ARCHIV

Linux a viry

Jednou z nynějších výhod nasazení linuxu na desktop nebo server je také fakt, že na linuxu se zatím viry nešíří. Bude to tak ale stále?

13.4.2004 12:00 | Ondřej Čečák | Články autora | přečteno 13965×

Nejprve bych měl uvést na správnou míru pojem virus. Pro potřeby článku ho budu brát stejně jako poštovní červ a podobně. Pod pojmem virus budu myslet širokou škálu sebe-replikujících se škodlivých kódů.

Kde se viry šíří

Na začátku se ale podíváme za hranice linuxových systémů, na platformu, kde se momentálně viry šíří nejlépe. Ano správně, myslím tím softwarovou platformu firmy Microsoft. Už od raných verzí byl jeho operační systém MS DOS (a následně první grafické nadstavby známé jako Windows) rájem pro velikou škálu počítačových virů. Zlý programátoři se mohli opravdu vyřádit, protože architektura tohoto operačního systému dává viru neomezené možnosti.

Malou komplikací byly operační systémy Windows 9x/Me, které se chovaly trochu jinak a část původních virů v nich neběžela. Ale v té době se pro změnu rozšířila nová skupina virů - tzv. makroviry, programy nebo spíše skripty skryté v dalším softwaru Microsoftu - MS Office.

Nová generace operačních systémů ale znamenala další přelom - na systémech založených na NT neběžela část starých her a také drtivá většina starých virů. Ale zatímco staré Windows 9x byly spíše nesíťový operační systém, nástup nových Windows toto pravidlo změnil a to se projevilo na dalších virech, které zneužívali třeba RPC a šířily se tak prakticky bez nutnosti používat uživatele ;-).

A jak se tam viry šíří

Viry se na platformě Windows šíří poměrně dobře. Důvody jsou dvojího druhu - technické a netechnické.

Do technických důvodů bych zařadil špatně navrženou práci se soubory a chyby v software.

Windows totiž určují spustitelnost podle tzv. přípony souborů (spustitelný je např. .exe, .src, .pif; ale také txt.exe, doc.exe apod.). Bezvadný nápad je také defaultní skrývání známých přípon, takže uživatel místo dopis.doc.exe vidí pouze dopis.doc a pokud si nevšimne jiné ikony, bude mít důvod si myslet, že se jedná pouze o neškodný dokument kancelářského balíku.

Také bych měl zmínit fakt, že většina stanic s Windows běží standardně se superuživatelským oprávněním.

Jako další technický důvod jsem uvedl chyby v software. Každý software má chyby, udivující (teď už vlastně není) je ale fakt, že se většina uživatelů (a dokonce část administrátorů) nezatěžuje stahováním oprav a jejich aplikací.

Tím se ovšem dostáváme do netechnických důvodů šíření virů - k uživateli. Ten se obvykle nerozpakuje spouštět přílohy emailů. Buď ji rovnou spustí nebo ho k tomu autor viru vhodně postrčí - takovému postrčení se říká sociální inženýrství. Podstatou sociálního inženýrství je přesvědčit (spíše oklamat) uživatele tak, aby se choval jinak než normálně - nějak ho na obsah nalákat nebo ho zakamuflovat tak, aby vypadal jako legitimní příloha emailu.

Ještě předtím než viry na windows opustím, pár věcí pro představu:

Virus MyDoom (který útočil na stránky sco.com na začátku tohoto roku) neobsahoval nic nového, všechny techniky byly známy už několik měsíců. Uživatel musel prostě a jednoduše spustit přílohu. Momentálně je MyDoom označován za nejrychlejšího červa v historii.

Některé viry napomáhaly svému šíření také tím, že zneužívaly chyby v software - například došlo k aktivaci virů pouhým náhledem na zprávu nebo dokonce útočili přímo po síti zneužitím chyby v RPC. V drtivé většině případů ale na tyto chyby existovala oprava. Šok pro uživatele přišel ve chvíli, kdy se připojil k síti a byl nakažen (a klidně mohl mít aktuální antivirový program).

Většina virů instaluje do systému zadní vrátka, která umožňují snadný průnik do systému.

Viry v linuxu

Samotné viry na linux sice existují, ale skoro vůbec se nešíří. Předtím, než začnu rozebírat samotné důvody, uvedu pár takových virů:

Bliss, RST - jednoduché viry napadající linuxové binárky (ELF), které po aktivaci nakazí nějaký další program. Druhý zmíněný navíc obsahuje backdoor, který se pokusí získat práva superuživatele. Virus Bliss byl snad první virus pro operační systém linux a je z roku 1997. Našel jsem ještě pár virů, které fungují podobně, takže je nebudu zmiňovat.

