[ALG] virus vrij linux voorbij?

Er zijn de laatste tijd inderdaad steeds meer exploits voor linux die bekend worden. Ik denk dat het niet zo zeer is dat er steeds meer bij komen, maar dat de aandacht die eerst alleen bij windows lag langzaam verschuift naar linux. Hierdoor doen meer mensen 'onderzoek' naar fouten in de software.

Als je linux op de juiste manier gebruikt is er niet zo veel aan de hand. Er zijn mensen bij die standaard inloggen onder root omdat ze dan alles kunnen. Hiervoor is linux nooit ontworpen. Als je goede restricties oplegd aan gebruikers en het virus is in bij die gebruiker actief gemaakt zal het nooit meer kunnen dan die gebruiker ook mag. Het is dus maar net hoe je je systeem gebruikt.

De worms die scannen naar daemons zijn gevaarlijker. Je kunt inderdaad elke paar dagen kijken of er exploits zijn gevonden. Dit is een hoop werk en elke twee dagen apache opnieuw installeren doe je ook niet. Ik denk dat je het beste kunt aanmelden op een mailinglist bij een van de security-boeren op internet (linuxsecurity.com, securityfocus.com, etc).

Belangrijkste is en blijft dat je je systeem op de juiste manier moet gebruiken.

Chris

Wormen bestaan al zo lang dat er niet wezenlijk iets is veranderd. Je moet zowiezo goed opletten of er geen exploits zijn voor software die jij draait! Een bugtraq mailinglist is daar zeer handig voor (alhoewel je je wel door de blubber heen moet waden). En als je bijvoorbeeld een virusscanner gaat draaien helpt dit weinig tegen een worm!

Linux is in theorie net zo vulnerable voor wormen als windows, echter in de linux "community" worden exploits vaak eerder gedicht.

just my 2cts.

Valt wel mee hoor. Exploits zijn er altijd geweest. In dezelfde service (www/ftp/...) komen exploits gemiddeld minder vaak voor dan bij de vriendjes uit redmond. Wat echter lijkt te veranderen is dat er wat kiddos op basis van een exploit vaker een geautomatiseerd script schrijven (AKA Worm).
Wat niet veranderd is is dat je ook onder linux gewoon je software moet updaten als dat nodig is. (gelukkig niet zo vaak, in afgelopen jaar 2 pakketten op me server "moeten" upgraden, apache en openssh)

Feit blijft wel dat ze bij bij linux over het algemeen de updates voor exploites veel beter hebben geregelt.

voorbeeldje van debian:

sources.list:

deb http://security.debian.org stable/updates main contrib non-free

apt-get update
apt-get upgrade

iedere dag

Een virus en een worm is niet hetzelfde. Wormen zul je altijd hebben. Goed updaten, klaar. Een virus kan in linux nog steeds nauwelijks goed leven, tenzij het in de vorm is van

oid... Dus virussen: no way. Wormen: goed uptodate houden om ze zoveel mogelijk af te houden...

Of je nu GNU/Linux , BSD of Windows gebruikt, 90% van je 'exploitbaarheid' bepaal je zelf.
Nu zijn GNU/BSD gebruikers meestal (ik zeg _meestal_ elevator ) van een hoger niveau dan Windows mensen, en dus daarom is de kans op een exploitable bak kleiner.

Virussen zijn een lachertje onder Free OS'en, tenzij je er een gewoonte van maakt om eender welke binary te draaien ? Maar zelfs dan kan je systeem er niet van stuk tenzij je het vorige combineert met werken als root.

Ik voel me vele malen 'veiliger' onder GNU dan onder windows. Dit is omdat IK dan de baas over het systeem ben en niet andersom.

Heb hier in cron een scriptje draaien die elke dag apt-get update; apt-get upgrade -duy uitvoert. Elke keer als ie dat uitvoert, krijg ik een mailtje. In dat mailtje staat dan dagelijks dat er 0 updates zijn, maar als er 1 update is, staat erbij welke package dat is en staat ie alvast klaar om geinstalleerd te worden, hoef alleen ff te SSH'en en nogmaals de upgrade te doen. Packages staan al op de hdd.
Reden van bovenstaande methode: je zult em maar es aanpassen zodat ie met dist-upgrade gaat werken om extra pakketjes te installeren. Nadeel van Dist-upgrade is dat het om nou net dat ene pakketje te installeren zo je hele systeem kan leegflikkeren

Kan je dat scriptje ns posten? Of liever een link erna

Ff opslaan, uitvoerbaar maken (chmod 755 bijvoorbeeld) en plaats em in /etc/cron.daily

Edit: zorg er wel voor dat Cron naar Root kan mailen, hetzij via de mailbox van root, hetzij via een alias in Sendmail/postfix/qmail/exim

* _JGC_ heeft qmail op die bak gezet omdat er 2 sysadmins zijn op die bak, en we beide graag de mails voor root willen lezen, maak je gewoon een aliasfile met 2 mailadressen erin

Verwijderd schreef op 09 oktober 2002 @ 17:03:
Een virus en een worm is niet hetzelfde. Wormen zul je altijd hebben. Goed updaten, klaar. Een virus kan in linux nog steeds nauwelijks goed leven, tenzij het in de vorm is van

code:

1	Please run me as root to help me take over the world

oid... Dus virussen: no way. Wormen: goed uptodate houden om ze zoveel mogelijk af te houden...

