Вирусы под Linux

Ну я и говорю, что от активных идиотов оно не защищает.

UAC - это защита от дураков, а не от вирусов.

но они не всегда успешно компилируются,

Всегда.

поэтому народ не заморачивается установкой их из исходников.

Заморачивается даже с внедрением компилятора, если его не установлено.

Теоретически могли и подобрать, но как, если компьютер в сети провайдера?

По-твоему nat - это защита? :)

Почему? Почему их не могут написать?

Ну, «вирусы» как таковые вроде как уже не особо в ходу? Может быть про трояны/червяки речь идет?

Что-бы их написать, нужно затратить время. Сейчас не 10 лет назад, даже при наличии уязвимости эксплойт писать больно. Учитывая в основном серверное применение, каналов распространения значительно меньше, остаются целевые атаки в лучшем случае. Как потом отбивать эти затраты?

Ссылку!

Не хватает конкретных примеров почему эти схемы не работают в линуксах.

Ссылку!

http://krebsonsecurity.com/2012/07/banking-on-a-live-cd/

Не хватает конкретных примеров почему эти схемы не работают в линуксах.

Я думаю их в отдельной статье рассмотреть :)

Кстати, почему в Linux sshd разрешает по-дефолту логин от рута?

По дефолту юзер ограничен, а при попытке приложения поюзать нечто большее появляется окошко с запросом о разрешении действий.

Это окошко настолько часто появляется не в кассу, что его либо вырубают, либо не обращают на его вопли внимания. Я не знаю ни одного человека, который воспринимает это окошко серьёзно. Один из фейлов мистера Балмера.

Тема не раскрыта.

Что ты имеешь ввиду по словом «вирусы»?

Индустрия вирусов сильно развилась за последние 10 лет.

Если брать создание ботсетей, кражу онлайн кошельков (типа яда, киви, вебманей и пр.), то целью являются десктопы: а это 97% винды. Распространение таких вирусов идет не целенаправленно, а «куда попадет». Соотв. политика распространения выбирается на основании стат. критериев: 97% против 2%.

Если брать вебсервисы, то тут диаметрально противоположная ситуация. Но в этом случае тупо шерстят все сайты на предмет известных уязвимостей. После взлома сайта рут не ищут (целью взлома обычно является перенаправление пользовательского трафа или подмена софта).

Если брать целевые атаки, под конкретного пользователя (бухгалтер какого-нибудь ООО с онлайн банкингом), то тут все сильно специфично.

и т.д.

Поэтому конкретизируй, что ты понимаешь под словом «вирус», схему его распространения и цель внедрения.

в линуксе - ты не угадаешь, под каким ядром твоему трою придеться работать и с какими версиями софта

Имхо это не имеет особого значения. Если трой доставлен, ему похрен с чем работать

в линуксе - ты не угадаешь, под каким ядром твоему трою придеться работать и с какими версиями софта. Соответсвенно - разработка ухудшается в разы.

Ядро давненько уж достаточно однообразно, либы и софт тоже достаточно дефолтовы, не вижу особого конкурентного преимущества.

Кстати, почему в Linux sshd разрешает по-дефолту логин от рута?

Зависит от дистрибутива. В Ubuntu - нет ;) Ибо аккаунт root отключен.

Если трой доставлен, ему похрен с чем работать

Без рутовых прав он не особо полезен, имхо. Только если ддосить или работать бесплатной проксей, соснифать туже клаву он не сможет.

Ядро давненько уж достаточно однообразно, либы и софт тоже достаточно дефолтовы, не вижу особого конкурентного преимущества.

Сразу видно человека, который не следит за безопастностью.
Подпишись на рассылке по безопастности у генты и дебиана - увидишь, сколько дыр они латают постоянно и сколько фиксов несут в себе обновления.

Почитай лучше это.

https://www.net.t-labs.tu-berlin.de/teaching/ws0910/IS_seminar/papers/torpig.pdf

Ну, «вирусы» как таковые вроде как уже не особо в ходу? Может быть про трояны/червяки речь идет?

Какая разница как это называется ? От того, что ты его назовёшь не вирусом, сотни тысяч зомбированных линукс серверов перестанут спамить ?

Что-бы их написать, нужно затратить время.

Спасибо, кэп. Этого никто не знал.

Как потом отбивать эти затраты?

Да просто отбивать. Атаки бот-сетей - платные. Спам - платный.

Недавно на opera.com сплоит был.

...а NoScript и отсутствие флеша с жавой как-нибудь помогают?

Троян? Да ну ладно. Трояны воруют информацию пользователей и бывают ботами. Если ты - пользователь - работаешь со своей информацией, что мешает её пистить трояну? Да тот-же позорный ptrace чужих процессов для пользователей по дефолту отключен только в бубунте.

Дайте мне средство доставки, и я вам устрою армагедец (%

Прошу прощения за неправильную формулировку. Я имел ввиду любой вид вредоносного ПО.

Подпишись на рассылке по безопастности у генты и дебиана - увидишь, сколько дыр они латают постоянно и сколько фиксов несут в себе обновления.

