Вирусы под Linux

но возмущаться то такие ССЗБ будут на вирус, да еще и под линуксом, "для которого вирусов нет"

> но возмущаться то такие ССЗБ будут на вирус, да еще и под линуксом, "для которого вирусов нет"

Таких ССЗБ легко ткнуть в определение "троянский конь". К слову, он вирусом может и не считаться, так как не умеет размножаться в общем случае.

> Не надо всё-таки путать самсебебуратинство с действиями вирусов.
К сожалению, человеческий фактор - это процентов 80-90 успеха распространения вирусов. Иначе не было бы чёткого срабатывания антивирусников на порносайтах :)

Самсебебуратинство (слово-то какое... ;) - это чуть ли неотъемлемая часть.

> Вот у нас недавно вся контора какой-то вирь словила. При том, что у всех стоит доктор въёб и включено автообновление винды, да и уровень технической грамотности среди программистов несколько выше, чем в среднем по больнице.

Каковы были пути проникновения? Кто-нибудь произвёл анализ ситуации? Кто-нить принял меры? ССЗБ? :)

> Один я со своим линупсом стоял весь в белом :)
... и тебя звали "Джо"... :)

Ладно. свою точку зрения я уже высказал, высказывайте свои обоснованные точки зрения. С удовольствием поучаствую в дискуссии - тема довольно щепетильна и интересна.

Silvy по моему благоприятные условия для вируса есть:
0) наличие единого поля для развития потенциальной опасности
1) пользователи с ограниченными интеллектуальными способностями
2) устоявшийся системный api
3) отсутствие фаерволлов/антивирусников и всяческой защиты со стороны системы

по пункту 0) ну да достаточно распространенные дистры есть. по 1) тоже ясно что всегда хватало... а вот пункт 2) никто в gnu linux не обещал. менятся может что угодно и как угодно... вообще пространный вопрос но для примера не все собранное в одном дистре заработает в другом. а 3) так тоже в наличии и антивирусники и фаерволлы и те кому оно надо уже давно используют. и с ростом проблем с вирусами возьмут на вооружения и пользователи из п 1)

> 2) устоявшийся системный api

API для патча бармина поломали совсем недавно. До этого он потенциально мог работать 30 лет. А его урезанная модификация rm -rf $HOME/* работает и сейчас.

> 3) отсутствие фаерволлов/антивирусников и всяческой защиты со стороны системы

"Альтернативная" ОС заражается даже несмотря на наличие этих защит.

а никто и не говорит что их нет,
просто интерес к вирусописанию для линукс пока больше академический (сравнительно невысокая популярность) и затруднений больше для распространения вируса в системе и скрытия своей деятельности.

к 3) еще можно добавить то что пользователи самоуверены, т.к. не ожидают вирусов для линукс.

1) убунта?

>> Не надо всё-таки путать самсебебуратинство с действиями вирусов.
> К сожалению, человеческий фактор - это процентов 80-90 успеха распространения вирусов. Иначе не было бы чёткого срабатывания антивирусников на порносайтах :)

В альтернативной ос даже не будучи буратиной я не могу быть уверен в том, что здоров. В отличие от основной системы.

> Каковы были пути проникновения? Кто-нибудь произвёл анализ ситуации? Кто-нить принял меры? ССЗБ? :)

Я не в IT-службе работаю, потому не знаю. Но письмо с рекомендациями по безопасности приходило.

>> 1) пользователи с ограниченными интеллектуальными способностями
> убунта?

Тут и более красноглазые дистры подойдут :)

>В альтернативной ос даже не будучи буратиной я не могу быть уверен в том, что здоров. В отличие от основной системы.

вот это кстати основное отличие, конечно всякое бывает, но эпик уязвимости или серьезные ляпы достаточно редки, и обновления на них выпускаются в течении суток-двух
на `бОлее распространенной ОС` - там по месяцу и более, причем эпичные уязвимости каждый месяц, а то и по нескольку штук.

