Les mythes sur les logiciels malveillants sous Unix / Linux

142

Est-il possible que ma machine Linux soit infectée par un malware?

Je n'en ai entendu parler à personne que je connaisse et j'ai entendu dire à plusieurs reprises que ce n'était pas possible. Est-ce vrai?

Si tel est le cas, que se passe-t-il avec le logiciel Linux Anti-Virus (sécurité)?

Stefan
la source
1
Regardez cette réponse: goo.gl/UVCsgz, elle couvre les principales raisons pour lesquelles Linux / Unix est différent de Windows en termes de chances d’être infecté de manière aléatoire par un malware.
arielf
2
Un autre article que j'ai trouvé informatif, mais pas aussi bon que celui qui a été lié à @arielf
Wildcard le

Réponses:

135

Premièrement, il est certainement possible d’avoir des virus sous Unix et des systèmes d’exploitation du type Unix tels que Linux. Fred Cohen, l' inventeur du terme virus informatique , a fait ses premières expériences sous 4.3BSD. Un document de procédure existe pour l' écriture de virus Linux , bien qu'il semble qu'il n'ait pas eu de mise à jour depuis 2003.

Deuxièmement, le code source des virus informatiques sh-script circule depuis plus de 20 ans. Voir Tom Duff papier 1988 , et de Doug McIllroy papier 1988 . Plus récemment, un virus LaTeX indépendant de la plate-forme a été développé pour une conférence. Fonctionne sous Windows, Linux et * BSD. Naturellement, ses effets sont pires sous Windows ...

Troisièmement, une poignée de virus informatiques réels et réels pour (au moins) Linux sont apparus, bien qu'il ne soit pas clair si plus de 2 ou 3 de ces virus (RST.a et RST.b) ont déjà été trouvés "à l'état sauvage".

La vraie question est donc de savoir si Linux / Unix / BSD peut contracter des virus informatiques? Mais plutôt, vu la taille de la population de postes de travail et de serveurs Linux, pourquoi cette population n’a-t-elle pas le genre de fléau de virus incroyable que Windows attire?

Je soupçonne que la raison a quelque chose à voir avec la protection légère offerte par les protections traditionnelles des utilisateurs / groupes / autres Unix, et la base logicielle fracturée prise en charge par Linux. Je veux dire, mon serveur fonctionne toujours sous Slackware 12.1, mais avec un noyau compilé sur mesure et de nombreux paquets recompilés. Mon bureau exécute Arch, qui est une version évolutive. Même s'ils fonctionnent tous les deux sous "Linux", ils n'ont pas grand-chose en commun.

L’état des virus sur Linux peut en réalité être l’équilibre normal. La situation sur Windows pourrait être le "roi dragon", une situation vraiment inhabituelle. L'API Windows est incroyablement baroque, Win32, API NT natif, les noms de périphériques magiques comme LPT, CON, AUXqui peut travailler à partir de tous les répertoires, les ACLs que personne ne comprend, la tradition des mono-utilisateur, et même, seul l' utilisateur root, machines, fichiers de marquage exécutable en utilisant une partie du nom de fichier ( .exe), tout cela contribue probablement à l’état du malware sur Windows.

