Открытый код – не значит безопасный
3 августа 2016
Дисклеймер
- Автор сам в прошлом был разработчиком под Unix-системы.
- Все нижесказанное не является попыткой доказать, что одна система лучше или хуже, чем другая.
Из-за ненадлежащей настройки доступа тысячи различных NoSQL-систем (MongoDB, Memcached, Redis, CouchDB, Cassandra, Riak) принимают внешние сетевые запросы, отдавая свои данные всем желающим без аутентификации. Исследователи из компании Risk Based Security проанализировали публично доступные 30239 экземпляров СУБД Redis и пришли к выводу, что на 6338 серверах наблюдаются следы вредоносной активности.
Появление данной активности соотносится с выявлением в прошлом году уязвимости (CVE-2015-4335).
https://www.riskbasedsecurity.com/2016/07/redis-over-6000-installations-compromised
Достаточно типичная новость – за исключением того, что она касается свободно распространяемых ОС. А какая реакция последовала бы, если бы речь шла о Windows? Администраторы молча установили бы вышедший патч и/или изменили настройки. На форумах, возможно, прошло бы лишь обсуждение технических деталей. Мы не говорим, что администраторы Linux не исправят ошибки, но вот форумы...
90% проблемных серверов в руках админов подкроватных локалхостов.
Еще 9.99% -- тестовые и/или экспериментальные серверы.
Оставшаяся сотая процента это результат пьянства админов в результате которой злоумышленники смогут получить доступ к кешу сисек, писек и котиков.
Короче -- спецам пофиг, а любителям нафиг.
Жертв нет.
Если же появляется сообщение о новом вредоносном ПО, например такое:
В июне было зафиксировано распространение Linux-троянца Linux.BackDoor.Irc.13. Эта вредоносная программа является модификацией Linux.BackDoor.Tsunami, однако не содержит функций для выполнения DDoS-атак. Команды этот троянец получает с использованием протокола IRC (Internet Relay Chat), предназначенного для обмена текстовыми сообщениями в Интернете.
http://news.drweb.ru/show/?i=10057
В апреле вирусные аналитики компании «Доктор Веб» обнаружили сразу несколько подобных троянцев, получивших названия Linux.BackDoor.Xudp.1, Linux.BackDoor.Xudp.2 и Linux.BackDoor.Xudp.3 соответственно. Первым звеном в цепочке заражения является ELF-файл, детектируемый Антивирусом Dr.Web под именем Linux.Downloader.77. Примечательно, что изначально это приложение предназначено для организации одной из разновидностей атак на удаленные узлы путем массовой отправки на заданный адрес UDP-пакетов. Linux.Downloader.77 — это «троянизированная» версия упомянутой программы. Потенциальная жертва самостоятельно загружает и запускает на своем компьютере эту утилиту, которая при загрузке просит у пользователя предоставить ей привилегии root, — без этого она отказывается работать.
…то количество желающих показать свой интеллект резко возрастает:
Это даже не троян, а просто утилита для поддержки коммунити хакеров, которая помогает ддосить.
Ну вот бывают ещё неопытные пользователи граблей.
Так из каких же источников её ещё загружать, если в репозиториях её нет?
Как скачать для теста?
Пиар есть пиар, сеошники не дремлют, а работу работают - пишут линукс вирусы и распространяют их через всякие помойки, лишь бы народ качал/ставил покупал антивирусы для linux(?) вместо того, чтобы понять, как сделать так, чтобы их не было от слова совсем и что для этого надо сделать.
https://www.opennet.ru/opennews/art.shtml?num=44238
это выдумка кашпировского
Давай мне вирус скорей! Запускать буду. :)
Жалкий и жёлтый пиар. "Мы нашли нечто страшное. Трепещите! А что именно нашли -- не скажем. Сильнее трепещите. И бабло несите."
А линукс-то здесь при чем? Дыры в сторонних продуктах, а виноват как всегда линукс?
А где скачать? Когда в ебилдах появится?
"Сотрудники Лаборатории Касперского" Дальше читать не стал эти бредни лаборантов...
https://www.opennet.ru/opennews/art.shtml?num=41256
Это не страшно :)
И это ресурс, на котором собираются профессионалы! На ресурсах типа CNews практически под каждой новостью, в которой говорится о проблемах, так или иначе связанных с Windows, встречаются комментарии, в которых утверждается, что нужно было использовать Linux и никаких проблем бы не было.
Естественно, количество вредоносных программ для Unix несравнимо ни с Windows, ни с Android – но ведь и количество пользователей этих ОС очень существенно превосходит количество пользователей ОС Linux. Откуда такая убежденность в принципиальной невозможности вредоносного ПО на Linux?
