Вирусные угрозы для Linux, Антивирусная правДА! Опции Поделиться

[neo169]

Вирусные угрозы для Linux

Так сложилось, что в выпусках «Антивирусной правды» большее внимание мы уделяем операционным системам семейства Microsoft Windows. Что и неудивительно: это самая распространенная ОС среди домашних пользователей — следовательно, именно к ней всегда было приковано наибольшее внимание вирусописателей, а самые массовые вирусные атаки чаще всего совершались на устройства под управлением Windows. В связи с этим у широкого круга простых пользователей и компьютерных специалистов сложилось мнение, что «Винду» злоумышленники «ломают» буквально по щелчку пальцев.

Да, большинство вредоносных программ создается для работы в среде ОС Windows, и именно массовость является краеугольным камнем уязвимости системы. Но в мире вычислительных машин существует не менее важное семейство ОС — так называемые UNIX-подобные операционные системы, известные как семейство Linux. Так сложилось, что «Линукс» не столь популярен в среде обычных домашних пользователей, однако повсеместно используется в служебных целях — в качестве операционной системы различных серверов, рабочих станций и терминалов. Linux часто считается более защищенной и безопасной альтернативой Windows, в том числе для настольных ПК. В сегодняшнем материале мы кратко разберем, подвержены ли системы Linux вирусным угрозам, и часто ли пользователи этой ОС сталкиваются с вредоносными программами.

Как было сказано выше, Linux — это не одна определенная операционная система. Это целое семейство ОС, объеденных одним ядром, при этом имеющих некоторые различия. Ubuntu, Debian, Fedora, CentOS — вот лишь некоторые из самых распространенных «версий» Linux, называемых дистрибутивами. Мы не будем касаться весьма богатой истории и особенностей Linux, так как уйдем далеко за рамки статьи, однако стоит отметить, что эти операционные системы, как правило, распространяются бесплатно и имеют открытый код. А еще — в мире существует огромное количество энтузиастов, которые вносят свой вклад в развитие семейства.

Давайте попробуем разобраться, почему Linux часто считают более защищенной системой. На протяжении длительного времени распространенный в компьютерных кругах тезис звучал так: «На Linux вирусов нет!». Особенно часто это можно было услышать от пользователя Linux со стажем, наблюдающего, как его приятель «виндовод» вновь переустанавливает Windows после очередного заражения. Но здесь важно вспомнить тот самый фактор массовости. Если не брать в расчет целевые атаки, вирусописатели обычно делают ставку на то, чтобы заразить как можно больше случайных устройств. Поэтому вполне логичной целью оказываются компьютеры, работающие под управлением Windows.

Еще одна причина, по которой вредоносные программы для Linux менее распространены, — в том, что в массе своей ее пользователи более компетентны в вопросах компьютерной безопасности. В отличие от Windows, Linux редко используется в качестве платформы для развлечений. Гибкая работа с Linux дает возможность получить более глубокие знания в области функционирования операционных систем и компьютера в целом. Очевидно, что пользователи ОС Linux в среднем реже попадаются на удочки злоумышленников. Все эти факторы делают массовую разработку вредоносных программ для Linux менее рентабельной, чем создание троянов и вирусов для Windows.

Операционные системы Linux также известны своим механизмом разграничения прав доступа к системе. Доступ с наивысшими правами называется root-доступом, или режимом суперпользователя. И первое правило работы в Linux звучит так: не работать в системе с root-доступом. Как ни странно, этого правила действительно стараются придерживаться. Таким образом, запущенная вредоносная программа не может заразить всю систему, ее активность ограничивается полномочиями пользователя. Разумеется, подобная функциональность есть и в ОС Windows, но почему-то в среде домашних пользователей часто игнорируется. Как часто вы, ваши знакомые или даже коллеги работают в Windows в режиме администратора? Следует помнить, что работа в системе с теми правами, которые нужны для выполнения задачи, — базовый принцип безопасности.

Еще один довод, который часто можно услышать в пользу ОС Linux: открытый исходный код, который позволяет сообществу разработчиков и энтузиастов отслеживать появление вредоносного кода, бэкдоров и уязвимостей в компонентах системы или в программах для Linux. Однако, на наш взгляд, это по-прежнему вопрос доверия. Доверяете ли вы проприетарному ПО и определенной компании-разработчику? Или, с другой стороны, вам спокойнее, зная, что за безопасностью огромного массива кода следят так называемые мейнтейнеры Linux-сообщества? В обоих случаях вы не сможете самостоятельно проверить все программы, которыми вы пользуетесь, равно как и убедиться, что ядро Linux не содержит уязвимостей.

