лично уђе у роот налог машине и на неаутоматизован начин изврши низ корака који су потенцијално откривени. вирус се шири брзо и ефикасно; рооткит-у или тројанском програму требају да нас крену посебно.

Пренос вируса на Линук-у:

Стога је механизам преноса вируса оно што га стварно дефинише као таквог и основа је њиховог постојања. оперативни систем је осетљивији на вирусе што је лакше развити ефикасан и аутоматизован механизам преноса.

Претпоставимо да имамо вирус који жели да се шири сам од себе. Претпоставимо да га је покренуо обичан корисник, невин, приликом покретања програма. Овај вирус има искључиво два механизма преноса:

• Реплицирајте се додирујући меморију других процеса, усидривши се на њих током извођења.
• Отварање извршних датотека датотечног система и додавање њиховог кода –паилоад– у извршну датотеку.

Сви вируси које можемо сматрати таквима имају бар један од ова два механизма преноса. О двоје. Нема више механизама.
Што се тиче првог механизма, сетимо се архитектуре виртуелне меморије Линука и како раде Интел процесори. Имају четири прстена, нумерисана од 0 до 3; што је број мањи, веће привилегије има код који се покреће у том прстену. Ови прстенови одговарају стањима процесора и, према томе, шта се може учинити са системом који се налази у одређеном прстену. Линук користи прстен 0 за језгро и прстен 3 за процесе. не постоји процесни код који се изводи на прстену 0 и не постоји код језгра који се изводи на прстену 3. Постоји само једна улазна тачка у језгро из прстена 3: прекид од 80 сати, који омогућава скакање из подручја у којем се налази кориснички код на подручје где је код језгра.

Архитектура Уника уопште и Линука посебно не чини ширење вируса изводљивим.

Језгро коришћењем виртуелне меморије тера сваки процес да верује да има сву меморију за себе. Процес - који ради у прстену 3 - може да види само виртуелну меморију која је за њега конфигурисана, за прстен у којем ради. Није да је меморија осталих процеса заштићена; је да се за један процес памћење осталих налази изван адресног простора. Ако би процес побиједио све меморијске адресе, не би могао ни да упути на меморијску адресу другог процеса.

Зашто се ово не може преварити?
Да бисте изменили коментарисано - на пример, генерисали улазне тачке у прстену 0, модификовали векторе прекида, виртуелну меморију, ЛГДТ ... - то је могуће само из прстена 0.
Односно, да би процес могао да додирне меморију других процеса или језгра, то би требао бити сам кернел. А чињеница да постоји једна тачка уласка и да се параметри преносе кроз регистре компликује замку - заправо, она се пролази кроз регистар до онога што треба учинити, што се затим примењује као случај у рутини пажње. прекид од 80х.
Други сценарио је случај оперативних система са стотинама недокументираних позива на звоно 0, где је то могуће - увек може бити лоше примењеног заборављеног позива на коме се може развити замка - али у случају оперативног система са таквим једноставан корак механизам, није.

Из тог разлога, архитектура виртуелне меморије спречава овај механизам преноса; ниједан процес - чак ни они са роот привилегијама - немају начин да приступе меморији других. Могли бисмо тврдити да процес може видети језгро; мапира је са своје логичке меморијске адресе 0кЦ0000000. Али, због прстена процесора на којем ради, не можете га изменити; би генерисао замку, јер су то подручја меморије која припадају другом прстену.

„Решење“ би био програм који модификује код језгра када је датотека. Али чињеница да су они прекомпајлирани то чини немогућим. Не можете закрпати бинарни систем, јер на свету постоје милиони различитих бинарних језгара. Једноставно да су приликом поновног компајлирања ставили или уклонили нешто из извршне датотеке језгра или су променили величину једне од ознака које идентификују верзију компилације - нешто што се чак и нехотице ради - бинарна закрпа није могла да се примени. Алтернатива би била преузимање изворног кода са Интернета, поправљање, конфигурисање за одговарајући хардвер, компајлирање, инсталирање и поновно покретање рачунара. Све то треба да ради програм, аутоматски. Приличан изазов за област вештачке интелигенције.
Као што видимо, чак ни вирус као корен не може да прескочи ову баријеру. Једино преостало решење је пренос између извршних датотека. Што не функционише, као што ћемо видети у наставку.

Моје администраторско искуство:

За више од десет година колико управљам Линуком, са инсталацијама на стотине машина у дата центрима, студентским лабораторијама, компанијама итд.

