39.Cum se manifesta si ce efect au virusii de Linux?
Am început Noul An 2011.Cu aceasta ocazie, desi e cam tarziu pentru urări, tin sa urez vizitatorilor si cititorilor acestui blog un sincer "La Multi Ani!" si să le doresc numai bucurii si impliniri. Dar să trecem la lucruri mai serioase, fiindca au trecut sarbătorile si trebuie să ne mai apucam si de munca....
Zilele trecute, la o discutie cu un amic care este fan Linux, s-a pus problema: Cum se manifestă virusii de Linux si ce efect au. De aceea azi, pun acest text, ca o continuare la postul ''Virusi de Linux, cine a zis ca nu exista?''. Dupa ce m-am documentat putin...tot pe Internet, desigur:)), iata ce am gasit:
LINUX nu mai e imun la amenintarile Informatice!
Platforma Linux a fost considerată pentru multă vreme mai puţin vulnerabilă în faţa ameninţărilor informatice în comparaţie cu platforma Windows. Acest mit este însă totalmente fals. Linux este 99.9% scutit de virusi.Este folosit in mare masura si in aplicatii de tip server si de aici vine pericolul major. Serverele pot reprezenta un mijloc de raspandire a virusilor deoarece ruleaza servicii Web, posta electronica, baze de date, diferite servicii si alte aplicatii pe care le pot accesa si utilizatorii altor platforme de Sisteme de Operare. Rata mai mică de infectare a sistemelor de operare Linux s-a datorat lipsei de drepturi de administrator necesare programelor malware să se infiltreze într-un sistem, capabilităţii comunităţii Linux de a rezolva neajunsurile platformei, dar şi gradului mic de folosire al acestei platforme în mediul de afaceri. Toate acestea au făcut din Linux o ţintă mai puţin atractivă pentru cei care scriu coduri de tip malware. Situaţia pare să se schimbe pe măsură ce Linux devine din ce în ce mai popular în mediul organizaţional.
În tot mai multe organizaţii, staţiile de lucru bazate pe platforme Linux, FreeBSD sau Solaris sunt văzute ca o soluţie de calcul eficientă. Servicii larg răspândite precum poşta electronică sau serviciile Web sunt la fel de uşor de accesat pentru utilizatorii de platforme Linux, FreeBSD sau Solaris ca şi pentru cei care folosesc platforme Windows. Pe măsură ce aceste sisteme de operare devin din ce mai uşor de utilizat şi înţeles pentru angajaţi – prin dezvoltarea unor aplicaţii compatibile cu Windows şi interfaţa grafică a acestuia – răspândirea lor în cadrul afacerilor mici şi mijlocii devine o problemă de timp. Dacă sunt lăsate neprotejate, ele sunt la fel de vulnerabile şi vor conduce la fel de uşor la răspândirea programelor malware în reţeaua informatică a unei companii.
Pentru a contracara pierderea de date şi productivitatea scăzută în cadrul companiilor trebuie să apelaţi la protecţie proactivă. Companiile îşi pot proteja în mod real staţiile de lucru ce rulează pe platforme Linux, FreeBSD sau Solaris de posibile ameninţări folosindu-se de capacitatea produselor Bitdefender de a detecta şi preveni atacuri din partea viruşilor noi sau cunoscuţi, dar şi de a coordona şi respecta politica de securitate a firmelor utilizând cât mai puţine resurse IT cu putinţă.
ASIGURAŢI-VĂ STAŢIILE DE LUCRU CE RULEAZĂ PE PLATFORME LINUX, FREEBSD sau SOLARIS CU BITDEFENDER
BITDEFENDER ANTIVIRUS SCANNER FOR UNICES
BitDefender Antivirus Scanner for Unices este un scanner versatil, dedicat platformelor Linux şi FreeBSD ce poate fi folosit punctual, la cererea utilizatorului, Acest produs protejează sistemele de fişiere Linux, FreeBSD, Solaris sau Windows prin scanarea viruşilor şi a programelor spion. Interfaţa grafică uşor de folosit vine în completarea unei solide interfeţe a liniei de comandă ce ajută în mod real instrumentele de scriere ale sistemului de operare. Scanner-ul funcţionează autonom, fără a avea nevoie de management centralizat sau servere locale pentru actualizare.
