Mit o bezpiecznym linuksie i w związku z nim mała rada
Kutek napisał wczoraj wpis dotyczący tego, jak trudno jest stworzyć wirusa na Ubuntu ze względu na problemy z jego uruchomieniem. Otóż, moim zdaniem, bardzo łatwo jest stworzyć wirusa pod Ubuntu bądź jakąkolwiek inną platformę linuksową, z uruchomieniem którego nie byłoby żadnych problemów.
Cóż należy zrobić? Należy spreparować paczuszkę (w przypadku Ubuntu pakiet deb) zawierający wewnątrz małe niespodzianki. Użytkownik, zwabiony kuszącą funkcjonalnością cudownego forka wine, dodatków do compiza, czegokolwiek wspaniałego pobiera taki pakiecik na pulpit, klika dwukrotnie i bez mrugnięcia okiem podaje hasło administratora, ignorując ostrzeżenia o niebezpieczeństwie. Wystarczy potem, żeby pakiecik w ramach konfiguracji poinstalacyjnej zrobił swoje porządki w systemie, dodał parę wpisów gdzie potrzeba, zainstalował wirusa samodzielnie (a nie poprzez mechanizm dpkg – dzięki temu po usunięciu za pomocą menedżera pakietów zostanie w systemie to, co trzeba), wszystko z prawami administratora oczywiście. I jeśli wirusik siedziałby cichutko i po cichutku zajmował się swoimi sprawami, jak budowanie botnetu czy infekowanie innych, to użytkownik nigdy tego nie zauważy.
Ba, można nawet stworzyć repozytorium, dzięki któremu wirus mógłby się automatycznie aktualizować w najbardziej bezczelny sposób, jaki można sobie wyobrazić.
Rozwiązanie? Stworzyć antywirusa na Linuksa. Ale stworzyć antywirusa przyjaznego i nastawionego właśnie na wirusy linuksowe, a nie na skanowanie poczty w poszukiwaniu wirusów windowsowych. Zrobić demon antywirusa, działający z prawami administratora, i ładny front-end dla użytkowników, pozwalający nim łatwo sterować oraz informujący o wszelkich zdarzeniach. Już nawet MacOS X dorobił się swojego antywirusa instalowanego razem z systemem. Owszem, śmiać się można z ilości wirusów wykrywanych przez to oprogramowanie, ale chodzi o przygotowanie się na cięższe czasy.
I jeśli linuksiarze przez cały czas będą zachłyśnięci tym, że trzeba być głupim, aby zainstalować wirusa pod systemem markowanym przez sympatycznego pingwinka, to kiedyś znajdą się w sytuacji świnki, która budowała domek ze słomy, bo wilka przecież nie trzeba się bać.
Linuksa < z dużej! to nazwa własna, czemu nie piszesz macos?
Następny uogólnia – to, że jest kilku użytkowników, którzy szerzą takie poglądy, to wcale nie znaczy, że wszyscy są tacy. Weź głęboki wdech, pomedytuj chwilę. Rozwiązanie już podałeś. Ale jakby to ująć „miecz rodzi tarczę”, jak się pokażą takie paczki, zapewne powstanie im kontr mechanizm.
@Flegmatyk: Pomijając wszelkiej maści remote exploity itp. należy zauważyć, iż w przypadku obecnych dystrybucji najwrażliwszym elementem całego systemu są repozytoria pakietów i kodu źródłowego. Pamiętacie sytuację związaną z OpenSSH i kilkoma tysiącami możliwych do wygenerowania kluczy? Albo ataki na SVN-a systemu obsługi poczty, które miały na celu dodanie złośliwego kodu do istniejącej i poważanej aplikacji (co zresztą się udało – przez miesiąc tego nie zauważono).
Atak na pojedynczych użytkowników przy pomocy tradycyjnych wirusów jest już czymś, co po prostu się nie opłaca. Szczególnie, że mało kto obecnie działa na koncie roota ;> A pod Windą nadal się zdarza (i to bardzo często), że ludzie pracują na kontach z uprawnieniami administracyjnymi.
