Unix / Linuxのマルウェアに関する神話

142

Linuxボックスがマルウェアに感染する可能性はありますか？

私が知っている人にそれが起こるということを聞いたことはありません。本当？

もしそうなら、Linux Anti-Virus（セキュリティ）ソフトウェアはどうなっていますか？

security malware

— ステファン
ソース

1

このquoraの回答をご覧ください：goo.gl/UVCsgzは、マルウェアにランダムに感染する可能性に関してLinux / UnixがWindowsと異なる主な理由をカバーしています。

— アリエル

2

@arielfのリンクほどではありませんが、参考になると思う別の記事：linuxmafia.com/~rick/faq/#virus-

— ワイルドカード

135

まず、UnixおよびLinuxなどのUnixライクなオペレーティングシステムでウイルスを感染させることは確かに可能です。コンピュータウイルスという用語の発明者であるフレッド・コーエンは、最初の実験を4.3BSDで行いました。Linuxウイルスを作成するためのハウツードキュメントがありますが、2003年以降は更新されていないようです。

第二に、sh-scriptコンピューターウイルスのソースコードは20年以上にわたって浮上しています。トムダフの1988 年の論文、およびダグマキルロイの1988年の論文を参照してください。最近では、プラットフォームに依存しないLaTeXウイルスが会議用に開発されました。WindowsおよびLinuxおよび* BSDで実行されます。当然、その効果はWindowsではさらに悪化します...

第三に、（少なくとも）Linux向けの少数の実際のライブコンピューターウイルスが出現しましたが、これらのうちの2つまたは3つ（RST.aおよびRST.b）が「野生」で発見されたかどうかは明らかではありません。

だから、本当の質問はLinux / Unix / BSDがコンピューターウイルスに感染することはできないのか？むしろ、Linuxのデスクトップとサーバーの人口がどれほど大きいのかを考えると、なぜその人口はWindowsが誘引するような類の驚くべきペストを持たないのでしょうか？

その理由は、従来のUnixユーザー/グループ/その他の裁量的保護による軽度の保護と、Linuxがサポートする破損したソフトウェアベースに関係していると思われます。私のサーバーはまだSlackware 12.1を実行していますが、カスタムコンパイルされたカーネルと多くの再コンパイルされたパッケージを使用しています。私のデスクトップはArchを実行しています。これはローリングリリースです。どちらも「Linux」を実行していますが、共通点はあまりありません。

Linux上のウイルスの状態は、実際には通常の平衡状態である可能性があります。Windowsの状況は「ドラゴンキング」かもしれませんが、本当に珍しい状況です。Windows APIのような魔法のデバイス名、Win32の、NT-ネイティブAPIめちゃくちゃバロック様式でLPT、CON、AUX任意のディレクトリから作業することができ、誰もが理解していないのACL、ファイルをマークし、シングルユーザ、いや、単一のルートユーザー、マシン、の伝統ファイル名の一部（.exe）を使用して実行可能です。これはすべて、おそらくWindowsのマルウェアの状態に影響します。

— ブルース・エディガー
ソース

35

過去に検討した価値がある1つの問題は、Windows ABIが何年も安定していることです。（むしろ、MSは透過的にリリースしたさまざまなABIをすべてサポートするために多くの問題を抱えています。たとえば、WoW64。）これは、Windows 3.1で実行される実行可能ファイルがWindows 7でも実行できることを意味します。モノカルチャー内のモノカルチャー：マルウェア作成者は、Linuxでよくあるように、Windowsのすべてのバージョンでプログラムを再構築する必要はありません。

— ウォーレンヤング

50

Unix / LinuxおよびMacシステムでの低レベルのウイルスのもう1つの理由は、デフォルトで構成された信頼できるリポジトリを備えたグローバルパッケージ管理システムの存在だと思います。Windowsでは、グーグルで見つけた悪意のある直接ベンダーからソフトウェアをダウンロードするためにオンラインになりますが、unix / linux / macでは、内部ソフトウェアを使用して、問題が検出された場合に新しいエントリが精査および削除されるリポジトリを参照します。