Vulnerabilitatea Linux-ului
Ca si alte sisteme Unix, Linux este organizat intr-un mediu multi-user unde utilizatorii au privilegii specifice si este implementata o forma de control de acces. Pentru a controla un sistem Linux sau pentru a cauza probleme serioase sistemului, programul daunator ar trebui sa obtina acces la radacina sistemului. Unul dintre punctele sensibile ale Linux-ului este tocmai faptul ca multi utilizatori considera (acest lucru fiind periculos), ca nu este vulnerabil in fata virusilor. Tom Ferris, cercetator din cadrul Mission Viejo, California- based Security Protocols, declara in 2006: "In opinia generala, tot ceea ce nu este Windows este sigur. Oamenii considera ca nimeni nu scrie virusi pentru Linux sau Mac OS X, lucru departe de adevar."
Sistemele UNIX nu sunt vulnerabile la viruşi datorită gestiunii stricte a memoriei şi a proceselor care se execută. Este recomandat în orice caz să nu se execute ca root nici un fişier executabil despre care nu se cunoaşte ce face. Exista viruşi sub Linux, un exemplu în acest sens fiind Bliss, care are efect doar dacă se executa ca root. Posibilitatea sa de replicare este extrem de redusă. Cu toate că sub Linux nu există viruşi, există programe antivirus(!).
Deci, este logic ca din moment ce exista o amenintare sa existe si solutia de contracarare a acesteia! Acestea sunt utile pentru verificarea fişierelor stocate pe servere de fişiere Linux, care urmează a fi accesate de clienţii Windows sau pentru a verifica şi filtra e-mail-urile transmise. Există o largă răspândire a viruşilor pe sistemele Windows, în special a celor numiţi macro virus. Acestia au forma unor scripturi de comenzi şi se execută în momentul în care utilizatorii efectuează anumite acţiuni.Dar cei ce fac virusi prefera o platforma prezenta pe cea mai mare parte din PC-uri. Ei cred ca asa au mai multe sanse sa-si infecteze tinta.
Efectele virusilor:
Spam, virusi, troieni, DoS, interceptarea traficului, aplicaţii vulnerabile, pierderea datelor de pe un disc, şefi nemulţumiţi, downtime – aparent veţi crede ca încercăm sa realizăm „coşmarul perfect” pentru orice administrator de sistem. Dar din păcate, nu. Termenii enumeraţi mai sus nu ţin deloc de domeniul fantasticului şi al filmelor cu hackeri. Ei exprimă realitatea cotidiană, sunt ameninţări care vizează orice sistem, indiferent de scopul în care este exploatat.
Probabil acum vă gândiţi că nu aţi făcut rău nimănui şi nu există motive să fiţi ţinta vreunui atac. Realitatea este puţin diferită – nu toate atacurile au o ţintă bine stabilită. Se întamplă ca unele persoane rău intenţionate să lanseze aplicaţii de descoperire a vulnerabilităţilor pe o clasă aleatoare de ip-uri. Sunteţi pregătit în momentul în care se ajunge la reţeaua dumneavoastră ?
Să zicem că încă nu sunteţi conştient de acest pericol - probabil de la primul contact cu un PC, până în ziua de azi aţi întalnit situaţia „hard disk-ului stricat accidental”, date pierdute, încercări nereuşite de a le recupera. Dacă această situaţie apare când administraţi un server de e-mail într-o companie cu 100 de angajaţi ?
Nu numai sistemele de operare Windows pot fi infectate cu virusi. Si cele Linux suferă, dar într-o măsură mult mai mică. Ideea de bază este aceeasi:
injectare de cod în kernel si redirectionarea unor functii (sau a unui set de functii).
