gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Virus: Linux vs M$Win
Contribuído por BladeRunner em 26-02-02 11:31
do departamento biroses
perguntas Zeusfaber escreve "Boas
Nas últimas semanas assistiram-se a algumas discussões acaloradas sobre o linux no desktop. Existem argumentos para todos os gostos e feitios, uns mais fundamentados outros mais emocionais, etc.
No entanto, ninguém referiu os vírus e a suposta imunidade do linux a tais bicharocos.
Esta é uma das razões que eu gosto de apresentar como uma mais valia do linux no desktop, a imunidade a vírus.
Invariavelmente os meus interlocotores respondem que é só uma questão de tempo para aparecerem milhões de infecções e viroses para linux ...
Para mim é realmente um mistério porque que razão não existem vírus em linux, presumo que existam razões técnicas para tal. Por isso deixo a pergunta.
Qual a razão de não existirem vírus em linux ? é suposto virem a aparecer ?
Cumprimentos
Zeus"

EU lanca campanha IPv6 | British Telecom reduz preços acesso Banda-Larga  >

 

gildot Login
Login:

Password:

Referências
  • Linux
  • Mais acerca perguntas
  • Também por BladeRunner
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    eles andem ai..... (Pontos:1)
    por JoãoCanhão em 26-02-02 11:42 GMT (#1)
    (Utilizador Info)
    Existem virus para linux, apenas em mto menos quantidade.... É mto mais facil fazer um viruszeco para Win* e outra razao para haver mais virus para Win* é pq existem mto mais pessoas a usar Win* do q Linux. .....É claro que posso estar enganado... corrijam-me sff...
    Virus (Pontos:3, Esclarecedor)
    por Branc0 em 26-02-02 11:51 GMT (#2)
    (Utilizador Info) http://www.syners.org
    Eu acho que 90% dos virus não são Win target... são user-target.

    A única dificuldade técnica que o Linux apresenta que o Win9x/ME não apresenta é a de que precisas de ser root para fazer algum mal ao sistema.

    Mas isso de estar logado como root é coisa que os newbies(e não só) costumam fazer para instalar aplicações e coisas do género.

    Outra coisa muito gira são os RPMs. Quem te garante a ti que quando instalas um RPM não estás a instalar um backdoor ou um virus na tua maquina?
    Quantos daqueles que usam RPMs (myself included) é que realmente estão a verificar aquilo que os RPMs fazem ao sistema?

    Fazer o download de tais RPMs (e poderia dizer-se o mesmo das sources) de trusted-sites pode ajudar, mas como já aconteceu no passado, esses sites podem ser "hackados" e serem distribuidas sources e RPMs "trojanados".

    Ou seja, os virus para Linux podem ser feitos, já exisitiram, ainda existem e vão continuar a existir.

    O lado positivo é que entre fazer um virus para Linux e fazer um scr1pt em VB que te põe o Windows aos saltos ainda vai um grau de dificuldade e não são todos que o fazem, especialmente quando os autores de virus são miudos sem vida social que decidem pegar num Virus-Cooker num fim de semana e começam a distribuir...


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re:Virus (Pontos:3, Interessante)
    por Gamito em 26-02-02 12:15 GMT (#3)
    (Utilizador Info) http://gamito.freezope.org/
    Quantos daqueles que usam RPMs (myself included) é que realmente estão a verificar aquilo que os RPMs fazem ao sistema?

    Fazer o download de tais RPMs (e poderia dizer-se o mesmo das sources) de trusted-sites pode ajudar, mas como já aconteceu no passado, esses sites podem ser "hackados" e serem distribuidas sources e RPMs "trojanados".


    É verdade o que dizes, mas se fizeres downloads de sítios de confiança e lhes aplicares os checksums... mas aí voltamos à história do user...