— ヘイレム

33

また、Windowsはプロプライエタリの土地です（他のプラットフォームでも起こりますが、私はMac OSを見ています）、人々はこのプラットフォームのクラックされたソフトウェアを他の人よりもかなり探す傾向があります。また、オンラインで暗い路地に行くことは、実際の生活で暗い路地に行くことと同じです。トラブルを予想してください。麻薬の売人が広告するものを提供することをどのように信頼できますか？そして、変更されていない形式で？それでは、クラックされたソフトウェアディーラーが宣伝するものを提供することをどのように信頼できますか？そして、ソフトウェアが変更されることなく？

— ヘイレム

5

また、データはコードおよび構成ファイル（var＆home; bin＆usr;など）から分離されています。Windows- Program Files-バイナリ、構成ファイル、データ（MS SQL）を確認します。データのexecなしでディレクトリをマウントできます。アプリは、すべてのファイルを実行するわけではありません（メールクライアントのワードプロセッサ）。レビュー用にコードを開きます。問題のクイックフィックス（カーネルで脅威が見つかった後のRedHatとDebianの人の応答時間を確認してください）。ディストリビューションfound-問題は、いくつかのアップデート（例- KDEは、いくつかの点で欠けた機能、それらを実行するために、たとえば、デスクトップのショートカットに+ Xフラグを探しているため、私は実現しなかった）押したとき

— ジェット

1

上記のHaylemのコメントは正しかった。これがOSX Macの「非常に安全な」イメージを減らすための「ゲームを変える」ものであるかどうかを見るのは興味深いだろう。、ユーザーはクラックされたソフトウェアをダウンロードしてインストールしたため（ターミナルで開く 'file.sh'を実行したり、管理者パスワードを入力したりすることさえしません！）

— forgotstackxpassword

49

Windowsでのウイルスの拡散を防ぐのに役立ちます

Linuxは、ファイルサーバーやメールサーバーなど、さまざまな方法で使用されることを忘れないでください。

これらのサーバーのファイル（MS Officeファイル、Outlookメッセージ、EXEプログラム）は、感染した状態で保存できます。

サーバー自体に影響を与えるべきではありませんが、保存されているすべてのファイルをチェックするようにサーバーを構成して、ファイルがクリーンであることを確認し、Windowsマシンに戻されたときに将来の拡散を防ぐことができます。

私自身は、友人がWindowsマシンが動作していない理由を確認するように頼んだとき、またはWindowsマシンにペンドライブを接続したときにインストールしました。

— ランクロ
ソース

39

LinuxにAVソフトウェアが存在する本当の理由を+1することは、システムに影響を与える可能性のある問題をスキャンするためではなく、他のシステム（Windowsなど）に影響を与える可能性がある問題をスキャンするためです。

— xenoterracide

1

これは受け入れられた答えであるべきです。私の家の残りはWindowsを使用しています。外国のフラッシュドライブをLinuxデスクトップに接続し、スキャンしてから、自宅の他のマシンに接続しても安全であると宣言する方が安全だと思います。

— ヨハン

それは本当にクールな視点です。多くの人がそのようなLinux（usb）を使用していますが、LinuxでのWindowsウイルスのアプリケーションベースのスキャンが存在する可能性があることは、おそらく実際には気付かなかったでしょう。

— forgotstackxpassword

1

LinuxのUSBドライブからWindows PCをあまり頻繁に再起動しないので、AVスキャンを実行できます。

— ジェシーチザム

23

Linux用のウイルスは原則として可能であり、実際にはいくつかのウイルスが存在しますが、広く普及しているLinuxウイルスはありません。Linuxユーザーベースは非常に小さく、Linuxでは、Windows XPなどとは対照的にユーザーモデルがかなり制限されているため、ウイルスが非常に害を及ぼすことははるかに困難です。そのため、ウイルス作成者は通常Windowsをターゲットにしています。

McAfeeなどのLinux Anti-Virusソフトウェアがありますが、私が知っているLinuxユーザーはそのようなソフトウェアを使用していません。信頼できるソースからのソフトウェアのみをインストールし、セキュリティアップデートをタイムリーにインストールすることにより、システムを常に最新の状態に保つことがはるかに重要です。