Мы не говорим, что Linux – плохая ОС. Ее достоинства отрицать нельзя – в конце концов, большинство высоконагруженных серверов, обслуживающих подписчиков услуги «Антивирус Dr.Web», работает не под Windows, а администраторы успешно используют свободные базы данных в качестве репозиториев серверов Dr.Web AV-Desk. Проблема – в непоколебимой уверенности многих приверженцев этой ОС в истинности ряда мифов:
- Linux безопасен, так как его код постоянно проверяют специалисты. Мягко говоря, это спорно и опровергается обнаружением уязвимостей, которые существовали в открытых программах годами.
- Найденные уязвимости закрываются оперативно благодаря открытому коду. Отчасти это действительно так, но есть две проблемы:
- Коммерческие компании имеют возможность протестировать патч на широком спектре тестовых конфигураций. Тестирование патчей в свободных ОС возлагается на пользователей свежеобновленных систем.
- Администраторы и пользователи Linux любят обновляться не больше, чем пользователи иных ОС. Зачастую патчи не устанавливаются даже для широко разрекламированных уязвимостей.
- Пользователи Linux не работают с правами администраторов и потому запустить вредоносный код не могут. Собственно, это верно и для иных ОС. Но обычные пользователи, работающие под Linux, генетически не отличаются от пользователей Windows. Вряд ли бухгалтер, переведенный с Windows на Linux, перестанет кликать на все ссылки подряд и начнет использовать более надежные пароли, если до сих пор у него не было такой привычки.
>Пользователь и не должен быть опытным
Должен.
Прежде чем что-то делать — ознакомься с информацией по предмету в достаточном объеме. Это касается строительства и вождения автомобиля, ремонта мебели и кройки-шитья, готовки и стирки, рыбалки и занятий спортом. Вообще всего. С чего бы это вдруг использование сложных технических средств для получения, обработки и передачи информации стало возможным без обучения?
Мне одному кажется, что это утопия?
- Дефрагментация спасает Linux. Для работы на каждой конкретной системе вирус надо компилировать. Тоже миф – во-первых, злоумышленники могут ориентироваться на наиболее распространенные ОС, а во-вторых – использовать скриптовые языки, и вирус запустится на любой ОС.
Но это проблемы общего характера (и далеко не все мифы!). Есть проблемы и специфические для обеспечения безопасности:
- Как бы мы ни относились к компании Microsoft, в последние версии Windows постоянно добавляются все новые механизмы безопасности, затрудняющие использование найденных уязвимостей и создание вредоносных программ. Даже если троянец получит права администратора – «снести» антивирус ему будет крайне сложно благодаря тому, что драйверы самозащиты Dr.Web вынесены на уровень драйверов системы. А вот для Linux команда kill -9 «снесет» любой процесс, в том числе антивирусный.
- Подавляющее большинство шифровальщиков для Windows содержит весь необходимый для работы код. Linux уже содержит все необходимые библиотеки шифрования. Злоумышленникам достаточно написать скрипт, который будет их использовать.
Антивирусная правДА! рекомендует
Мы постоянно используем внешние сервисы, чужие устройства и компьютеры. Мы автоматически доверяем их владельцам и администраторам, но не можем быть уверены в отсутствии уязвимостей и корректной настройке используемых сервисов. Так что тут снова работает поговорка «На бога надейся, а сам не плошай»: какие бы внешние сервисы вы ни использовали, ваш компьютер должен быть готов к любой неприятности.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
22:02:59 2018-08-04
vasvet
20:51:07 2018-04-23
alex-diesel
09:26:12 2018-03-16
Мифы тоже бывают "профессиональными" ))
А уж надписи на заборах рядом с пристанищем даже самых высоких профессионалов - та еще тема для серьезного обсуждения.
