# nowy wirus

## Aktyn

https://www.first.org/newsroom/globalsecurity/16164.html

 *Quote:*   

> According to Kaspersky's research the Linux.Bi.a/Win32.Bi.a virus can infect either ELF binaries (Linux) or files with the ".exe" extension (Windows).

 

Wniosek?

Trzymać binarki w katalogu, bez praw zapisu jeśli dobrze rozumuje?

----------

## Radioaktywny

Raklama wobec zagrożenia ze strony Microsoft wprowadzajacego własnego antywira, oraz szerzenie paniki wśród ewentualnej nowej klienteli, stało sie ostatnio dzwignią handlu. Ja na ten artykuł patrze wyłącznie jako na reklame produktów  Kaspersky.

----------

## Aktyn

W sumie wykorzystywanie słabości potencjalnego klienta to od dawna znana metoda, ale bynajmniej nie o to mi idzie.

Widziałeś fotke, win98+firewall, może wrzuce tutaj, zaraz. OOoo jest 

Interesuje mnie tylko system, oraz świadomość co robić albo czego nie robić żeby to było OK,

To oczywiste że wiele ambitnych inaczej, będzie coś próbowało wyszukać i coś zmajstrować,

dobrze wiec jest po prostu wiedzieć o możliwościach i pamiętać że włączająć wtyczke rj-45 albo modem

jesteśmy w sieci, i jakość systemu jest ważna.

----------

## Raku

 *Aktyn wrote:*   

> Trzymać binarki w katalogu, bez praw zapisu jeśli dobrze rozumuje?

 

wystarczy pracować na koncie zwykłego użytkownika. Nie ma on uprawnień do zapisu w /usr/bin

----------

## gentooxic

 *Raku wrote:*   

> wystarczy pracować na koncie zwykłego użytkownika. Nie ma on uprawnień do zapisu w /usr/bin

 

no właśnie!

Śmieję się ze wszystkich bajeczek tych, którzy mówią, że na system linux są wirusy, a przynajmniej będą. Nie będzie moim zdaniem żadnych wirusów dopóki doputy pracujemy z prawami zwykłego użytkownika. Linux i temu podobne systemy mają dobrze skonstruowane prawa dostępu i ich ominięcie zagraża nie tlyko temu systemowi ale myślę, że całej sieci Internet. Na wszystkich (?) systemach typu UNIX prawa dostępu działają na jednakowej zasadzie.

----------

## Raku

ale czuć się zupełnie bezpiecznym nie powinniśmy. Wystarczy, ze taki linuskowy wirus zainfekuje programy loklanie zainstalowane na koncie użytkownika (często sa jakieś). Kod wirusa może testować podatność na znane luki w systemie i próbować za ich pomocą przejąć uprawnienia roota, a po uzyskaniu ich już można doprowadzić do prawdziwego zainfekowania systemu. Taki wirus, o którym piszę byłby odpowiednikiem włamywacza, który po przejęciu konta użytkownika próbuje zdobyć "hasło roota".

Posiadanie w mmiarę aktualnego systemu oraz praca na koncie z ograniczonymi uprawnieniami pozwalają jednak zminimalizować efekty takiego ritusa (gdyby powstał i działał tak, jak pisałem powyżej).

----------

## kfiaciarka

Ciekawe czy taki wirus umie wykorzystać zainstalowany program sudo:/

----------

## arsen

jak jest tak napisany że próbuje sudo to może ktoś mieć problem, dlatego np. konfiguracja sudo taka:

```

%wheel  ALL=(ALL)       NOPASSWD: ALL

```

jest głupotą.

----------

## Nomen

Jeśli pojawi się takie oprogramowanie pozwalające poprzez luki przejęcie hasła roota to raczej szybko wyjdzie jakaś poprawka eliminująca zagrożenie.

Oto moje rozwiązanie (po 3 browarach)  :Smile:  :

praca na koncie z totalnymi ograniczeniami, każde uruchomienie programu wymagąłoby podania hasła usera należącego do określonych grup i posiadającego odpowiednie uprawnienia, logowanie na roota tylko przez pośrednie logowanie na usera należącego tylko do grupy wheel. 

ide po 4 pifko  :Razz: 

----------

## Aktyn

 *Nomen wrote:*   

> ide po 4 pifko 

 

Oj, czwarte piwko i cisza  :Wink: , co do bardziej ekstremalnych rzeczy, nie wiem czy to dobry pomysł, to chrootowalne środowisko,

Jeżeli nawet nam tam wirus nawojuje, to główny system powinien to przetrzymać.