— フシュミット
ソース

3

たとえウイルスに感染したとしても（私のLinuxの10年間で見たことがない）最悪のシナリオは、ユーザーフォルダーが危険にさらされるということです。

— パトコスチャバ

37

いいえ、最悪のシナリオは完全なシステム侵害です。カーネル関係者は、約6週間前にカーネルに巨大な穴を閉じたため、GUIプログラムは特権をルートレベルにエスカレートできました。少しグーグルしてみてください。そうすれば、この性質の他の過去の穴が見つかるでしょう。LinuxはWindowsに比べて多くの点で優れたセキュリティを備えているのは事実ですが、数百万行のコードからなる他のコードベースと同様に、発見されるのを待っている他の穴があることは確かです。私も、ウイルス対策ではなくシステムにパッチを適用することを推奨しますが、頭を砂の中に入れないようにします。

— ウォーレンヤング

6

「ユーザーベースがかなり小さい」という理由で私は違います。1988年に最初に広まったPCウイルスは「頭脳」でした。確かに2010年のLinuxは、1988年のMS-DOSよりも多くのデスクトップユーザーを持っています。広範な「脳」ウイルス？

— ブルースエディガー

7

PCは、1988年ごろに明確なプラットフォームの優位性を達成しました。

— ウォーレンヤング

6

echoxは正しいです。Linux用のAVソフトウェアは、Linuxシステム自体を保護するためのものではありません。Linuxが提供しているファイルをスキャンするためにあります。これらのAVのほとんどは、システム上のアクセスまたは変更されたファイルではなく、スキャン対象のファイルのみを参照する理由です。

— xenoterracide

21

歴史的なメモとして、最初のインターネットワームであるMorris Wormは、UNIXユーティリティの脆弱性を介して拡散しました。Linuxより前のバージョンですが、Unixベースのシステムが感染する可能性があることを示しています。

— キースB
ソース

2

しかし、Morrisワームはウイルスではありませんでした。ロバート・モリスが書いたソフトウェアはその意味で独立しているのに対して、ウイルスは他のソフトウェアに添付する必要があります。自己複製型でしたが、自己持続型であったため、ウイルスではなくワームです。

— CVn

@MichaelKjörlingマルウェア？

— Braiam

6

私の意見では、他の回答で言及されたものに加えて、Linuxプラットフォームにはあまりウイルスがないというもう1つの理由があります。Linuxのほぼすべてのコンポーネントのソースコードは無料で入手できます。

5人のメンバーで構成されるチームがアプリケーションを開発するとします。リストにはテスターと他の少数のユーザーが含まれており、最大10人がコードを知っています。この10個のうち、コードの詳細な知識が十分ではない可能性があります。したがって、バグを指摘するのに十分なコードを知っている人の数、セキュリティホールは非常に少ないです。

このコードをフリー/オープンソースにすると、それをレビューする目が劇的に増えます。したがって、セキュリティホールを見つける可能性も高くなります。

これらの新しい貢献者は彼らの経験をもたらし、多くの場合、新鮮な目は、元々開発者が無視した/認めた/見逃した抜け穴に気付くことができます。

アプリケーションの人気が高いほど、より多くの貢献者がいます。この自由/開放性は、Linuxプラットフォームの脆弱性の数を減らすことに貢献すると思います。

— アンドリュー・デュフレーヌ
ソース

5

私はこれを言うのは本当に嫌いですが、オープンソースまたはクローズドソースの性質は、特定のバグ状態に到達する速度にのみ影響する可能性があります。参照：「ミルクやワイン」アンディOzmentによって（andyozment.com/papers/...）とロス・アンダーソンの「オープンとクローズドシステムは等価である」（cl.cam.ac.uk/~rja14/Papers/toulousebook.pdf）

