Virus i GNU / Linux: Fakta eller myt?

När debatten är över virus y GNU / Linux det tar inte lång tid för användaren att visas (vanligtvis Windows) vad står det:

«I Linux finns inga virus eftersom skaparna av dessa skadliga program inte slösar bort tid på att göra något för ett operativsystem som nästan ingen använder »

På vilket jag alltid har svarat:

"Problemet är inte det, men skaparna av dessa skadliga program slösar inte bort tid på att skapa något som kommer att korrigeras med den första uppdateringen av systemet, även på mindre än 24 timmar."

Och jag hade inte fel, eftersom den här utmärkta artikeln publicerades i 90-nummer (År 2008) från Todo Linux Magazine. Hans skådespelare david santo orcero ger oss ett tekniskt sätt (men lätt att förstå) förklaringen varför GNU / Linux saknar denna typ av skadlig programvara.

100% rekommenderas. Nu kommer de att ha mer än övertygande material för att tysta alla som talar utan en solid grund i detta ämne.

Ladda ner artikel (PDF): Myter och fakta: Linux och virus

REDIGERAD:

Här är den transkriberade artikeln, eftersom vi anser att det är mycket bekvämare att läsa på detta sätt:

================================================== ======================

Linux- och virusdebatten är inte ny. Så ofta ser vi ett e-postmeddelande på en lista som frågar om det finns virus för Linux; och automatiskt svarar någon bekräftande och hävdar att om de inte är mer populära beror det på att Linux inte är så utbrett som Windows. Det finns också frekventa pressmeddelanden från antivirusutvecklare som säger att de släpper versioner av Linux-virus.

Personligen har jag haft någon annan diskussion med olika personer via post eller via distributionslista angående frågan om virus finns i Linux eller inte. Det är en myt, men det är svårt att riva en myt eller snarare en bluff, särskilt om den orsakas av ekonomiskt intresse. Någon är intresserad av att förmedla tanken att om Linux inte har sådana problem, beror det på att väldigt få människor använder det.

Vid tidpunkten för publiceringen av denna rapport skulle jag ha velat producera en definitiv text om förekomsten av virus i Linux. Tyvärr är det svårt att bygga något definitivt när vidskepelse och ekonomiskt intresse växer.
Vi kommer dock att försöka göra ett rimligt fullständigt argument här för att avväpna attackerna från alla som vill argumentera för det.

Vad är ett virus?

Först och främst ska vi börja med att definiera vad ett virus är. Det är ett program som kopierar sig själv och körs automatiskt, och som syftar till att ändra en dators normala funktion utan användarens tillstånd eller kunskap. För att göra detta ersätter virus körbara filer med andra som är infekterade med deras kod. Definitionen är standard och är en enradig sammanfattning av Wikipedia-posten om virus.
Den viktigaste delen av denna definition, och den som skiljer viruset från annan skadlig kod, är att ett virus installerar sig själv utan användarens tillstånd eller kunskap. om den inte installerar sig själv är det inte ett virus: det kan vara en rootkit eller en trojan.

En rootkit är en kärnkorrigering som låter dig dölja vissa processer från användarområdesverktyg. Med andra ord är det en modifiering av kärnkällkoden vars syfte är att verktygen som tillåter oss att se vad som körs vid en viss tidpunkt inte visar en viss process eller en viss användare.

En trojan är analog: det är en modifiering av källkoden för en viss tjänst för att dölja viss bedräglig aktivitet. I båda fallen är det nödvändigt att hämta källkoden för den exakta versionen installerad på Linux-maskinen, korrigera koden, kompilera den igen, få administratörsbehörighet, installera den lappade körbara filen och initiera tjänsten - i fallet med Trojan– eller operativsystemet komplett - i fallet med
rootkit–. Processen är, som vi ser, inte trivial, och ingen kan göra allt detta "av misstag". Båda kräver i sin installation att någon med administratörsbehörighet, medvetet, utför en serie steg som fattar beslut av teknisk natur.