Ale tak poza tym nie ma co przesadzać, wystarczy jak wszyscy piszą pracować jako user i zastanawiać sie jak sie hasło roota podaje.

----------

## Drwisz

Trzeba też rozważyć sposób w jaki ten robal znalazłby się w systemie. Czy jako dodatek do poczty? To bedzie raczej format *.exe. sam zmieni rozszeżenie? A może to jest wirus "Albański". Lub super rowinięte AI i waży w poczcie 20Mb. A może zarazi binarki przez samo-uruchomienie? 

Tak po za tym, czytałem o tym rozwiazaniu w chipie z przed roku lub starszym. I jakoś epidemii nie ma. Tak samo jak o wirusach dołączonych do plików graficznych. Sieć powinna już paść bez szans na reanimację gdyby te wszystkie elementy o których piszą "specjaliści" były skuteczne. To zwykłe bicie piany. I próba skompromitowania linuksa. Tak samo jak umieszczanie na forach listy bugów jądra z linii niestabilnej. Bądźmy bardziej krytyczni, wobec "nowych" "trądów". (Mnie to rozbraja jak "Kod Leonarda...").

----------

## n3rd

 *Radioaktywny wrote:*   

> Raklama wobec zagrożenia ze strony Microsoft wprowadzajacego własnego antywira, oraz szerzenie paniki wśród ewentualnej nowej klienteli, stało sie ostatnio dzwignią handlu. Ja na ten artykuł patrze wyłącznie jako na reklame produktów  Kaspersky.

 Rzeczywicie jest to w większoci działanie marketingowe ale z tš odpornociš linuksa na wirusy raczej bym nie przesadzał. *gentooxic wrote:*   

> Linux i temu podobne systemy mają dobrze skonstruowane prawa dostępu

 Guzik prawda. Uprawnienia w linuksie majš fatalnš budowę. Mamy wszechmocnego roota, potem długo długo nic i na końcu ograniczonego usera. A co np. z demonami?? Często działajš one z oprawnieniami roota i obsługujš zwykłego usera - najmniejszy błšd i klapa gotowa. Nie zgadzam się więc z tezš że Linux ma dobrze skonstrułowane prawa dostępu - jeżeli by tak było to nie powstawały takie projekty jak RSBAC czy SELinux. Innš sprawš jest to, że większoć userów (czy gotowych dystrybucji) zaledwie w niewielkim stopniu wykozystuje w swoich systemach potencjał jaki daje MAC. *Nomen wrote:*   

> Jeśli pojawi się takie oprogramowanie pozwalające poprzez luki przejęcie hasła roota to raczej szybko wyjdzie jakaś poprawka eliminująca zagrożenie.

 Przykładem takiego szybkiego działania sš poprawki zgłaszane przez developerów grsecurity  dla jaja 2.6   :Very Happy: . *Nomen wrote:*   

> Oj, czwarte piwko i cisza , co do bardziej ekstremalnych rzeczy, nie wiem czy to dobry pomysł, to chrootowalne środowisko

 Chroot nigdy nie był projektowany jako rodek podnoszšcy bezpieczeństwo systemu. Pierwotnie chroot został stworzony chyba dla 4.2BSD i jego celem miało być umożliwienie skompilowania nowego jšdra na już działajšcym systemie. Rozwišzaniem nastawionym na bezpieczeństwo i podobnym do chroota jest jail.

Co do samych wirusów na linuksa. To linuks wbrew powszechnej opinii wcale nie jest bardziej odporny na wirusy niż windozy. Zwyczajnie windows jest systemem bardzo jednorodnym i wystarczy napisać jednego wirusa aby zainfekować większoć windowsów z ktorymi będzie miał on kontakt. W przypadku linuksa mamy do czynienia z ogromnš różnorodnociš rozwišzań co do konfiguracji i zastosowanego oprogramowania - np. różnorodnoć wersji. Przez to dużo trudniej jest napisać wirusa który trafiał by w tak wielkš liczbę systemów jak to ma miejsce w przypadku windowsa.