Hier ben ik het niet helemaal mee eens. Linux begint onder de aandacht te komen van mensen die iets minder kaas hebben gegeten over de pc in het algemeen. Die downloaden dus een programma, weet ik waar vandaan. Zal wel meestal in een rpm-vorm zijn. Willen dit installeren dus moeten hun root-wachtwoord in typen. Natuurlijk doen ze dat. Laat er nou net in die rpm buiten het gewenste programma ook een of andere root-kit zitten. Deze wordt nu dus keurig geinstalleerd en kan overal bij, want root installeert toch.
Dit soort mensen weet dus niets over md5sum ofzo om de meest noodzakelijke bestanden te controleren of deze wel of niet gewijzigd zijn.

Dus zeg nooit - nooit.

Dus zeg nooit - nooit.

Nooit

Maar ff serieus, in linux moet je een virus toch echt als root executen, en in root draaien is absoluut niet nodig als gewone user (terwijl het in windows een stuk meer gedoe is om als gewone user te draaien)

Ik denk wel dat we een toename kunnen verwachten door telgen als Lindows... als er eenmaal een redelijke userbase voor is zullen er wel onverlaten op het idee komen om de always-root situatie in Lindows te exploiten.

Nu verdienen Lindows-users dit natuurlijk wel een beetje

Solarsparc schreef op 09 oktober 2002 @ 21:49:
Ik denk wel dat we een toename kunnen verwachten door telgen als Lindows... als er eenmaal een redelijke userbase voor is zullen er wel onverlaten op het idee komen om de always-root situatie in Lindows te exploiten.

Nu verdienen Lindows-users dit natuurlijk wel een beetje

* wzzrd zal eens een mooi Lindows specifiek virus bakken

^{Bij deze wil ik wel ff melden dat - zou ik het willen - niet in staat zou zijn écht een Lindows virus te schrijven. Ik wensch dus niet aangeklaagd te worden voor deze dingen, noch hier op GoT, noch in een rechtbank. Daarnaast moet gemeld worden dat mensen die Lindows denken te moeten gaan gebruiken de nagel aan de doodkist van een virus-vrij Linux Lindows zullen zijn. Want niet Linux gebruikers krijgen daar last van, maar alleen zij, die niet weten hoe ze een goede Linux distro moeten herkennen: de Lindows gebruikers.}
* wzzrd neemt nog maar een Dhalwhinnie Woei!

Verwijderd schreef op 09 oktober 2002 @ 18:57:
Hier ben ik het niet helemaal mee eens. Linux begint onder de aandacht te komen van mensen die iets minder kaas hebben gegeten over de pc in het algemeen. Die downloaden dus een programma, weet ik waar vandaan. Zal wel meestal in een rpm-vorm zijn. Willen dit installeren dus moeten hun root-wachtwoord in typen. Natuurlijk doen ze dat. Laat er nou net in die rpm buiten het gewenste programma ook een of andere root-kit zitten. Deze wordt nu dus keurig geinstalleerd en kan overal bij, want root installeert toch.
Dit soort mensen weet dus niets over md5sum ofzo om de meest noodzakelijke bestanden te controleren of deze wel of niet gewijzigd zijn.

Sinds wanneer weten n00bs hoe ze software moeten installeren? . Je hebt een te hoge pet op van die mensen die echt zo hopeloos zijn... Ik snap op zich wel wat je bedoelt, maar ik denk niet echt dat hier een groot gevaar is. Het probleem is simpelweg dat de gebruiker de grootste zwakheid van een systeem kan zijn. Voor thuiscomputers, waar de gebruiker admin rechten heeft, is dit een probleem. Op bedrijfscomputers niet. Daar is linux primair interessant, want op thuiscomputers werken al die spelletjes e.d. toch niet. (blabla wine blabla).

Maar waar het allereerst om gaat is dat automatische virussen geen kans hebben. Er moet handmatig handelen aan te pas komen om een virus te activeren (plus rechtenverandering), en daar zit hem de kracht van linux! .

"Sinds wanneer weten n00bs hoe ze software moeten installeren?"