>API для патча бармина поломали совсем недавно. До этого он потенциально мог работать 30 лет. А его урезанная модификация rm -rf $HOME/* работает и сейчас.

del *.* под "расспространенную ос" выполненное от учетки system тоже никто не отменял. И кстати будет ничем не хуже патча брамина. 

Ну так будем откровенны это и не вирус. Ну так на злую шутку еще пройдет. 

>> господи, лаврентий палыч, ну нельзя же быть таким наивным, а? хоть бы материальчики по теме чтоль почитали, перед докладом то. что позориться?

> А хамить нехорошо.

хамить не хорошо, согласен. но каждый раз, когда начинают про распределение прав.. граждане, не теряйте леса за деревьями. сперва должен быть вопрос - зачем, и уже потом - как. несанкционированное ПО может прекрасно себя чувствовать на целевой машине и не имея повышенных привилегий. при этом достойно справляясь с возложенной на него задачей.

рут - это не самоцель. если рут - это самоцель, то это ещё весьма лёгкий вариант заразы. с гораздо бОльшей вероятностью максимум, что вы получите - это снос системы. просто в силу ограниченности фантазии писателей. что в сущности не страшно. скорее так, муторно, но не более.

// wbr

>А сколько обновляет, не задумываясь, бинарники с репозиториев?

подписывание репозитория ключом для кого придумали?

подписывание есть не во всех дистрах, увы
там где нет - оставлена брешь

> del *.* под "расспространенную ос" выполненное от учетки system тоже никто не отменял. И кстати будет ничем не хуже патча брамина.

Там ещё когда-то deltree был. Это вещь! А del --- это детская поделка :)

> Ну так будем откровенны это и не вирус. Ну так на злую шутку еще пройдет.

Троян. Деструктивный троян.

> подписывание есть не во всех дистрах, увы. там где нет - оставлена брешь

SSZB Linux Desktop 1.0 :)

Недавние истории с потерей ключей помнятся ещё? Причём как Debian, так и RedHat репозитории были скомпрометированы.

>Троян. Деструктивный троян.
Отлично это начинка деструктивного трояна. Но для начала эту начинку надо во что то начинить. А потом кроме собственно деструктивности троян должен уметь размножатся и заражать все что можно? 

А с поделками такого уровня imho даже то что есть сейчас в линуксе из антивирусов и то справится.

> Недавние истории с потерей ключей помнятся ещё? Причём как Debian, так и RedHat репозитории были скомпрометированы.

Ну тут уж явно ничего не поделаешь. Разве что просматривать весь новый код глазками (привет, МСВС :) ).

>до запуска бинарников или скриптов с носителей пока что никто не додумался, хотя окошко "вставлен диск, чем хотите открыть?" уже появляется

С добрым утром! =)

http://www.linux.org.ru/view-message.jsp?msgid=2560541
http://library.gnome.org/devel/autostart-spec/#mounting

>> Троян. Деструктивный троян.
> Отлично это начинка деструктивного трояна. Но для начала эту начинку надо во что то начинить. А потом кроме собственно деструктивности троян должен уметь размножатся и заражать все что можно?

Троян не обязан размножаться. Троян --- программа, выполняющая действия, не описанные в документации.

// Посмотрел на определение трояна в педивикии и ужаснулся.

>> до запуска бинарников или скриптов с носителей пока что никто не додумался, хотя окошко "вставлен диск, чем хотите открыть?" уже появляется
> С добрым утром! =) http://www.linux.org.ru/view-message.jsp?msgid=2560541 http://library.gnome.org/devel/autostart-spec/#mounting

Ёёёёёёёёёё.... Зла не хватает!

>Троян не обязан размножаться. Троян --- программа, выполняющая действия, не описанные в документации.

Троян обязан собирать компромат. А вышеописанное зло прерогатива вируса. ;)

>> Троян не обязан размножаться. Троян --- программа, выполняющая действия, не описанные в документации.
> Троян обязан собирать компромат. А вышеописанное зло прерогатива вируса. ;)

Не ты ли писал статью в википедии, коль так безграмотен? Для сборщиков коспромата есть слово spyware, которое ну никак на слово trojan не похоже.

