Комментарии 23
где те люди, которые мне доказывали, что "вирусов под linux нет и быть не может"?
так это и не вирус.
вайпер - подмножество малвары.
Если вы напишите скрипт, который будет затирать вам / или бут сектор, это будет вирусом?
Нет.
Если вы в репозиторий проекта воткнёте этот скрипт и будете вызывать его в какой-нибудь из функций, это будет вирусом?
Нет.
Ключевая особенность вируса, это возможность распространения и встраивания туда, где он не ожидается.
Тут же люди сами себе встраивали (добровольно) вредоносное ПО, путая его с нормальным. Т.е. даже нет признаков malware и получения несанкционированного доступа.
Это можно назвать мудозвонством, да, но не вирусом
272 УК РФ, например, с вами несогласна, все в одну кучу считает.
Тут же люди сами себе встраивали (добровольно) вредоносное ПО
а вот тут тоненькая грань, можно договорится и до "люди сами себе добровольно не ставили патчи на windows 7/8/10, не говоря о том что OS EOL, тем самым добровольно запуская себе на тачку сплойты"
Интересно, а вот если я не в РФ, условно и мне класть на его УК, я могу не считать это вирусом?
Давайте или будем вести взрослый диалог и будем использовать какие-то более-менее признанные классификаторы программного обеспечения, как инженеры или я вам напомню, что играться в детский сад могут двое, но тогда диалога не получится. Хотя бы по той причине, что мне не интересно играться в детский сад.Нет, это не тоненькая грань. Это прямо в лоб. И да, люди буквально сами и добровольно не ставили патчи. Тут даже на хабре полно таких адептов. И они сами словили эксплуатацию давно известных, по пропатченных уязвимостей. И да, ОС EOL У меня это критерий.
Но давайте реально, вы ведь продолжаете играться в детский садик и сейчас у вас будет поинт про короткую юбку и victim blaming, верно? Ну типа вирусня это же не нормальное явление само по себе и мы оправдываем вирусоделателей и обвиняем людей, которые просто хотели нормально жить. Я ведь прав, да?
Нет, это буквально не так. Есть разница между "ко мне вторглись, без моего согласия", чем как раз и занимаются вирусы и в чём их опасность и "я сам, добровольно, навредил себе, по своей тупости и некомпетентности". Нет, реально, я могу понять, когда вирусняк оказывается там, где его быть не должно. Я помню 22-23 год и кучу хлама в npm пакетах. Я могу понять, что люди невнимательны и иногда ошибаются. Берут не те пакеты, скачивают не то ПО и не оттуда, покупают мимикрирующие вещи или подобное. Их обманули? Ну, в некотором смысле да. Это мудозвонство? Да, как я и сказал. Я такое тоже не люблю. Но люди обманулись и повелись на социальный инженеринг? Да. Они сделали это добровольно? Да.
Ведь я тоже могу сказать о тонкой грани, о чём мы там договоримся и это будет ровно противоположная вашей крайность. Но как я сказал, играться в детский садик я не хочу. А с точки зрения взрослого человека, я разделяю понятия и оставляю ответственность там, где её стоит оставить.
Интересно, а вот если я не в РФ, условно и мне класть на его УК, я могу не считать это вирусом?
Вы можете привести в качестве примера УК той страны, в которой находитесь, либо той, в которую вас в случае чего экстрадируют.
Ну типа вирусня это же не нормальное явление само по себе и мы оправдываем вирусоделателей и обвиняем людей, которые просто хотели нормально жить
не нормальное, не оправдываем, не обвиняем.
Нет, это буквально не так. Есть разница между "ко мне вторглись, без моего согласия", чем как раз и занимаются вирусы и в чём их опасность и "я сам, добровольно, навредил себе, по своей тупости и некомпетентности".
давайте так. ланшдафт угроз сильно изменился в нынешнее непростое время. и, если раньше было достаточно ендпоинта на локалхосте, то сейчас вы не можете быть уверены в конечном результате когда запускаете docker pull или тащите свежие версии npm (уж не знаю как оно там)
Но люди обманулись и повелись на социальный инженеринг? Да. Они сделали это добровольно? Да.
