Malware, Vírus e Hacking. Estamos seguros usando Linux?

A pergunta que ainda não se cala entre veteranos e novatos no GNU/Linux será respondida neste artigo, existe vírus para o Linux? Neste artigo eu descrevo quais são as verdadeiras ameaças para usuários do GNU/Linux e o que é só especulação da mídia e como se defender.

[ Hits: 44.631 ]

Por: M4iir1c10 em 11/08/2015 | Blog: https://github.com/mauricioph


Vírus e Worms



Os vírus, propriamente dito tem suas características que os definem como vírus. Entre as características 3 são as principais.
  • Auto execução sem a intervenção humana.
  • Auto replicação de si mesmo sem intervenção humana
  • Auto propagação sem intervenção humana.

Por causa dessas 3 características de um verdadeiro vírus, podemos afirmar categoricamente que NÃO EXISTE VÍRUS PARA LINUX. Só que aí você que tem esse pensamento de que existe vírus para todas as plataformas, diz... Tem sim, eu já vi no jornal, na internet, no site A ou B dizendo que tem vírus para Linux.

1. A imprensa mente.
2. Empresas de antivírus querem vender seus produtos.
3. Microsoft não quer ser a única empresa com vírus no mercado.

Vamos analisar o caso de um vírus atacando o sistema Linux, primeiro que o vírus tem que ser executado sem intervenção humana e no Linux nada é executado se você ou o root não der permissão de execução.

Depois de executado com sucesso o suposto vírus deve executar a função maliciosa, se você não der permissão de root para o script, ele só pode mexer no seus documentos, assim sendo vamos dizer que ele copia um certo documento importante e envia ao seu criador, só para dizer que ele é perigoso.

Até aqui esse programa nada mais é do que um spyware, agora digamos que ele faz cópias de si mesmo e envia para os seus contatos. Para fazer tal coisa você deve estar usando um cliente de e-mail configurado de forma que você pode enviar e-mails para os seus contatos, ou ele pode ser enviado por Bluetooth, ou se espalhar em máquinas conectadas na mesma rede. O que torna-se impraticável porque a maioria desses eventos necessitam de intervenção do usuário e autenticação.

E essa é a palavra chave que todos os anúncios de "vírus" no Linux procuram varrer para debaixo do carpete. Acesso como usuário root. Para colocar de forma mais simples de como descobrir se um anúncio de vírus é especulação ou fato, procure por essa palavra e você vai perceber que de forma bem sutil eles mencionam que para que o suposto vírus possa fazer o estrago ele precisa de acesso administrativo. É claro!!!! root tem poder absoluto no sistema, usar o root como usuário principal é fazer do Linux um Windows. Porém se você não é root, você não apita em nada no sistema, somente os seus arquivos na pasta /home, /tmp e nada mais.

Em termos práticos, além de você ter que encontrar um vírus capaz de fazer algum dano você tem que dar permissões de execução para ele e ainda executá-lo como root para que ele tenha capacidade de talvez infectar arquivos do sistema, ou seja você tem que dizer: "Vírus eu sou masoquista computacional, me infecte!"

Geralmente um anúncio de vírus no Linux usam palavras chaves para te distrair do fato que sem acesso como root o vírus é inofensivo. "Sistema comprometido", "aparelho infectado", "acesso administrativo explorado", "sistema vulnerável" etc. Todas essas palavras chaves significam a mesma coisa... o suposto "vírus" tem que ser executado pelo root ou nada feito.
Veja um exemplo:
Veja que esse vídeo eles alertam para dois casos, um vírus destinados a outros sistemas em servidores Linux e "vírus" executados pelo browser, que de acordo com a matéria dispensa a autenticação do root para ser executado. Lembre-se destes dois casos, porque eu vou mencioná-los mais adiante.

Outro detalhe sobre "vírus" no Linux geralmente os vírus não tem vida longa... Porque hein!!?? Simples, devido aos obstáculos para a propagação e o sistema de autenticação que impede qualquer um de fazer o que quiser, faz com que o vírus morra antes de se propagar. Por exemplo, digamos que eu sou um idiota e resolvi me logar como root e criar um vírus que deve infectar outras máquinas na rede.