> Ёёёёёёёёёё.... Зла не хватает!

+1

Автозапуск - зло. Большой привет реализовавшим эту прекрасную фичу )

> Дело в том. что подавляющему большинству современных вирусов и не нужно ничего вредить. Более того - они и не будут ничего вредить. Вирусам нужно быть как можно более незаметными, ибо вирусы писались под заказ и за деньги. А деньги нужно "отбивать". А отбиваются деньги либо спамом, либо ddos-атаками, либо брутфорсами (дальнейший рост ботнета либо целенаправленный заказ). Изредка встречаются пионерские вирусы - "попаду в систему, чуток размножусь и снесу всё к хреням". Но это изредка.

По моим личным впечатлениям - это какой-то сильно гипотетический сценарий. Фактически я наблюдаю другую картину - "Ой! А че это у меня Винда грузиться перестала?". И вижу какой-нибудь rawmon.exe который приполз с флешки.

>> Дело в том. что подавляющему большинству современных вирусов и не нужно ничего вредить.
> По моим личным впечатлениям - это какой-то сильно гипотетический сценарий. Фактически я наблюдаю другую картину - "Ой! А че это у меня Винда грузиться перестала?". И вижу какой-нибудь rawmon.exe который приполз с флешки.

А теперь представь, сколько вирусов на той системе, которая пока что ещё грузится и, следовательно, никто не задумывается о том, что она завирусована.

>Не ты ли писал статью в википедии, коль так безграмотен?

Я вас, к слову, безграмотным не обзывал. А вот безграмотные статьи можно исправить.

>Для сборщиков коспромата есть слово spyware, которое ну никак на слово trojan не похоже.

Какие бы там не были слова... но любой программе для начала надо как то попасть в ОС. Или прогресс идет такими темпами что я из своей криокамеры пропустил момент появления телепатической связи между всеми компами? Но просто попасть как бы мало надо еще чтобы кто то еще и запустил программу. И где гарантия например того что программа будет запущена в нормальной ОС а не в ченжруте специально созданном для проверки странной программы на вшивость?

>По моим личным впечатлениям - это какой-то сильно гипотетический сценарий. Фактически я наблюдаю другую картину - "Ой! А че это у меня Винда грузиться перестала?". И вижу какой-нибудь rawmon.exe который приполз с флешки.

>Автозапуск - зло. Большой привет реализовавшим эту прекрасную фичу )

Да в новом гноме появилась такая фича. Вреда оно принести может но опять же потенциально. Выключается эта фича нажатием одной галочки. А реально толку от оффтопиковского вируса на флешке? Оно и в wine работать не будет... А уж если там сценарий так опять же ссзб если ткнул "запустить" не думая.

>А теперь представь, сколько вирусов на той системе, которая пока что ещё грузится и, следовательно, никто не задумывается о том, что она завирусована.

А это уже не лечится. 

> По моим личным впечатлениям - это какой-то сильно гипотетический сценарий. Фактически я наблюдаю другую картину - "Ой! А че это у меня Винда грузиться перестала?". И вижу какой-нибудь rawmon.exe который приполз с флешки.

это означает лишь одно: вы не видите [или же не встречались] с заразой, которая написана для отработки денег. только и всего.

// wbr

> ссзб если ткнул "запустить" не думая.

Вот мне кажется что большинство вирусов стадию получения управления (запуск) походят именно так. Часто бывает, что

> это уже не лечится.

А вот если оболочка запускает не спрашивая - это лучше не использовать. Вот в windows так бывает (наскольно мне не изменяет многолетний склероз).

Кстати, хорошо, что оно отключается в гноме "штатным способом", т.е. галочкой/опцией а не третьесторонним патчем.

И в продолжение темы также поддержу мысль, что рутовы права вирусу могут и не понадобиться - всяческую инфу о пользователе (логины/пароли/печеньки/etc) можно собрать как раз из под его аккаунта с его правами. Достаточно просто пошариться по домашнему каталогу. Более того, самое разрушающее действие - это не удаление системы, её-то поставить обратно можно, а вот если $HOME вынести... то как минимум потеряются все изменения с последнего бекапа, а если вынести/повредить частично, то повреждения могут и забекапиться.