    Mário Gamito
    Re:Virus (Pontos:2)
    por Branc0 em 26-02-02 12:42 GMT (#4)
    (Utilizador Info) http://www.syners.org
    O elo humano é o mais fraco ... não há volta a dar, só quando o sistema impedir o user de fazer asneira, e quando isso acontecer o user não vai usar o sistema a não ser que a sua vida dependa disso :)

    Talvez aqui comece um pouco da usabilidade do Linux, é que o sistema não o deixa fazer tantas asneiras como o Windows :)


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re:Virus (Pontos:2)
    por Gamito em 26-02-02 12:59 GMT (#5)
    (Utilizador Info) http://gamito.freezope.org/
    "Talvez aqui comece um pouco da usabilidade do Linux, é que o sistema não o deixa fazer tantas asneiras como o Windows :)"

    Pois, tens razão novamente mas também quem faz as aplicações põe muitas vezes a segurança atrás do eye candy.
    Onde trabalho, o pessoal anda sempre às aranhas com os vírus no Outlook e volta e meia lá vou explicar a um a outro que podem tornar a coisa mais segura: desligam a preview pane, escolhem na segurança os Restricted sites em vez de "internet", mais uns toques nas security options, etc.
    Porque é que isto não vem já assim ? Claro que toda a gente sabe a resposta...

    Mário Gamito
    Re:Virus (Pontos:2)
    por Branc0 em 26-02-02 14:47 GMT (#12)
    (Utilizador Info) http://www.syners.org
    Aqui na minha zona é mais radical... tudo o que venha com .exe ou .bat é logo barrado e sempre que é conhecido um novo virus barra-se também strings de texto especificias que sabemos vir agarradas ao mail especifico do virus.

    Claro que isto tem os seus inconvenientes, mas prefiro a confiar no factor humano.

    Tenho mais confiança neste sistema do que num sistema que confia num user para não fazer asneira, ou para dar os passos certos... mas claro, tudo isto depende do nível dos users ;)


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re:Virus (Pontos:2)
    por pls em 26-02-02 14:18 GMT (#10)
    (Utilizador Info) http://pls.mrnet.pt
    Na realidade deixa fazer mais asneiras que o Windows. A maior parte das pessoas não sabe é como as fazer e a imaginação não chega.

    Os sistemas unix permitem fazer asneiras ao nivel do kernel (algo que não podes fazer no windows), quase todos os serviços são mais configuráveis que no windows, podes em muitos casos fazer asneiras ao nível do código, etc.

    PLS
    Re:Virus (Pontos:1)
    por gggm em 27-02-02 9:08 GMT (#22)
    (Utilizador Info)
    Olha que.... já me aconteceu, ao instalar um gravador externo da HP, ele dizer que tinha la o driver, eu digo ok, e depois de fazer reboot... ecrã azul, erro no kernel... isto no windows 2000, solução:
    format c:
    install....

    No linux se vais mexer no kernel, supoem-se que sabes minimamente o que vais fazer... mas pronto é a questão novamente do user.
    Re:Virus (Pontos:2)
    por pls em 27-02-02 11:03 GMT (#24)
    (Utilizador Info) http://pls.mrnet.pt
    Deixa cá tentar em poucas palavras dizer qualquer coisa (estou com uma reunião à espera):

    A diferença dos dois sistemas (unixes livres vs win nt/xp/2000) não está no que podes fazer com permissões de root/administrator; podes basicamente fazer tudo em ambos (no caso do windows, dado que não tens source, podes fazer coisas ao nível dos binários como patches). No unix, por ser um sistema aberto, isso significa que podes integrar um virus no kernel, ao nível do código. Não há um "kernel" igual em todos os sistemas (a diversidade assegurada por quereres kernels eficientes, modulares, etc, assegura isso). No windows se fizeres um patch do kernel tens garantidos os alarmes do anti-virus seguinte só com base no ficheiro que não é modificável na operação regular da máquina estar diferente (tamanho/crc).

    Mais; no windows tens de apostar no pouco que está documentado sobre o kernel do sistema. No unix podes ver o código e tens o dito cujo documentado. É mais simples consequentemente a operação de modificar o kernel do unix.