Câteva dintre efectele pe care le generează virusii software:
- Modificarea / stergerea / distrugera unor fisiere de mare importanta ale sistemului;
- Modificarea dimensiunii fisierelor;
- Stergerea in totalitate a informatilor de pe disc, inclusiv formatarea acestuia (stergerea sistemului de operare);
- Distrugerea tabelei de alocare a fisierelor, care duce la imposibilitatea citirii informatiei de pe disc;(in acest caz discul cauta informatia iar si iar, ajungand ca discul sa se incinga foarte tare si sa poată arde motorul de căutare al acestuia, distrugand astfel hard discul).
- Diverse efecte grafice/sonore , ce pot fi inofensive sau daunătoare;
- Incetinirea vitezei de lucru (utilă) a calculatorului, până la blocarea acestuia.
-Infectarea Bios-ului.Un mare pericol potential sunt virusii de BIOS.Virusii de BIOS nu sunt o noutate doar ca s-au rarit treptat in timp din doua motive simple:
1. Consecintele penale in cazul virusilor de hardware sunt foarte mari daca esti prins si putini isi asuma riscul.
2. Profitabilitatea. Nu este mai profitabil sa faci spyware si sa castigi bani de pe urma lor? Cu ani in urma te simteai mandru daca faceai un virus bun care sa producă daune, insă mandria nu tine de foame.
Dacă pana acum puteai sa formatezi HDD-ul si scapai de orice virus, acum au aparut virusi de BIOS, care sunt mult mai greu de detectat si rezista formatarilor de hard disk tocmai fiindca BIOS-ul nu e pe HDD, ci pe un chip.
La infectarea cu asa ceva, trebuie sa se facă un flash de BIOS, in cazuri grave s-ar putea sa fie nevoie de schimbarea chip-ului.
Pana acum, se considera ca virusii de BIOS trebuie să fie facuti special pentru un anumit tip de BIOS dar a fost demonstrat faptul că un virus de BIOS poate infecta mai multe tipuri de BIOS. Niciun OS nu e 100% sigur.Linux-ul are avantajul ca user-ul are drepturi limitate, pe cand XP merge pe administrator.
Virusul de BIOS are nevoie de drepturi de administrator pentru a se putea instala in BIOS.Exista si useri care folosesc Linux-ul din root (fiind obisnuiti cu XP), din fericire Ubuntu opreste chestia asta prin sudo.Dacă virusul sterge BIOS-ul, nu mai booteaza calculatorul.Cei care au prins un astfel de virus si-au dat seama că-l au fiindca nu scăpau de el, chiar dacă au formatat HDD-ul.
Te afecteaza ca orice alt virus.Odată ce un atacator are drepturi de admin, rootkit-ul ar putea fi instalat in BIOS şi ar rămăne rezident, chiar dacă virusul original de pe hard disk a fost eliminat. Chiar şi un format complet nu ar scăpa sistemul de virus.Solutia este să rescrieti Bios-ul cu unul original. Dar dacă rootkit-ul este destul de sofisticat, poate fi necesar, pentru a-l elimina fizic, să înlocuiţi cip-ul BIOS.
Pentru utilizatorii de distributii desktop:
Linux e in principal scutit de virusi. Dar NU este imun la rootkit-uri, principala cale in care un utilizator de Linux poate fi infectat cu un cod malitios.
Odata infectat, la fel ca “suratele” lor ce afecteaza Windows-ul, este greu să iti dai seama ca esti infectat, pană nu scanezi cu un antivirus. Si pentru ca Linux e o piata de desfacere asa de mica, de unde să gasim un produs de renume care să suporte toate distributiile ? Adevarul e ca … nicaieri. Trebuie să folositi instrumente specializate, e care vi le voi prezenta azi, pentru a vedea daca sunteti infectat cu un rootkit.