Bruce Ediger
la source
35
Un problème que vous avez surmonté et qui mérite d’être pris en compte est que l’ABI Windows est resté stable pendant des années. (Ou plutôt, MS a eu beaucoup de mal à prendre en charge tous les ABI qu’ils ont publiés de manière transparente. WoW64, par exemple.) Cela signifie qu’un exécutable fonctionnant sous Windows 3.1 peut très bien s’exécuter sous Windows 7. C’est pourquoi une monoculture au sein d'une monoculture: les auteurs de programmes malveillants ne doivent pas reconstruire leurs programmes pour chaque version de Windows, contrairement à Linux.
Warren Young
50
Je pense qu'une autre raison du faible niveau de virus dans les systèmes Unix / Linux et Mac est la présence de systèmes mondiaux de gestion de paquets, avec des référentiels sécurisés configurés par défaut. Alors que pour Windows, allez en ligne pour télécharger des logiciels directement auprès de fournisseurs malveillants qu’ils découvrent en cherchant sur Google, vous utilisez votre logiciel interne pour naviguer dans un référentiel où les nouvelles entrées sont examinées et supprimées si des problèmes sont détectés.
Hayem
33
De plus, Windows étant le pays des propriétaires (bien que cela se produise sur d'autres plates-formes, je vous regarde sous Mac OS), les gens ont tendance à rechercher les logiciels fissurés pour cette plate-forme de manière significative davantage que pour les autres. Et aller dans les ruelles sombres en ligne n’est pas différent d’aller dans les vraies ruelles: attendez-vous à des problèmes. Comment pouvez-vous faire confiance à un revendeur de drogue pour fournir ce qu'il annonce? Et sous une forme non modifiée? Alors, comment pouvez-vous faire confiance aux revendeurs de logiciels piratés pour fournir ce qu'ils annoncent? Et sans que le logiciel soit modifié?
haylem
5
De plus, les données sont séparées des fichiers de code et de configuration (var & home; bin & usr; etc.). Rechercher dans Windows - Program Files - Fichiers binaires, fichiers de configuration, données (MS SQL). Vous pouvez monter des répertoires sans exec pour les données. Les applications n'exécutent pas tous les fichiers que vous leur jetez (traitement de texte des clients de messagerie). Code ouvert pour révision. Solution rapide aux problèmes (vérifiez le temps de réponse des gars RedHat et Debian après une menace trouvée dans le noyau). Quand un problème est détecté - le Distro pousse une mise à jour (je ne savais pas par exemple - KDE recherche l'indicateur + x sur les raccourcis du bureau, par exemple pour les exécuter, quelle fonction manquait à un moment donné)
Jet
1
Le commentaire de Haylem ci-dessus est exact, il serait intéressant de voir si cela changerait le cours des choses pour réduire l'image "très sécurisée" des Mac OSX, quelques années plus tard ... Je vois des conditions déplorables sous OSX presque tous les jours , parce que les utilisateurs ont téléchargé et installé un logiciel piraté (la personne moyenne ne craint même pas d’exécuter «file.sh» qui s’ouvre dans le terminal, et en tapant leur mot de passe administrateur!)
Forgotstackxpassword
49

Il aide à prévenir la propagation des virus dans Windows


N'oubliez pas que Linux est utilisé de nombreuses manières, telles que les serveurs de fichiers et de messagerie.

Les fichiers de ces serveurs (fichiers MS Office, messages Outlook, programmes EXE) peuvent être stockés avec une infection.

Même s'ils ne doivent pas affecter les serveurs eux-mêmes, vous pouvez configurer le serveur pour vérifier chaque fichier stocké au moment de son stockage afin de s'assurer qu'il est propre et d'empêcher sa propagation future lorsqu'il sera déplacé sur une machine Windows.

Je l'ai moi-même installé pour lorsqu'un ami me demande de vérifier pourquoi sa machine Windows ne fonctionne pas ou pour quand je connecte ma clé USB à une machine Windows.

lamcro
la source
39
+1 La véritable raison de l'existence d'un logiciel audiovisuel sur Linux n'est pas tant pour la recherche de problèmes pouvant affecter le système, mais pour les problèmes pouvant affecter d'autres systèmes (tels que Windows).
xenoterracide
1
Cela devrait être une réponse acceptée. Le reste de ma famille utilise Windows. Je pense qu'il est plus sûr de connecter des lecteurs flash étrangers à mon bureau Linux, de les numériser, puis de les déclarer sûrs pour la connexion à d'autres ordinateurs de la maison.
Johan
C'est un point de vue vraiment cool. Beaucoup de gens utilisent linux comme ça (usb), mais n’ont probablement jamais vraiment réalisé qu’il pourrait également y avoir une analyse basée sur l’application des virus Windows sur Linux.
Forgotstackxpassword
1
Je redémarre rarement mon PC Windows à partir d'un lecteur USB Linux afin de pouvoir exécuter des analyses AV.
Jesse Chisholm
23

Les virus pour Linux sont en principe possibles et il y en a eu, mais dans la nature, il n’ya pas de virus Linux répandus. La base d'utilisateurs Linux est assez petite et sous Linux, il est beaucoup plus difficile pour un virus de faire beaucoup de mal, car le modèle utilisateur est assez restrictif, contrairement à Windows XP par exemple. Par conséquent, les auteurs de virus ciblent normalement Windows.