Kolejna sprawa to udział w rynku linuksa - jest on raczej niewielki w porównaniu do windoza (choć zmienia się to na lepsze) przez to zwyczajnie nie bardzo się opłaca pisać wirusy dla linuksa.

 *Drwisz wrote:*   

> Trzeba też rozważyć sposób w jaki ten robal znalazłby się w systemie. Czy jako dodatek do poczty?

 Myle,że najbardziej niebezpieczne będš dziury w samym linuksie oraz standardowych demonach. Oczywicie otwieranie dziwnych załšczników raczej nie jest zalecane... dziwnych... taki wir może być w zwyklym obrazku, pliku audio czy wideo więc trudno mówić tu o "dziwnych" załšcznikach.

Bardzo polecam tu takie rozwišzania jak PaX + RSBAC lub łata Openwall.

Pozdrawiam

daniel cegielka

----------

## arsen

panie n3rd, popraw pan kodowanie z utf na iso  :Smile: 

----------

## Nomen

 *Aktyn wrote:*   

>  *Nomen wrote:*   ide po 4 pifko  
> 
> Oj, czwarte piwko i cisza , co do bardziej ekstremalnych rzeczy, nie wiem czy to dobry pomysł, to chrootowalne środowisko.

 

TAk poległem wczoraj  :Smile: 

Ale nie chodziło mi o chroot'owalne środowisko.

Raczej o pracę w takim ukladzie:

user1 - urzytkownik na którym pracujemy, mający maksymalne ograniczenia.

user2 - należacy do grup do których należymy w tym momencie korzystając z gentoo, ale oprócz grupy wheel

user3 - należący tylko do grupy wheel

Pracujemu na user1. Każde uruchomienie programu wymaga hasła dla user2. 

Logowanie na root'a: 

su user3

passwd:

su (su root)

passwd: 

----------

## Drwisz

 *n3rd wrote:*   

> Myśle,że najbardziej niebezpieczne będą dziury w samym linuksie oraz standardowych demonach. Oczywiście otwieranie dziwnych załączników raczej nie jest zalecane... dziwnych... taki wir może być w zwyklym obrazku, pliku audio czy wideo więc trudno mówić tu o "dziwnych" załącznikach.

 

Tylko że, jest poważne ogranicznie dla tego typu wirusów. Musi on znaleźć przyjazne środowisko dla rozwoju i zostać uruchomiony. Czyli musi stać się on plikiem wykonywalnym, lub zostać zakceptowany jako poprawne rozszeżenie i uruchomić program klienta który dokona zniszczeń (przyklady niepotrzebne wszyscy je znamy). Przyjmując że, użytkownicy tego forum są grupą reprezentatywną, ilość wariacji systemu jest nie do przeskoczenia dla takiego szkodnika. Większym zagrożeniem jest umieszczanie trojanów w powszechnie stosowanych aplikacjach które są pobierane jako dodatkowe motywy i pluginy w formie binarnej. Takie tylko rozwiązanie gwarantuje sukces. Jednak i to ma ograniczenia spowodowane różnorodnością. Jeśli pojawi sie szkodnik będzie on nastawiony na konkretne, jednorodne, popularne dystrybucje.  

            Mając w domu handlowca stykam się, chcąc-niechcąc z marketingiem. To co widać w opisie wirusów i tym jak one są przedstawiane, to nic innego jak konkretna strategia handlowa. Nawet 10% rynek staje się dzisiaj łakomym kąskiem. Dla tego jeszcze raz proszę o szklanke zimnej wody przed pisaniem o nowym genialnym szkodniku. Nie mniej jednak, całkiem nie należy ignorować niebezpieczeństwa. Rozsądek jest bardzo potrzebny. Dodam do porad n3rd jedną, na serwerach nie stawiajmy X-ów. To jeszcze bardziej zmniejszy zagrożenie.

