Мифы о вредоносном ПО в Unix / Linux

Возможно ли, чтобы моя коробка Linux заразилась вредоносным ПО?

Я не слышал, чтобы это случилось с кем-то, кого я знаю, и я много раз слышал, что это невозможно. Это правда?

Если да, что случилось с программным обеспечением Linux Anti-Virus (security)?

Во-первых, безусловно, возможно наличие вирусов в Unix и Unix-подобных операционных системах, таких как Linux. Изобретатель термина « компьютерный вирус» Фред Коэн провел свои первые эксперименты под 4.3BSD. Существует документ с практическими рекомендациями для написания вирусов Linux , хотя, похоже, с 2003 года он не обновлялся.

Во-вторых, исходный код компьютерных вирусов sh-script существует более 20 лет. См. Статью Тома Даффа 1988 года и статью Дуга Макиллроя 1988 года . Совсем недавно для конференции был разработан независимый от платформы вирус LaTeX . Работает на Windows и Linux и * BSD. Естественно, его последствия хуже под Windows ...

В-третьих, появилось несколько реальных, живых компьютерных вирусов для (по крайней мере) Linux, хотя неясно, были ли найдены более 2 или 3 из них (RST.a и RST.b) «в дикой природе».

Итак, реальный вопрос не в том, могут ли Linux / Unix / BSD заразиться компьютерными вирусами? а точнее, учитывая, насколько велико количество пользователей Linux для настольных компьютеров и серверов, почему у этого населения нет такой удивительной чумы вирусов, которую привлекает Windows?

Я подозреваю, что причина как-то связана с мягкой защитой, предоставляемой традиционными пользовательскими / групповыми / другими дискреционными средствами защиты Unix, и сломанной программной базой, которую поддерживает Linux. Я имею в виду, что на моем сервере все еще работает Slackware 12.1, но с ядром, скомпилированным на заказ, и множеством скомпилированных пакетов. Мой рабочий стол работает под управлением Arch. Несмотря на то, что они оба используют «Linux», у них мало общего.

Состояние вирусов на Linux может фактически быть нормальным равновесием. Ситуация на Windows может быть «королем драконов», действительно необычная ситуация. Windows API , душевнобольно барокко, Win32, NT-родной API, магические имена устройств , как LPT, CON, AUXкоторые могут работать из любого каталога, списки управления доступом , что никто не понимает, традиции однопользовательского, более того, одного корневого пользователя, машины, маркировочные файлы исполняемый с использованием части имени файла ( .exe), все это, вероятно, способствует состоянию вредоносного ПО в Windows.

Помогает предотвратить распространение вирусов в Windows

Помните, что Linux используется во многих отношениях, например, на файловых и почтовых серверах.

Файлы на этих серверах (файлы MS Office, сообщения Outlook, программы EXE) могут храниться с инфекцией.

Несмотря на то, что они не должны влиять на сами серверы, можно настроить сервер на проверку каждого файла, который хранится в данный момент, чтобы убедиться в его чистоте и предотвращении распространения в будущем при их перемещении обратно на компьютер с Windows.

Я сам установил его, когда друг просит меня проверить, почему его компьютер с Windows не работает, или когда я подключаю свой перьевой диск к компьютеру с Windows.

Вирусы для Linux возможны в принципе, и были некоторые, однако в дикой природе нет широко распространенных вирусов Linux. Пользовательская база Linux довольно мала, и в Linux вирусу гораздо сложнее причинить вред, поскольку пользовательская модель довольно ограничена в отличие, например, от Windows XP. Поэтому авторы вирусов обычно ориентированы на Windows.

Существует антивирусное программное обеспечение Linux, например, от McAfee, но ни один пользователь Linux, которого я знаю, не использует такое программное обеспечение. Гораздо важнее устанавливать только программное обеспечение из надежных источников и постоянно обновлять систему, своевременно устанавливая обновления безопасности.

Как историческая справка, первый интернет-червь, Morris Worm , распространялся через уязвимости в утилитах Unix. Он предшествует Linux, но показывает, что системы на основе Unix могут быть заражены.

На мой взгляд, есть еще одна причина, помимо упомянутых в других ответах, что на платформе Linux мало вирусов. Исходный код практически всех компонентов Linux находится в свободном доступе.