Ramen (blíže na securityfocus.com nebo na computeruser.com) bývá označován za první úspěšný linuxový virus, ačkoli je z roku 2001. Ramen by se dal nazvat spíše červem, je poskládán z několika exploitů (na všechny chyby v době šíření už existovaly opravy) a byl relativně úspěšný, protože napadl pár větších institucí. Samotný červ ale nebyl napsán se zlými úmysly, protože některé chyby po nakažení opravoval, takže se na počítač už nemohl dostat znovu.

Podpisové viry - také dosáhly značného rozšíření, jejich výhodou je nezávislost na platformě (nemluvě o tom, že tento virus byl lokalizován do několika jazyků).

--
Ahoj, já jsem podpisový virus!
Zkopíruj mě do své signatury a pomoz tím mému rozšíření!

Také bych neměl zapomenout na viry, které mezi některými uživateli šíří obavy - poslední (dokonce český) Lirpa.x1, ale nejedná se o nic jiného než vtip (stejně jako předchozí skupina) nebo hoax (falešná poplašná zpráva).

V současné době se viry linuxu nešíří, nicméně antiviry pro linux existují a správci s nimi mají dost práce - to proto, že na serverech (typicky MTA) je nutné chránit stanice s Windows a příchozí, případně odchozí poštu zkontrolovat na přítomnost virů a případně zakročit.

Budou na linuxu viry v budoucnu?

Je fakt, že momentálně není linux na desktopech moc rozšířený a proto je možné tvrdit, že tato platforma není moc důležitá pro autory virů. Může se to ale změnit s narůstajícím počtem desktopových uživatelů?

Nynější linuxové distribuce mají oproti Windows několik výhod:

• až na výjimky jako třeba Lindows neběží celý systém pod rootem, takže virus by měl jenom oprávnění uživatele (ale to mu může stačit k tomu, aby se šířil emailem dál), výhodou ale je, že by virus nemohl jednoduše systém zničit
• problém by mohl být spuštění vlastního kódu, i když uživatelé Windows dokážou spouštět přílohy teď, v linuxu budou mít pouze o jeden krok více - přidat patřičná práva. Naštěstí pokud uživatel umí zacházet s právy, tak by mohl i trochu přemýšlet a chápat rizika svého jednání
• softwarová a hardwarová diverzita - linux běží na spoustě platforem (autor viru ale nemusí chtít nakazit všechny, takže mu bude stačit třeba linux na x86). Problém bude muset vyřešit jednak jak bude kód viru napsán a jak získá superuživatelské oprávnění nebo alespoň jak spuštění
• Jak virus napsat bude opravdu problém - v různých distribucích jsou různé verze knihoven, pokud by to měl být skript tak různé verze příkazových interpretů, skriptovacích jazyků apod. A nedá se počítat s tím, že si uživatel projde pokyny INSTALL a pak to svatou trojicí zkompiluje. Cíl by měl být spíše nenápadně infikovat systém.
• Další problém je v nějaké eskalaci práv. Linuxové distribuce na rozdíl od Windows nabízí na jednu činnost několik programů - na obyčejné čtení el. pošty existují desítky programů, z nichž je tak deset opravu populární, navíc v různých verzích. Pokud by se virus chtěl spouštět pomocí nějaké chyby v poštovním klientu, tak by měl dost složitou situaci nebo by fungoval pouze na malé části systémů a neznamenal by takovou hrozbu, jako nynější infekce na Windows.
• většina softwaru je psána s ohledem na bezpečnost, používám KMail a ten se k emailům chová docela striktně - žádné defaultní zobrazování html zpráv, nestahuje do emailu věci z internetu, nespouští různé skripty apod.

V něčem se ale svět linuxu od windows moc neliší - uživatel vždy může spustit například přílohu k emailu. Jak už jsem ale uvedl výše - bylo by nutné učinit takový soubor spustitelný a i potom by (v případě bezpečného systému) nezískal virus přímý přístup k systému.

Podle mého názoru by mohl klidně existovat virus, který by obsahoval několik exploitů, cestovat světem by také mohl částečně emailem a částečně obyčejným testováním IP pro zranitelnost na konkrétní díru. Velká část zodpovědnosti totiž padá na uživatele a správce - udržovat systém bezpečný, používat firewally apod. Jak už bylo řečeno - klasický přílohový virus zatím nemá šanci takového rozšíření, jaké ho známe ve světe operačního systému Windows.

Závěr

V současné době není masivní šíření viru dost dobře možné, co není ale může být. S nástupem linuxu na desktopy může nastoupit také vlna uživatelů, kteří jsou zvyklí z windows nepřemýšlet a jen bezhlavě klikat ...

Verze pro tisk

DISKUZE V clanku je VELKA CHYBA 18.4.2004 15:53 Borek Carda   Re: V clanku je VELKA CHYBA 18.4.2004 16:15 Ondřej Čečák Zobrazit označené Zobrazit vše Příspívat do diskuze mohou pouze registrovaní uživatelé.