• Никада нисам „добио“ вирус
• Никад нисам упознао некога ко јесте
• Никад нисам упознао некога ко је упознао некога ко јесте

Знам више људи који су видели чудовиште из Лоцх Несса него што су видели Линук вирусе.
Лично признајем да сам био непромишљен и покренуо сам неколико програма које самопрозвани „стручњаци“ називају „вирусима за Линук“ - од сада ћу их називати вирусима, а не да би текст био педантан - са мог уобичајеног налога против моје машине да бисмо видели да ли је могућ вирус: и басх вирус који тамо циркулише - и који, иначе, није заразио ниједну датотеку - и вирус који је постао веома познат и појавио се у штампи. Покушао сам да га инсталирам; и после двадесет минута рада, одустао сам кад сам видео да је један од његових захтева да има тмп директоријум на партицији типа МСДОС. Лично не знам никога ко креира одређену партицију за тмп и форматира је у ФАТ.
У ствари, неки такозвани вируси које сам тестирао за Линук захтевају висок ниво знања и роот лозинку за инсталирање. Могли бисмо се квалификовати, у најмању руку, као „усрани“ вирус ако му је потребна наша активна интервенција да зарази машину. Штавише, у неким случајевима захтевају опсежно знање о УНИКС-у и роот лозинку; што је прилично далеко од аутоматске инсталације каква би требало да буде.

Инфицирање извршних датотека на Линуку:

На Линуку процес једноставно може учинити оно што дозвољавају ефикасни корисник и ефективна група. Тачно је да постоје механизми за размену стварног корисника са готовином, али мало другог. Ако погледамо где су извршне датотеке, видећемо да само роот има привилегије уписивања и у ове директоријуме и у садржане датотеке. Другим речима, само роот може мењати такве датотеке. То је случај у Унику од 70-их, у Линуку од његовог настанка, а у систему датотека који подржава привилегије још се није појавила грешка која дозвољава другачија понашања. Структура извршних датотека ЕЛФ је позната и добро документована, па је технички могуће да датотека овог типа учита корисни терет у другу ЕЛФ датотеку ... све док ефективни корисник прве или ефективна група првих имају привилегије приступа. читање, писање и извршавање на другом досијеу. Колико извршних датотека датотечног система може заразити као обичан корисник?
Ово питање има једноставан одговор, ако желимо да знамо колико датотека можемо „заразити“, покрећемо команду:

$ find / -type f -perm -o=rwx -o \( -perm -g=rwx -group `id -g` \) -o \( -perm -u=rwx -user `id -u` \) -print 2> /dev/null | grep -v /proc

Изузимамо директоријум / проц јер је то виртуелни систем датотека који приказује информације о томе како оперативни систем функционише. Датотеке типа датотека са привилегијама извршења које ћемо наћи не представљају проблем, јер су то често виртуелне везе које изгледају као прочитане, написане и извршене, а ако корисник то покуша, то никада не ради. Такође одбацујемо обилне грешке - јер, посебно у / проц и / хоме, постоји много директоријума у ​​које заједнички корисник не може да уђе -. Ова скрипта траје дуго. У нашем конкретном случају, у машини у којој раде четири особе, одговор је био:

/tmp/.ICE-unix/dcop52651205225188
/tmp/.ICE-unix/5279
/home/irbis/kradview-1.2/src
/kradview

Излаз приказује три датотеке које би могле бити заражене ако се покрене хипотетички вирус. Прве две су датотеке типа Уник утичнице које се бришу приликом покретања - и на њих вирус не може утицати - а трећа је датотека програма у развоју који се брише сваки пут када се прекомпајлира. Са практичне тачке гледишта, вирус се не би ширио.
Према ономе што видимо, једини начин за ширење корисног терета је бити роот. У овом случају, да би вирус могао да функционише, корисници увек морају да имају администраторске привилегије. У том случају може заразити датотеке. Али ту долази квака: да бисте пренели заразу, требате узети другу извршну датотеку, послати је другом кориснику који користи машину само као роот и поновити поступак.
У оперативним системима где је неопходно бити администратор за уобичајене задатке или покретати многе дневне апликације, то може бити случај. Али у Унику је неопходно бити администратор за конфигурисање машине и модификовање датотека за конфигурацију, тако да је број корисника које роот налог користи као дневни налог мали. Више је; неке Линук дистрибуције чак немају омогућен роот налог. У готово свима њима, ако приступите графичком окружењу као таквом, позадина се мења у интензивно црвену и понављају се сталне поруке које подсећају да овај налог не треба користити.
Коначно, све што се мора урадити као роот може се учинити помоћу судо наредбе без ризика.
Из тог разлога, у Линуку извршна датотека не може заразити друге све док не користимо роот налог као налог за уобичајену употребу; И мада антивирусне компаније инсистирају на томе да кажу да постоје вируси за Линук, заиста најближе што се може створити у Линуку је тројански вирус у корисничком подручју. Једини начин на који ови тројанци могу утицати на нешто у систему је покрећући га као роот и са потребним привилегијама. Ако машину обично користимо као обични корисници, није могуће да процес који покрене уобичајени корисник зарази систем.

