web-dev-qa-db-fra.com

Dois-je obtenir un antivirus pour Ubuntu?

Compte tenu du récent fil concernant anti-virus pour Mac Je me demande combien d'arguments avancés sont pertinents aujourd'hui pour les systèmes Linux, en particulier Ubuntu.

  • Il n'y a aucun malware de bureau Ubuntu connu dans la nature.

  • GNU/Linux est une cible très tentante pour les botnets, étant donné qu'il alimente une fraction substantielle des serveurs Web. De plus, ces serveurs Web sont généralement mieux provisionnés et ont une meilleure bande passante que les botnets de bureau potentiels.

  • Les packages anti-malware pour Linux sont principalement ciblés sur les infections Windows qui peuvent "traverser" Linux, comme sur un serveur de messagerie. Cela n'est pas pertinent pour un bureau Ubuntu.

  • Certaines des applications anti-malware Linux disponibles semblent tout aussi louches que leurs homologues Windows.

  • Ces solutions peuvent ou non protéger contre les macros dans les documents LibreOffice, les failles des navigateurs Web ou des extensions (Flash), les attaques XSS, les vulnérabilités Java et d'autres logiciels utilisateur).

  • Les gens sont stupides. Quelqu'un pourrait exécuter nakedgirls.deb si un ambitieux développeur de malware le promouvait. Je suis sûr que ce n'est qu'une question de temps.

Notez que bien qu'il existe de nombreuses autres distributions et bureaux basés sur GNU/Linux, dans l'intérêt de rester concentré, je voudrais limiter ce fil à une discussion sur les bureaux Ubuntu à installation standard uniquement . Pensez aux "ordinateurs de bureau pour grand-mère". Les utilisateurs de Slackware, ceux qui exécutent des serveurs de messagerie ou Web, ou ceux qui utilisent leurs ordinateurs de bureau à d'autres fins sauraient (ha! Je ne suis pas vraiment naïf) savoir ce qu'ils font et les risques encourus.

92
dotancohen

Vous pouvez installer un antivirus si vous le souhaitez. Cela ne devrait pas endommager votre machine, mais ne vous attendez pas à une protection importante de votre système et ne vous considérez pas comme totalement sûr . L'efficacité des logiciels antivirus est très relative et ils sont principalement utilisés pour éviter de propager d'anciens logiciels malveillants, surtout si vous avez des machines Windows dans votre écosystème. Vous devriez vous attendre à une baisse des performances, bien qu'il n'y ait pas de référence de performances AV sur Linux à ce jour, il ne peut donc pas être quantifié.

Pourquoi est-ce que vous n'êtes pas en sécurité avec juste un antivirus? Parce qu'ils ne sont qu'une partie des mécanismes nécessaires. Pour le moment, il manque beaucoup d'outils pour la sécurité des postes de travail sous Linux. Quels sont les différents mécanismes de sécurité applicables aux postes de travail?

  • Sécurité de la pile graphique (pour empêcher les enregistreurs de frappe, le détournement de clic, l'enregistrement d'écran, le reniflage du presse-papiers, etc.)
  • Schémas de distribution d'applications avec contrôles de sécurité (magasins d'applications et référentiels avec analyse statique sur les applications) et mises à jour de sécurité rapides
  • Détection des logiciels malveillants : basée sur les signatures (pour se protéger contre les menaces identifiées) et basée sur l'heuristique (du moins disent-ils, je n'ai jamais utilisé d'heuristique AV et je soupçonne qu'il s'agit principalement d'un discours marketing pour dire "nous vous enverrons des tonnes d'avertissements de sécurité lorsque vous utiliserez une nouvelle application")
  • Sandboxing (qui consiste à isoler les applications les unes des autres par conception)
  • Autorisation contextuelle d'utilisation des appareils et des données utilisateur avec sécurité par désignation /contrôle d'accès piloté par l'utilisateur/boîtiers d'alimentation/contrats; nécessite un bac à sable

Actuellement, la seule chose décente sur Linux est les mises à jour de sécurité de l'application, via des référentiels. Tout le reste est de qualité inférieure.

Sécurité de la pile graphique

Nous comptons tous sur le serveur graphique X11. X.Org existe depuis 30 ans et la conception d'origine est toujours utilisée sur le serveur. À l'époque, il n'y avait aucun problème de sécurité sur le bureau et vous ne serez pas surpris d'apprendre qu'il n'est pas du tout sécurisé. Vous avez des API dès la sortie de la boîte pour implémenter les enregistreurs de frappe, faire des exploitations de code à distance si l'utilisateur a une console racine ouverte, remplacer le casier de session pour voler les mots de passe, etc., etc.