----------

## Aktyn

Dzieki za opinie  :Smile: 

 *Drwisz wrote:*   

> Dla tego jeszcze raz proszę o szklanke zimnej wody przed pisaniem o nowym genialnym szkodniku. Nie mniej jednak, całkiem nie należy ignorować niebezpieczeństwa. Rozsądek jest bardzo potrzebny. 

 

Wytocze całą masę zimnej wody  :Wink:  Temat nie jest o genialnym szkodniku, tylko tak właśnie zapobiegawczo    :Very Happy: 

 *n3rd wrote:*   

> W przypadku linuksa mamy do czynienia z ogromnš różnorodno ciš rozwišzań co do konfiguracji i zastosowanego oprogramowania - np. różnorodno ć wersji. Przez to dużo trudniej jest napisać wirusa który trafiał by w tak wielkš liczbę systemów jak to ma miejsce w przypadku windowsa. 

 

Jakoś dziwnie skojarzyło mi się z róznorodnością w ewolucji  :Smile: , czyżby róznorodność gwarantowała większą zdolność do przetrwania  :Smile: 

Co do kodu właśnie w grafikach itp. to jak ktoś tu zauważył, przecież nie stanowią one kodu wykonywalnego a wiec teoretycznie sa niegroźne.

----------

## n3rd

@Drwisz

dokładnie się z Tobą zgadzam...

@arsen

sorry za kodowanie, z pracy klikam a tam nie mogę sobie nawet firefoxa doinstalować   :Confused:  a w IE było ustawione CE Windows i nie zwróciłem uwagi

Pozdrawiam wszystkich

daniel cegielka

----------

## Drwisz

 *Aktyn wrote:*   

> 
> 
> Jakoś dziwnie skojarzyło mi się z róznorodnością w ewolucji , czyżby róznorodność gwarantowała większą zdolność do przetrwania 
> 
> 

 

Zgodnie z teorią rozwoju i ewolucji właśnie tak jest  :Smile: 

----------

## Chaos Engine

Abstachując od Gentoo to sądzę żę wirusy akurat tutaj będą miały chyba ciężki orzech do zgryzienia, jeżeli nie liczyć błędów w aplikacjach (deamonach, użytkach itp). Przecież po to właśnie jest GLSA, po to jest kompilowanie ze źródeł ze sprawdzaniem sum MD5 żeby zagrożenia były jak najmniejsze.

No a jeżeli ktoś się upiera żeby uruchamiać binarki to jego sprawa.

PS. Autor jest po 3 browcach, parunastu kilometrach na roverze po nocy i w ogóle ma fazę  :Smile: 

----------

## raaf

witam!

a nie wystarczyloby aby katalog domowy byl na partycji na ktorej nie mozna by bylo uruchamiac programow (podobnie zrobic z /tmp) ?? kilka opcji w /etc/fstab i w sumie po sprawie.

tak sie tylko pytam, z ciekawosci  :Smile: 

pozdrawiam

raaf

----------

## Aktyn

 *raaf wrote:*   

> a nie wystarczyloby aby katalog domowy byl na partycji na ktorej nie mozna by bylo uruchamiac programow (podobnie zrobic z /tmp) ?? kilka opcji w /etc/fstab i w sumie po sprawie.
> 
> tak sie tylko pytam, z ciekawosci 

 

Pomysł niczego sobie, choć osobiście czesto potrzebuje mieć możliwość uruchamiania programów w celach testowych i innych, a wolałbym nie mieszać ich z systemem. Myślałem nawet żeby dorażnie stworzyć dla nich partycje w pamieci RAM.

Ale inna sprawa jak ktoś ma kilku użytkowników, którzy też coś majstrują i potrzebują sobie co nieco odpalać.

----------

## raaf

 *Aktyn wrote:*   

>  *raaf wrote:*   a nie wystarczyloby aby katalog domowy byl na partycji na ktorej nie mozna by bylo uruchamiac programow (podobnie zrobic z /tmp) ?? kilka opcji w /etc/fstab i w sumie po sprawie.
> 
> tak sie tylko pytam, z ciekawosci  
> 
> Pomysł niczego sobie, choć osobiście czesto potrzebuje mieć możliwość uruchamiania programów w celach testowych i innych, a wolałbym nie mieszać ich z systemem. Myślałem nawet żeby dorażnie stworzyć dla nich partycje w pamieci RAM.
> ...