Митови и лажи:

У Линуку налазимо пуно митова, подвала и обичних лажи о вирусима. Направимо њихов списак на основу дискусије која се водила пре извесног времена са представником произвођача антивируса за Линук, кога је веома увредио чланак објављен у истом том часопису.
Та расправа је добар референтни пример, јер се дотиче свих аспеката вируса у Линуку. Прегледаћемо све ове митове један по један онако како су они расправљани у тој одређеној расправи, али који је толико пута поновљен на другим форумима.

Мит 1:
"Нису сви злонамерни програми, посебно вируси, потребни роот привилегијама да заразе, посебно у одређеном случају извршних вируса (ЕЛФ формат) који заразе друге извршне датотеке".

Одговор:
Ко поднесе такву тврдњу, не зна како функционише Уник систем привилегија. Да би утицао на датотеку, вирусу је потребна привилегија читања - мора се прочитати да би је изменио - и писање - мора бити написана да би промена била важећа - на извршној датотеци коју жели да изврши.
То је увек случај, без изузетака. И у свакој дистрибуцији, некоренски корисници немају ове привилегије. Тада једноставно ако није роот, инфекција није могућа. Емпиријски тест: У претходном одељку видели смо једноставну скрипту за проверу опсега датотека на које инфекција може утицати. Ако га покренемо на нашој машини, видећемо како је занемарљив, а с обзиром на системске датотеке, нула. Такође, за разлику од оперативних система попут Виндовс-а, не морате имати администраторске привилегије да бисте извршавали уобичајене задатке са програмима које обично користе уобичајени корисници.

Мит 2:
"Нити им треба бити роот за даљински улазак у систем, у случају Слаппер-а, црва који је, искоришћавајући рањивост у Апацхеовом ССЛ-у (сертификати који омогућавају сигурну комуникацију), створио сопствену мрежу зомби машина у септембру 2002.".

Одговор:
Овај пример се не односи на вирус, већ на црва. Разлика је веома важна: црв је програм који користи услугу за пренос Интернета. То не утиче на локалне програме. Због тога утиче само на сервере; не одређеним машинама.
Увек је било мало црва и занемарљиве су. Три заиста важна рођена су 80-их, време када је Интернет био невин, и сви су веровали свима. Сетимо се да су они били ти који су утицали на сендмаил, фингерд и рекец. Данас су ствари сложеније. Иако не можемо порећи да они и даље постоје и да су, ако се не зауставе, изузетно опасни. Али сада је време реакције на црве врло кратко. Ово је случај Слаппер-а: црва створеног на рањивости откривеном и закрпаном два месеца пре појаве самог црва.
Чак и под претпоставком да је свима који користе Линук Апацхе инсталиран и покренут све време, једноставно месечно ажурирање пакета било би више него довољно да се никада не ризикује.
Истина је да је ССЛ грешка коју је Слаппер изазвао била критична - заправо, највећа грешка пронађена у целој историји ССЛ2 и ССЛ3 - и као таква је отклоњена у року од неколико сати. Да је два месеца након што је проблем пронађен и решен, неко направио црва на грешци која је већ исправљена и да је ово најмоћнији пример који се бар може пружити као рањивост.
Као опште правило, решење за црве није куповина антивируса, његово инсталирање и губљење рачунарског времена одржавајући га сталним. Решење је коришћење система за ажурирање безбедности наше дистрибуције: ако се дистрибуција ажурира, неће бити проблема. Покретање само услуга које су нам потребне такође је добра идеја из два разлога: побољшавамо употребу ресурса и избегавамо безбедносне проблеме.

Мит 3:
"Не мислим да је срж нерањива. У ствари, постоји група злонамерних програма названих ЛРК (Линук Рооткитс Кернел), који се заснивају управо на искоришћавању рањивости у модулима језгра и замени системских бинарних датотека.".