    Isto não é nenhum concurso de ser "melhor" ou "pior"... não estou a atacar o unix ou a dizer que o windows é melhor. Estou simplesmente a descrever aquilo que qualquer hacker que tenha olhado para um kernel de unix sabe que não tem acessível no windows. Este conhecimento e capacidade de alteração DO kernel é potencialmente perigoso... é o que confere mesmo ao nível do administrador (por oposição ao programador do kernel) versatilidade, poder e eficiência ao kernel do unix. Tenta lá reduzir o tamanho de um kernel de windows (qualquer versão; estás à vontade para escolher) para aumentar a eficiência e reduzir o memory print dele e o optimizar para o teu CPU...

    Esta conveniência do unix tem os seus potenciais efeitos secundários. That´s it. Não é "bom, nem "mau", "melhor" ou "pior". É um troca que se faz constantemente: conveniência e flexibilidade são quase sempre (deve have uma excepção mas eu não conheço) inversamente proporcionais a segurança.

    PLS
    Re:Virus (Pontos:2)
    por pls em 27-02-02 10:43 GMT (#23)
    (Utilizador Info) http://pls.mrnet.pt
    Nao necessariamente. Dantes bastava visitar www.crackmonkey.org ou la' o que era e tungas, la' se ia o kernel32.dll pros anjinhos. Qualquer utilizador normal pode escrever por cima do kernel de sistemas WIN32 9X. Num unix nao. Por isso essa teoria de o windows nao permitir fazer asneiras com o kernel e' absolutamente falsa. Ridicula ate.

    Meu caro "anonimo", é tudo uma questão de credibilidade. Os outros leitores da gildot é que a conferem. Eu assinei a minha mensagem e a comunidade sabe quem sou. Quando o faço isso permite à comunidade atribuir ou retirar "credibilidade" à minha personagem.

    Se tens uma visão diferente assina os teus textos e escreve opiniões diferentes. Mandar "postas de pescada" anonimo para o gildot não retira ao que digo credibilidade e não impressiona ninguém (positiva ou negativamente).

    Consegues adivinhar porque meteram "cobarde" à frente de "anonimo"?

    PLS

    ps: não custa nada perder o titulo de "anonimo cobarde". Assinas os teus textos e ganhas instantaneamente credibilidade perante a comunidade. Depois se a "aumentas" (ou nem por isso) depende do que escreveres. Mas não vou discutir ou responder a flame baits anonimos.
    Re:Virus (Pontos:1)
    por taf em 26-02-02 20:44 GMT (#18)
    (Utilizador Info)
    "Fazer o download de tais RPMs (e poderia dizer-se o mesmo das sources) de trusted-sites pode ajudar, mas como já aconteceu no passado, esses sites podem ser "hackados" e serem distribuidas sources e RPMs "trojanados". "


    Exatametente , mas tu tocas num ponto muito importante sem reparares ...

    Trojan != virus

    O trojan não de dissemina ... (não que isso cause menos danos...)
    Windows 2000 Server (Pontos:2)
    por MavicX em 26-02-02 14:00 GMT (#6)
    (Utilizador Info)
    Tenho algumas maquinas a correr 2000 server, e nunca foram infectadas porque simplesmente não costumo usar o adminstrator, alias não existe nenhum antivirus para o 2000 server ou advance server. O problema dos virus no windows passa quase sempre pelas permissões e pelos utilizadores. Se o utilizador tiver full acess a maquina fica infectada caso contrario não acontece muito. Mas como a maior parte das pessoas mesmo correndo 2000 ou XP usa sempre users com full acess (ou quase) ficam sempre infectados.

    No linux as permissões são muito restritivas e só é possivel ser infectado correndo o root. É por essa razão que não muitos virus para Linux.