Vilket inte är en obetydlig semantisk nyans: för att ett virus ska kunna installera sig är allt vi behöver göra att köra ett infekterat program som en vanlig användare. Å andra sidan, för installationen av en rootkit eller en trojan, är det viktigt att en skadlig människa personligen kommer in i rotkontot på en maskin och på ett icke-automatiserat sätt utför en serie steg som är potentiellt detekterbara. ett virus sprider sig snabbt och effektivt; en rootkit eller en trojan behöver dem att följa oss specifikt.

Virusöverföring på Linux:

Överföringsmekanismen för ett virus är därför det som verkligen definierar det som sådant och är grunden för deras existens. ett operativsystem är känsligare för virus ju lättare är det att utveckla en effektiv och automatiserad överföringsmekanism.

Anta att vi har ett virus som vill sprida sig. Antag att den har lanserats av en normal användare, oskyldigt, när man startar ett program. Detta virus har uteslutande två överföringsmekanismer:

• Replikera sig själv genom att röra vid minnet i andra processer, förankra sig vid dem under körning.
• Öppna filsystemets körbara filer och lägga till deras kod –payload– till den körbara filen.

Alla virus som vi kan betrakta som sådana har minst en av dessa två överföringsmekanismer. O De två. Det finns inga fler mekanismer.
När det gäller den första mekanismen, låt oss komma ihåg Linux-virtuella minnesarkitektur och hur Intel-processorer fungerar. Dessa har fyra ringar, numrerade från 0 till 3; ju lägre nummer, desto större privilegier har koden som körs i den ringen. Dessa ringar motsvarar processornas tillstånd och därför med vad som kan göras med att ett system befinner sig i en specifik ring. Linux använder ring 0 för kärnan och ring 3 för processer. det finns ingen processkod som körs på ring 0, och det finns ingen kärnkod som körs på ring 3. Det finns bara en enda ingångspunkt till kärnan från ring 3: 80h-avbrottet, vilket gör det möjligt att hoppa från området där det användarkoden till det område där kärnkoden finns.

Arkitekturen för Unix i allmänhet och Linux i synnerhet gör inte spridningen av virus möjlig.

Kärnan genom att använda virtuellt minne får varje process att tro att den har allt minne för sig själv. En process - som fungerar i ring 3 - kan bara se det virtuella minnet som har konfigurerats för den för den ring där den fungerar. Det är inte så att minnet i de andra processerna skyddas; är att för en process ligger andras minne utanför adressutrymmet. Om en process skulle slå alla minnesadresser skulle den inte ens kunna referera till en minnesadress för en annan process.

Varför kan inte detta luras?
För att modifiera det som har kommenterats - till exempel generera ingångspunkter i ring 0, modifiera avbrottsvektorer, modifiera virtuellt minne, modifiera LGDT ... - det är bara möjligt från ring 0.
Det vill säga, för att en process ska kunna röra vid minnet i andra processer eller kärnan, bör det vara själva kärnan. Och det faktum att det finns en enda ingångspunkt och att parametrarna skickas genom register komplicerar fällan - i själva verket skickas den genom registret tills vad man ska göra, vilket sedan implementeras som ett fall i uppmärksamhetsrutinen. avbrottet på 80 timmar.
Ett annat scenario är fallet med operativsystem med hundratals odokumenterade samtal för att ringa 0, där detta är möjligt - det kan alltid finnas ett dåligt implementerat glömt samtal där en fälla kan utvecklas - men när det gäller ett operativsystem med en så enkel stegmekanism är det inte.

Av denna anledning förhindrar den virtuella minnesarkitekturen denna överföringsmekanism; ingen process - inte ens de med rootprivilegier - har ett sätt att komma åt andras minne. Vi kan argumentera för att en process kan se kärnan; den har kartlagts från sin logiska minnesadress 0xC0000000. Men på grund av processorringen som den körs på kan du inte ändra den; skulle generera en fälla, eftersom de är minnesområden som tillhör en annan ring.

