it-swarm-ja.tech

Unix / Linuxにおけるマルウェアに関する神話

Linuxボックスがマルウェアに感染する可能性はありますか?

知らない人に起こることは聞いたことがなく、それが不可能だと何度も聞いたことがあります。本当?

もしそうなら、Linux Anti-Virus(セキュリティ)ソフトウェアはどうなっていますか?

142
Stefan

まず、UnixやLinuxなどのUnixライクなオペレーティングシステムでウイルスに感染する可能性は確かにあります。用語コンピュータウイルスの発明者であるFred Cohenは、4.3BSDで 最初の実験 を行いました。 2003年以降更新されていないようですが、 Linuxウイルスを書く のハウツードキュメントが存在します。

第2に、shスクリプトコンピュータウイルスのソースコードは、20年以上前から存在しています。 Tom Duffの 1988論文 、およびDoug McIllroyの 1988論文 を参照してください。最近、会議用に プラットフォーム非依存のLaTeXウイルス が開発されました。 Windows、Linux、* BSDで動作します。当然、その効果はWindowsの方が悪い...

第3に、(少なくとも)Linux用の実際のライブコンピュータウイルスがいくつか出現しましたが、これらの2つまたは3つ(RST.aおよびRST.b)が「実際に」発見されたかどうかは不明です。

したがって、本当の問題はLinux/Unix/BSDがコンピューターウイルスに感染する可能性があるのか​​ではなく、Linuxデスクトップとサーバーの人口の大きさを考えると、なぜその人口はWindowsが引き付けるウイルスの一種の驚くべき疫病を持っていないのですか?

その理由は、伝統的なUnixユーザー/グループ/その他の裁量的な保護によって与えられる穏やかな保護と、Linuxがサポートするフラクチャされたソフトウェアベースと関係があるのではないかと思います。つまり、私のサーバーは引き続きSlackware 12.1を実行していますが、カスタムコンパイルされたカーネルと多数の再コンパイルされたパッケージを使用しています。私のデスクトップはArchを実行しています。これはローリングリリースです。どちらも「Linux」を実行していますが、共通点は多くありません。

Linux上のウイルスの状態は、実際には正常な平衡状態にある可能性があります。 Windowsでの状況は「ドラゴンキング」であり、非常に珍しい状況である可能性があります。 Windows APIはめちゃくちゃバロック、Win32、NTネイティブAPI、LPTCONAUXのような魔法のデバイス名で、どのディレクトリからでも機能し、誰も理解できないACLです。 、シングルユーザー、ネイ、シングルルートユーザー、マシンの伝統、ファイル名の一部を使用して実行可能ファイルをマークする(.exe)、おそらくこれらすべてがWindows上のマルウェアの状態の一因となっています。

135
Bruce Ediger

Windowsでのウイルスの拡散を防ぐのに役立ちます


Linuxは、ファイルサーバーやメールサーバーなど、さまざまな方法で使用されています。

これらのサーバー内のファイル(MS Officeファイル、Outlookメッセージ、EXEプログラム)を保存できますwith感染。

サーバー自体には影響しないはずですが、保存されているすべてのファイルをチェックしてクリーンであることを確認し、Windowsマシンに戻ったときに将来の拡散を防ぐようにサーバーを構成できます。

私自身、Windowsマシンが動作していない理由を確認するよう友人から頼まれたとき、またはWindowsマシンにペンドライブを接続したときにインストールしました。

49
lamcro

Linux向けのウイルスは原則として可能であり、いくつかは存在しますが、実際には広く普及しているLinuxウイルスはありません。 Linuxのユーザーベースはかなり小さく、Linuxでは、ユーザーモデルが次のようにかなり制限されているため、ウイルスが大きな害を及ぼすことははるかに困難です。 Windows XP。したがって、ウイルス作成者は通常Windowsをターゲットにします。

Linux Anti-Virusソフトウェアがあります。 McAfeeからですが、私が知っているLinuxユーザーはそのようなソフトウェアを使用していません。信頼できるソースからのソフトウェアのみをインストールし、タイムリーにセキュリティ更新プログラムをインストールすることにより、システムを常に最新の状態に保つことがはるかに重要です。

23
fschmitt

歴史的なメモとして、最初のインターネットワーム Morris Worm は、Unixユーティリティの脆弱性を介して広がりました。 Linuxより古いものですが、Unixベースのシステムが感染する可能性があることを示しています。