Il existe un logiciel anti-virus Linux, par exemple de McAfee, mais aucun utilisateur de Linux que je sache n'utilise un tel logiciel. Il est de loin plus important d’installer uniquement des logiciels provenant de sources fiables et de maintenir votre système à jour en installant les mises à jour de sécurité en temps utile.

fschmitt
la source
3
Je voudrais juste ajouter que même si vous parvenez à attraper un virus (je n’en ai jamais vu dans mes 10 années de Linux), le pire des scénarios est que votre dossier utilisateur soit compromis.
Patkos Csaba
37
Non, le pire scénario est la compromission totale du système. Les utilisateurs du noyau viennent de fermer un énorme trou dans le noyau il y a environ six semaines, ce qui permettrait à n'importe quel programme d'interface graphique de faire passer ses privilèges au niveau racine. Faites un peu de recherche sur Google, et vous trouverez d’autres trous de cette nature. Il est vrai que la sécurité de Linux est meilleure à bien des égards que celle de Windows, mais comme toute base de code contenant des millions de lignes de code, vous pouvez être sûr qu'il reste d'autres trous en attente de le trouver. Moi aussi, je recommanderais de garder les systèmes corrigés plutôt que les antivirus, tout en gardant la tête sur le sable.
Warren Young
6
Je dois différer avec la raison "base d'utilisateurs est assez petite". "Brain" fut le premier virus PC très répandu en 1988. Certes, Linux en 2010 compte plus d’utilisateurs que MS-DOS en 1988. Pourquoi Linux n’a-t-il pas plus de virus, en fait, pourquoi virus "cérébral" répandu?
Bruce Ediger
7
Les PJ ont clairement dominé la plate-forme vers 1988. Le plus gros clou se fait pilonner, comme aujourd'hui.
Warren Young
6
echox est correct. Les logiciels audiovisuels pour Linux ne sont pas vraiment là pour protéger le système Linux lui-même. il est là pour analyser les fichiers que linux sert. C'est la raison pour laquelle la plupart de ces véhicules audiovisuels examinent uniquement les fichiers pour lesquels ils doivent analyser, au lieu de tout fichier utilisé ou modifié sur le système.
xenoterracide
21

Pour rappel, le premier ver Internet, le Morris Worm , s'est propagé par le biais de vulnérabilités dans les utilitaires Unix. Il est antérieur à Linux, mais montre qu’il est possible que des systèmes Unix soient infectés.

KeithB
la source
2
Le ver Morris n'était cependant pas un virus. Un virus doit s'attacher à un autre logiciel alors que le logiciel écrit par Robert Morris était en ce sens indépendant. Il se reproduisait lui-même, mais se maintenait lui-même, et était donc un ver plutôt qu'un virus.
un CVn
@ MichaelKjörling malware alors?
Braiam
6

À mon avis, il y a une autre raison, en plus de celles mentionnées dans d'autres réponses, que la plate-forme Linux ne contient pas beaucoup de virus. Le code source de presque tous les composants de Linux est disponible gratuitement.

Dites, une équipe de 5 membres développe une application. Nous incluons des testeurs et quelques autres dans la liste et au plus 10 personnes connaîtront le code. Sur ces dix, il y a des chances que certains n'aient pas une connaissance assez détaillée du code. Par conséquent, le nombre de personnes connaissant suffisamment le code pour signaler les bogues, les failles de sécurité étant très réduites.

Maintenant, si ce code est rendu libre / open source, la paire d'yeux qui l'examinera augmentera considérablement. Par conséquent, la probabilité de trouver des failles de sécurité augmente également.

Ces nouveaux contributeurs apportent leur expérience, et souvent un regard nouveau est en mesure de remarquer des échappatoires que les développeurs à l'origine ignoraient / prenaient pour acquis / manquaient.

Plus l'application est populaire, plus elle compte de contributeurs. Je pense que cette liberté / ouverture contribue à réduire le nombre de vulnérabilités de la plate-forme Linux.

Andrew-Dufresne
la source
5
Je n'aime vraiment pas dire cela, mais la nature de source ouverte ou fermée peut uniquement affecter la vitesse à laquelle un état de bogue donné est atteint. Voir: "Milk or Wine" d'Andy Ozment ( andyozment.com/papers/… ) et "Les systèmes ouverts et fermés sont équivalents" de Ross Anderson ( cl.cam.ac.uk/~rja14/Papers/toulousebook.pdf )
Bruce Ediger
Merci Bruce pour le partage des liens. Passera certainement par eux.
Andrew-Dufresne
3
Quel utilisateur Linux passe en revue tout le code source avant de publier un sudo make install?
Calmarius
5

Il y a déjà de bonnes réponses mais j'aimerais quand même apporter quelque chose.