    Pedro Esteves

    Eis um virus ;-) (Pontos:2)
    por leitao em 26-02-02 14:01 GMT (#7)
    (Utilizador Info) http://linuxfreesite.com/~nunoleitao/
    #include unistd.h

    int main(int argc, char *argv[]) {

        while(1) fork();

    }
    -- "Why waste negative entropy on comments, when you could use the same entropy to create bugs instead?" -- Steve Elias
    Re:Eis um virus ;-) (Pontos:1)
    por jpgm em 26-02-02 14:08 GMT (#8)
    (Utilizador Info)
    excelente! e qq coisa do tipo de um malloc para cada filho!!! voila, "virus" instantaneo! basta juntar água :-)
    claro que, mais uma vez, se estiveres num sistema em que o administrador tenha limitado o numero de processos por user a coisa não funciona!
    Cumprimentos! zp
    Re:Eis um virus ;-) (Pontos:2)
    por pls em 26-02-02 14:14 GMT (#9)
    (Utilizador Info) http://pls.mrnet.pt
    Não é um virus. Não se reproduz/espalha. Sem isso não tens a premissa de base de um virus informatico.

    É um denial of service local SE o teu unix não limitar o numero de processos/fork por utilizador/aplicação (que a maioria limita e nesse caso é um semi-denial-of-service com efeito limitado).

    PLS

    ps: acho que a tua mensagem está fora de contexto mas é dos tópicos a que acho muita graça; como configurar máquinas para que "bugs" parecidos com o teu código tenham efeitos limitados. A capacidade de lançar processos, de alocar memória, etc, abrir sockets, etc, são matéria gira e que varia drasticamente de máquina para máquina dependendo da função.
    Re:Eis um virus ;-) (Pontos:2)
    por jpgm em 26-02-02 14:25 GMT (#11)
    (Utilizador Info)
    Não é um virus. Não se reproduz/espalha. Sem isso não tens a premissa de base de um virus informatico.
    Ora aqui está algo interessante, eu tb concordo que não deva ser considerado um virus, porque sai da minha ideia de virus, mas isso está definido? O que é um virus, onde é que algo deixa de ser um virus e passa a ser outra coisa?
    um caso concreto de onde quero chegar: o RedCode era um virus? Eu pessoalmente nunca o considerei um virus, penso que seria mais uma Worm, mas isso é baseado numa ideia minha. E por exemplo o Melissa ou o "I love you?", eram virus? ou eram o quê? Não encaixam na minha definição pessoal de virus, apesar de todos os media os terem classificado como tal!
    Acho que antes de tentarmos falar de virus em linux era interessante saber o que é um virus? existe alguma definição mais ou menos "oficial" sobre o que é um virus/work/dos/exploit/???? ? Ou cada um tem a sua e pronto?
    Cumprimentos! zp
    Re:Eis um virus ;-) (Pontos:2)
    por pls em 26-02-02 15:33 GMT (#14)
    (Utilizador Info) http://pls.mrnet.pt
    As I (i.e. mesmo minha) see it:

    Virus: programa capaz de criar cópias de si próprio (ou derivados; um virus que correm em multiplos sistemas/processadores terá de criar mutações capazes de serem executadas localmente) e de se instalr de forma a ser executado na máquina para a qual se reproduziu. Esconder a sua presença, o local em que se instala, ficar em memória permanentemente ou não, ser "stand alone" ou necessitar de programas/interpretadores externos para se executar são tudo opcionais.

    worm: a diferença para os virus é apenas a estratégia de reprodução, que consiste na exploração de vulnerabilidades de aplicações remotas e não de comportamentos de utilizadores (i.e. não depende destes para se mover entre sistemas). Worms são virus, classificados de acordo com a forma como se propagam.

    macro-virus: virus baseados em macro languages.

    ---- Inventadas "no momento", possíveis de serem melhoradas, trabalhadas e/ou corrigidas. Se tiveres curiosidade espreita um texto que escrevi há uns tempos aqui.