>Какие бы там не были слова... но любой программе для начала надо как то попасть в ОС.

А в чем большая проблема с этим? Достаточно софта с ошибками переполнения буфера (mplayer, amarok, pdf viewers, openoffice, koffice, etc).
А переполнение буфера не сложно превратить в запуск левого кода. Вот тебе и заражение.
Все дело в популярности...

> Ёёёёёёёёёё.... Зла не хватает!

Спокойно, не все так плохо. Согласно спецификации (http://library.gnome.org/devel/autostart-spec/#mounting), "the desktop environment MAY ignore Autostart files altogether based on policy set by the user, system administrator or vendor. The desktop environment MUST prompt the user for confirmation before automatically starting an application". И так далее в том же духе

софта то достаточно, но вот система обновлений гораздо более оперативная, чем это делают пользователи альтернативной ОС

>А переполнение буфера не сложно превратить в запуск левого кода. Вот тебе и заражение. 

Повторюсь hardened gentoo. Обо что сломаются рога у злобного кода догадаешься? 

>софта то достаточно, но вот система обновлений гораздо более оперативная, чем это делают пользователи альтернативной ОС

Я бы не стал надеятся на систему обновлений. Если уж сервер Debian'a взломали из-за несвоевременно поставленной заплатки, то что уж надеятся на обычных юзеров.

>Повторюсь hardened gentoo. Обо что сломаются рога у злобного кода догадаешься?

Догадываюсь, hardened навороченная штука. Как даже уж слишком навороченная для простых пользователей десктопа.

Большое спасибо за информацию. Узнал много интересного. Вот только я не понял, что означает СС3Б - это такая команда, или, типа, ругательство? Больше про Linux спрашивать не буду, а то меня и так уже нарекли "троллем". Кстати, что это значит?

>Догадываюсь, hardened навороченная штука. Как даже уж слишком навороченная для простых пользователей десктопа.

Навороченная то само собой. Только вот прикол в том что из hardened даже в обычные ядра уж больно много кусков из "безопастности" попадать стало что не может не радовать. А кроме того любую gentoo "обновить" до hardened не проблема(только время потратить). И даже не включая параноидального уровня защиты а оставив все почти по дефолту - одного этого с головой хватит. А любой "кривой" софт с переполнениями там умрет тихо и спокойно с соответствующими записями в лог о том по какой причине софт был убит. И из ченжрута там выйти старыми фокусами не выйдет. Понятно что и это не аргументы. И сломать можно все что угодно...

ССЗБ - сам себе злобный буратино

тролль - http://ru.wikipedia.org/wiki/Троллинг

спрашивать можно, только осторожно :)

CCЗБ - сам себе злобный буратино, в смысле тот кто своими действиями делает себе же хуже


с википедии -
В интернете «Троллями» на интернет-слэнге называют лиц, провоцирующих эмоциональную перепалку, флэйм, преследующих других пользователей и иным образом нарушающих этику вежливого общения. Это слово изначально происходит не от мифологических троллей, а от термина в рыбалке, «троллинг», но созвучие так прижилось, что отождествление интернет-хамов с троллями стало общим местом и даже темой для шуток и карикатур. НЕНАВИСТЬ!

>> Для сборщиков коспромата есть слово spyware, которое ну никак на слово trojan не похоже.
> Какие бы там не были слова... но любой программе для начала надо как то попасть в ОС. Или прогресс идет такими темпами что я из своей криокамеры пропустил момент появления телепатической связи между всеми компами?

Ты хоть помнишь, откуда пришёл фразеологизм "троянский конь"? Он хорошо описывает, _как_ именно попадает троян в систему.

Пример: скачал ты "новый квип с большим набором смайлегов", запустил, а он тебе полсистемы грохнул и в cd-rom насрал.

Вики-страницу править лень, ибо она нерпавильна более чем на половину.

>> Ёёёёёёёёёё.... Зла не хватает!

