Антивирусная правДА!TM

17 января 2023

Так сложилось, что в выпусках «Антивирусной правды» большее внимание мы уделяем операционным системам семейства Microsoft Windows. Что и неудивительно: это самая распространенная ОС среди домашних пользователей — следовательно, именно к ней всегда было приковано наибольшее внимание вирусописателей, а самые массовые вирусные атаки чаще всего совершались на устройства под управлением Windows. В связи с этим у широкого круга простых пользователей и компьютерных специалистов сложилось мнение, что «Винду» злоумышленники «ломают» буквально по щелчку пальцев.

Да, большинство вредоносных программ создается для работы в среде ОС Windows, и именно массовость является краеугольным камнем уязвимости системы. Но в мире вычислительных машин существует не менее важное семейство ОС — так называемые UNIX-подобные операционные системы, известные как семейство Linux. Так сложилось, что «Линукс» не столь популярен в среде обычных домашних пользователей, однако повсеместно используется в служебных целях — в качестве операционной системы различных серверов, рабочих станций и терминалов. Linux часто считается более защищенной и безопасной альтернативой Windows, в том числе для настольных ПК. В сегодняшнем материале мы кратко разберем, подвержены ли системы Linux вирусным угрозам, и часто ли пользователи этой ОС сталкиваются с вредоносными программами.

Как было сказано выше, Linux — это не одна определенная операционная система. Это целое семейство ОС, объеденных одним ядром, при этом имеющих некоторые различия. Ubuntu, Debian, Fedora, CentOS — вот лишь некоторые из самых распространенных «версий» Linux, называемых дистрибутивами. Мы не будем касаться весьма богатой истории и особенностей Linux, так как уйдем далеко за рамки статьи, однако стоит отметить, что эти операционные системы, как правило, распространяются бесплатно и имеют открытый код. А еще — в мире существует огромное количество энтузиастов, которые вносят свой вклад в развитие семейства.

Давайте попробуем разобраться, почему Linux часто считают более защищенной системой. На протяжении длительного времени распространенный в компьютерных кругах тезис звучал так: «На Linux вирусов нет!». Особенно часто это можно было услышать от пользователя Linux со стажем, наблюдающего, как его приятель «виндовод» вновь переустанавливает Windows после очередного заражения. Но здесь важно вспомнить тот самый фактор массовости. Если не брать в расчет целевые атаки, вирусописатели обычно делают ставку на то, чтобы заразить как можно больше случайных устройств. Поэтому вполне логичной целью оказываются компьютеры, работающие под управлением Windows.

Еще одна причина, по которой вредоносные программы для Linux менее распространены, — в том, что в массе своей ее пользователи более компетентны в вопросах компьютерной безопасности. В отличие от Windows, Linux редко используется в качестве платформы для развлечений. Гибкая работа с Linux дает возможность получить более глубокие знания в области функционирования операционных систем и компьютера в целом. Очевидно, что пользователи ОС Linux в среднем реже попадаются на удочки злоумышленников. Все эти факторы делают массовую разработку вредоносных программ для Linux менее рентабельной, чем создание троянов и вирусов для Windows.

Операционные системы Linux также известны своим механизмом разграничения прав доступа к системе. Доступ с наивысшими правами называется root-доступом, или режимом суперпользователя. И первое правило работы в Linux звучит так: не работать в системе с root-доступом. Как ни странно, этого правила действительно стараются придерживаться. Таким образом, запущенная вредоносная программа не может заразить всю систему, ее активность ограничивается полномочиями пользователя. Разумеется, подобная функциональность есть и в ОС Windows, но почему-то в среде домашних пользователей часто игнорируется. Как часто вы, ваши знакомые или даже коллеги работают в Windows в режиме администратора? Следует помнить, что работа в системе с теми правами, которые нужны для выполнения задачи, — базовый принцип безопасности.

Еще один довод, который часто можно услышать в пользу ОС Linux: открытый исходный код, который позволяет сообществу разработчиков и энтузиастов отслеживать появление вредоносного кода, бэкдоров и уязвимостей в компонентах системы или в программах для Linux. Однако, на наш взгляд, это по-прежнему вопрос доверия. Доверяете ли вы проприетарному ПО и определенной компании-разработчику? Или, с другой стороны, вам спокойнее, зная, что за безопасностью огромного массива кода следят так называемые мейнтейнеры Linux-сообщества? В обоих случаях вы не сможете самостоятельно проверить все программы, которыми вы пользуетесь, равно как и убедиться, что ядро Linux не содержит уязвимостей.

Итак, с технической точки зрения вредоносное ПО для Linux, конечно же, существует. При этом его количество растет с каждым годом по мере роста популярности этих операционных систем. Троянские программы, бэкдоры, вредоносные скрипты, эксплойты, шпионское ПО и даже шифровальщики — все это потенциально угрожает пользователям компьютеров с Linux на борту и может натворить не меньше бед, чем в системах семейства Windows. Способы и дальнейший сценарий заражения будут зависеть от того, насколько защищен компьютер и компетентен пользователь. Если ОС запущена с root-правами, то система разграничения прав никак не поможет.

Функциональность вредоносных программ, написанных для Linux, весьма разнообразна. Например, злоумышленники могут заразить устройство для слежения за действиями пользователя и перехвата вводимых с клавиатуры символов. Ситуацию усугубляет то, что для работы такого трояна ему, как правило, не нужны права суперпользователя. Кроме того, вирусным аналитикам «Доктор Веб» встречались экземпляры, для сокрытия вредоносных действий развертывающие на устройстве прокси-серверы, а также заражающие устройства для проведения DDoS-атак. Одна из таких программ — бэкдор Linux.BackDoor.Dklkt.1.

Не стоит забывать и об уязвимостях. История знает случаи, когда вредоносные программы могли повысить свои права доступа в операционной системе до уровня суперпользователя, что позволяло злоумышленникам выполнять произвольный код. К сожалению, не все уязвимости оперативно обнаруживаются сообществом. Впрочем, если проблема затрагивает относительно большое количество пользователей, то ошибки достаточно быстро исправляются очередным обновлением ПО.

Стоит упомянуть еще один класс устройств, операционной системой для которых служат различные версии Linux. До настоящего момента мы говорили о домашних ПК, работающих на различных дистрибутивах Linux. Но настоящей вотчиной «Линукса» являются серверные решения, а также устройства «интернета вещей» (англ. IoT). Поэтому интерес злоумышленников к этой платформе неизменно растет с каждым годом. Незащищенные и уязвимые устройства IoT часто используются злоумышленниками для создания ботнетов и организации DDoS-атак. Весьма известным представителем такого вредоносного ПО стал Linux.Mirai. Его функциональность базировалась на распространении по сети и взломе нестойких паролей устройств путем перебора. После атаки зараженная машина оказывалась частью ботнет-сети, а ее вычислительные мощности и выход в сеть использовались для DDoS-атак. Так были заражены по меньшей мере сотни тысяч устройств по всему миру.

Вместе с ростом популярности ОС семейства Linux становятся все более привлекательной целью для злоумышленников. Как мы видим, «Линукс» сам по себе не является закрытой и априори защищенной системой. Мы разобрали некоторые факторы, которые действительно замедляют распространение вредоносного ПО для Linux, однако, учитывая тенденции, вполне вероятно, что значительная разница в количестве угроз между Linux и Windows со временем почти нивелируется.