"Lösningen" skulle vara ett program som ändrar kärnkoden när det är en fil. Men det faktum att dessa sammanställs gör det omöjligt. Binären kan inte lappas, eftersom det finns miljoner olika binära kärnor i världen. Enkelt att när de kompilerade om de hade lagt eller tagit bort något från kärnans körbarhet, eller så hade de ändrat storleken på några av etiketterna som identifierar kompileringsversionen - något som görs till och med oavsiktligt - den binära korrigeringen kunde inte tillämpas. Alternativet skulle vara att ladda ner källkoden från Internet, lappa den, konfigurera den för rätt hårdvara, kompilera den, installera den och starta om maskinen. Allt detta bör göras av ett program, automatiskt. Ganska en utmaning för området artificiell intelligens.
Som vi kan se, inte ens ett virus som rot kan hoppa över denna barriär. Den enda lösningen kvar är överföringen mellan körbara filer. Vilket inte fungerar heller som vi kommer att se nedan.

Min erfarenhet som administratör:

På mer än tio år har jag hanterat Linux med installationer på hundratals maskiner i datacenter, studentlaboratorier, företag etc.

• Jag har aldrig "fått" ett virus
• Jag har aldrig träffat någon som har
• Jag har aldrig träffat någon som har träffat någon som har

Jag känner till fler människor som har sett Loch Ness Monster än har sett Linux-virus.
Personligen erkänner jag att jag har varit hänsynslös och jag har lanserat flera program som de självutnämnda "specialisterna" kallar "virus för Linux" - från och med nu kommer jag att kalla dem virus, inte för att göra texten pedantisk -, från mitt vanliga konto mot min maskin, för att se om ett virus är möjligt: ​​både bash-viruset som cirkulerar runt där - och som förresten inte infekterade några av mina filer - liksom ett virus som blev mycket känt och dök upp i pressen. Jag försökte installera den; och efter tjugo minuters arbete gav jag upp när jag såg att en av hans krav var att ha tmp-katalogen på en partition av MSDOS-typen. Personligen känner jag inte till någon som skapar en specifik partition för tmp och formaterar den till FAT.
Faktum är att vissa så kallade virus som jag har testat för Linux kräver en hög kunskapsnivå och att root-lösenordet ska installeras. Vi kan åtminstone kvalificera oss som "galna" virus om det behöver vårt aktiva ingripande för att infektera maskinen. Dessutom kräver de i vissa fall omfattande kunskap om UNIX och root-lösenordet; vilket är ganska långt från den automatiska installationen som den ska vara.

Infektera körbara filer på Linux:

På Linux kan en process helt enkelt göra vad dess effektiva användare och effektiva grupp tillåter. Det är sant att det finns mekanismer för att utbyta den riktiga användaren med kontanter, men lite annat. Om vi ​​tittar på var körbarheterna är, ser vi att endast root har skrivbehörigheter både i dessa kataloger och i de filer som finns. Med andra ord, endast root kan ändra sådana filer. Detta har varit fallet i Unix sedan 70-talet, i Linux sedan dess ursprung, och i ett filsystem som stöder privilegier har inget fel ännu dykt upp som tillåter annat beteende. ELF-körbara filers struktur är känd och väl dokumenterad, så det är tekniskt möjligt för en fil av denna typ att ladda nyttolasten i en annan ELF-fil ... så länge den effektiva användaren av den tidigare eller den effektiva gruppen av tidigare har åtkomstbehörighet. läsning, skrivning och körning i den andra filen. Hur många filsystem körbara filer kan det infektera som en vanlig användare?
Den här frågan har ett enkelt svar, om vi vill veta hur många filer vi kan "infektera" startar vi kommandot:

$ find / -type f -perm -o=rwx -o \( -perm -g=rwx -group `id -g` \) -o \( -perm -u=rwx -user `id -u` \) -print 2> /dev/null | grep -v /proc