 

imo tez mi sie tak wydaje, ze to dobry pomysl, szczegolnie w komputerach 'domowego' uzytku lub uzytecznosci 'publicznej' (kafejki internetowe i itp). ktos kto sie zna, pracuje, kompiluje, potrzebuje uruchamiac swoje programy itp na pewno jest mniej narazony na roznego rodzaju swinstwa. no bo ... wlasnie sie zna  :Wink: 

pozdrawiam

raaf

ps. jeszcze bym dodal do tego katalogi montowanych urzadzen (usb, cdrom i floppy).

----------

## szolek

Przez poważne luki jednego systemu robi się zamięszanie w śród użytkowników drugiego. Często słyszę opinie mojego przyjaciela, który o linuxie ma niewielkie pojęcie, że nie ma tyle wirusów na linuxie ponieważ jest używany przez nielicznych.   :Laughing: 

Oni też muszą z czegoś żyć. Więc wszystkie chwyty, które nie są zabronione są dozwolone.

----------

## Ravak

Troche luznych przemyslen:

A ja bym ugryzl problem od drugiej strony - Windows jako drogie* rozwiazanie wymaga 'drogiego' oprogramowania chroniacego go. Linux jako wzorowy przedstawiciel idei wolnego oprogramowania radzi sobie inaczej. Zamiast firm piszacych programy komercyjne mamy niezliczone spolecznosci (uzytkownikow dystrybucji, uzytkownikow poszczegolnych programow, grup developerskich) pracujace nad rozwojem, bezpieczenstwem i poprawnoscia oprogramowania. Zaplecze intelektualne nieporownywalnie wieksze** od takiego Microsoftu (bo jakby nie bylo sa to ludzie z wyksztalceniem, polityka firmy to inna sprawa).

Wirusy sa pisane przez ludzi, nie mutuja sie same (jeszcze). Czesto ludzie ci, wbrew pozorom, wspolpracuja z firmami produkujacymi oprogramowania antywirusowe***. W sytuacji gdzie spolecznosc uzytkownikow odrzuca wszelkie produkty komercyjne gdyz ma dostep do gotowych i niejednokrotnie lepszych produktow darmowych miejsca dla takiego Norton Antivirus Linux Edition to ja nie widze (nawet jezeli zasypaliby nas masa wirusow). Druga grupa mozna by nazwac ludzi piszacych wirusy we wlasnych celach (pasjonaci / zlosliwcy / studenci uczacy sie programowac)... w sumie oni wymuszaja postep oprogramowania (glownie bezpeczenstwo) a wiec jakies wirusy sa potrzebne. Fakt ze ludzie Ci kieruja swe programy (w 99% sadzac po liczbie wirusow na Windowsa i na Linuxa) na wszystko poza Linuxem swiadczy dla mnie o (nie tylko Linux ale i Unix i Solaris):

1. Linux jest dobrze zabezpieczony i pisanie wirusow pod niego (mogacych szerzej mu zagrozic) jest zbyt trudne

2. Linux deklasuje konkurencje w dziedzinie bezpieczenstwa i zanim pojawia sie wirusy na niego, konkurencja musi dopracowac swoje produkty

Fakt faktem, po co atakowac najsilniejszego skoro mozna wpierw wzmocnic sie na tym najslabszym (ogniwie hehe).

Z tych jak i wielu innych powodow, ja spie spokojnie. Koniec biadolenia, wesolych swiat.

* drogie a przede wszystkim niedarmowe.

** ktos powie "ale uzytkownikow Linuxa jest duzo duzo mniej"... imho 5 uzytkownikow Linuxa jest w stanie wyprodukowac wiecej poprawek / informacji o bledach / pomocy developerskiej niz 100 uzytkownikow Windowsa. Roznica pomiedzy swiadomym a nieswiadomym robieniem czegokolwiek jest kolosalna.

*** chodzby historia pierwszego wirusa (koles pozarazal banki a potem sprzedawal im oprogramowanie antywirusowe / na marginesie to chyba siedzi jeszcze).

