Os mitos sobre malware no Unix / Linux

É possível que minha caixa Linux seja infectada por um malware?

Eu nunca ouvi falar disso acontecendo com alguém que eu conheço, e ouvi várias vezes que isso não é possível. Isso é verdade?

Em caso afirmativo, o que há com o software Linux Anti-Virus (segurança)?

Primeiro, é certamente possível ter vírus nos sistemas operacionais Unix e Unix, como o Linux. O inventor do termo vírus de computador , Fred Cohen, fez seus primeiros experimentos sob 4.3BSD. Existe um documento de instruções para a criação de vírus Linux , embora pareça não ter sido atualizado desde 2003.

Segundo, o código fonte dos vírus de computador sh-script circula há mais de 20 anos. Veja o artigo de Tom Duff de 1988 e o artigo de Doug McIllroy de 1988 . Mais recentemente, um vírus LaTeX independente de plataforma foi desenvolvido para uma conferência. Executa no Windows e Linux e * BSD. Naturalmente, seus efeitos são piores no Windows ...

Terceiro, um punhado de vírus de computador reais e vivos para (pelo menos) Linux apareceu, embora não esteja claro se mais de 2 ou 3 deles (RST.a e RST.b) foram encontrados "em estado selvagem".

Portanto, a verdadeira questão não é Linux / Unix / BSD pode contrair vírus de computador? mas, considerando o tamanho da população de desktops e servidores Linux, por que essa população não tem o tipo de incrível praga de vírus que o Windows atrai?

Suspeito que o motivo tenha algo a ver com a proteção moderada oferecida pelas tradicionais proteções discricionárias de usuário / grupo / outras Unix e com a base de software fraturada que o Linux suporta. Quero dizer, meu servidor ainda executa o Slackware 12.1, mas com um kernel compilado personalizado e muitos pacotes recompilados. Minha área de trabalho executa o Arch, que é uma versão contínua. Mesmo que ambos rodem "Linux", eles não têm muito em comum.

O estado dos vírus no linux pode realmente ser o equilíbrio normal. A situação no Windows pode ser o "rei dos dragões", situação realmente incomum. A API do Windows é insanamente barroco, Win32, API NT-nativa, nomes de dispositivos mágicos como LPT, CON, AUXque podem trabalhar a partir de qualquer diretório, as ACLs que ninguém entende, a tradição de um único usuário, ou melhor, de usuário root única, máquinas, arquivos de marcação executável usando parte do nome do arquivo ( .exe), tudo isso provavelmente contribui para o estado do malware no Windows.

Ajuda a impedir a propagação de vírus no Windows

Lembre-se de que o Linux é usado de várias maneiras, como servidores de arquivos e email.

Os arquivos nesses servidores (arquivos do MS Office, mensagens do Outlook, programas EXE) podem ser armazenados com uma infecção.

Mesmo que eles não devam afetar os próprios servidores, pode-se configurar o servidor para verificar todos os arquivos armazenados no momento, para garantir que estejam limpos e impedir a propagação futura quando forem movidos de volta para uma máquina Windows.

Eu mesmo o instalei para quando um amigo me pede para verificar por que a máquina Windows não está funcionando ou para quando eu conecto meu pen drive em uma máquina Windows.

Os vírus para Linux são possíveis em princípio e houve alguns; no entanto, na natureza, não existem vírus Linux generalizados. A base de usuários do Linux é muito pequena e, no Linux, é muito mais difícil para um vírus causar muito dano, pois o modelo do usuário é bastante restritivo em contraste com, por exemplo, o Windows XP. Portanto, os autores de vírus normalmente têm como alvo o Windows.

Existe o software Linux Anti-Virus, por exemplo, da McAfee, mas nenhum usuário do Linux que conheço utiliza esse software. É muito mais importante instalar apenas software de fontes confiáveis ​​e manter seu sistema sempre atualizado, instalando atualizações de segurança em tempo hábil.

Como uma nota histórica, o primeiro worm da Internet, o Morris Worm , se espalhou por vulnerabilidades nos utilitários Unix. Ele é anterior ao Linux, mas mostra que é possível infectar sistemas baseados em Unix.

Na minha opinião, há mais um motivo, além dos mencionados em outras respostas, que a plataforma Linux não possui muitos vírus. O código fonte de quase todos os componentes do Linux está disponível gratuitamente.