-Chkrootkit - trebuie doar descărcat si decompresat, apoi deschizi terminalul cu calea directorului chkrootkit (puteti să vă deplasati prin directoare cu comanda CD), apoi scrieti următoarele:
make sense
sudo ./chkrootkit
Apoi programul va scana pe rand fiecare fisier ce poate fi infectat. Nu durează mult, vreo 10-20 de secunde, dar in timpul acela, chkrootkit verifică fiecare posibilitate de a fi infectat. Cu toate că este vechi, este un scanner bun, si pentru ca si rootkit-urile de Linux sunt vechi, deocamdată face fata.
-Poate un pic mai performant decat precedentul, Rootkit Hunter functionează pe acelasi principiu, dar trebuie instalat inainte. Daca il gasesti in repositories-urile distributiei tale, instaleăza-l, apoi in terminal scrie ca sudo/root urmatoarele:
rkhunter –update pentru a-l actualiza, apoi:
sudo rkhunter –propupd –pkgmgr dpkg - dacă folosesti Debian, Ubuntu sau Linux Mint.
sau:
rkhunter –propupd –pkgmgr RPM -dacă folosesti Fedora, Mandriva sau Red Hat:
Aceasta va actualiza pachetele pentru a lucra cu cele mai recente update-uri ale sistemului. Apoi va trebui să rulezi programul prin comanda:
-pentru Debian: sudo rkhunter –check –pkgmgr dpkg
sau,
-pentru distributii bazate pe Red-Hat: rkhunter –check –pkgmgr rpm
Per total, Linux este protejat in majoritatea cazurilor, de majoritatea amenintarilor pe care utilizatorii de Windows le infrunta zi de zi. Si asa cum multi si-au dat seama, a folosi un sistem Linux este destul de diferit de experienta Windows, deci trebuie sa fii destul de priceput in Windows pentru a sti ce faci in Linux (cu variatie de la un distro la altul).
Sunt sanse extrem de mici sa fii infectat cu un rootkit pe Linux, deci in majoritatea cazurilor, scanările vor fi curate. Cu toate acestea, ca si in Windows, vigilenta este totul, de fapt nu e nevoie decat ca un pachet sa fie compilat de persoana care nu trebuie … ca să te alegi cu un rootkit.
Sistemul de operare Linux, Unix-ul si alte sisteme de operare similare Unix sunt privite în general ca sisteme bine protejate impotriva virusilor informatici. Pană în acest moment nu a existat niciun virus de Linux cu intindere largă, similari celor care utilizeaza softul pentru Microsoft Windows are de-a face în mod constant; aceasta se datoreste lipsei de acces la radacină si rapidelor rezolvari ale vulnerabilitatilor Linux-ului. Un factor aditional este lipsa de interes în realizarea de virusi pentru Linux datorită raspandirii mai scazute fata de Windows. Cu toate acestea numărul de programe daunătoare, virusi, troieni si alte amenintari special realizate pentru Linux a crescut în ultimii ani (de exemplu in 2005 a crescut de la 422 la 863).Sporirea programelor daunătoare pentru Linux este urmarea popularitatii sale in crestere. Utilizarea sistemului de operare este corelata in mod direct cu interesul realizatorilor de virusi pentru a concepe malware.
O nouă categorie identificată in 2007 este cea a virusilor cross-platform, aparută in contextul sporirii popularitatii aplicatiilor cross-platform. Constatarea s-a facut dupa aparitia virusului Bad Bunny pentru Openoffice.
Iată cateva aplicatii anti-virus pentru computerele pe care ruleaza Linux:
* ClamAV (free software)
* Avast! (versiuni freeware si comercială)
* AVG (versiuni freeware si comercială)
* Eset (versiune comercială)
* Sophos (proprietar)
* Avira (versiuni freeware si comercială)
*F-Prot are in baza de date semnaturile a apx. 600 de virusi pentru Linux.
Sistemul de operare, despre care se spunea ca este de un milion de ori mai bun decat Windows, a fost expus la 25 de virusi conceputi pentru Linux, si numai trei dintre uneltele AV au reusit să îi identifice pe toti.
