Linux & Virussen

Zolang de verpreidingsgraad van software laag is is het hele platform niet interessant voor virus-bouwers. En daar komt nog eens bij dat er maar heel weinig virusbouwers zijn want het over overgrote deel van die gasten zijn gewoon jochies die een virus een andere naam geven en 1 regeltje veranderen. En die laatste groep weet van Linux over het algemeen erg weinig af

Daarnaast zal Linux door de rechtenstructuur vaak ook minder schade ondervinden door virussen dan bijvoorbeeld op Windows. Zolang je tenminste niet met het root account op Internet surft en werkt, maar een user account gebruikt hiervoor.

Wel een interssante vraag...ik begrijp dat je je mail/samba shares wilt scannen, maar dat is niet echt voor je linux systeem,rite? zijn er linux virussen 'in the wild' ?

EnnaN schreef op 16 januari 2003 @ 13:58:
Wel een interssante vraag...ik begrijp dat je je mail/samba shares wilt scannen, maar dat is niet echt voor je linux systeem,rite? zijn er linux virussen 'in the wild' ?

Een zoekaktie op een willekeurige virusdatabase van een anti-virus leverancier kan hierin eenvoudig inzicht verschaffen. Ze zijn er wel, maar mondjesmaat.

most linux virussen don't work if you ain't got the manual

[quote]Verwijderd schreef op 16 januari 2003 @ 14:14:
most linux viruses don't work if you ain't got the manual




Er zijn vooral een paar wormen voor oude versies van Red Hat, maar voor de rest weinig noemenswaardigs volgens mij. Een groter probleem zijn onveilige, niet-nodige, draaiende services.....maar dat is bij recente 'default' installs van de grote distributies geen probleem meer (het meeste staat uit, tenzij jij het aan zet).

Langzaam beginnen er wel degelijk meer virussen bij te komen voor linux... nog niet echt noemenswaardig en vanwege bovenstaande argumenten ook moeilijk te verspreiden. De meeste computervirussen vertrouwen op fouten van hun gebruiker. Slechts sommige komen binnen tijdens surfen en zo.
Je hoeft je als privé gebruiker van linux geen zorgen te maken gewoon je systeem een beetje up-to-date houden en klaar. Echter in een bedrijf zul je iets meer moeten doen. Een behoorlijke firewall inclusief virus scanner is het minste. Je moet in dit soort situaties nl ook rekening houden met menselijke fouten.

Verder is de angst voor virussen vaak ongegrond. Op mijn werk kwam laatst een gebruiker bij me langs die iedereen aan het waarschuwen was voor een virus. nl een beertje in een systemfolder (windows) dat gevaarlijk was. Over duidelijk een hoax maar wel weer dertig gebruikers zonder behoorlijke java ondersteuning...

Gewoon zorgen voor een goede bewustwording is dus het enige antwoord in zo'n situatie maar euh ik merk al dat ik een klein beetje doorblaat... lees gewoon eens www.securityfocus.com 2x per week of zo dan ben je al een stap in de goede richting

[ Voor 5% gewijzigd door Verwijderd op 16-01-2003 16:09 ]

Verwijderd schreef op 16 January 2003 @ 13:28:
Linux en virussen??
Hoe zit het eigenlijk met virussen en linux? Ik heb wel eens gezien dat er een aantal worms waren voor linux. Hoe groot is het gevaar voor virussen bij linux?

Vergeet niet dat worms en virussen verschillende dingen zijn.

Worms zijn programma's die zoeken naar vulnerable servers en deze dan infecteren. De geinfecteerde machine zoekt weer andere vulnerable servers, enz, enz.
Worms verspreiden zich dus automatisch, zonder tussenkomst van gebruikers, en hebben uitsluitend servers (dus programma's die connecties accepteren) als doel.

Voorbeelden zijn Nimda en Code Red voor IIS en slapper voor Apache.

Virussen daarentegen hebben doorgaans client-software als doel. Software die geen verbindingen accepteert maar initieert (onder normale omstandigheden). Daarom vereisen virussen bijna altijd gebruikers om te verspreiden. De user moet met een vulnerable client "iets doen" waardoor hij het virus binnenkrijgt. Voorbeelden zijn "I Love You" en "Klez" (beiden voor Outlook).


Op het moment zijn virussen geen issues voor GNU/Linux, worms wel.