Итак, с технической точки зрения вредоносное ПО для Linux, конечно же, существует. При этом его количество растет с каждым годом по мере роста популярности этих операционных систем. Троянские программы, бэкдоры, вредоносные скрипты, эксплойты, шпионское ПО и даже шифровальщики — все это потенциально угрожает пользователям компьютеров с Linux на борту и может натворить не меньше бед, чем в системах семейства Windows. Способы и дальнейший сценарий заражения будут зависеть от того, насколько защищен компьютер и компетентен пользователь. Если ОС запущена с root-правами, то система разграничения прав никак не поможет.

Функциональность вредоносных программ, написанных для Linux, весьма разнообразна. Например, злоумышленники могут заразить устройство для слежения за действиями пользователя и перехвата вводимых с клавиатуры символов. Ситуацию усугубляет то, что для работы такого трояна ему, как правило, не нужны права суперпользователя. Кроме того, вирусным аналитикам «Доктор Веб» встречались экземпляры, для сокрытия вредоносных действий развертывающие на устройстве прокси-серверы, а также заражающие устройства для проведения DDoS-атак. Одна из таких программ — бэкдор Linux.BackDoor.Dklkt.1.

Не стоит забывать и об уязвимостях. История знает случаи, когда вредоносные программы могли повысить свои права доступа в операционной системе до уровня суперпользователя, что позволяло злоумышленникам выполнять произвольный код. К сожалению, не все уязвимости оперативно обнаруживаются сообществом. Впрочем, если проблема затрагивает относительно большое количество пользователей, то ошибки достаточно быстро исправляются очередным обновлением ПО.

Стоит упомянуть еще один класс устройств, операционной системой для которых служат различные версии Linux. До настоящего момента мы говорили о домашних ПК, работающих на различных дистрибутивах Linux. Но настоящей вотчиной «Линукса» являются серверные решения, а также устройства «интернета вещей» (англ. IoT). Поэтому интерес злоумышленников к этой платформе неизменно растет с каждым годом. Незащищенные и уязвимые устройства IoT часто используются злоумышленниками для создания ботнетов и организации DDoS-атак. Весьма известным представителем такого вредоносного ПО стал Linux.Mirai. Его функциональность базировалась на распространении по сети и взломе нестойких паролей устройств путем перебора. После атаки зараженная машина оказывалась частью ботнет-сети, а ее вычислительные мощности и выход в сеть использовались для DDoS-атак. Так были заражены по меньшей мере сотни тысяч устройств по всему миру.

Вместе с ростом популярности ОС семейства Linux становятся все более привлекательной целью для злоумышленников. Как мы видим, «Линукс» сам по себе не является закрытой и априори защищенной системой. Мы разобрали некоторые факторы, которые действительно замедляют распространение вредоносного ПО для Linux, однако, учитывая тенденции, вполне вероятно, что значительная разница в количестве угроз между Linux и Windows со временем почти нивелируется.
Антивирусная правДА! рекомендует

Специфика архитектуры ядра Linux и большинства дистрибутивов действительно может ограничить работу вредоносного ПО, но определяющим фактором по-прежнему являются действия пользователя. Помните об этом.
Не следует применять режим суперпользователя без необходимости, для выполнения повседневных задач он нужен крайне редко. Пользовательский сеанс, в свою очередь, хоть и ограничивает возможности вредоносного ПО, но не исключает угрозу полностью.
Как и в случае с ОС Windows, мы рекомендуем следить за актуальностью используемых программ и не игнорировать выпускаемые обновления.
Устанавливайте программы только из проверенных репозиториев. Вредоносное ПО для Linux часто распространяется в виде непроверенных бинарных файлов программ.
В связи с тем, что системы Linux получают все большее распространение, компьютеры нуждаются в использовании надежного антивирусного ПО. Компания «Доктор Веб» выпускает комплексные продукты — как для домашних ПК, так и для различных серверных решений на базе Linux. Например, для защиты домашнего устройства отлично подойдет Dr.Web Security Space для Linux. Программа не только анализирует файлы по известным сигнатурам, но и имеет функцию мониторинга обращений к файлам, а также следит за сетевыми соединениями, в том числе для предотвращения загрузки вредоносного ПО на компьютер.

[gostsdmitry]

Разграничение прав доступа и открытый исходный код - вот самое главное.
В "Винде" права доступа тоже можно разграничить, но во-первых это мало кто делает, а во-вторых любой пользователь в "Винде" по факту имеет права администратора, а в Linux - нет.
"Винду" лично я буду приравнивать к вирусному ПО до тех-пор, пока разработчики не раскроют исходный код, а это не случится никогда!

