Lorsque j'ai commencé à travailler avec Linux et que j'étudiais la structure de fichiers et les autorisations d'accès des systèmes Linux, je me suis dit que tant que vous n'utilisez que votre compte moins privilégié ou restreint, aucun virus ou programme malveillant ne pénètre jamais dans votre ordinateur. votre compte aura une incidence sur l'ensemble du système. "Cela" n'affecterait pas non plus les différentes applications installées, car les paramètres et les documents sauvegardés sont tous stockés exclusivement dans votre compte ... ou est-ce que je me trompe?
À cet égard, la commande "Sudo" sous Ubuntu me préoccupe. Si jamais j'utilisais Sudo avec un compte privilégié utilisant un terminal, depuis un utilisateur ou un compte invité non privilégié mais infecté, un programme malveillant du dossier de base de l'utilisateur infecté resterait-il infiltré dans l'ensemble du système et rendrait-il mon système Ubuntu infecté?
De plus, avec l'émulateur Windows, Wine ... J'ai remarqué que les applications que j'ai installées ne sont pas systémiques, mais localisées dans le compte que j'utilisais au moment de l'installation. Malheureusement, les applications de vin sont des aimants de malware. En une semaine, ClamTK a détecté plus de 700 menaces. Devrais-je m'inquiéter de ce que ces menaces se propagent et infectent tout le système?
Merci d'avance à ceux qui pourraient nous éclairer.
Une note avant de commencer:
Je parle de menaces théoriques et non de programmes malveillants existants et répandus.
Tant que vous exploitez un compte sans privilèges administrateur et Sudo et l'infectez par exemple. installation (manuellement ou automatiquement derrière votre dos, après avoir cliqué quelque part, vous n'auriez pas dû cliquer) d'un programme malveillant sur votre dossier personnel, cette infection doit rester limitée à ce compte.
Je dis devrait, parce que:
un utilisateur admin peut lancer le fichier infecté à partir de son compte en tant que root et infecter la machine de cette façon.
le logiciel malveillant pourrait infecter des périphériques portables (clés USB, etc.) montés par l'utilisateur, puis se propager sur d'autres ordinateurs ou d'autres comptes d'utilisateur sur le même ordinateur, lorsque vous le monterez ultérieurement avec un autre utilisateur.
le logiciel malveillant pourrait se propager sur le réseau, infecter une autre machine de votre réseau local, puis le compte administrateur lors de la prochaine connexion et se connecter à l'autre ordinateur infecté.
il existe diverses possibilités connues permettant à une application de contourner les restrictions. Cela s'appelle "élévation de privilèges", ce qui signifie que l'application s'exécute avec des privilèges plus élevés que ceux autorisés/prévus en raison de bogues logiciels exploités, d'autorisations de système de fichiers trop permissives, etc.
Comme Ubuntu est livré avec un délai d’expiration Sudo> 0, vous n’êtes pas obligé de saisir votre mot de passe Sudo plusieurs fois pendant une courte période (par défaut, 15 minutes, si je me souviens bien?) Pour exécuter plusieurs commandes en tant qu’utilisateur root, mais vous y êtes invité une seule fois. pour le premier. Si le logiciel malveillant remplace maintenant un fichier pour lequel l'utilisateur infecté a un accès en écriture (il entre une commande pour s'exécuter en tant que root à l'aide de Sudo) et que vous exécutez ultérieurement le fichier sans utiliser Sudo, mais vous ne remarquerez même pas qu'il y a un délai d'attente. quelque chose se passe avec des privilèges élevés.
probablement plus ...
Vous voyez, la plupart des chances pour qu'un logiciel malveillant infecte l'ensemble de la machine nécessitent une interaction de l'utilisateur et/ou dépendent de la rigueur avec laquelle on sépare ses comptes, ses ordinateurs et ses lecteurs connectables.
Les bogues permettant l’augmentation des privilèges sont généralement rapidement résolus après que les développeurs en ont eu connaissance, mais entre le moment où un bogue détecte un bogue et la publication d’un correctif, un nouveau logiciel malveillant pourrait contourner les restrictions imposées par l’utilisateur.
Conclusion:
La plupart des logiciels malveillants ne sont probablement pas capables d'élever ses privilèges et d'obtenir un accès root pour infecter votre ordinateur entier, à moins que vous ne le lui accordiez manuellement en entrant votre mot de passe Sudo dans la mauvaise zone de saisie. Cela signifie que le fait de se comporter avec soin et de penser à chaque commande que vous exécutez deux fois (surtout si d'autres utilisateurs ont des droits en écriture sur un fichier que vous souhaitez exécuter) devrait vous protéger assez bien.
Cependant, il n'y a jamais une sécurité à 100%, car les développeurs de logiciels malveillants ont souvent une longueur d'avance sur les programmeurs de logiciels responsables des correctifs de bogues et des correctifs de sécurité.