Worms heb je last van als je server software (http, ftp, dns, dhcp, irc, enz, enz servers) draait. Besmetting door worms voorkomen is erg eenvoudig: security updates doen.
Worms zijn, als ze al gemaakt worden en aanslaan, doorgaans weken later dan de eigenlijke exploit. Als je dus binnen twee dagen na het ontdekken van een exploit in een service update, dan is het risico op besmetting heel erg klein.
Ook het kiezen van de juiste software is belangrijk (apache heeft een goed security record, wu-ftpd niet), en natuurlijk het juist configgen.


Van virussen bestaan er alleen enkele proof-of-concept exemplaren, in het wild is er nog nooit iets waargenomen. Dit zal deels komen doordat GNU/Linux' marktaandeel op de desktop kleiner is dan op de server, maar ook het betere security model (en het feit dat dat gebruikt wordt!) speelt mee. Verder zijn de meeste clients voor GNU/Linux aanzienlijk veiliger (Outlook bijvoorbeeld is echt een securityhole dat zich voordoet als een mailclient).
Dingen die ook significant schelen zijn het feit dat in GNU/Linux verschillende mensen verschillende clients (mailclients of webbrowsers bv) gebruiken. Een virus voor één van die clients besmet de anderen niet.

Voorkomen van virussen: security-updates en niet clueless doen (zomaar een programmatje van een wazige site runnen kan hele vervelende resultaten geven).

[ Voor 6% gewijzigd door deadinspace op 16-01-2003 17:04 ]

deadinspace schreef op 16 January 2003 @ 17:02:

O ja, firewalls helpen niet tegen virussen.
Een (goed geconfigde) firewall is een nuttige tool die oa voor beveiliging gebruikt kan worden, maar virussen hou je er niet mee tegen. Jezelf tegen worms beschermen (door niet-gebruikte services te firewallen) kan er wel mee.

Firewalls als in een machine met een packet filter erop en een virusscanner (die alle binnenkomende packets scanned) helpt wel degelijk...

Maar inderdaad alleen een firewall als in block dit laat dat toe helpt niets tegen virussen...

het is gewoon een moeilijk onderwerp

Ehm, hoe zie je aan 1 network-packet of het een (deel van een) virus is?
Ik geloof niet dat er virusscanners op TCP/IP level zijn, laat staan virussen...

iets wat ook wel is voor kan komen (maar ik ben het nog nooit tegen gekomen) zijn "trojan mirrors" Een mirror dus met een gemodificeerde versie.
mirrors zijn ok, maar als je niet helemaal zeker bent moet je gewoon ff md5summen en de gpg sign checken. (beide kan sowieso nooit kwaat.)

[ Voor 3% gewijzigd door Verwijderd op 16-01-2003 18:04 . Reden: typo ]

IVS: Het is mogelijk om dit op het "tcpip" level af te handelen. De huidige virusscanners doen naar bepaalde fingerprints zoeken in files (onder andere). Het is dan ook heel goed mogelijk om een paar snort / hogwash filters te schrijven die dit soort dingen voor je afvangen.

Is het mogelijk dat virussen onder linux werken? Dat is imo geheel afhankelijk van diegene die het bedient en gebruikt. De reden dat er op dit moment relatief weinig virussen zijn komt doordat linux ook niet zo "exposed" is als windows. Feit blijft dat er duizenden (zo niet miljoenen) "standaard end luser" windows bakken aan inet hangen, in tegenstelling tot de (nog) schaarse linux machines. Zodra ook linux (of een willekeurig ander os) veel gebruikt gaat worden op internet als "standaard end luser" bak, dan zullen er net zo hard verschrikkelijk veel virussen komen voor lnx... Nou is het wel zo dat je als user vrij beperkt bent in het manipuleren van binary's, maar bedenk je eens wat er gaat gebeuren als een worm gecombineerd gaat worden met een local root exploit... Ben je net zo ver van huis.

[ Voor 7% gewijzigd door Verwijderd op 16-01-2003 23:06 ]

Verwijderd schreef op 16 januari 2003 @ 17:11:
Firewalls als in een machine met een packet filter erop en een virusscanner (die alle binnenkomende packets scanned) helpt wel degelijk...

Mja, maar dan moet je ook met het protocol boven TCP bezig zijn lijkt me, en dan ga je meer richting proxy dan firewall.

Maar dat is idd een wat vaag gebied.