----------

## Gabrys

Równie luźne opinie:

Moim zdaniem kod zarówno jądra jak i Xorga jest tak niejednorodny, że nietrudno jest znaleźć jakąś lukę i stworzyć wirusa. Przykładów jest mnóstwo choćby w dziedzinie xpdf-a, w którym co chwila wykrywano nowe błędy (najeczęściej coś w stylu "błąd o jeden za dużo"). Kontrprzykładem jest qmail -- BSD-owy serwer poczty. Stworzony jako zwarty kod, dotąd znaleziono w nim, jeśli się nie mylę, jeden błąd, co więcej: za znalezienie w nim błędu jest teraz nagroda (chyba $200.000, trzeba sprawdzić na stronach projektu). Słyszałem też kiedyś o jakimś programie IBM-u, który przez to, że napisany przez mniejszą grupę osób (niż kontrprodukt Microsoftu (?) ), był znacznie bardziej dojrzały i bezpieczniejszy.

Co do twórców wirusów, to wydaje mi isię, że nie są nastawieni na wyrządzenie największych możliwych szkód. Wg mnie albo chcą pokazać, że jakiś produkt jest do dupy, albo piszą coś dla zabawy. [Aby poprzeć pierwszy pomysł, weźmy kulawe obrabianie natywnego windowsowego formatu graficznego WMF. Ktoś zgłosił Microsoftowi błąd. Poprawka ukazała się dziewięć (9) miesięcy po fakcie zgłoszenia błędu. MS tłumaczył opóźnienie przez to, że sprawdzali, czy to jest faktycznie błąd. Nie dziwię się, że ktoś się zdenerwował i napisał exploita (podono przejmował kontrolę nad kursorem, robił parę kółeczek i restartował kompa).] Patrząc z tej perspektywy pisanie wirusów na Linuksa nie ma większego sensu niż pisanie wirusów na Windowsa, bo reakcja na zgłaszane błędy jest natychmiastowa (dzień, góra dwa, myślę teraz zwłaszcza o Firefoksie oraz o Kadu, ale chyba nie ma takiego oprogramowania, którego developerzy by sobie olali info o bugach).

Pozwolę sobie podsumować dyskusję (nie tylko moją wypowiedź): Zagadnienie wirusów na Linuksa jest ciągle zagadką. Nie spotkaliśmy się jeszcze z wirusem, który by zaraził zauważalny odsetek komputerów używających jądra spod znaku pingwinka, czy choćby jedną z jego dystrybucji. Znane są natomiast pojedyncze ataki na konkretne usługi serwowane przez serwery pracujące na Linuksie. Podobnie słychać o tzw. rootkitach, czyli aplikacjach, które poprzez luki w systemie zdobywają całkowitą kontrolę nad systemem. Teoretycznie więc, problem wirusów jest otwarty i nie należy go marginalizować.

Nasza sytuacja (perspektywicznie) nie jest jednak tragiczna. Przez otwartość kodu używanych aplikacji, łatwiej jest znaleźć przyczyny występowania błędu, więc developerzy aplikacji często wraz z raportem o błędzie dostają sposób jego naprawienia. Dzięki szybkiej reakcji na zgłaszane błędy możemy czuć się względnie bezpiecznie przez trzymanie na komputerze aktualnych wersji używanego oprogramowania. Ważne jest to, że w ten sposób zapobiegamy dostaniu się do naszego komputera groźnych wirusów, zamiast wykrywać programy potencjalnie niebezpieczne. Ważne dlatego, że oprogramowanie antywirusowe zawsze może się pomylić -- zaklasyfikować jako wirusa program, który nim nie jest, albo -- co gorsze -- nie wykryć niebezpiecznego kodu. Przez aktualizację systemu po prostu nie stwarzamy możliwości wykorzystania (znanej) luki w bezpieczeństwie.

Wydaje się, że informacje o wirusach na system Linux służą głównie celom marketingowym, co nie znaczy, że można je zwyczajnie pomijać. Dużo bardziej niż wirusów należy się jednak bać włamaniom w celu wyrządzenia szkód przez kradzież danych bądź unieruchomienie serwera usług internetowych w celu wyrządzenia szkód materialnych.

----------

## argasek

Moved from Polish to Polish OTW.

----------