Одговор:
Рооткит је у основи закрпа језгра која вам омогућава да сакријете постојање одређених корисника и процеса од уобичајених алата, захваљујући чињеници да се они неће појавити у / проц директоријуму. Нормална ствар је да је користе на крају напада, у првом реду ће искористити удаљену рањивост да би стекли приступ нашој машини. Тада ће предузети низ напада, како би повећали привилегије док не добију основни налог. Проблем када то учине је како да инсталирају услугу на нашу машину, а да нас не открију: ту долази рооткит. Ствара се корисник који ће бити ефективни корисник услуге коју желимо да сакријемо, они инсталирају рооткит и сакривају и тог корисника и све процесе који припадају том кориснику.
Како сакрити постојање корисника корисно за вирус је нешто о чему бисмо могли дуго расправљати, али вирус који користи рооткит за само инсталирање изгледа забавно. Замислимо механику вируса (у псеудокоду):
1) Вирус улази у систем.
2) Пронађите изворни код кернела. Ако није, он га сам инсталира.
3) Конфигуришите језгро за хардверске опције које се примењују на дотичну машину.
4) Саставите језгро.
5) Инсталирајте нови кернел; модификујући ЛИЛО или ГРУБ ако је потребно.
6) Поново покрените машину.

Кораци (5) и (6) захтевају роот привилегије. Нешто је сложено да заражени не открива кораке (4) и (6). Смешно је што постоји неко ко верује да постоји програм који може аутоматски да изврши кораке (2) и (3).
Као врхунац, ако сретнемо некога ко нам каже „када буде било више Линук машина, биће и више вируса“, ​​и препоручује „инсталирање и стално ажурирање антивируса“, ​​могуће је да је то повезано са компанијом која продаје антивирус и исправке. Будите сумњичави, можда исти власник.

Антивирус за Линук:

Тачно је да за Линук постоје добри антивирусни програми. Проблем је у томе што они не раде оно што заговорници антивируса тврде. Његова функција је филтрирање поште која прелази са злонамерног софтвера и вируса на Виндовс, као и верификација постојања Виндовс вируса у директоријумима извезеним преко САМБА; па ако нашу машину користимо као мрежни пролаз или као НАС за Виндовс машине, можемо их заштитити.

Цлам-АВ:

Нећемо завршити извештај без разговора о главном антивирусном програму за ГНУ / Линук: ЦламАВ.
ЦламАВ је врло моћан ГПЛ антивирус који се компајлира за већину Уника доступних на тржишту. Дизајниран је за анализу прилога поштанским порукама које пролазе кроз станицу и филтрирање од вируса.
Ова апликација се савршено интегрише са сендмаил-ом како би омогућила филтрирање вируса који се могу чувати на Линук серверима који компанијама пружају пошту; посједовање базе података о вирусима која се свакодневно ажурира, уз дигиталну подршку. База података се ажурира неколико пута дневно, а то је живахан и врло занимљив пројекат.
Овај моћан програм је способан да анализира вирусе чак и у прилозима у сложенијим форматима за отварање, као што су РАР (2.0), Зип, Гзип, Бзип2, Тар, МС ОЛЕ2, датотеке МС Цабинет, МС ЦХМ (ХТМЛ ЦОпринтед) и МС СЗДД.
ЦламАВ такође подржава мбок, Маилдир и РАВ датотеке поште и преносиве извршне датотеке компресоване са УПКС, ФСГ и Петите. Цлам АВ и спамассассин пар савршени су пар за заштиту наших Виндовс клијената од Уник сервера поште.

ЗАКЉУЧАК

На питање Постоје ли рањивости у Линук системима? одговор је сигурно да.
Нико при здравој памети не сумња у то; Линук није ОпенБСД. Друга ствар је прозор рањивости који Линук систем има и који се правилно ажурира. Ако се запитамо, постоје ли алати како искористити ове сигурносне рупе и искористити их? Па, да, али то нису вируси, већ експлоати.

Вирус мора превазићи још неколико потешкоћа које су Виндовс заштитници увек стављали као недостатак / проблем Линука, а које компликују постојање правих вируса - језгра која се преводе, многе верзије многих апликација, многе дистрибуције, ствари које нису аутоматски се транспарентно прослеђује кориснику итд .–. Тренутни теоријски „вируси“ морају се ручно инсталирати са матичног налога. Али то се не може сматрати вирусом.
Као што увек кажем својим студентима: не верујте ми, молим вас. Преузмите и инсталирајте рооткит на машину. А ако желите још, прочитајте изворни код „вируса“ на тржишту. Истина је у изворном коду. Тешко је „самозваном“ вирусу да настави да га назива тако након што прочита свој код. А ако не знате како да читате код, препоручујем вам једну једноставну безбедносну меру: користите основни налог само за управљање уређајем и редовно ажурирајте безбедносна ажурирања.
Само уз то је немогуће да вируси уђу у вас и врло је мало вероватно да ће црви или неко успешно напасти вашу машину.