Скажем, команда из 5 человек разрабатывает приложение. Мы включили в список тестеров и еще несколько человек, и максимум 10 человек будут знать код. Из этих десяти, скорее всего, некоторым будет недостаточно детального знания кода. Следовательно, количество людей, которые знают код достаточно хорошо, чтобы указывать на ошибки, дыры в безопасности очень меньше.

Теперь, если этот код сделан свободным / открытым исходным кодом, пара глаз, которые его рассмотрят, резко возрастет. Следовательно, вероятность обнаружения дыр в безопасности также увеличивается.

Эти новые участники приносят с собой свой опыт, и часто свежие глаза могут заметить лазейки, которые изначально разработчики игнорировали / считали само собой разумеющимся / пропущенными.

Чем популярнее приложение, тем больше в нем участников. Я думаю, что эта свобода / открытость способствует уменьшению количества уязвимостей платформы Linux.

Уже есть хорошие ответы, но я все еще хотел бы внести свой вклад.

Включая простые методы обеспечения безопасности, которые все еще лучше окон, даже после всего этого времени, и все эти вирусы, я также считаю, что проблемы в значительной степени являются социальными.

Я считаю, что основным фактором является разнообразие дистрибутивов. Это увеличивает трудозатраты на то, чтобы у вируса было все необходимое для распространения. Это в сочетании с демографией пользователей Linux, которые вряд ли (imho) нажмут на изворотливое электронное письмо или в целом подвергают себя риску, означает, что успех вируса еще больше блокируется.

Люди также, возможно, более мотивированы, чтобы атаковать окна.

Хотя да, есть несколько вирусов для Linux, вам не нужно беспокоиться о них. Они достаточно редки, чтобы, вероятно, скучать по тебе полностью.

Хотя вы можете и должны беспокоиться о червях . Эти программы, в отличие от вирусов, которые обычно заражают взаимодействие с пользователем, сами распространяются между серверами, используя уязвимости в службах и платформах. Черви ищут больше серверов для заражения, устанавливают себя на уязвимых компьютерах и часто изменяют свое поведение - например, для распространения вирусов среди клиентов Windows.

Простой ответ заключается в том, что ни одна операционная система не является на 100% безопасной, если только она не считывает себя с носителя только для чтения при запуске на 100%.

Однако в Windows имеется больше векторов заражения, эти векторы более доступны, а заражение может принести гораздо больше вреда. Это можно легко увидеть, прочитав «Арсенал RootKit» или другие книги.

Количество эксплойтов на любой машине примерно пропорционально (ave усиление для рутирования одной машины) * количество машин / (стоимость создания рутирующего вредоносного ПО).

Поскольку число эксплойтов пропорционально количеству компьютеров, имеет смысл увеличить количество вредоносных программ в Windows.

Но глупо предполагать единственную причину. В Windows больше вирусов, потому что на ней работает больше компьютеров. Обратите внимание, что в Linux заражение вредоносным ПО обходится гораздо дешевле, чем в Windows, поскольку ущерб в большей степени сдерживается. Наоборот, сумма, полученная за один укоренение, меньше). Отметим также, что стоимость рутирования выше из-за причин, упомянутых в первом абзаце.

Имейте в виду, что это правда на данный момент. На данный момент Linux - лучшая архитектура, чем Windows. Однако есть силы, которые говорят, что нам нужно более быстрое развитие удобных для пользователя функций. Это может облегчить существование ошибок и создание вирусов. Я уже нахожу, что Ubuntu глючит почти так же, как Windows.

Другие ответы предоставили хорошие исторические ссылки на вирусы в Unix и Linux. Более современные примеры включают вредоносные кампании «Windigo» и «Mayhem» . Они заразили многие тысячи систем. Сообщалось, что Mayhem использует уязвимость Shellshock для распространения.

Что касается программного обеспечения для обнаружения вредоносных программ в Linux, у вас есть как открытые, так и коммерческие альтернативы. Наиболее эффективным, на мой взгляд, является Second Look . Он использует криминалистику памяти и проверку целостности для обнаружения вредоносных программ Linux. Я разработчик Second Look.