hodne OT: Linux a viry

Thomas Shaddack hwnews@shaddack.mauriceward.com
Pátek Březen 25 11:22:33 CET 2005


On Fri, 25 Mar 2005 mjfox@centrum.cz wrote:

> Na druhou stranu muzeme jen spekulovat, jestli by se vsichni Linuxaci 
> priznali, ze chytli virus, dal kolik pocitacu by se asi skutecne mohlo 
> nakazit (= na kolika je ted Linux nainstalovany jako alternativa k 
> Widlim) atd.

Reprezentativni priklady: Slapper, Lion, Ramen. Je jich vic.

http://www.wired.com/news/linux/0,1411,55172,00.html?tw=wn_story_related
http://www.symantec.com/avcenter/venc/data/linux.lion.worm.html
http://www.symantec.com/avcenter/venc/data/linux.ramen.worm.html

Jsou dobre srovnatelne s wokennimi cervy; napadaji servery, kde je 
distribuce wokna/linux zhruba pul na pul. Na rozdil od masin desktopovych, 
kde je distribuce odlisna (zatim), coz se casto mylne pouziva jako 
argument.

(Jo a jeste Cheese worm, ktery je anticervem na Lion, a napada a patchuje 
napadene masiny.)

Zde se nazorne ukazuje, ze zatimco oba systemy jsou potencialne 
napadnutelne, Linux vyhrava jako podstatne robustnejsi; zatimco o zminene 
trojici cervu slyseli vicemene jen nekteri administratori, jmena Code Red, 
Nimda, Slammer jsou vseobecne znama - zejmena vzhledem k podstatne vyssimu 
mnozstvi uspesne napadenych cilu. Tyto cervy byly zvoleny jako 
reprezentativni priklad, nebot stejne jako vybrane Linuxove priklady 
napadaji servery. Doted muj IDS hlasi mraky a mraky pokusu o pripojeni na 
port 1433, kde byva umisten MSSQL - oblibeny to cil cerva Slammer.

Duvodu teto disparity je nekolik. Mezi nejdulezitejsi patri pomerne 
zastoupeni rychlokvasenych administratoru Windows, jez si mysli, ze kdyz 
umi tahat mysickou a naklikat aby to nejak chodilo, umi administrovat 
server (tzv. Minesweeper-Certified Solitaire Experts), az donedavna 
naprosta nepritomnost firewallu v defaultni instalaci (a i ten slavny XP 
SP2 firewall se s tim nijak extra nemaze a jeho funkce je zejmena 
umoznit Billovi aby tvrdil, ze ma firewall (po tolika letech)), milion 
sluzeb bezicich by default a exponovanych do Site (vs. neprovozovani 
niceho co nemusi bezet - zde je to distribuci od distribuce ruzne, napr. u 
RedHatu se musi par veci po instalaci povypinat, ale neni to tak zle), 
absence chroot pod Windows (alespon ja nevim jak), pomerna jednoduchost 
pro privilege escalation pod Windows, uzavrenost kernelu Windows (takze 
bye bye security patches), a mnoho a mnoho dalsich druhu problemu.

Velmi dulezitym rozdilem je zde (ne)dostupnost zdrojoveho kodu pro tu 
kterou platformu. Mate-li zdrojak, cela komunita muze pracovat na patchi 
kdyz se objevi dira, nebo i na patchi kdyz se dira neobjevi ale mohla by. 
Mnohe programy umoznuji pri kompilaci nastavit co se ma a nema do programu 
prikompilovat za featury, coz opet muze zvysit bezpecnost (aneb kdyz to 
nepotrebuji, nepouziji). Takze at jiz jde o bug nebo o feature request, 
uzivatele/administratori nejsou odkazani na libovuli Hamizne 
Megakorporace.

Dalsim problemem jsou Windows Registry. Puvodne mozna dobry napad, lec 
realizace ponekud pokulhavajici. Porovnam-li jednoduchost zalohovani a 
migrace a editace konfiguraci softwaru pri pouziti Registru a pri pouziti 
hromady malych textovych souboru v /etc, vyhrava /etc bez ztraty kyticky. 
(Mimo jine proto, ze si mohu do prislusnych souboru napsat komentare proc 
jsem tu kterou zmenu delal, a puvodni konfig si ponechat budto 
zakomentovany, nebo prislusny soubor zazalohovat. V Registrech totez jde 
dost blbe, pokud vubec.)

Co ja osobne povazuji za obzvlaste nechutne a praci pridelavajici prikori 
je naprosta absence zakladnich tools jako strace, ltrace, a tcpdump ze 
standardni distribuce Windows, stejne jako pateticky pokus o commandline 
shell ("cmd.exe"), jez neni hoden bashi ani boty vycistit. Fuj.




Další informace o konferenci Hw-list