21
KeithB

私の意見では、他の回答で述べられている理由に加えて、Linuxプラットフォームにはウイルスがあまりないという理由がもう1つあります。 Linuxのほとんどすべてのコンポーネントのソースコードは無料で入手できます。

たとえば、5人のメンバーのチームがアプリケーションを開発するとします。私たちはテスターと他の少数をリストに含めており、多くても10人がコードを知っています。これらの10のうち、可能性のあるものは、コードについて十分な詳細な知識を持っていない可能性があります。したがって、バグやセキュリティホールを指摘するのに十分なコードを知っている人の数は非常に少なくなります。

このコードをフリー/オープンソースにすると、レビューする目が大幅に増えます。したがって、セキュリティホールが見つかる可能性も高くなります。

これらの新しいコントリビューターは、彼らとの経験をもたらします。多くの場合、新鮮な目で、当初開発者が無視した/認めた/見逃した抜け穴に気付くことができます。

アプリケーションの人気が高まるほど、その貢献者も増えます。この自由/開放性がLinuxプラットフォームの脆弱性の数を減らすことに貢献していると思います。

6
Andrew-Dufresne

すでに良い答えがありますが、何か貢献したいです。

今でもWindowsよりも優れている単純なセキュリティ対策とすべてのウイルスを含めて、問題は主に社会的なものだと私は思います。

主な要因は、ディストリビューションの多様性だと思います。これにより、ウイルスが拡散するのに必要なものを備えていることを確認するのに必要な労力が発生します。これは、危険なメールをクリックしたり、一般的に危険にさらしたりする可能性が低い(私見)Linuxユーザーの人口統計と相まって、ウイルスの成功がさらに抑制されることを意味します。

また、人々は間違いなく窓を攻撃する動機付けが高まっています。

5
barrymac

そうですが、Linuxにはvirusesがいくつかありますが、それらについてあまり心配する必要はありません。彼らはあなたを完全に見逃す可能性が高いほど珍しいです。

あなたができることと心配すべきことはwormsです。これらのプログラムは、通常はユーザーとの対話を介して感染するウイルスとは異なり、サーバー間で単独で広がり、サービスやプラットフォームの脆弱性を悪用します。ワームは、感染するより多くのサーバーを検索し、脆弱なマシンに自分自身をインストールし、それらの動作を頻繁に変更します。訪問するWindowsクライアントにウイルスを提供します。

4
SF.

簡単な答えは、起動時に読み取り専用メディアから自身を読み取る場合を除いて、100%安全なオペレーティングシステムはないということです。

ただし、Windowsには感染のためのベクターが多く、これらのベクターへのアクセスは容易であり、感染するとさらに多くの害を及ぼす可能性があります。これは、「RootKit Arsenal」または他の本を読むとすぐにわかります。

任意のマシンでのエクスプロイトの数は、(1台のマシンをルート化することで利益を得る)*マシン数/(ルート化するマルウェアを作成するためのコスト)にほぼ比例します。

エクスプロイトの数はコンピュータの数に比例するため、マルウェアの量がWin​​dowsの方が多いことは理にかなっています。

しかし、唯一の理由を想定するのは愚かです。 Windowsのウイルスが多いのは、Windowsを実行しているコンピューターの数が多いためです。 Linuxではマルウェアへの感染がWindowsよりもはるかに低コストであることに注意してください。逆に、1回の発根で得られる量は小さくなります。最初の段落で述べた理由により、応援のコストが高くなることにも注意してください。

これは現在のところ正しいことを覚えておいてください。この時点で、LinuxはWindowsよりも優れた設計のシステムです。しかし、ユーザーフレンドリーな機能のより迅速な開発が必要であると言う力があります。これにより、バグが存在しやすくなり、ウイルスが作成されやすくなります。 UbuntuはWindowsと同じぐらいバグが多いことがわかっています。

3
HandyGandy

他の回答では、UnixとLinuxのウイルスに関する歴史的な参考資料が提供されています。より現代的な例には、 "Windigo" および "Mayhem" マルウェアキャンペーンが含まれます。これらは何千ものシステムに感染しています。 MayhemはShellshockの脆弱性を利用して拡散していると報告されています。

Linuxマルウェア検出ソフトウェアについては、オープンソースと商用の選択肢があります。私の偏見では、最も効果的なのは Second Look です。メモリフォレンジックと整合性検証を使用して、Linuxマルウェアを検出します。私はSecond Lookの開発者です。

1
Andrew Tappert