Ao criar o vírus ele vai executar tudo que eu quiser porque eu sou o root na máquina, só que ao copiar ele para outra máquina usando SSH, para executar eu tenho que me logar no SSH, usar o sudo para ser root da máquina invadida e executar o tal vírus. Tarefas impossíveis de ser executadas automaticamente. Esse vírus está ativo na minha máquina e dormente (morto) na segunda máquina.

Se o sistema tem o Samba ativo e configurado para compartilhar a pasta do usuário na rede (que diga-se de passagem é uma pratica horrível) e eu copio o "vírus" na pasta de autoexecução do KDE ou GNOME ou eu altero os arquivos repensáveis pela execução de programas ao iniciar o ambiente gráfico seja ele qual for, esse "vírus" só vai se espalhar em máquinas que estejam configuradas no mesmo modo e ainda assim só os usuários comuns podem executar esse "vírus".

As alterações nos arquivos de autoexecução não poderão ser feitos automaticamente a não ser que o ambiente esteja tão mal configurado e que além do Samba apontando para a pasta do usuário o SSH tem que estar desprotegido e a senha de todas as máquinas e usuários tem que ser a mesma para que um login possa ser executado e os arquivos da máquina alvo sejam alterados.

Em resumo, não é possível se espalhar de forma que afete todas as máquinas.

Worms

Como eu já descrevi as características de um worm na página anterior:

Worm - o verme (worm) é outro programa pequeno e auto-replicante, mas geralmente ele não se aloja em outra aplicação, em vez disso ele roda escondido como um serviço do sistema, executando a tarefa pela qual foi criado.
Assim como um vírus ele é auto-replicante, quer dizer, ele faz cópias dele mesmo e espalha através da rede.

O motivo pelo qual um worm não é possível no Linux é o fato de rodar escondido como um serviço do sistema, usuários comuns não podem executar serviços do sistema por si e muito menos esconder esses serviço do comando ps. Assim sendo, mesmo que eu seja idiota suficiente para criar um worm no meu computador como root ele não vai se espalhar e rodar em outros sistemas, porque ao infectar o outro sistema ele precisa ser rodado como root do sistema atacado para alcançar seus objetivos.

Qual a diferença entre um vírus e um worm?

O vírus se aloja em uma aplicação e executa seus objetivos enviando comandos do programa infectado, enquanto o programa infectado está instalado o vírus está ativo.

Já o worm se espalha pela rede e ele não depende de outra aplicação, em inglês chamamos de standalone application, quer dizer uma aplicação que não depende de outra aplicação mas sozinho executa seus objetivos.

Se você instalou uma aplicação e descobriu que seu computador está infectado, foi um vírus... se você não instalou nada e o computador foi infectado é um worm que entrou pela rede... claro que isso só é possível no Windows e não no Linux, nada entra no Linux por acaso.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Entendendo os nomes
   3. Vírus e Worms
   4. Trojans e Spyware
   5. Adware, Ransomware e Scareware
   6. Drive-by-Download
   7. Android, SUSE e Canonical
   8. Invasão remota e física
   9. Invadindo o seu próprio Linux
   10. Referências e conclusão
Outros artigos deste autor

Codificação e decodificação entre ASCII, hexadecimal e unicode

Raios de luz explodindo atrás do texto

Letras brilhantes com Gimp

Máquina Enigma e encriptação em XOR

Instalando e configurando um dock igual ao Mac Leopard no KDE

Leitura recomendada

Data Recovery em dispositivos e partições formatadas com Linux

O Kerberos não é um cachorro de 3 cabeças!

Identificando dispositivos IoT usando Wireshark e criando uma estratégia interessante de visibilidade em Linux e Unix

Autenticação de servidores CentOS/Red Hat 6 em Windows 2008

Gerar par de chaves com o GnuPG em 11 passos

  
Comentários
[1] Comentário enviado por Lwkas em 11/08/2015 - 21:03h

Muito bom. O melhor artigo sobre o assunto que li. Parabéns.