Vi utesluter katalogen / proc eftersom det är ett virtuellt filsystem som visar information om hur operativsystemet fungerar. De filtypsfiler med exekveringsbehörigheter som vi hittar utgör inget problem, eftersom de ofta är virtuella länkar som verkar läsas, skrivas och köras, och om en användare försöker det fungerar det aldrig. Vi utesluter också rikliga fel - eftersom det, i speciellt i / proc och / home, finns många kataloger där en vanlig användare inte kan komma in. Det här skriptet tar lång tid. I vårt speciella fall, i en maskin där fyra personer arbetar, var svaret:

/tmp/.ICE-unix/dcop52651205225188
/tmp/.ICE-unix/5279
/home/irbis/kradview-1.2/src
/kradview

Utdata visar tre filer som kan infekteras om ett hypotetiskt virus kördes. De två första är Unix-sockeltypsfiler som raderas vid start - och kan inte påverkas av ett virus - och det tredje är en fil av ett program under utveckling, som raderas varje gång det kompileras om. Viruset, ur praktisk synvinkel, skulle inte spridas.
Enligt vad vi ser är det enda sättet att sprida nyttolasten genom att vara root. I detta fall måste användare alltid ha administratörsbehörighet för att ett virus ska fungera. I så fall kan det infektera filer. Men här kommer fångsten: för att överföra infektionen måste du ta en annan körbar, maila den till en annan användare som bara använder maskinen som root och upprepa processen.
I operativsystem där det är nödvändigt att vara administratör för vanliga uppgifter eller att köra många dagliga applikationer kan detta vara fallet. Men i Unix är det nödvändigt att vara administratör för att konfigurera maskinen och ändra konfigurationsfilerna, så antalet användare som root-kontot använder som ett dagligt konto är litet. Det är mer; Vissa Linux-distributioner har inte ens rotkontot aktiverat. I nästan alla, om du öppnar den grafiska miljön som sådan, ändras bakgrunden till intensivt rött och konstanta meddelanden upprepas som påminner dig om att det här kontot inte ska användas.
Slutligen kan allt som måste göras som root göras med ett sudo-kommando utan risk.
Av den anledningen kan en körbar i Linux inte infektera andra så länge vi inte använder rotkontot som vanligt konto; Och även om antivirusföretag insisterar på att det finns virus för Linux, är det närmaste som kan skapas i Linux verkligen en trojan i användarområdet. Det enda sättet att dessa trojaner kan påverka något i systemet är att köra det som root och med nödvändiga behörigheter. Om vi ​​brukar använda maskinen som vanliga användare är det inte möjligt för en process som startas av en vanlig användare att infektera systemet.

Myter och lögner:

Vi hittade många myter, hoaxes och helt enkelt lögner om virus i Linux. Låt oss göra en lista över dem baserat på en diskussion som ägde rum för en tid sedan med en representant för en tillverkare av antivirusprogram för Linux som var mycket förolämpad av en artikel som publicerades i samma tidskrift.
Den diskussionen är ett bra referensexempel, eftersom den berör alla aspekter av virus i Linux. Vi kommer att granska alla dessa myter en efter en som de diskuterades i den specifika diskussionen, men som har upprepats så många gånger i andra forum.

Myt 1:
"Inte alla skadliga program, särskilt virus, behöver root-privilegier för att infektera, särskilt i det specifika fallet med körbara virus (ELF-format) som infekterar andra körbara filer".

Svar:
Den som gör ett sådant påstående vet inte hur Unix privilegiesystem fungerar. För att påverka en fil behöver ett virus ha rätt att läsa - det måste läsas för att modifiera det - och skrivning - det måste skrivas för att modifieringen ska vara giltig - på den körbara fil som den vill utföra.
Detta är alltid fallet, utan undantag. Och i var och en av distributionerna har icke-root-användare inte dessa behörigheter. Då helt enkelt utan att vara rot är infektionen inte möjlig. Empiriskt test: I föregående avsnitt såg vi ett enkelt skript för att kontrollera utbudet av filer som kan påverkas av en infektion. Om vi ​​startar den på vår maskin ser vi hur den är försumbar, och med avseende på systemfiler, null. Till skillnad från operativsystem som Windows behöver du inte heller administratörsbehörighet för att utföra vanliga uppgifter med program som vanligtvis används av vanliga användare.