To jest problem czynnika ludzkiego, nie do wyeliminowania. Moim zdaniem jest to jedyny powód dla którego powinno istnieć oprogramowanie antywirusowe.
W charakterze żartu napisałem sobie taką o notkę, a tu widzę poważne publikacje wywołała (no i dyskusje na blogu). ;-)
Kutek: tak to bywa, ludzie czasem z całego tekstu widzą „Linux ssie”, sam się złapałem, dopiero jak tą zobaczyłem, to dotarło do mnie, że żartowałeś.
Sigvatr: już poprawiam błąd ;) A co do tego rodzenia tarczy, to stworzenie takiego oprogramowania trwa. Dodatkowo użytkownicy muszą je zainstalować. Tak więc jak już ktoś zacznie tworzyć brzydkie programiki z wykorzystaniem jakichkolwiek dziur czy to w ludziach, czy w oprogramowaniu, to my powinniśmy być już na to przygotowani. Paczki to był tylko przykład, jestem pewien, że ludzie bardziej kreatywni mogliby być cwańsi od mojej osoby.
Zal: tak, ale program antywirusowy byłby w stanie wykryć „trefne” wersje oprogramowania. Tak więc i ten problem mielibyśmy z głowy, przynajmniej po stronie użytkownika ;)AdamK: Tak też właśnie sądzę. I biorąc pod uwagę coraz to większą popularność Ubuntu powinno się zacząć działać w kierunku zabezpieczania nie tylko dla świadomych, ale także dla tych, którzy bezmyślnie klikną "Tak".
kUtek: Sry, zaspany byłem i nie zajarzyłem żartu, tępy fleg ;pCoś kojarzę że ostatnio do kernela została wprowadzona (lub jest właśnie wprowadzana) funkcjonalność niezbędna skanerom antywirusowym, więc myślę że ‘norton antyvirus for linux’ to pieśń niedalekiej przyszłości.
W sumie to można już teraz skonfigurować clamav,
żeby skanował nowe pliki automagicznie (ale komu się chce ;)
Byłoby bardzo fajnie, gdyby właśnie dla AVG czy ClamAV można było w przyszłości po prostu wybierać szczepionki, czy chcemy chronić się przed zagrożeniami windowsowymi czy linuksowymi, a może przed oboma typami szkodliwego oprogramowania?
Bo w to, że antywirusy dla Linuksa pojawią się w wersji desktopowej (nie tylko na serwery poczty czy plików) jest moim zdaniem pewne, zawsze jest to jakieś źródło dochodów dla firm produkujących takowe oprogramowanie.
Tyle tylko, że skoro mogą istnieć wolne produkty jak ClamAV, to powinny też powstać wolne desktopowe antywirusy ;) Ewentualnie możnaby wykupić komercyjne subskrybcje baz wirusów… W sumie nie wiem, jak by to miało wyglądać.
To się oczywiście da i nie wiem jak reszta ale taki RPM ma sekcje post i pre install gdzie mozesz umiescic skrypty, tylko są też pewne mechanizmy obrony przed czymś takim. Pierwsza sprawa że paczki są podpisywane i normalny lajnuksiarz instaluje tylko ze znanych repozytoriów. Dwa że taki RPM o ile się nie mylę przechowuje checksum plików więc jeśli coś mieszasz skryptami to da się sprawdzić. Do tego masz np. AIDE którym da się sprawdzić zmiany.
Generalnie zależy od targetu, równie dobrze możesz mi wysłać mailem eksploita, napisać że to eksploit a ja pewnie z lenistwa nie będę się zagłębiał w kod tylko z czystej ciekawości go odpalę. xD
@l00natyk: Ty to wiesz, ja to wiem, ale większość „nowoubuncianych” użytkowników zignoruje brak podpisu tak, jak ignorowało np. brak podpisu sterowników na windzie.
Poza tym np. paczki RPM z Opery nie są podpisane.
flegmatyk: no w sumie to masz całkowitą rację, przypomniałem sobie o kontach VIP na naszej klasie.