Digamos, uma equipe de 5 membros desenvolva um aplicativo. Incluímos testadores e poucos outros na lista e no máximo 10 pessoas conhecerão o código. Desses dez, é provável que alguns não tenham conhecimento detalhado suficiente do código. Portanto, o número de pessoas que conhecem códigos bons o suficiente para apontar bugs, as falhas de segurança são muito menores.

Agora, se esse código for disponibilizado de código aberto / gratuito, o par de olhos que o revisará aumentará drasticamente. Portanto, a probabilidade de encontrar falhas de segurança também aumenta.

Esses novos colaboradores trazem sua experiência com eles e, muitas vezes, novos olhos são capazes de perceber brechas que originalmente os desenvolvedores ignoravam / consideravam um dado adquirido / perdido.

Quanto mais popular o aplicativo, mais contribuidores ele possui. Eu acho que essa liberdade / abertura contribui para um menor número de vulnerabilidades da plataforma Linux.

Já existem boas respostas, mas eu ainda gostaria de contribuir com algo.

Incluindo as práticas simples de segurança que ainda são melhores que o Windows, mesmo depois de todo esse tempo, e todos esses vírus, também acredito que os problemas sejam amplamente sociais.

Eu acredito que o principal fator é a diversidade de distros. Isso aumenta o trabalho envolvido para garantir que um vírus tenha o que precisa para se espalhar. Isso combinado com a demografia dos usuários do Linux que não têm tanta probabilidade (imho) de clicar em um e-mail desonesto ou geralmente se arriscarem significa que o sucesso de um vírus é mais inibido.

As pessoas também estão indiscutivelmente mais motivadas a atacar janelas.

Embora sim, existem alguns vírus para Linux, você não precisa se preocupar muito com eles. Eles são incomuns o suficiente para provavelmente sentir sua falta completamente.

O que você pode, e deve se preocupar, são os vermes . Esses programas, diferentemente dos vírus que geralmente levam a interação do usuário para infectar, se espalham sozinhos entre servidores, explorando vulnerabilidades em serviços e plataformas. Os worms procuram mais servidores para infectar, instalam-se em máquinas vulneráveis ​​e freqüentemente modificam seu comportamento - por exemplo, para servir vírus para visitar clientes Windows.

A resposta simples é que nenhum sistema operacional é 100% seguro, a menos que ele mesmo leia da mídia somente leitura na inicialização.

No entanto, o Windows tem mais vetores de infecções, esses vetores são mais facilmente acessíveis e, uma vez infectados, podem causar muito mais danos. Isso pode ser facilmente visto lendo o "RootKit Arsenal" ou outros livros.

O número de explorações em qualquer máquina é aproximadamente proporcional a (ganho da raiz de uma máquina) * número de máquinas / (custo para criar malware de raiz).

Como o número de explorações é proporcional ao número de computadores, faz sentido que a quantidade de malware seja maior no Windows.

Mas, é estúpido assumir a única razão. O Windows tem mais vírus é porque há mais computadores executando-o. Observe que no Linux infectar-se com malware é muito menos dispendioso do que no Windows porque o dano é mais contido. Por outro lado, o valor ganho por um enraizamento é menor). Observe também que o custo do enraizamento é mais alto devido às razões mencionadas no primeiro parágrafo.

Lembre-se de que isso é verdade a partir de agora. Neste ponto, o linux é um sistema arquitetado melhor que o Windows. No entanto, existem forças dizendo que precisamos de um desenvolvimento mais rápido de recursos amigáveis ​​ao usuário. Isso pode facilitar a existência de erros e a criação de vírus. Já acho o Ubuntu quase tão buggy quanto o Windows.

Outras respostas forneceram boas referências históricas para vírus no Unix e Linux. Exemplos mais contemporâneos incluem as campanhas de malware "Windigo" e "Mayhem" . Estes infectaram muitos milhares de sistemas. Foi relatado que o Mayhem estava usando a vulnerabilidade do Shellshock para se espalhar.

Quanto ao software de detecção de malware do Linux, você tem alternativas comerciais e de código aberto. O mais eficaz, na minha opinião tendenciosa, é o Second Look . Ele usa análise forense de memória e verificação de integridade para detectar malware no Linux. Sou desenvolvedor do Second Look.