[gostsdmitry]

Кстати, у меня есть одна претензия к некоторым дистрибутивам Linux. Догадайтесь - какая.

[vidsboku]

Ну, что права доступа? Запускаешь программу, она запрашивает повышение прав. Что там, что там. И тут либо доверяешь программе, либо нет.

А чтобы зашифровать файлы пользователя, достаточно прав пользователя.

[gostsdmitry]

Ну, что права доступа?

В Линуксе разграничение прав - стандартная и, фактически, обязательная практика.

А чтобы зашифровать файлы пользователя, достаточно прав пользователя.

Ну, да.

Запускаешь программу, она запрашивает повышение прав. Что там, что там. И тут либо доверяешь программе, либо нет.

В Линуксе с самого начала существует понятие "репозиторий", а "Windows" "магазин приложений" появился только в 10-ке, насколько я помню...

[ИВК]

Кстати, у меня есть одна претензия к некоторым дистрибутивам Linux. Догадайтесь - какая.

[gostsdmitry]

"Менеджер пакетов" (gnome-software) в том-же Альте запускается без пароля, программы из него устанавливаются, обновляются и удаляются - тоже! Грубейшее нарушение, как по мне!

Сообщение отредактировал gostsdmitry - 11.7.2023, 16:17

[ИВК]

"Менеджер пакетов" в том-же Альте запускается без пароля, программы из него устанавливаются, обновляются и удаляются - тоже! Грубейшие нарушение, как по мне!

Честно говоря, никогда не грузился на эту тему. Пакеты всегда ставлю через Синаптик (а при необходимости - из консоли), а там вроде всё надёжно.

[gostsdmitry]

Честно говоря, никогда не грузился на эту тему. Пакеты всегда ставлю через Синаптик (а при необходимости - из консоли), а там вроде всё надёжно.

Вот и я ставлю через Синаптик или терминал, но наличие дублирующего менеджера пакетов без требования запуска через ввод пароля несколько напрягает. Где-то на просторах Багзиллы даже бага по этому поводу заведена, но не мной.

Сообщение отредактировал gostsdmitry - 11.7.2023, 16:20

[ИВК]

Этот дублирующий менеджер - левый виндузятский уклон На user-friendly зациклились, понимаешь ли

[gostsdmitry]

Этот дублирующий менеджер - левый виндузятский уклон На user-friendly зациклились, понимаешь ли

Насколько я понимаю, такое раньше было только во всяких "Убунтах", да "Минтах".
Если-бы при запуске данного менеджера требовался ввод пароля, то и вопросов-бы не было!

Сообщение отредактировал gostsdmitry - 11.7.2023, 15:28

[gostsdmitry]

А, нет. Я багу завёл: https://bugzilla.altlinux.org/42326

Что интересно - так никто не отписался!

Сообщение отредактировал gostsdmitry - 11.7.2023, 20:18

[dango_]

"Менеджер пакетов" (gnome-software) в том-же Альте запускается без пароля, программы из него устанавливаются, обновляются и удаляются - тоже! Грубейшее нарушение, как по мне!

А как дела обстоят с Discovery в KDE? Если память меня не подводит, там тоже было без пароля.

[dango_]

А, нет. Я бегу завёл: https://bugzilla.altlinux.org/42326

Что интересно - так никто не отписался!

Апстрим!
Все для пользователя! Все для тупого!

[gostsdmitry]

А как дела обстоят с Discovery в KDE? Если память меня не подводит, там тоже было без пароля.

Позднее проверю. Сейчас с телефона пишу.

Апстрим!
Все для пользователя! Все для тупого!

В Багзилле хоть что-то написали-бы, а то молчат как партизаны!

[gostsdmitry]

А как дела обстоят с Discovery в KDE? Если память меня не подводит, там тоже было без пароля.

Да - тоже.

[dango_]

Да - тоже.

Дим, жги!

[vidsboku]

Ну так зачем пароль, если из репозитория? А если репозиторий не гарантия, тогда чем поможет пароль?

[gostsdmitry]

Ну так зачем пароль, если из репозитория? А если репозиторий не гарантия, тогда чем поможет пароль?

В баге, который я оформил, описал логику: зачем тогда установка через "Синаптик" и терминал производится только после ввода пароля, если в том-же gnome-software этот пароль вообще не требуется?
Смысл здесь не в репозитории, а в том, что обычный пользователь не должен иметь возможность устанавливать, обновлять, удалять что-либо и откуда-либо, пока не повысит превелегии. Именно для этого и должен требоваться ввод пароля.