социнженериг это первый шаг к большому пиздецу, это еще Митник доказал. и техника актуальна и по сей день. если вы используете внешние зависимости с их автоапдейтом и автосборкой из инторнетов - ну штош, так тому и быть. и в целом это вполне натягивается на малвару, осуждаемую всеми (я надеюсь).
добровольность здесь в этом построенном пайплайне или долбоебизм - решать каждому самому, но малвара это она так как есть.
То есть скачать себе исполняемый файл, который гадит и библиотеку (код), который гадит при встраивании в проект, это разное?
Да, нет, что вы! "Молдавский вирус", который надо самому скачать, скомпилировать и запустить из под рута всем давно известен.
вредоносный код выкачивается автообновлением приложений linux и заражает систему - такое невозможно?
А еще в статье написано, что достаточно было "загрузить модули"
вредоносный код выкачивается автообновлением приложений linux и заражает систему - такое невозможно?
Конечно, возможно. Но сначала этот "молдавский вирус" должен написать, скомпилировать и упаковать в пакеты ментейнер вашего дистрибутива. А вы, зачем-то, настроить у себя "автообновления приложений". Выстрелить себе в ногу можно разными способами. Таким тоже можно.
А еще в статье написано, что достаточно было "загрузить модули"
А вы её всю-то прочли? "загрузить модули" как раз не требуется. Требуется в процессе написания своей программы решить использовать эти модули, целенаправленно ручками прописать зависимости в проекте, запустить сборку проекта (вот тут-то, уря! модули прямо сами и подтянутся), а потом запустить полученную программу с правами суперпользователя.
Но зачем такие сложности? linux в этом отношении довольно дружелюбен и предоставляет возможность сделать то же самое куда проще, напишите sudo rm -rf / и дело в шляпе!
Проблема кроется в "модных" фичах современных языков, а именно в тулсетах как у Go, Rust (cargo), NodeJS (npm), которые тянут что попало из репозиториев.
А с учётом того, что сейчас стало ещё модно использовать LLM, которые иногда выдают названия несуществующих пакетов, благодаря своим галлюцинациям, то это упрощает атакующим сценарий развёртывания.
кроется в "модных" фичах современных языков
Дык... Сейчас уже и для C++ есть менеджеры пакетов, хотя это, пожалуй, один из классических. Вы лучше скажите какие ЯП или платформы не имеют данной проблемы.
Методы защиты от supply chain атак не зависят от наличия менеджера пакетов к языку, код сам себя не прочитает.
Проблема не относится к языкам вообще, проблема доверия третьей стороне - вот она самая. Можно доверять библиотеке от MS, а её могут взломать так же как и любую другую. Аудит всех зависимостей тоже делать трудно, хотя с ИИ наверное возможно
И в целом система доверия библиотекам и открытому коду принесла больше пользы, чем единичные случаи зловредов.
Напишите сами весь код без использования библиотеки? Очень дорого
Если там dd, то это из-под рута пакеты ставить надо. Не то чтоб невозможная ситуация, но вообще пострадавший сам себе злобный Буратино в таком случае.
нужно отключить bash и sh наверно что-то такое
они че, даже проверить на каком диске и разделе рут не могли? у меня, например, на /dev/sda даже таблицы разделов вроде нет
Именно поэтому разработчик не может ходить на прод и не работает от рута. Ну и ещё делает бекапы и не хранит данные локально на машине. При перечисленных, весьма базовых, условиях эта атака не причинит никакого ущерба. Максимум попортит файлы на рабочей станции одного человека, или на дев сервере одной команды, что потерей для компании не является.
Как можно под обычным юзером затереть диск? Или кто-то гошные модули и приложения от рута запускает или через судо?
Пряталось на GitHub: вредоносное ПО уничтожает данные на серверах Linux