ЗЫ категорически не хотел обидеть никого из фанатов Линукса ))
Toma
18:17:00 2017-12-13
Natalya_2017
12:21:03 2017-04-05
faqmatrix
17:12:25 2017-02-27
dima.selin
10:00:46 2017-02-21
eaglebuk
20:21:55 2017-02-05
Пaвeл
17:59:20 2016-12-21
decodec
23:49:57 2016-12-20
maznat
23:06:23 2016-09-13
bob123456
13:52:45 2016-09-03
Вячeслaв
10:15:53 2016-08-29
Вторая проблема - Столман и лицензия GPL. Мы не можем открыть код и разрешить его компиляцию. И не по причине что мы не разделяем ценности Линукс. По причине, что это позволит злоумышленникам знать, на ЧТО мы реагируем в их программах и по причине, что собранный неведомо кем код должен работать так же надежно, как и собранный нами. Соответственно мы вынуждены или собираться статически или тащить с собой все библиотеки на случай, что нужной нет, либо собираться под конкретные версии ОС. А теперь посчитаем версии ОС Линукс. Посмотрим на прибыльность направления и грустно вздохнем. Каждая собранная под конкретную версию линукса программа должна пройти полноценное тестирование - умножаем это на количество поддерживаемых версий, время тестировщиков и иных специалистов. А версии Линуксов выходят постоянно. А наши разработчики заняты развитием программ и не могут по выходу очередного Линукса бросать все и начинать делать дистрибутив под него. Увы мир Линукса очень затратен для коммерческих программ.
В итоге мы делаем нативные пакеты-дистрибутивы и выкладываем их на сайте, но не запрещаем размещать эти пакеты в составе репозиториев (и есть ОС в которых эти пакеты есть). А для тех ОС Линукс, которые созданы между релизами и теми, кто менее популярен - вот для тех - универсальные пакеты
bob123456
20:46:42 2016-08-26
Вячeслaв
18:48:06 2016-08-26
Деб-пакеты у нас тоже есть. Ран-пакеты нужны только для версий Линукса, которые не поддерживаются rpm и deb пакетами
bob123456
21:08:46 2016-08-25
2018
15:14:06 2016-08-05
Короче ставить Уиндоус ХР Эмбеддет с ... что-то там отдельно сохраняемые изменения и стабильный образ. И ... на открытый код.
Вячeслaв
11:33:40 2016-08-04
Неуёмный Обыватель
10:59:18 2016-08-04
andrei2411
10:41:15 2016-08-04
DmitryL.
10:25:20 2016-08-04
Кстати об этом же и других мифах , вы можете узнать из подборки Лукацкого : 100 Мифы и заблуждения информационной безопасности Лукацкий за лохматый 2008 год. Думаю многим будет интересно, в том числе и автору Антивирусной правДЫ.
Вячeслaв
09:30:49 2016-08-04
И небольшой секрет Антивирусной правды. Очень многие цитаты исходно содержат ошибки в русском языке. Вы обычно их не видите, так как на страже стоит наш замечательный корректор, которая просто не пропускает цитаты с ошибками
solec
06:45:48 2016-08-04
Б...а
06:25:53 2016-08-04
Luger
06:18:20 2016-08-04
andrei2411
04:29:47 2016-08-04
vaki
21:55:20 2016-08-03
vla_va
21:45:12 2016-08-03
Геральт
21:37:08 2016-08-03
В...а
21:33:38 2016-08-03
НинаК
21:28:29 2016-08-03
Dvakota
21:22:08 2016-08-03
ek
21:19:15 2016-08-03
tigra
21:06:18 2016-08-03
kva-kva
21:04:29 2016-08-03
Voin sveta
20:17:34 2016-08-03
Voin sveta
20:16:00 2016-08-03
maestro431
19:29:44 2016-08-03
Неуёмный Обыватель
19:05:39 2016-08-03
Andromeda
18:42:18 2016-08-03
Неуёмный Обыватель
18:04:39 2016-08-03
Вячeслaв
16:18:52 2016-08-03
Р...й
15:56:05 2016-08-03
krant
15:54:57 2016-08-03
GREII
15:54:18 2016-08-03
Вячeслaв
15:29:21 2016-08-03
Вячeслaв
15:20:21 2016-08-03
Вячeслaв
15:17:55 2016-08-03
Вячeслaв
15:13:44 2016-08-03
Но увы я постоянно сталкиваюсь с тем, что сторонники свободных ОС пытаются всех убедить, что любые проблемы решаемы, если проект переведут на FreeBSD или Linux. При этом они не исходят из реальных преимуществ той или иной операционной системы в той или иной ситуации, предполагается, что проблемы решаться сами собой после замены ОС. Так бывает, да - и я знаю подобные случаи, но как правило автоматом возникают иные проблемы.
Поэтому выпуск действительно показывает тесные стороны свободных ОС - но не в целях их очернить, а исключительно с той целью, чтобы выбор к каждом конкретном осуществлялся на основе разумной оценки плюсов и минусов
Надеюсь, я был понят :-)
PS. И я действительно разрабатывал и портировал программы под OS/2, Linux, FreeBSD, OpenBSD, BSDi и тд
Viktoria
14:38:41 2016-08-03