Nimeni nu e nebun sa platească pentru ceva ce poate avea gratuit. Doar ca Linux nu face tot ce face Windows, este mai complicat, e diferit, are nevoie de alte aplicatii, alte drivere etc. Nu e chiar user friendly. Si în mare parte din aceeasi cauză care duce si toti virusii pe Windows. Nu e suficient de popular. Dacă ar avea 50-50% popularitate ambele sisteme de operare, virusii cat si aplicatiile ar fi impartite in mod egal.
Cum actionează:
-Injectare de cod în kernel si redirectionarea unor functii (sau a unui set de functii).Sub Linux, aplicatiile folosesc în general fopen din biblioteca standard C, care va genera întreruperea software 0x80 pentru a transfera controlul către kernel.
-Altă metodă este modificarea adresei de tratare a functiei ce va fi deturnată, în sys_call_table
-Un procedeu mult mai interesant este injectarea de cod în rutina de tratare a INT 0x80:Codul de transfer este un CALL DWORD PTR [sys_call_table + EAX * 4], iar aici se poate injecta fie o instructiune JUMP (salt) către un nou cod, fie, pur si simplu, se poate modifica adresa de bază a tabelei cu syscalluri.
Pe lângă aceste metode, bineînteles,există si procedee mult mai avansate (hardware stealth), încă nefolosite de virusi sau rootkit-uri, dar utilizate de IDS-urile performante.
Să luam un exemplu: Linux.Ynit.B. Versiunea .A a acestui virus a apărut la mijlocul anului 2002, însă datorită unor bug-uri a rămas neobservată. Recenta versiune .B repară multe din bug-urile versiunii precedente si prezintă niste caracteristici tehnice remarcabile. La executarea unui fisier infectat, virusul îsi începe lunga călătorie din user mode către kernel mode: prima operatie este injectarea de cod infectat în zona alocată de kernel pentru LDT-ul (local descriptor table) procesului,folosind functia SYS_MODIFYLDT. Interesant de mentionat este că această functie a fost introdusă în kernel-ul Linux special la cererea dezvoltatorilor proiectului Wine (Windows Emulator); acestia aveau nevoie de o modalitate de a emula arhitectura memoriei din sistemele Windows. Totusi,
desi această functie permite unui proces ce rulează în ring 3 să modifice o zonă de memorie ce apartine kernel-ului, functionalitatea îi este limitată drastic, deoarece procesul din ring 3 nu poate schimba DPLul (Descriptor Privilege Level) si, prin urmare, nu poate folosi această functie pentru a crea un call gate (si astfel să „sară” în ring 0).Virusul injectează în ultima intrare din LDT o mică secventă de cod, care are rolul de a copia codul viral din user-mode în zona de memorie rezervată kernel-ului si care abia asteaptă să fie executată. Apoi, Ynit deschide /dev/kmem (de obicei, numai utilizatorul root are acest drept) si modifică o intrare în sys_call_table astfel încât să adreseze cod injectat; cheamă respectivul syscall deturnat, pentru a transfera controlul codului din ring 0, care-si face datoria: copiază codul viral din memoria userlig) viral preia controlul si mapează în memorie fisierul executat, după care îi verifică structura. Fisierul trebuie să aibă formatul standard ELF, să nu fie deja infectat si să aibă o structură validă; după verificări, codul virusului este injectat în fisier (în sectiunea.bss), entrypoint-ul (prima instructiune executată) este modificat si fisierul este scris pe disc. Apoi se transferă normal controlul vechiului handler int 0x80.
Pentru a elimina acest virus din memorie, procedeul este foarte simplu: obtinem adresa noului int 0x80 (cel pus de virus) din IDT si apoi căutăm adresa handler-ului original, după care restaurăm lantul (chain) prin scrierea în IDT a adresei originale. (Deci vom avea grijă cum refacem adresa originală pentru a preveni blocările). Desi nu este necesar, vom sterge si mica secventă de cod din LDT.