Myt 2:
"Inte heller behöver de vara rot för att komma in i systemet på distans, när det gäller Slapper, en mask som utnyttjar en sårbarhet i Apache's SSL (certifikaten som möjliggör säker kommunikation), skapade sitt eget nätverk av zombiemaskiner i september 2002".

Svar:
Detta exempel avser inte ett virus utan en mask. Skillnaden är mycket viktig: en mask är ett program som utnyttjar en tjänst för att internet ska kunna sända sig själv. Det påverkar inte lokala program. Därför påverkar det bara servrar; inte till vissa maskiner.
Maskarna har alltid varit väldigt få och av försumbar förekomst. De tre riktigt viktiga föddes på 80-talet, en tid då Internet var oskyldigt och alla litade på alla. Låt oss komma ihåg att det var de som påverkade sendmail, fingerd och rexec. Idag är saker mer komplicerade. Även om vi inte kan förneka att de fortfarande finns och att de är extremt farliga om de lämnas okontrollerade. Men nu är reaktionstiderna på maskar mycket korta. Detta är fallet med Slapper: en mask som skapats på grund av en sårbarhet upptäcktes - och lappades - två månader innan själva masken uppträdde.
Även om vi antar att alla som använder Linux hade Apache installerat och kört hela tiden, skulle det bara ha varit mer än tillräckligt att uppdatera paketen varje månad för att aldrig riskera.
Det är sant att SSL-buggen som Slapper orsakade var kritisk - i själva verket den största buggen som hittades i hela SSL2- och SSL3-historien - och som sådan fixades den inom några timmar. Att två månader efter att problemet hittades och löstes gjorde någon en mask på ett fel som redan har korrigerats och att detta är det mest kraftfulla exemplet som kan ges som en sårbarhet, åtminstone lugnar det.
Som en allmän regel är lösningen på maskar inte att köpa ett antivirusprogram, installera det och slösa bort datatiden för att hålla det kvar. Lösningen är att använda säkerhetsuppdateringssystemet för vår distribution: med distributionen uppdaterad kommer det inte att finnas några problem. Att bara driva de tjänster vi behöver är också en bra idé av två skäl: vi förbättrar resursanvändningen och vi undviker säkerhetsproblem.

Myt 3:
"Jag tror inte att kärnan är osårlig. I själva verket finns det en grupp av skadliga program som heter LRK (Linux Rootkits Kernel), som baseras exakt på att utnyttja sårbarheter i kärnmoduler och ersätta systembinarierna.".

Svar:
En rootkit är i grunden en kärnlapp som låter dig dölja förekomsten av vissa användare och processer från de vanliga verktygen, tack vare att de inte kommer att visas i / proc-katalogen. Det normala är att de använder det i slutet av en attack, i första hand kommer de att utnyttja en fjärrkontroll för att få tillgång till vår maskin. Sedan kommer de att genomföra en sekvens av attacker för att eskalera privilegier tills de har rotkontot. Problemet när de gör är hur man installerar en tjänst på vår maskin utan att upptäckas: det är där rootkit kommer in. En användare skapas som kommer att vara den effektiva användaren av den tjänst som vi vill dölja, de installerar rootkit och de döljer både den användaren och alla processer som tillhör den användaren.
Hur man döljer en användares existens är användbart för ett virus är något som vi kan diskutera långt, men ett virus som använder en rootkit för att installera sig själv verkar roligt. Låt oss föreställa oss virusets mekanik (i pseudokod):
1) Viruset kommer in i systemet.
2) Leta reda på kärnkällkoden. Om det inte är det installerar han det själv.
3) Konfigurera kärnan för de hårdvarualternativ som gäller för den aktuella maskinen.
4) Kompilera kärnan.
5) Installera den nya kärnan; ändra LILO eller GRUB vid behov.
6) Starta om maskinen.