Il est difficile d'évaluer le résultat de Windows 8 et OS X sur ce sujet, car je n'ai trouvé aucune explication détaillée sur la mise en œuvre de leur pile graphique. Leurs applications en bac à sable ont limité l'accès aux vecteurs d'attaque les plus évidents, mais on ne sait pas vraiment à quel point tout cela est bien conçu et mis en œuvre. Il me semble que Win 8 forçant les applications de magasin à s'exécuter en plein écran et une à la fois masque les problèmes de conception d'un gestionnaire de fenêtres sécurisé à grande échelle. Il y a beaucoup de problèmes à prendre en considération par rapport à. position et dimensionnement des fenêtres, utilisation de la transparence et du plein écran, etc. lors de la mise en œuvre d'un gestionnaire de fenêtres avec la sécurité à l'esprit. Je ne sais pas comment fonctionne OS X.

Linux passera à Wayland dans les années à venir, conçu pour la sécurité. Nous avons un modèle clair des capacités qui devraient exister et une idée générale de la façon dont celles-ci seront appliquées et de la manière dont l'autorisation peut être obtenue. La personne principale derrière ce travail est Martin Peres bien que je sois impliqué dans la discussion de l'expérience utilisateur et développeur derrière les capacités. La conception et le développement sont en cours, alors n'attendez rien de sitôt. Lisez cet article pour plus d'informations. Wayland assurera une sécurité transparente lorsqu'il est utilisé en conjonction avec le sandboxing de l'application.

Distribution d'applications

Linux dispose d'un système de référentiels avec différents niveaux de confiance, qui a formé nos utilisateurs à se fier uniquement aux applications fournies et à se méfier du code propriétaire. C'est très bien en théorie.

En pratique je ne connais pas un seul distributeur qui applique même les contrôles de sécurité les plus élémentaires sur leurs applications packagées . Aucune analyse statique que ce soit pour les appels système étranges, et pour toute communauté, il n'est vraiment pas clair si les scripts avant et après l'installation (qui s'exécutent en tant que root) sont vérifiés du tout pour les mauvaises choses évidentes.

Les contrôles de sécurité effectués sur les extensions de GNOME Shell sont très légers et manuels, mais existent au moins. Je ne connais pas les extensions de KDE ou d'autres applications.

L'un des domaines où nous nous distinguons est que nous pouvons extraire les mises à jour de sécurité très rapidement, généralement en quelques jours pour toute faille de sécurité. Jusqu'à récemment, Microsoft était beaucoup plus lent que cela, bien qu'ils aient rattrapé leur retard.

Détection de malware

Le seul logiciel antivirus que je connaisse sous Linux est ClamAV. Il me semble que cela ne fonctionne que sur la base des signatures, mais là encore, comme vous l'avez souligné, nous n'avons aucun logiciel malveillant de bureau identifié contre lequel nous protéger.

Il y a probablement des gens qui écrivent des logiciels malveillants de bureau Linux dans le monde des menaces persistantes avancées. Voir Mask pour un exemple. Il est peu probable que l'AV standard puisse faire quoi que ce soit contre ceux-ci puisque APT les auteurs de logiciels malveillants sont généralement assez talentueux pour proposer des exploits zero-day.

Désormais, Microsoft fait la promotion de tests fuzz de tous ses logiciels pendant des dizaines de milliers d'heures, par opposition à pratiquement aucune pratique de codage sécurisé dans l'écosystème Linux. À partir d'expériences personnelles avec le fuzzing, je suis absolument convaincu qu'il existe une poignée d'exploits zero-day sans accroc dans certains logiciels Linux populaires . Cela viendra nous frapper le jour où nous disposerons d'une base d'utilisateurs financièrement viables pour les auteurs de logiciels malveillants courants, puis nous verrons à quel point ClamAV est bon, mais je soupçonne que le mécanisme de mise à jour de l'application aura un impact plus important sur le traitement avec des vulnérabilités découvertes.

Inutile de dire que Windows et OS X font nettement mieux que Linux sur ces critères.

Sandboxing et autorisation contextuelle

OS X et Windows 8 fournissent tous deux des applications de sandbox pour les applications hébergées sur leur magasin. Je n'ai pas fini de me pencher sur les bizarreries d'OS X, mais les applications du Windows 8 Store ont de très sérieuses limitations en termes de langues et d'API prises en charge, de fonctionnalités disponibles et d'expérience utilisateur générale qui peuvent être fournies avec elles. Cela signifie que les applications de bureau sans bac à sable sont là pour rester et que le sandboxing de Microsoft pas protégera contre les logiciels malveillants, uniquement contre les documents fabriqués dans un logiciel buggy (Store App). OS X semble faire beaucoup mieux, bien que toute application non commerciale ne soit pas non plus en bac à sable.