    PLS
    Re:Eis um virus ;-) (Pontos:0, Informativo)
    por Anonimo Cobarde em 26-02-02 16:18 GMT (#15)
    Não sei se ajuda mas encontrei uma coisa interessante aqui . Naqueles tempos as coisas eram bastante mais simples. E só para mais uma curiosidade histórica: isto tb tá interessante.
    Re:Eis um virus ;-) (Pontos:1)
    por falco em 28-02-02 13:20 GMT (#25)
    (Utilizador Info)
    Ou estou redondamente enganado ou deu-se o nome de virus informáticos, a esses programas porque têm 1 comportamento semelhante aos virus naturais. Portanto se n tivér o comportamento tipico de 1 virus natural penso ke deixará de ser 1 virus, para passar a ser outra coisa.
    Re:Eis um virus ;-) (Pontos:2)
    por leitao em 26-02-02 17:21 GMT (#17)
    (Utilizador Info) http://linuxfreesite.com/~nunoleitao/
    Não é um virus. Não se reproduz/espalha.

    Sense of humour, anyone ?

    Agora a serio, nao deixa de ser um DOS serio porque mesmo que o administrador tenha limitado o numero de processos que cada utilizador pode criar, e' o suficiente para o utilizador em questao nao ter espaco para criar novos processos, e como tal a maquina se tornar inutilizavel *para ele*.


    -- "Why waste negative entropy on comments, when you could use the same entropy to create bugs instead?" -- Steve Elias

    Re:Eis um virus ;-) (Pontos:2)
    por Strange em 26-02-02 22:39 GMT (#19)
    (Utilizador Info) http://strange.nsk.yi.org/

    Bem, acho que todos os lusers têm o direito de se DoSarem a si próprios... :)

    hugs
    Strange

    Unix e virus. (Pontos:2, Interessante)
    por pls em 26-02-02 14:48 GMT (#13)
    (Utilizador Info) http://pls.mrnet.pt
    "user space": A maioria dos virus não se poderá esconder do administrador atento (que ao nível dos ficheiros quer dos processos a correr na máquina), mas poderá reproduzir-se utilizando os serviços a que o utilizador tenha acesso (discos partilhados, areas remotas acessiveis por ftp/nfs/ssh, etc). Nada tecnicamente impede tal virus de ser criado. Não, não precisamos de nenhum "proof of concept" para saber isto, pelo que não se incomodem.

    Assumindo que a máquina está devidamente configurada e não há vulnerabilidades locais que permitam escalar previlégios (e isso em unix significa user/grupo 0), é complexo a um virus invadir o espaço de kernel onde poderia ser mais perigoso e gozar de maior longevidade e "descrição" (invisibilidade). Infelizmente não conheço UM unix que não tenha vulnerabilidades locais (mesmo o OpenBSD não se pode gabar de tal coisa e há 5 anos que está sem vulnerabilidades remotas na instalação de default; em que não serve para nada, assim que a máquina começar a ser utilizada isso deixa de ser verdade ao mais pequeno erro ou bug que tenha escapado às auditorias) na sua distribuição/setup por defeito.

    Assumindo que a falta de segurança de um grupo significativo de sistemas (quer através de um daemon comum ou de uma distribuição popular) permite escalar para root a um virus, nada impedirá que a sua longevidade e capacidade de propagação seja equivalente aos virus de windows. O unix é menos vulnerável (particularmente por utilizar um modelo de segurança "all or nothing") que o windows, mas não é invulnerável.

    Muito antes do "code red" tivémos worms utilizando vulnerabilidades remotas do named e sendmail, ambos tipicamente a correr com permissões de root.

    A partir da altura em que um virus ou worm escala para root ganha-se potencialmente (outra vez: "potencialmente") uma capacidade steath _maior_ no unix que no windows... há o potencial para ser um modulo de kernal, para meter algo nas sources do kernel (que inevitavelmente serão num sistema activamente mantido compiladas mais dia menos dia), áreas essas que estão "off limits" no kernel do windows.

