¿Qué tan grande es la amenaza del malware de Desktop Linux? [cerrado]

4

La mayoría de los programas maliciosos que se escuchan en las noticias parecen encajar en una de dos categorías:

  • virus de Windows, troyanos, rootkits, etc.
  • Linux servidor "gusanos", puertas traseras y similares

¿Qué tan grande es la amenaza del malware clásico al estilo de Windows Desktop (es decir, virus, registradores de teclas, troyanos) para un usuario de Linux Desktop que se encuentra detrás de un enrutador que hace inviables los ataques directos en la máquina, lo que significa que las posibles vías de infección serían el navegador? exploits, adjuntos de correo electrónico, etc.?

¿Se ha encontrado este tipo de malware "en la naturaleza" en una escala significativa? ¿Los distribuidores de malware se dirigen a los usuarios de Linux de escritorio? ¿Cuánta protección ofrecen las características de seguridad integradas de Linux a partir de una escalada del ataque en todos los niveles del sistema?

    
pregunta user4638663 24.02.2014 - 18:31
fuente

2 respuestas

4

Primero, disipemos cualquier idea de que Linux sea mágicamente inmune: infectores de archivos clásicos , trojan horses y todos los rootkits existían en Unix mucho antes de que Windows se hiciera prominente. Creo que hay una serie de razones por las cuales el malware clásico de Windows Desktop no se posicionará en la población de escritorios Linux. No creo que una sola razón sea suficiente, pero en conjunto, se suman a algo como "inmunidad de rebaño".

  1. Linux tiene la tradición de separar los roles de "usuario" y "administrador". No es obligatorio, y no es impermeable, pero está ahí.
  2. Linux tiene permisos de archivos más razonables, lectura / escritura / ejecución, y la separación de usuario / grupo / otro, junto con setuid. Esto también es algo pequeño, y si lees E xperiences con virus en sistemas Unix por Tom Duff, ves que no funciona en absoluto en los sistemas multiusuario interactivos estilo 80s.
  3. Linux tiene una base de hardware y software muy fracturada. Corro hardware antiguo de la era 2003-2006 en casa. Todavía funciona muy bien. Pero significa que los escritores de malware no pueden contar con nada en cuanto al hardware. Lo mismo para el software: casi siempre hay entre 3 y 10 candidatos para cualquier nicho en particular. Los clientes de correo electrónico abundan, y cada uno tiene una base de usuarios leales. Si esa variación no es suficiente, cada distro compila la suya, por lo que no hay una "construcción" consistente en una masa crítica de escritorios. Además, las versiones de todo, incluido el kernel, cambian mucho más rápido que Microsoft cambia las cosas. Para cualquier software candidato en particular en un nicho dado, existen muchas versiones en la naturaleza. Tampoco es tan raro compilar lo que sea, por lo que básicamente tiene una versión no infectable de cualquier utilidad.
  4. Linux tiene una mejor tradición de separar datos de archivos ejecutables. /usr/share contiene documentación, /bin y /usr/bin contienen ejecutables, /etc contiene configuración. Todo tiene diferente propiedad y permisos. Nuevamente, al igual que los permisos de archivos, no es obligatorio ni sólido, pero existe.
  5. Linux no tiene la serie de casos especiales que tiene Windows. Desde sistemas de archivos de múltiples raíces ('C:' vs 'D:') hasta especialmente, nombres de archivos mágicos que aparecen en cualquier directorio ('AUX', 'CON', etc.) a "soporte de nombre de archivo largo", Windows requiere una mucho más cuidado al programar. Estos casos especiales también proporcionan nichos para ocultar archivos u obtener cosas para ejecutar.
  6. Extensiones de nombre de archivo mágico. Este siempre me ha dejado perplejo: ¿quién pensó que era una buena idea hacer un archivo ejecutable por parte de su nombre? Además, ¿quién pensó que ocultar la extensión de un usuario es una buena idea? ¿Cuántos virus / ataques de phishing se produjeron porque puede ejecutar un archivo llamado "Threesome.jpg.exe", pero el explorador de archivos oculta la parte ".exe"? Sí, otra cosa pequeña, y sí, puedes configurarlo, pero nadie lo hace. Durante mucho tiempo, Microsoft no enumeró qué extensiones hicieron un archivo ejecutable, así que de vez en cuando surgiría un nuevo tipo de archivo-infector.
  7. Linux tiene mucho mejor documentación. Sí, hay un montón de "Head First", "For Dummies" y títulos algo más avanzados para Windows. Pero siempre tienes la fuente para Linux. Cualquiera puede verificar que alguna documentación en particular es precisa. Nada se transmite desde On High. Estoy pensando en cosas autorizadas oficialmente como la Inside Windows NT series , que parece que ha pasado por 3 autores y 6 o 7 ediciones. Toda esa pelusa, sin embargo, nadie ha documentado oficialmente la API nativa de NT. Para que no creas que odio a Microsoft, Oracle tiene el mismo tipo de problema, como lo hizo DEC en el pasado.

Algunos de estos son sociales (tradiciones), algunos son al menos un poco técnicos (extensiones de archivo) pero tienen un componente social. Puede que haya más, pero creo que dos o tres de las diferencias anteriores hacen que los usuarios de Linux se conviertan en una población menos vulnerable.

    
respondido por el Bruce Ediger 24.02.2014 - 19:59
fuente
1
  

¿Se ha encontrado este tipo de malware "en la naturaleza" en una escala significativa?

Nada como lo que hemos visto en Windows. Bliss es probablemente la más conocida. Los virus para Linux tienden a tener una vida muy corta (este es un buen artículo para eso: enlace ). Diría que las razones principales de esta corta vida serían a) el virus no se ejecuta como root, yb) la mayoría del software que usa es de código abierto, por lo que las vulnerabilidades se encuentran rápidamente y se actualizan rápidamente.

  

¿Los distribuidores de malware se dirigen a los usuarios de Desktop Linux?

Difícil de contestar definitivamente por supuesto. Yo diría 'no' principalmente porque:

  • es difícil de hacer debido a la configuración de seguridad / usuario de Linux
  • no tanto como cuota de mercado (excluyendo apache / servidores)
  • (solo mi opinión) pero puedo verlo como un 'fuego amistoso' entre los grupos de redacción de malware (¿honor entre misivas? No tengo idea.) Solo digo esto porque tendrías que tener un conocimiento profundo de Linux para crear un exploit serio ... y es probable que a esa gente le guste y prefiera escribir un parche que tratar de sacarle provecho.
  

¿Cuánta protección ofrecen las características de seguridad integradas de Linux a partir de una escalada del ataque en todos los niveles del sistema?

mucho. Esto es lo que hizo de Windows pre-Vista una pesadilla de seguridad (o un sueño según su perspectiva). Además de las funciones integradas que mencioné, todavía hay herramientas de seguridad para Linux como [Antivirususes] ( enlace )

    
respondido por el Gray 24.02.2014 - 19:02
fuente

Lea otras preguntas en las etiquetas