Linux n'a pas de sandbox d'application GUI fonctionnant suffisamment en ce moment. Nous avons la technologie de confinement sous-jacente (les meilleurs candidats étant des conteneurs basés sur des espaces de noms Linux, voir - LXC et Docker , et les meilleurs systèmes d'application MAC qui devraient être développés pour supporter une certaine quantité de dynamicité ). Nous avons presque le IPC et les mécanismes de gestion des processus nécessaires pour déployer et gérer ces applications en bac à sable grâce à un travail incroyable sur kdbus et systemd . il manque quelques bits, avec quelques propositions poussées principalement par la Fondation GNOME (voir cette vidéo sur Sandboxing à GUADEC 1 ). Je suis également impliqué dans la discussion sur la façon dont l'accès aux données et l'autorisation peuvent se produire mais il n'y a pas de consensus entre les quelques personnes intéressées, et la conception et le développement prennent du temps. Il faudra probablement encore quelques années avant que des prototypes décents existent et avant que le sandboxing ne soit déployé sur Linux à n'importe quelle échelle pertinente.

L'un des grands problèmes rencontrés sur toutes les plates-formes est de savoir comment autoriser les applications à accéder aux données et aux capacités des appareils à la bonne échelle. Cela signifie, comment les laisser faire ce qu'ils doivent faire sans harceler les utilisateurs avec des invites d'autorisation tout en empêchant les applications d'abuser des privilèges. Il existe de sérieuses lacunes dans la façon dont Windows 8 permet aux applications du magasin de gérer les documents récents et les applications ' futureAccessList . À ce stade, sécuriser davantage l'accès aux documents sans aggraver le coût de la sécurité pour les développeurs et les utilisateurs est une question ouverte, sur laquelle beaucoup de gens travaillent également :)

76
Steve Dodier-Lazaro

Les logiciels malveillants ne se soucient pas si vous utilisez un "bureau Ubuntu à installation standard uniquement". Les logiciels malveillants s'exécutent tant que le système prend en charge le jeu d'instructions correct pour lequel le binaire ELF a été compilé. Ubuntu est basé sur Debian et prend en charge les jeux d'instructions suivants: IA-32, x86-64, ARMv7, ARM64, PowerPC. En général, vous trouvez que la plupart sont construits sur des systèmes IA-32 ou x86-64.

Comme mon travail consiste à inverser les logiciels malveillants, je dois parfois le déboguer.J'ai donc des machines virtuelles Ubuntu Desktop Edition (32 et 64 bits) que j'utilise pour faire le débogage à distance des logiciels malveillants Linux quotidiennement via IDA.

Si vous voulez parler de la méthode d'infection, alors vous êtes moins susceptible d'obtenir un drive-by sous Linux que sous Windows. Cependant, j'ai remarqué au cours des derniers mois jouer avec certains des scripts drive-by PHP qu'ils prennent en charge de plus en plus de plates-formes non Windows. Vérifiez simplement la plate-forme que le navigateur annonce & livrer l'exploit pertinent.

TL; DR- J'infecte quotidiennement les installations de bureau (VM) d'Ubuntu tout en inversant les logiciels malveillants Linux.

11
Fulrem

Une question est posée pour Ubuntu. Si je peux peu élargir la question aux éditions de bureau Linux, tapez SELinux " Walled Garden " solution serait très utile. Dans SELinux, les politiques de contrôle d'accès obligatoires (MAC) peuvent arrêter ou limiter les dommages lors d'une tentative d'infection. Contrairement à AV qui fonctionne comme un processus séparé qui alourdit le système d'exploitation, SELinux est pris en charge nativement par le noyau Linux et les étiquettes de sécurité sont stockées dans des inodes.

Avantages:

Vous pouvez implémenter des politiques de sécurité très compliquées. (Par exemple, le navigateur Web ne peut pas accéder à un dossier autre que ~/.mozilla)

Inconvénients:

Cependant, dans SELinux, vous aurez besoin d'une bonne politique de sécurité. L'inconvénient est la modification de cette politique est compliquée.

Comme je sais, Ubuntu ne prend pas en charge SELinux par défaut. Mais des OS comme Fedora le font.

Conclusion:

En fin de compte, Linux a en effet de bons mécanismes de sécurité (File Permission, SELinux), ce qui rend la vie des malwares vraiment difficile, sauf si vous les avez mis en désordre.

2
Kasun

La question est plutôt confuse.

Viri est extrêmement rare sur Linux, mais les chevaux de Troie, les vers et les rootkits existent depuis bien plus longtemps que sur mswindows. Et les outils utilisés pour protéger les systèmes Linux (et Unix) sont très différents de ceux vendus aux utilisateurs de mswindows.

Au minimum, vous devriez avoir un pare-feu raisonnablement configuré, une méthode pour vous assurer que votre système est corrigé et exécuter des vérifications de rootkits régulièrement (la fréquence dépend du risque, probablement au moins une fois par mois).

0
symcbean