> Спокойно, не все так плохо. Согласно спецификации (http://library.gnome.org/devel/autostart-spec/#mounting), "the desktop environment MAY ignore Autostart files altogether based on policy set by the user, system administrator or vendor. The desktop environment MUST prompt the user for confirmation before automatically starting an application". И так далее в том же духе

А должно быть "must ignore". Кому это действительно надо, тот скрипт на появление носителя с нужным uuid напишет.

Зная головотяпов из гнома, они первым делом решат, что всем пользователям автозапуск необходим, а потом уберут галку отключения его поглубже в реестр. Всё согласно заветам Мигеля Копипастовича.

>Пример: скачал ты "новый квип с большим набором смайлегов", запустил, а он тебе полсистемы грохнул и в cd-rom насрал.

eix qip
No matches found.

>А должно быть "must ignore". Кому это действительно надо, тот скрипт на появление носителя с нужным uuid напишет.
Зная головотяпов из гнома, они первым делом решат, что всем пользователям автозапуск необходим, а потом уберут галку отключения его поглубже в реестр. Всё согласно заветам Мигеля Копипастовича.

Оно столь опасно как вы пытаетесь его представить? Опять же любой носитель можно и нужно монтировать без прав запуска с него чего либо. И дальше уже не играет никакой роли есть у гнома "авторан" или нет его вовсе. 

По поводу скрипта "на появление носителя с нужным uuid" ну напишет и что дальше? Этот скрипт должен как то в системе во первых появится(откуда?) во вторых заработать(кто его запускать будет в здравом уме?) прежде чем он увидит нужный uuid. Или я опять телепатию то и проспал?

>> Пример: скачал ты "новый квип с большим набором смайлегов", запустил, а он тебе полсистемы грохнул и в cd-rom насрал.
> eix qip. No matches found.

Ты меня понял, не надо придурять.

>> А должно быть "must ignore". Кому это действительно надо, тот скрипт на появление носителя с нужным uuid напишет. Зная головотяпов из гнома, они первым делом решат, что всем пользователям автозапуск необходим, а потом уберут галку отключения его поглубже в реестр. Всё согласно заветам Мигеля Копипастовича.
> Оно столь опасно как вы пытаетесь его представить?

Сам знаешь, к чему это привело в альтернативной ос.

> Опять же любой носитель можно и нужно монтировать без прав запуска с него чего либо. И дальше уже не играет никакой роли есть у гнома "авторан" или нет его вовсе.

Ты о формате .desktop файлов наслышан? Например, о ключе Run.

> По поводу скрипта "на появление носителя с нужным uuid" ну напишет и что дальше? Этот скрипт должен как то в системе во первых появится(откуда?) во вторых заработать(кто его запускать будет в здравом уме?) прежде чем он увидит нужный uuid. Или я опять телепатию то и проспал?

Для непонятливых: пользователь, которому нужно выполнять какое-то действие при появлении носителя напишет для себя скрипт, делающий то, что надо. В результате он и будет получать весь профит от исполнения действий, привязанных к носителю, и будет контролировать, что именно запускает.
Конченый головотяп, конечно, может написать и исполнение произвольного скрипта с носителя, но он и другую глупость сделать сможет.

>солярка соляркой а в hardened такие шуточки не пройдут

Правда? В твоей Дженте "hardened" только память. Может ещё немного защиты от чужих глаз и от записи куда не нужно, емнип.

И да, давай ка ты будешь аргументировать.

>я проверял

Чего, chroot && chroot сделал?

>Да понятное дело криптотермальный анализ никто не отменял.

Как интересно, неаргументированные высказывания ты подтверждаешь. Даже если они противоречат..

>Ты меня понял, не надо придурять.

Ну так аналогично. Ты меня тоже понял ;)

>Сам знаешь, к чему это привело в альтернативной ос.

Сам знаешь через что в альтернативной ОС сделан автозапуск. По момему тут даже сравнений нет.

>И да, давай ка ты будешь аргументировать.

Ага родной... От тебя одни аргументы просто.