Либо плохо латают, либо оно уж больно дырявое.

Что ты имеешь ввиду по словом «вирусы»?

Любая дрянь, делающая то, чего не хочет хозяин компьютера.

Почитай лучше это.

Спасибо, уже кучу раз подобное читал, конкретно этот - нет.
Вкратце - что там интересного?

Нат - это костыль, но в то же время и некоторая защита. Если есть возможность подбора пароля к ssh из-за NAT'а, объясните как. Понимаю, что подобрать могли и внутри сети, но взлом ssh из интернета, я не рассматривал, как вариант.

соснифать туже клаву он не сможет

А как же XIM? Что это, если не сниффер? (%

Я баннер ловил, правда от user. Перезагрузился и всё. От root, что б было?

Либо плохо латают, либо оно уж больно дырявое.

Не бывает идеального, не дырявого ПО. Речь шла конкретно о вирусах в Linux.

А как же XIM? Что это, если не сниффер? (%

Url?

Но в то же время и некоторая защита.

Нет, нет и нет.

Если есть возможность подбора пароля к ssh из-за NAT'а, объясните как.

Попали на свич прова и пошли по сети. Попали на человека с выделенным айпи и пошли по сети. Много вариантов может быть. Протрояли какой-нить длинк, который в сеть смотрит жопой и с него пошли. Я не знаю, ты все удалил, поэтому аудит только если «пальцем в небо».

Чуваки перехватили кусок torpig ботнета и анализировали его схему и данные, которые он собирал.

Вообще по кейворду «your botnet is my botnet» уже прилично публикаций было.

Чуваки перехватили кусок torpig ботнета и анализировали его схему и данные, которые он собирал.

Это я понял прекрасно, мне стало не ясно, как это связано с контекстом топика?

http://www.x.org/docs/XIM/xim.pdf

Прошу прощения за неправильную формулировку. Я имел ввиду любой вид вредоносного ПО.

Тогда в чем вопрос? Вредоносного ПО, работающего под linux, выше крыши.

Не бывает идеального, не дырявого ПО. Речь шла конкретно о вирусах в Linux.

а) раз не бывает, значит при желании эти самые дыры могут быть использованы для написания вирусов под Linux, очевидно же.
б) виндовые дыры тоже латаются

Кстати, на виндовой машине я использую отдельные sandbox'ы для каждого приложения. Здорово экономит нервы.

О взломе прова я, признаться, даже не думал, как и о том, что в одном со мной сегменте может быть уже зараженный компьютер, что вполне вероятно.

Когда это произошло точно уже не помню, может год назад.
Я без проблем вынес процесс, так же легко вычистил /tmp/что-то, перезагруился - признаков нет.

Либо ты год не перезагружался, либо у тебя не чистится /tmp само при ребуте. Второе — это явный признак ССЗБ. Смонтируй тогда уж /tmp на tmpfs и не парься. :)

а) раз не бывает, значит при желании эти самые дыры могут быть использованы для написания вирусов под Linux, очевидно же.

Тех же самых дыр в разных системах не бывает. У винь и линь разная логика.

б) виндовые дыры тоже латаются

Несомненно. Только вот рынок им отдавать никто не будет просто так, поэтому трои и сплоиты регулярно обновляются.

Кстати, на виндовой машине я использую отдельные sandbox'ы для каждого приложения. Здорово экономит нервы.

А чем sandbox реализованы?

Чем оно отличается от «Input policy: drop»?

Если я правильно понимаю, xim должен быть включен в приложении, которое юзает иксы. Так?

Тех же самых дыр в разных системах не бывает. У винь и линь разная логика.

Я не об этом вообще. «эти самые» != «такие же»

А чем sandbox реализованы?

Драйвер в ядре.

Это я понял прекрасно, мне стало не ясно, как это связано с контекстом топика?

А разве на Лоре это уже стало обязательным?

Статьи с таким кейвордом сами по себе интересны. По теме топика они показывают, что даже большие ботсети не рассматривают linux-десктопы как цель (их там нет, вообще). Хотя специализация по типам ОС и софта есть (разные механизмы внедрения).

Да нет. Это глобальная фича. «Включается» переменной окружения :]

Интересная статья. Только термины я бы прямо в тексте разжевал, без ссылок. А то многие не ходят (Ъ видать) или не понимают что там по ссылке написано.

Хрен с ним с xim. Но тот же gnome-keyring — это get-my-pass-like-a-sir.

Юзерспейсный линакс - это просто провал, на самом то деле

Драйвер в ядре.

Какой?

Только термины я бы прямо в тексте разжевал, без ссылок.

Статья рассчитана уже на повидавшего виды юзверя, либо мелкого/среднего админа.

Какой?

Название, чтоль? Самый обычный Sandboxie.

Около года назад я это обнаружил. Компьютер на тот момент не помню сколько работал без перезагрузки, но, думаю, что-то около месяца - средняя продолжительность без ребутов для моего компьютера. /tmp чистился. Я же не говорю, что вредоносное ПО работало после ребута, но экспериментировать не стал, просто удалил и перезагрузился.