[2] Comentário enviado por removido em 12/08/2015 - 01:17h

Excelente artigo que merece ser lido calmamente linha a linha, dado o tamanho e a qualidade.
Prefiro pensar que o cara que clicou unlike errou o botãozinho por bobeira.

Tenho algumas coisas a dizer sobre o excelente artigo:

- Se eu não me engano, um vírus (de MSDOS) copiava seu código para dentro de um executável num certo ponto do código binário. Daí quando o executável rodava, ele se replicava e executava outras coisas para as quais ele foi programado. Lembrando que existiam dois tipos de programas em DOS os de extensão .COM e os de extensão .EXE e não me lembro agora a diferença.

- WINE é acrônimo de WINE Is Not Emulator.

O artigo me deixou com uma profunda impressão e com algumas dúvidas quanto ao tema segurança:

- Se eu quiser reforçar meu sistema com criptografia, se não me engano chama-se sistema LUKS, eu posso, não é. Mas o que poderia criptografar além do /home?

- Posso criptografar a /var? a /usr? Ou até mesmo a / (raiz)? Certamente jamais a /boot poderia ser criptografada por causa do kernel.

- Daria certo essas criptografias em partições físicas ou lógicas com LVM?

- Eu colocar o usuário root no /etc/securetty dá alguma diferença nos truques com o GRUB?

- Se eu alterar manualmente o /etc/passwd trocando shell do usuário root por /bin/false também afeta em algo nos truques com o root?

Eu penso que é só.

--
http://s.glbimg.com/po/tt/f/original/2011/10/20/a97264_w8.jpg

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden

[3] Comentário enviado por juniorlucio em 12/08/2015 - 11:58h

Cara, que artigo incrível. Muito didático e ao mesmo tempo muito avançado. Gostei demais! Parabéns! Abraços

[4] Comentário enviado por sacioz em 12/08/2015 - 14:43h


Muito obrigado . Muito bom ...espero mais e maiores . Abragendo tudo , como eu disse ao Elgio uma vez. Sua resposta ? Não existe um que abranja tudo ! Rsrsrs

Obrigado .

[5] Comentário enviado por removido em 12/08/2015 - 17:20h

Boa tarde,

Artigo bem explicado. Gostei, parabéns!!

Att,
Jbaf 2015
Mageia 5(KDE), Fedora 21(GNOME)
http://www.mageia.org/pt-br/5/

[6] Comentário enviado por M4iir1c10 em 13/08/2015 - 19:49h

Obrigado por todos os comentarios e perguntas, sempre e bom ter a participacao de voces... aprendemos juntos.

[2] Comentário enviado por listeiro_037 em 12/08/2015 - 01:17h
...O artigo me deixou com uma profunda impressão e com algumas dúvidas quanto ao tema segurança:

- Se eu quiser reforçar meu sistema com criptografia, se não me engano chama-se sistema LUKS, eu posso, não é?

Sim

Mas o que poderia criptografar além do /home?

- Posso criptografar a /var? a /usr? Ou até mesmo a / (raiz)? Certamente jamais a /boot poderia ser criptografada por causa do kernel.

Sim, voce esta correto. Com excessao do /boot qualquer pasta pode ser criptografada.

- Daria certo essas criptografias em partições físicas ou lógicas com LVM?

Sim, tanto fisica como logica.

- Eu colocar o usuário root no /etc/securetty dá alguma diferença nos truques com o GRUB?

Nao, colocando em /etc/securetty nao afeta nada. O arquivo securetty e consultado por login e no single user mode o sulogin ignora completamente o securetty. Outro ponto que vc deve levar em consideracao e que se vc quer controlar o login do root pelo securetty somente os programas que sao controlados por PAM serao afetados e ssh e um dos que nao sao afetados, para impedir o root logando no ssh edite o /etc/ssh/sshd_conf


- Se eu alterar manualmente o /etc/passwd trocando shell do usuário root por /bin/false também afeta em algo nos truques com o root?