Un alt exemplu: Virusul Novarg.A este considerat de experti extrem de eficient deoarece se camufleaza in spatele unui mesaj venit aparent din partea unei persoane (care poate fi chiar cunoscută) sau pretinzind ca este un mesaj de eroare obisnuit. Utilizatorii curiosi deschid atasamentul, propagind virusul mai departe la toate adresele de e-mail găsite de virus pe computerul infectat, dar si in retea. Nici utilizatorul in sine nu rămine neafectat, toate fisierele infectate fiind corupte. Virusul blocheaza serverele si adresele de e-mail (datorita traficului mare generat) si “lasă” in fiecare calculator infectat un “back door” (cal troian) prin care un hacker poate avea acces la informatiile stocate pe acel computer. Computer Associates, producatorul solutiei antivirus eTrust, a precizat că acest vierme, considerat periculos, se raspindeste, pe linga e-mail, si prin reteaua Kazaa P2P (prin care utilizatorii pun la dispozitia celorlalti fisierele detinute).
Pericolul Potential
Deși amenințarea cu infectarea unui sistem Linux pare puțin probabilă, trebuie totuși să luăm în considerare așa-numitele "pericole secundare" cauzate de utilizatorii altor sisteme de operare prin intermediul infectărilor provenite din email, al partajării documentelor ș.a. Se pot fura date personale ale utilizatorilor, parole, se poate spama şi se poate direcţiona către diverse site-uri de scam şi phishing. În mod evident, un astfel de risc ar trebui considerat o problemă importantă nu numai pentru utilizatorii individuali, ci și pentru companii sau organizații care fac în mod frecvent schimb de date către terți, de vreme ce o infecție reprezintă ceva ce poate afecta credibilitatea companiei în cadrul industriei. Siguranța totală poate fi obținută numai printr-o protecție completă pentru fiecare dispozitiv conectat la Internet.
Iată cum va puteti feri de infectarea cu virusi de Linux:
-Cel mai periculos virus al oricărui sistem de operare este un utilizator neatent.
-Nu ai nevoie de antivirus dacă nu stai root.
-Nu folosi aplicatia Wine pentru a emula un soft / executabil de Windows, numai dacă esti 100% sigur ca nu e infectat.
-Foloseste intotdeauna o parolă de administrare.(Și în Ubuntu și în Mac OS X, dacă un virus vrea să infecteze sistemul are nevoie de parola de administrare. Dacă utilizatorul îi da parola de administrare ... nu-l mai salvează nici un antivirus și nici Dumnezeu).
-Daca nu folosesti un antivirus, foloseste măcar un firewall.
Apple (mandru si cu nasu pe sus): – MacOS xxx nu are virusi !
Kaspersky (zambind siret si frecandu-si mainile): – Vrei să punem pariu ?!
Nu am pretentia că am epuizat subiectul. Dacă aveti si alte informatii sau comentarii legate de acest post, vă rog sa le scrieti mai jos la Postati un Comentariu .
-Cel mai periculos virus al oricărui sistem de operare este un utilizator neatent.
-Nu ai nevoie de antivirus dacă nu stai root.
-Nu folosi aplicatia Wine pentru a emula un soft / executabil de Windows, numai dacă esti 100% sigur ca nu e infectat.
-Foloseste intotdeauna o parolă de administrare.(Și în Ubuntu și în Mac OS X, dacă un virus vrea să infecteze sistemul are nevoie de parola de administrare. Dacă utilizatorul îi da parola de administrare ... nu-l mai salvează nici un antivirus și nici Dumnezeu).
-Daca nu folosesti un antivirus, foloseste măcar un firewall.
Si ca încheiere ,o gluma:
Kaspersky (zambind siret si frecandu-si mainile): – Vrei să punem pariu ?!
Nu am pretentia că am epuizat subiectul. Dacă aveti si alte informatii sau comentarii legate de acest post, vă rog sa le scrieti mai jos la Postati un Comentariu .