Je zult er verbaasd van staan wat noob's kunnen aanrichten

'want op thuiscomputers werken al die spelletjes e.d. toch niet. (blabla wine blabla)."

Op dit moment, ben ik dit helemaal met je eens. Maar men is hard aan het werk om linux toegangkelijker te maken voor de beginnende gebruiker. Op zich is daar niks mee. Het is wel zo, wat vandaag niet kan, kan morgen toch gebeuren. Linux is zeer veilig. Inderdaad speelt het rechtensysteem daarin een grote rol. Maar ik, als beginnende user, vindt het fout om aan te nemen dat iets nooit zal gebeuren.


nieuws: Sendmail 8.12.6 bevat een Trojan

Net zoals met code red het geval was. het draaien van services brengt een kleine verantwoordelijkheid met zich mee. gelukkig word dat tijdens de installatie aangegeven (suse redhat mandrake bedoel ik dan) Het leuke vond ik wel een wedstrijd wat een tijdschrift ooit eens gehouden had met redhat 7.3 en mdk 8.2 ze hadden 2 computers standaard geinstalleerd, verder niks aangepast. mensen mochten proberen om die standaard installatie te kraken. was na 3 maanden en 1000den pogingen nog niet gelukt. Dus ik denk dat als de mensen de distributies bijhouden, simpel om het feit betere prestaties/ meer features. dat je automatisch ook meer veiligheid hebt (wel in hele kleine mate)

Verwijderd schreef op 10 oktober 2002 @ 11:18:
Net zoals met code red het geval was. het draaien van services brengt een kleine verantwoordelijkheid met zich mee. gelukkig word dat tijdens de installatie aangegeven (suse redhat mandrake bedoel ik dan) Het leuke vond ik wel een wedstrijd wat een tijdschrift ooit eens gehouden had met redhat 7.3 en mdk 8.2 ze hadden 2 computers standaard geinstalleerd, verder niks aangepast. mensen mochten proberen om die standaard installatie te kraken. was na 3 maanden en 1000den pogingen nog niet gelukt. Dus ik denk dat als de mensen de distributies bijhouden, simpel om het feit betere prestaties/ meer features. dat je automatisch ook meer veiligheid hebt (wel in hele kleine mate)

Dan mochten ze wel update denk ik want Ik heb ook dit soort verhalen gehoort maar dan met bakkies die niet up to date waren en die lagen binnen een paar uur plat. Was dacht ik om aan te tonen dat een geupdate windows veiliger was dan een oude linux

Verwijderd schreef op 09 oktober 2002 @ 11:44:
is de tijd voorbij dat je linux kon draaien zonder virus software?

Neuh.

Je haalt nu trouwens wel twee dingen door elkaar: worms en virussen.

Worms richten zich op servers (apache, bind, dat soort dingen). Die zijn er al heel lang voor GNU/Linux (en andere OSsen uiteraard). Niks nieuws onder de zon dus.
Er zal wel steeds meer scriptkiddie-aandacht naartoe gaan, dus worms zullen sneller verschijnen voor een bepaalde expoit enzo, maar security updates voor je software moet je sowieso bijhouden, en dat moest je een paar jaar geleden ook.

Virussen richten zich meer op gebruikers-software, en op de gebruikers zelf ("installeer dit prog en krijg tonnen pr0n gratis!"). Virussen zullen in aantal wel omhoog gaan, omdat er steeds meer "gewone" gebruikers van GNU/Linux komen. Maar dat is niet iets waar wij ehm... gevorderde gebruikers last van hoeven te hebben.
Wat betreft de gebruikers-software, die bevat ook wel eens exploits, maar als je je security-updates een beetje bijhoudt dan loop je wat dat betreft heel weinig risico. Dat komt onder andere omdat gebruikers software voor GNU/Linux over het algemeen erg weinig exploits heeft (zie bijv mutt vs outlook ), maar ook omdat Joe Sixpack met Windows natuurlijk Outlook en IE gebruikt. Dat betekent dat een virus voor Outlook of IE op bijna elke computer terecht kan, terwij je in GNU/Linux niet één mailclient of één browser hebt. Die monocultuur van Windows + bepaalde software is dan gewoon een paradijs voor virussen (vergelijking: in de natuur zijn ployculturen ook veel robuuster dan monocolturen).

En wbt dat sociale aspect: zolang je snapt dat een programma van onbekende of onvertrouwde afkomst een virus kan bevatten en je dus een virus kunt installeren als je het programma installeert, dan heb je ook niet heel veel te vrezen.

En nog iets: als het goed is heeft je distributie van keuze speciale voorzieningen voor security-related issues en updates, waardoor je heel goed je security updates zou moeten kunnen bijhouden.

The keyword is 'UPDATE' over here

( Sorry voor het Engels )