Nao...NAO, NAO, se voce fizer isso voce nao vai conseguir mais logar como root... Nao faca isso...

Eu penso que é só.

--
http://s.glbimg.com/po/tt/f/original/2011/10/20/a97264_w8.jpg

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden

I totally agree with that statement from Snowden.

Meu contato? anote ai :)
51.562532 -0.109389
51° 33' 45.1152'' N, 0° 6' 33.8004'' W

[7] Comentário enviado por removido em 13/08/2015 - 21:00h

Valeu pela paciência em me responder.
Obrigado novamente!
--
http://s.glbimg.com/po/tt/f/original/2011/10/20/a97264_w8.jpg

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden

[8] Comentário enviado por jpfo em 14/08/2015 - 10:10h

Parabéns ao autor. Este foi, sem qualquer dúvida, um dos melhores artigos, senão o melhor, que li relativamente a Linux.
De resto, apesar de já acompanhar este site à algum tempo, registei-me agora especificamente para comentar este artigo.
Mais uma vez, parabéns ao autor e ao VOL por ter aqui rapaziada tão qualificada a fazer excelentes artigos.

[9] Comentário enviado por geioper em 14/08/2015 - 16:07h


Muito Legal

[10] Comentário enviado por removido em 19/08/2015 - 10:44h

Como sempre a culpa é do cara com a mão no teclado seja no Linux ou no Windows.

[11] Comentário enviado por bleckout em 19/08/2015 - 22:40h

Caramba que belo tópico, ajudou bastante. Parabéns.

Só não encontrei o código que você ia mostrar no final do post daquele e-mail que você recebeu. Fiquei curioso ;)

Vide: "Na última pagina desse artigo eu vou mostrar um código que poderia destruir um computador..."
___________________________________________________________________
[i]"Vivemos todos sob o mesmo céu, mas nem todos temos o mesmo horizonte." - Konrad Adenauer
Ubuntu 14.04 LTS amd64 - Core i7 3770K, 8GB RAM - NVIDIA GTX 760 Windforce[/i]

[12] Comentário enviado por M4iir1c10 em 25/08/2015 - 17:13h


[11] Comentário enviado por bleckout em 19/08/2015 - 22:40h

Caramba que belo tópico, ajudou bastante. Parabéns.

Só não encontrei o código que você ia mostrar no final do post daquele e-mail que você recebeu. Fiquei curioso ;)

Vide: "Na última pagina desse artigo eu vou mostrar um código que poderia destruir um computador..."
___________________________________________________________________
[i]"Vivemos todos sob o mesmo céu, mas nem todos temos o mesmo horizonte." - Konrad Adenauer
Ubuntu 14.04 LTS amd64 - Core i7 3770K, 8GB RAM - NVIDIA GTX 760 Windforce[/i]


Oque eu recebi no email e um e o que eu falei nesse paragrafo que voce mencionou e outro.
O recebido no email esta no screenshots que eu postei e me baseando naquele eu escrevi o codigo que voce mencionou ele esta na pagina 10 na parte das referencias eu o chamo de bash malicioso.

[13] Comentário enviado por pekman em 05/05/2017 - 01:02h

Linux agora virou sistema Operacional?

[14] Comentário enviado por patrickcampos em 03/07/2017 - 15:25h

Muito top o Artigo, um dos melhores que já li aqui no VOL.

Legal!

[15] Comentário enviado por codgolivre em 23/09/2017 - 21:54h

muito bom amigo... esta de parabens , completamente claro e especifico dificilmente alguem fala com essa clareza...artigo de primeira...

valew.

[16] Comentário enviado por cizordj em 09/09/2020 - 12:49h


[13] Comentário enviado por pekman em 05/05/2017 - 01:02h

Linux agora virou sistema Operacional?


Sim e sempre foi


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts