Αψήφησε τους κανόνες της αναδυόμενης τάξης της Πληροφορίας

Antivirus στο Linux. Τι μας κρύβουν;

Τι στο καλό συμβαίνει και όλοι λένε για «Linux antivirus»; Χρειαζόμαστε πραγματικά κάτι τέτοιο; Και ακόμα περισσότερο, πρέπει να αγοράσουμε και να χρησιμοποιήσουμε κάποιο ιδιοταγές λογισμικό;

Η ροή των RSS που έχω για να παρακολουθώ διάφορες σελίδες συχνά πυκνά βγάζει νέα που αφορούν το Linux και τα antivirus. Αυτό δεν είναι κάτι καινούργιο, συμβαίνει τα τελευταία χρόνια και συνεχώς ανακυκλώνεται. Έχω δει άρθρα με προτάσεις διάφορων antivirus, που φυσικά το καθένα ισχυρίζεται πως είναι παντοδύναμο, μπορώντας να προστατέψει στο έπακρο το σύστημά σας. Το 99% από αυτά τα προτεινόμενα λογισμικά όμως προέρχεται από τη σχετική βιομηχανία λογισμικού (τέτοια είναι), δηλαδή καθαρά εταιρικά ή ιδιοταγή προϊόντα.

Προσπερνώντας το εύλογο ερώτημα του ποιους συμφέρει πρωτίστως η παραγωγή ιών ή έστω η συζήτηση γύρω από αυτούς, χωρίς βέβαια να ισχυρίζομαι πως εκεί έξω υπάρχουν μόνο καλοπροαίρετοι άνθρωποι, θα θέσω ξανά την αιώνια ερώτηση:

Χρειαζόμαστε πραγματικά antivirus στο Linux;

Συγχωρέστε με για το κλισέ, μα θα επαναλάβω πως κανένα λειτουργικό σύστημα, κανένα λογισμικό δεν είναι άτρωτο. Ωστόσο, επίσης κανένα λειτουργικό σύστημα δεν είναι ίδιο με κάποιο άλλο, ειδικά τα τρία επικρατέστερα εκεί έξω (Linux, Windows, macOS). Αυτό σημαίνει πως, όπως το καθένα διαχειρίζεται διαφορετικά συστήματα αρχείων, έτσι συμβαίνει και με τους ιούς. Δε μπορεί δηλαδή κάποιος ιός για το Α λειτουργικό σύστημα να επηρεάσει το Β κλπ.

Αυτό όμως είναι κάτι που οι περισσότεροι συντάκτες τέτοιων άρθρων το παραλείπουν. Δεν ισχυρίζομαι φυσικά πως λαμβάνουν επιταγές (αν και έχω δει και ξεκάθαρες τοποθετήσεις τέτοιων προϊόντων σε ιστοσελίδες σχετικές με το Linux). Τις περισσοτερες φορές είναι απλή άγνοια.

Τι γίνεται όμως με το Linux;

Βρισκόμαστε σε μια εποχή που διαφορετικά μηχανήματα και διαφορετικά λειτουργικά συστήματα αλληλεπιδρούν μεταξύ τους και αυτό από μια πλευρά είναι καλό. Από την άλλη, ακόμα και αν ένα λειτουργικό σύστημα είναι άτρωτο σε ιούς που δημιουργήθηκαν για κάποιο άλλο, δε σημαίνει πως δε μπορεί να λειτουργήσει και σαν «φορέας».

Αν για παράδειγμα έχει καταφέρει να τρυπώσει κάποιος ιός για Windows σε Linux ή macOS, υπάρχει μεγάλη πιθανότητα να τον μεταφέρουν σε ένα μηχάνημα με Windows. Αυτό θα μπορούσε εύκολα να γίνει με μια ανταλλαγή αρχείων μέσω κάποιου USB stick ή με ένα email.

Ο ιός μπορεί δηλαδή στα πρώτα μηχανήματα να είναι ανενεργός και να μην έχει τη δυνατότητα να βλάψει το ίδιο το σύστημα, μα σαφώς δε θα συμβεί το ίδιο στον υπολογιστή με τα Windows.

Φυσικά, ένα ενημερωμένο σύστημα Windows, με επίσης ενημερωμένο antivirus, θα τον εντοπίσει αμέσως και θα τον απομονώσει. Όμως δεν είναι όλα τα Windows PC ενημερωμένα. Aκόμα χειρότερα, δε διαθέτουν όλα antivirus. Αυτή ακριβώς είναι και η περίπτωση που θα βάζαμε αντί-ιοτικό στο Linux μας. Για πρόληψη σε τέτοιες περιπτώσεις.

Το ανοιχτού κώδικα ClamAV είναι μια καλή λύση, αν δεν έχετε κάτι άλλο κατά νου ή αν δε γνωρίζετε. Υπάρχει στους διαχειριστές λογισμικού σχεδόν όλων των Linux διανομών και έτσι η εγκατάστασή του γίνεται με δυο κλικ. Μπορείτε προαιρετικά να εγκαταστήσετε και το πακετάκι clamtk, το οποίο προσθέτει ένα γραφικό περιβάλλον ώστε να το διαχειρίζεστε πολύ εύκολα με κάποια κλικ.

Μιλώντας πάντα για έναν «οικιακό» υπολογιστή, δεν υπάρχει λόγος να πάτε σε κάτι πιο πολύπλοκο, πιο βαρύ και αμφίβολο, και σίγουρα δεν χρειάζεται να πληρώσετε κάποιο «ειδικευμένο Linux antivirus». Ποτέ!

Τι είναι «ιοί» και «rootkits»;
Ένας «ιός υπολογιστών» δρα όπως και ένας βιολογικός, αντιγράφοντας τον εαυτό του. Όπως ο βιολογικός το κάνει σε κύτταρα, αυτός των υπολογιστών το κάνει σε αρχεία.

Το «rootkit» είναι παράγωγο των λέξεων «root» και «kit». Είναι δηλαδή μια εργαλειοθήκη βλαβερών στοιχείων και πολύ ύπουλο, αφού αποκτά υπεραυξημένα δικαιώματα και καταφέρνει να είναι απόλυτα αόρατο ακόμα και για τους διαχειριστές συστημάτων.

Τώρα, αν ρωτούσε κάποιος τη γνώμη μου, θα πρότεινα κάποιο rootkit λογισμικό. Κάτι τέτοιο θα ήταν πολύ πιο αποτελεσματικό, καθώς συν τα άλλα, κάνει και τα εξής:

  • Συγκρίνει MD5 hashes
  • Ψάχνει για προεπιλεγμένα αρχεία που χρησιμοποιούνται από rootkits
  • Ελέγχει για λανθασμένα δικαιώματα αρχείου (για τα εκτελέσιμα)
  • Αναζητά ύποπτα strings στα LKM και KLD
  • Εντοπίζει κρυφά αρχεία
  • Προαιρετικά, σαρώνει απλά αρχεία κειμένου αλλά και δυαδικά αρχεία (binary)
  • Βρίσκει τις εκδόσεις λογισμικού
  • Πραγματοποιεί δοκιμές εφαρμογών

Προσφέρει δηλαδή πραγματική προστασία ακόμα και στο Linux σας, ιδιαίτερα αν το ζείτε στα άκρα! Διεξάγει επίσης μια σειρά από ελέγχους, όπως για παράδειγμα:

  • Σύγκριση SHA-1 hashes των εκτελέσιμων του συστήματος με γνωστές καλές τιμές που διατηρούνται στη βάση δεδομένων
  • Έλεγχος για γνωστά αρχεία και καταλόγους rootkit, καθώς και rootkit strings
  • Ειδικούς ελέγχους για trojan, malware, backdoors, sniffer log files και άλλους ύποπτους καταλόγους
  • Network ports και interfaces, system boot, ελέγχους σε λογαριασμούς χρηστών, αρχεία ρυθμίσεων μα και στο ίδιο το σύστημα αρχείων

Μιλάμε δηλαδή για «παράνοια» στο θέμα ασφαλείας.

Νομίζω πως τα «καλύτερα» εργαλεία αυτού του είδους και με μεγάλη εκτίμηση στο χώρο της ασφαλείας, είναι τα εξής τρία:

  1. rkhunter (rootkit hunter)
  2. chkrootkit
  3. unhide.rb

Κανένα τους δε διαθέτει γραφικό περιβάλλον, ωστόσο όλες τις διαδικασίες τις κάνουν αυτοματοποιημένα, ενημερώνοντας σας για οτιδήποτε εντοπιστεί και για την όποια ενέργεια κάνει το λογισμικό προκειμένου να το απομονώσει.

Επίσης, και τα τρία μπορείτε να τα τρέξετε ακόμα και από live CD/DVD και βέβαια πρόκειται για λογισμικά ΕΛ/ΛΑΚ. Φυσικά, δεν υπάρχει λόγος να εγκαταστήσετε όλα. Ένα αρκεί και αυτό υπό την προϋπόθεση πως το ζητούμενο σας είναι η παρανοϊκή ασφάλεια.

rkhunter

Θα το βρείτε στα αποθετήρια των περισσότερων διανομών. Εναλλακτικά, μπορείτε να το εγκαταστήσετε από τον πηγαίο κώδικά του, όπως παρακάτω:

cd /tmp
wget https://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz

Και εκεί ακριβώς που το έχετε κατεβάσει, δίνετε

tar -xvf rkhunter-1.4.6.tar.gz
cd rkhunter-1.4.6
sudo ./installer.sh --layout default --install

Κατά τη διάρκεια της εγκατάστασης θα σας κάνει κάποιες ερωτήσεις. Αν δεν ξέρετε τι να απαντήσετε, αφήστε τα προεπιλεγμένα και προχωρήστε με Enter.

Η πιο βασική χρήση που μπορείτε να κάνετε μετά την εγκατάστασή του είναι τρεις πολύ απλές εντολές:

sudo rkhunter --propupd

Αυτό θα ενημερώσει το πρόγραμμα για τα δεδομένα του συστήματός σας, ώστε να υπάρχει μια βάση σύγκρισης σε ενδεχόμενες μελλοντικές αλλαγές. Συνιστάται να απενεργοποιήσετε τη δικτυακή σας σύνδεση κατά τη χρήση αυτής της εντολής, για μεγαλύτερη ασφάλεια.

sudo rkhunter --update

Εδώ γίνεται έλεγχος για ενημερώσεις. Είναι απαραίτητη προφανώς η δικτυακή σύνδεση και καλό θα ήταν να χρησιμοποιείτε αυτήν την εντολή ανά κάποιο διάστημα.

sudo rkhunter --check

Και φυσικά ο ίδιος ο έλεγχος για rootkits. Πραγματοποιείται σε τομείς και θα σας ζητάει να πατήσετε Enter κάθε τόσο για να συνεχίσει.

Τα αποτελέσματα αποθηκεύονται στο αρχείο /var/log/rkhunter.log. Αν επιθυμείτε να δείτε συγκεντρωμένες όλες τις προειδοποιήσεις (δεν είναι απαραίτητα και κρίσιμες), δώστε την εντολή

sudo grep Warning /var/log/rkhunter.log

Θα βρείτε περισσότερες πληροφορίες δίνοντας

sudo rkhunter --help

chkrootkit

Δεν έχω προσωπική άποψη αλλά είναι και αυτό διαθέσιμο για τις περισσότερες διανομές1. Υπάρχει επίσης και εδώ η επιλογή του πηγαίου κώδικα, από ένα διορθωμένο fork, όπου θα βρείτε και οδηγίες για τη χρήση του.