Y compris les pratiques de sécurité simples qui sont toujours meilleures que Windows, même après tout ce temps, et tous ces virus, je pense aussi que les problèmes sont en grande partie sociaux.

Je crois que le facteur principal est la diversité des distributions. Cela soulève le travail nécessaire pour s'assurer qu'un virus a ce dont il a besoin pour se propager. Ceci, combiné aux données démographiques des utilisateurs de Linux qui ne sont pas aussi susceptibles (à mon humble avis) de cliquer sur un courrier électronique louche ou de s'exposer à un risque, signifie que le succès d'un virus est encore inhibé.

Les gens sont également plus motivés pour attaquer Windows.

barrymac
la source
4

Bien que oui, il existe quelques virus pour Linux, vous n'avez pas besoin de trop vous inquiéter à leur sujet. Ils sont assez rares pour probablement vous manquer complètement.

Ce que vous pouvez et devez vous inquiéter cependant, ce sont les vers . Ces programmes, à la différence des virus qui nécessitent généralement l’interaction de l’utilisateur pour s’infecter, se propagent par eux-mêmes entre les serveurs, exploitant les vulnérabilités des services et des plates-formes. Les vers recherchent plus de serveurs à infecter, s’installent sur des ordinateurs vulnérables et modifient fréquemment leur comportement, par exemple, pour transmettre des virus aux clients Windows en visite.

SF.
la source
3

La réponse simple est qu’aucun système d’exploitation n’est sécurisé à 100%, sauf s’il se lit à partir du support en lecture seule au démarrage est 100% sécurisé.

Cependant, Windows a plus de vecteurs pour les infections, ces vecteurs sont plus facilement accessibles et une fois infectés peuvent faire beaucoup plus de dégâts. Ceci peut être facilement vu en lisant le "Arsenal RootKit" ou d'autres livres.

Le nombre d'exploits sur n'importe quelle machine est approximativement proportionnel à (gain moyen pour l'enracinement sur une machine) * nombre de machines / (coût de la création d'un malware d'enracinement).

Le nombre d'exploits étant proportionnel au nombre d'ordinateurs, il est donc logique que la quantité de programmes malveillants soit plus importante sous Windows.

Mais, il est stupide d'assumer la seule raison. Windows a plus de virus parce qu’il ya plus d’ordinateurs qui l’exécutent. Notez que sous Linux, l’infection par des logiciels malveillants est beaucoup moins coûteuse que sous Windows car les dégâts sont plus contenus. Inversement, la quantité gagnée par un enracinement est plus petite). Notez également que le coût de l'enracinement est plus élevé en raison des raisons que j'ai mentionnées dans le premier paragraphe.

Gardez à l'esprit que cela est vrai dès maintenant. À ce stade, Linux est un système mieux architecturé que Windows. Il existe toutefois des forces qui affirment qu’il est nécessaire de développer plus rapidement des fonctionnalités conviviales. Cela peut faciliter l’existence de bugs et la création de virus. Déjà, je trouve Ubuntu presque aussi bogué que Windows.

HandyGandy
la source
Le support de démarrage en lecture seule ne fait que réduire la surface d'attaque et n'empêche pas les logiciels malveillants.
symcbean
re: Windows has more ... computers running it. Eh bien, plus d’ordinateurs finaux l’utilisent. Je pense qu'il y a plus de serveurs dépourvus de têtes exécutant une sorte de * Nix (variante Unix, variante Linux) que Windows. Les débuts de la sécurité zéro sous DOS et Windows étaient un facteur important dans le ciblage de cette plate-forme.
Jesse Chisholm
1

D'autres réponses ont fourni de bonnes références historiques pour les virus sur Unix et Linux. Des exemples plus contemporains incluent les campagnes de malware "Windigo" et "Mayhem" . Ceux-ci ont infecté plusieurs milliers de systèmes. Mayhem aurait utilisé la vulnérabilité de Shellshock pour se répandre.

En ce qui concerne le logiciel de détection de programmes malveillants Linux, vous avez à la fois des alternatives open source et commerciales. Le plus efficace, selon mon opinion biaisée, est Second Look . Il utilise des analyses de mémoire et une vérification de l'intégrité pour détecter les logiciels malveillants Linux. Je suis un développeur de Second Look.

Andrew Tappert
la source