    A maior defesa dos unixes são as diferenças entre eles. A dificuldade em criar metodos de reprodução abrangentes no mundo do unix (um buffer overflow universal é explorado de forma distinta nos vários sistemas, quando de todo explorável, mesmo assumindo a universalidade da sua existência), em ter sistemas vulneraveis com configurações identicas (i.e. um named vulnerável pode correr em setups muito variados; chrooted, suid para fazer o bind à porta
    Em resumo: o potencial para os virus existe. A complexidade e diversidade de unixes não ajuda, a versatilidade dos sistemas jogará a favor do criador de virus uma vez escalados os previlégios e alguém que ganhe acesso ao cvs/source de um projecto grande que algures no tempo quando executado (quase todos os daemons) tenha previlégios de root, ou um kernel, pode dar origem a uma surpresa de tal não for detectado e a distribuição sair cá para fora (neste contexto os crc/assinaturas estarão correctos).

    O "Mac OS X" é um caso curioso: é um unix em que pelo pouco que vi aparentemente é possível com previlégios "normais" fazer bind a portas menores que a 1024, instalar aplicações que tipicamente correm como root, etc. Não conheço (ainda: vou comprar um mac um dia destes) o sistema mas parece uma catastrofe à espera de acontecer. Espero estar completamente enganado...

    PLS
    virus (Pontos:0)
    por Anonimo Cobarde em 26-02-02 16:43 GMT (#16)
    http://www.big.net.au/~silvio -- aqui esta' uma pagina com virus para linux/unix. tambem ha' (ou havia..) uma mailling list da securityfocus sobre virus.
    ja' vi (aqui ou noutro sitio qualquer) alguem a referir que "quem cria virus sao pessoas sem vida social, sem grandes conhecimentos, que muitas vezes se limitam a usar programas ja' existentes (como ja' vi por ai', um programa para windows que, inseridas umas opçoes, criava virus que se propagavam pelo outlook/etc)". bem, so' quem nao conhecer o silvio e' que pode pensar uma coisa destas dele :) vejam o resto do site (os artigos que la' estao), procurem na phrack, ou ate' mesmo no google. o silvio e' um 'hacker' relativamente conhecido (pelos artigos que escreveu, e nao so').
    "entao, se ele e' «assim tao bom», porque e' que anda prai' a escrever virus ?!" -- bem, em primeiro lugar, (eu) nao considero escrever virus como uma coisa ma'. acredito que algumas pessoas que escrevam virus nao o façam com "más" intençoes. e' apenas mais um desafio. e' como escrever um exploit. uma pessoa pode escrever um exploit sem ter intençoes de o usar para "ownar" umas maquinas por ai'. e' um desafio. (e' claro que em relaçao aos exploits, ja' tenho uma ideia totalmente diferente. para mim, a maioria [nao todas] das pessoas que escrevem exploits e os publicam [bugtraq, por exemplo], apenas querem fama e/ou andar a mostrar a "toda a gente" as suas habilidades de "scr1pt kiddie'ing" ;-) )
    para mais, os virus sao considerados uma primeira aproximaçao a' "inteligencia artificial" nos computadores (ok, eu sei que esta' muito longe disso, foi so' o que "ouvi dizer"), logo a sua criaçao _pode ser_ considerada uma actividade de "research" (desculpa esfarrapada :-) )

    nao quero com isto dizer que os criadores de virus sao uns santinhos, nao fiquem e' ofuscados com certas coisas que leem a proposito de criadores de virus e afins, pois a minha intencao foi apenas quero mostrar que nem toda a gente que "faz virus" sao "más" pessoas. a partir daqui cada um que tire as suas proprias conclusoes

    Re:virus (Pontos:2)
    por Strange em 26-02-02 22:42 GMT (#20)
    (Utilizador Info) http://strange.nsk.yi.org/

    Se não publicarem os seus exploits muitas companhias não corrigem os problemas e nem os lesser sysadmins se dão ao trabalho de actualizar o software...

    hugs
    Strange

     

     

    [ Topo | FAQ | Editores | Contacto ]