Το chkrootkit στο GitHub

unhide.rb

Ούτε αυτό το έχω χρησιμοποιήσει μα γνωρίζω πως πρόκειται για ένα πολύ καλό και «απλό» forensic εργαλείο για την εύρεση rootkits που κρύβονται στο σύστημά σας. Αν και ο κώδικάς του δεν έχει παρουσιάσει κάποια εξέλιξη εδώ και αρκετά χρόνια, το αναφέρω ως επιλογή.

Εννοείται πως υπάρχει στις περισσότερες διανομές2 μα και ως επικαιροποιημένο fork του πηγαίου του κώδικα (προσοχή στην προειδοποίηση).

Το unhide στο GitHub

Αυτά σχετικά με τους ιούς στο Linux. Φυσικά, τα πιο πάνω ενέχουν προσωπική άποψη, ωστόσο το μόνο βέβαιο είναι πως η λέξη «ιός» δεν έχει την ίδια βαρύτητα σε όλα τα λειτουργικά συστήματα.

Άτρωτοι δεν είστε με το Linux, μα αν εγκαθιστάτε εφαρμογές από τις επίσημες πηγές της διανομής ή από έμπιστες, να είναι Ελεύθερου ή Ανοιχτού Κώδικα, τότε θα έχετε φροντίσει ενεργά για την ασφάλειά σας.

Και βέβαια δεν είναι απαραίτητη κάποια επαγγελματική και επί πληρωμή εφαρμογή για ιούς, ούτε πρέπει να σας πιάνει άγχος για να εγκαταστήσετε μία. Το βασικό λόγο που μπορεί να χρειαστεί κάτι τέτοιο τον αναφέραμε. Από εκεί και πέρα, ο πυρήνας της διανομής σας διαθέτει όσα χρειάζονται και κάνει πράγματα για εσάς στο παρασκήνιο χωρίς να σας ενοχλεί, προκειμένου να συνεχίσετε την παραγωγική ή ψυχαγωγική δραστηριότητά σας ανενόχλητοι.

Σημείωση
Δε δόθηκαν διευθύνσεις για τις ιστοσελίδες των προγραμμάτων γιατί, ειρωνικά ίσως, δεν υπάρχουν με ασφαλή (HTTPS) σύνδεση. Μπορείτε όμως να τις βρείτε με απλή αναζήτηση.

2
Μοιραστείτε μαζί μας τις σκέψεις σας

avatar
2 Νήματα σχολίων
0 Απαντήσεις νήματος
0 Ακόλουθοι
 
Σχόλιο με τις περισσότερες αντιδράσεις
Πιο ενδιαφέρον νήμα
2 Σχολιαστές
Comm Enterfanenos Πρόσφατοι σχολιαστές
  Εγγραφή  
νεότερο παλιότερο περισσότερο ψηφισμένο
Ειδοποίηση για
fanenos
Επισκέπτης
fanenos

nice one!

Comm Enter
Επισκέπτης
Comm Enter

Δεν είναι απαραίτητο αλλά αν είσαι σε εταιρικό περιβάλλον με windows μηχανήματα καλό είναι να έχεις. Εγώ έχω bitdefender gravity zone το έβαλα για Windows είχε client και για linux και είπα γιατί όχι. Το λένε και από μόνοι τους ότι στο linux επειδή έχει ιδιαιτερότητες, δεν χρειάζονται όλες αυτές οι προστασίες που θέλει το windows, και παίζει το ρόλο κυρίως του file scanner.

Σας ενημερώνουμε ότι η ιστοσελίδα μας ακολουθεί ειδικό πρόγραμμα διατροφής και μασουλάει φρεσκοψημένα cookies Καλά μωρέΘέλω να μάθω περισσότερα