— ブルースにエジガー

リンクを共有してくれたブルースに感謝します。間違いなくそれらを通過します。

— アンドリューデュフレーネ

3

どのLinuxユーザーが発行する前にすべてのソースコードを確認しsudo make installますか？

— カルマリウス

5

すでに良い答えがありますが、私はまだ何かを貢献したいと思います。

この後もウィンドウズよりも優れている単純なセキュリティ慣行と、それらのすべてのウイルスを含めて、私はまた、問題が主に社会的であると信じています。

主な要因はディストリビューションの多様性だと思います。これにより、ウイルスが拡散するために必要なものを持っていることを確認するための労力が発生します。これは、危険なメールをクリックしたり、一般的に危険にさらされたりする可能性が低い（私見）Linuxユーザーの人口統計と組み合わされて、ウイルスの成功がさらに抑制されることを意味します。

人々はまた、おそらくウィンドウを攻撃する意欲があります。

— バリーマック
ソース

4

はい、Linuxにはいくつかのウイルスがありますが、それらについてあまり心配する必要はありません。彼らはあなたを完全に恋しく思うほど珍しいです。

あなたができること、そして心配するべきはワームです。これらのプログラムは、通常ユーザーとの対話を介して感染するウイルスとは異なり、サーバー間ですべて拡散し、サービスとプラットフォームの脆弱性を悪用します。ワームは、より多くのサーバーを検索して感染し、脆弱なマシンに自分自身をインストールし、その動作を頻繁に変更します。たとえば、訪問するWindowsクライアントにウイルスを提供します。

— SF。
ソース

3

簡単な答えは、100％安全なオペレーティングシステムはありません。ただし、起動時に読み取り専用メディアから自身を読み取る場合を除き、100％安全です。

ただし、Windowsには感染用のベクターが多くあり、それらのベクターはより簡単にアクセスでき、一度感染するとより多くの害を及ぼす可能性があります。これは、「RootKit Arsenal」または他の本を読むとすぐにわかります。

任意のマシンでのエクスプロイトの数は、（1台のマシンをルート化することで得られる利益）*マシン数/（ルート化マルウェアの作成コスト）にほぼ比例します。

エクスプロイトの数はコンピューターの数に比例するため、Windowsのマルウェアの量が多いことは理にかなっています。

しかし、唯一の理由を推測するのは愚かです。Windowsがより多くのウイルスを持っているのは、それを実行しているコンピューターがより多いためです。Linuxでマルウェアに感染しても、損害がより抑えられるため、Windowsに比べてコストがはるかに低くなることに注意してください。反対に、1つのルート化によって得られる量は少なくなります）。また、最初の段落で言及した理由により、ルート化のコストが高くなることに注意してください。

これは今のところ真実であることに留意してください。この時点で、LinuxはWindowsよりも優れた設計のシステムです。しかし、ユーザーフレンドリーな機能のより迅速な開発が必要であると言う勢力があります。これにより、バグが発生しやすくなり、ウイルスが作成されやすくなります。すでに、UbuntuはWindowsとほぼ同じくらいバグがあると感じています。

— HandyGandy
ソース

読み取り専用のブートメディアは、マルウェアを防ぐことのできない攻撃対象領域を減らすだけです。

— symcbean

日時：Windows has more ... computers running it. まあ、それを実行しているより多くのエンドユーザーのコンピューター。Windowsよりも* Nix（Unixバリアント、Linuxバリアント）のフレーバーを実行するヘッドレスサーバーの方が多いと思います。セキュリティがゼロのDOSとWindowsの初期の頃は、そのプラットフォームが標的にされた大きな要因でした。

— ジェシーチザム

1

他の回答では、UnixおよびLinuxでのウイルスに関する歴史的な参考資料が提供されています。より現代的な例には、「Windigo」および「Mayhem」マルウェアキャンペーンが含まれます。これらは何千ものシステムに感染しています。Mayhemは、Shellshockの脆弱性を利用して拡散していると報告されています。

Linuxマルウェア検出ソフトウェアについては、オープンソースと商用の両方の選択肢があります。私の意見では、最も効果的なのはSecond Lookです。メモリフォレンジックと整合性検証を使用して、Linuxマルウェアを検出します。私はSecond Lookの開発者です。

— アンドリュー・タッパート
ソース