Steg (5) och (6) kräver root-privilegier. Det är något komplicerat att steg (4) och (6) inte detekteras av den infekterade. Men det roliga är att det finns någon som tror att det finns ett program som kan göra steg (2) och (3) automatiskt.
Om vi ​​träffar någon som säger till oss "när det finns fler Linux-maskiner kommer det att finnas fler virus" och rekommenderar "att ha ett antivirusprogram installerat och ständigt uppdatera det", kanske det är relaterat till företaget som säljer antivirusprogrammet och uppdateringar. Var försiktig, möjligen samma ägare.

Antivirus för Linux:

Det är sant att det finns bra antivirusprogram för Linux. Problemet är att de inte gör vad antivirusförespråkare hävdar. Dess funktion är att filtrera e-post som skickas från skadlig kod och virus till Windows, samt att verifiera förekomsten av Windows-virus i mappar som exporteras via SAMBA; så om vi använder vår maskin som en postgateway eller som en NAS för Windows-maskiner kan vi skydda dem.

Clam-AV:

Vi kommer inte att avsluta vår rapport utan att prata om huvudantivirusprogrammet för GNU / Linux: ClamAV.
ClamAV är ett mycket kraftfullt GPL-antivirusprogram som kompilerar för de flesta av Unix som finns på marknaden. Den är utformad för att analysera bilagor till e-postmeddelanden som passerar stationen och filtrera dem efter virus.
Denna applikation integreras perfekt med sendmail för att möjliggöra filtrering av virus som kan lagras på Linux-servrar som tillhandahåller e-post till företag; ha en virusdatabas som uppdateras dagligen med digitalt stöd. Databasen uppdateras flera gånger om dagen, och det är ett livligt och mycket intressant projekt.
Detta kraftfulla program kan analysera virus även i bilagor i mer komplexa format som kan öppnas, såsom RAR (2.0), Zip, Gzip, Bzip2, Tar, MS OLE2, MS Cabinet-filer, MS CHM (HTML COprinted) och MS SZDD .
ClamAV stöder också mbox-, Maildir- och RAW-e-postfiler och bärbara körbara filer komprimerade med UPX, FSG och Petite. Clam AV och spamassassin-par är det perfekta paret för att skydda våra Windows-klienter från Unix-postservrar.

SLUTSATS

Till frågan Finns det sårbarheter i Linux-system? svaret är verkligen ja.
Ingen tvivlar på det. Linux är inte OpenBSD. En annan sak är sårbarhetsfönstret som ett Linux-system har som är korrekt uppdaterat. Om vi ​​frågar oss själva, finns det verktyg för att dra nytta av dessa säkerhetshål och utnyttja dem? Tja, ja, men det här är inte virus, de är exploater.

Viruset måste övervinna flera fler svårigheter som alltid har ställts som ett Linux-fel av Windows-försvarare, och som komplicerar förekomsten av riktiga virus - kärnor som kompileras om, många versioner av många applikationer, många distributioner, saker som de överförs inte automatiskt till användaren etc. De nuvarande teoretiska "virusen" måste installeras manuellt från rotkontot. Men det kan inte betraktas som ett virus.
Som jag alltid säger till mina studenter: tro mig inte, snälla. Ladda ner och installera en rootkit på maskinen. Och om du vill ha mer, läs källkoden för "virusen" på marknaden. Sanningen finns i källkoden. Det är svårt för ett "självutnämnt" virus att fortsätta namnge det på det sättet efter att ha läst dess kod. Och om du inte vet hur du läser kod, en enkel säkerhetsåtgärd som jag rekommenderar: använd rotkontot endast för att hantera maskinen och håll säkerhetsuppdateringar uppdaterade.
Bara med det är det omöjligt för virus att komma in i dig och det är mycket osannolikt att maskar eller någon kommer att attackera din maskin framgångsrikt.