Сообщение отредактировал gostsdmitry - 12.7.2023, 14:59

[neo169]

Нужно ли защищать встраиваемые устройства на Linux?



Можно ли считать встраиваемые системы под Linux безопасными по определению или они нуждаются в дополнительной защите?

Защита для встраиваемых систем под Linux

Всевозможные встраиваемые решения, работающие под операционными системами на базе Linux, в наши дни стремительно набирают популярность. Крупнейшие компании по всему миру, такие как Banco do Brasil, уже используют встроенные системы на ОС под знаменем пингвина, а профильные выставки просто ломятся от знакомых типов интерактивного оборудования под ее управлением. Их внедрение сулит компаниям определенные выгоды (хотя бы за счет стоимости лицензий на ОС), но при этом ставит перед службой информационной безопасности закономерный вопрос — защищать ли эти устройства и, если да, как именно?

Дело в том, что среди IT-специалистов, в том числе и кибербезопасников, до сих пор популярно мнение, что «под Linux вирусов нет», система эта сама по себе безопасна, а значит, дополнительно защищать ее смысла нет. Лет 20 назад мы бы, вероятно, даже не стали спорить. Но в наши дни это достаточно опасное заблуждение. И вот почему.
Зловреды под Linux — как в действительности обстоит дело

Пока Linux считали уделом энтузиастов и операционной системой для серверов, злоумышленники действительно уделяли этой ОС не очень много внимания. Но с ростом популярности Linux, в том числе и на рынке систем для встраиваемых устройств, ситуация в корне изменилась. Осознав, что все больше банков, медицинских учреждений, предприятий торговли и прочих крупных компаний начинают применять embedded-решения под Linux, киберпреступники стали активно искать способы атаки на них. Например, год назад в СМИ появились публикации о достаточно опасном Linux-зловреде, использовавшемся в атаках на латиноамериканские предприятия финансового сектора.
APT-атаки на Linux-системы

Еще один сценарий, который противники защиты Linux-систем далеко не всегда учитывают, это использование встраиваемых систем в целевых атаках. Казалось бы, какой-нибудь информационный киоск, не содержащий никакой ценной информации, не может быть интересен злоумышленникам. Однако зачастую для APT-атаки преступникам необходим плацдарм внутри корпоративной сети. И им может стать даже абсолютно неинтересное устройство — еcли оно, конечно, оставлено без надежной защиты. Установленный в публичном месте платежный терминал или оставленный без внимания кассовый аппарат в зале супермаркета вполне могут послужить входной точкой для вторжения.
Специализированные защитные решения

Иногда сомнение в целесообразности защиты встраиваемых систем под Linux вызывают возможности доступных ИБ-решений. Изрядная часть работающих в них технологий просто не пригодится в embedded-устройстве. Скажем, зачем банкомату защита от фишинга, если никто на нем не станет открывать веб-сайты или электронные письма? С другой стороны, нет никаких гарантий, что базовые защитные решения под Linux готовы к специфике embedded-устройств.

Именно эту проблему мы и решаем выпуском специализированного приложения Kaspersky Embedded Systems Security for Linux в составе решения Kaspersky Embedded Systems Security. Оно разработано, оптимизировано именно для встраиваемых устройств под Linux и протестировано на совместимость с ними. Решение гарантирует безопасность использования девайса и в то же время не нагружает ОС ненужными процессами. При этом приложение может интегрироваться с SIEM-системами и управляться как через локальный графический интерфейс или командную строку, так и через единую централизованную консоль управления, наряду с другими защитными решениями Kaspersky.
Российская специфика

Сейчас, в силу обострения геополитической обстановки, многие вендоры программного обеспечения покинули российский рынок. Регуляторы же ужесточили требования к защитным решениям, которые допустимы для работы в ряде отраслей. В итоге компании, желающие защищать встраиваемые устройства под Linux, вынуждены искать средства, способные удовлетворять весьма жесткие требования. И наше приложение Kaspersky Embedded Systems Security for Linux способно их удовлетворить — это полностью российская разработка, она включена в реестр отечественного ПО и поддерживает отечественные дистрибутивы Linux.

Сообщение отредактировал alexander.sasha - 31.7.2023, 14:03

[gostsdmitry]

Не знаю как на Linux, но на Windows в большинстве случаев антивирус бесполезен, пока пользователь не запустит проверку. Могу утверждать это исходя из собственного опыта!
Т.е. антивирусная программа часто "пропускает" в систему вредонос, и только запуском проверки на вирусы можно его обнаружить и удалить. И то - не всегда.

Сообщение отредактировал gostsdmitry - 31.7.2023, 16:19