Ubuntu virus

[zerben]

Hej.Jeg sad lige og læste dette her.Jeg ved ikke om det er noget man skal være opmærksom på eller om det er en storm i et glas vand.

http://www.computerworld.dk/art/54237?a ... ter&i=2861

Ps.Jeg havde ikke lige set det havde været oppe i denne tråd

viewtopic.php?f=11&t=6038

[Christian.Arvai]

Det er en storm i et glas vand og er i øvrigt fikset, udover det kan man sikre sig imod sådanne ting, ved at læse det indlæg jeg har skrevet på Computerworld :

Nu er det jo heller ikke for sjovs skyld at vi altid anbefaler folk at installere fra Repo (feks Softwarecenter), og ikke hente ting som man finder rundt omkring på nettet, der er intet system der er sikrere en brugeren bag skærmen tillader, forstået på den måde, at hvis jeg nu laver et "ondsindet" script og du tillader kørslen af det, kan Ubuntu jo ikke gøre andet en at følge dig.
Fordelen ved at hente fra Repo og ellers følge de guides som henvises til fra forum, er at man er sikret imod sådanne problemer, og at der er en meget høj selvjustits iblandt dem der supporter.

[zerben]

Hej.Det ved jeg godt men hvis man kan få trojanere kan det jo ske bare ved at besøge en hjemmeside.Hvis man har xp er det jo ikke nødvendigt at downloade for at det er farligt og jeg var bange for at det samme var ved at ske for os også.

Brug antivirus
Den vurdering finder man også hos Martin Pihl, der har været en af de drivende kræfter bag Ubuntu-miljøet i Danmark.

"Det er meget sjældent, at vi oplever sikkerhedsproblemer, og det bliver næppe et problem lige med det første" fortæller Martin Pihl.

"Men malware og virus til Linux vil komme, hvis udbredelsen bliver stor nok, ingen tvivl om det."

[Jimmyfj]

Her må jeg lige komme med et dementi. For det er ganske enkelt ikke rigtigt, at man kan få trojanske filer blot ved at besøge en hjemmeside på et GNU/Linux baseret system. Dette er måske sandt på Windows, men har ingen gang på jord på hverken Unix eller GNU/Linux. Og ja, jeg kører begge dele. Både PC-BSD 7 Unix og Ubuntu GNU/Linux.

Folk her på forum skal lade være med at komme med direkte fejlagtige påstande omkring GNU/Linux generelt. Det klæder ikke sitet, og jeg tror der er flere, som vil mene som jeg, at dette er en gang hysterisk nonsens og ammestue snak.

Lige meget hvilket system du har kørende, så vil der ALTID være en risiko forbundet med at være koblet op til et netværk, og især Internettet. Men dette bør ikke få alle de "hellige" anti-virus-prædikanter op af stolene. For hverken Ubuntu eller Unix er vira noget problem så længe man bruger fornuften inden man handler. Og der er INGEN fornuft i at reducere sit eget systems ydelse ved at klistre det til i unødvendig software.

For mig at se er der en meget tydelig lektie til ALLE nye brugere af Ubuntu. Og tak kun Vorherre for, at "angrebet" skete på netop Ubuntu. Havde det været et andet Debian-baseret system havde balladen sikkert været endnu større.

Der ER en virkelig alvorlig overvejelse fra Canonicals side forbundet med, at du ikke kan logge ind som root i Ubuntu. Den konto, root-kontoen, kan være livsfarlig for et system, hvis man ikke ved, hvad man laver. Og de to stakler, som lavede den fadæse, at installere uautoriseret software fra et ikke-Ubuntu-repository har, med statsgaranti, fået deres livs chok. Det ER ikke for sjov, når mere erfarne brugere advarer mod at hente filer kritikløst fra Internettet. De filer KAN være befængt med malware og sende din "sikkerhed" en tur på røv og albuer. Men skér det for dig. Så husk lige at finde dig et nyt, og givetvis bedre password. For lur mig om ikke også din root-konto er blevet kompromitteret ganske alvorligt. Lad være med at hoppe i den usigelige dumhed det vil være at bruge samme adgangskode, som du brugte da din fornuft led et nedbrud af ekstreme proportioner.

[Artificial Intelligence]

+1 @ Jimmyfj

Man ser fejlagtig at folk henviser dette som virus, når der er tale om en trojansk hest, der bygger på at lokke brugere via "social engineering". Det man vil opleve når Linux engang bliver populær en masse, vil være denne type trojanske heste baseret på "social engineering" (d.v.s. lokke/snyde folk til at installere et 3. parts applikation, som gøre onde ting istedet).
En virus derimod har trænge kor på en Linux maskine, da diffination på en virus kan sprede af sig selv. Dette kræver, at hver en bruger den vil smitte skal manuelt "execute" virussen og give den "root" adgang.

Den største trussel er "social engineering", hvis du følger et par simpel råd er du ude for fare.


1. Log aldrig ind som root (er "disable" i Ubuntu as default)
2. Hold dig til Ubuntu offentlige Kildeliste, når du skal installere noget.
3. Sund fornuft.

[Pihl]

Jeg er sådan set enig i, at den største trussel kommer fra "social engineering", altså simpelt fortalt der hvor man bliver narret til at installere noget. Det bliver jeg vist også citeret for i artiklen.

Men det er også fuldstændig ligegyldigt, om vi kalder det virus, trojaner, malware, X, Y eller noget helt andet. Et antivirusprograms fornemmeste opgave er at opdage, om noget sådan er kommet på din computer. Trojaner, virus, whatever.
At det slet ikke er altid at et antivirus opdager problemer, er en anden sag. Men det er ikke ufornuftigt at benytte, og som tidligere driftsansvarlig mener jeg absolut ikke, at det bare er "hellig antivirus-prædiken".

Det er ikke ret nødvendig med antivirus, hvis man blot bruger sin fornuft. Din sunde fornuft vil beskytte dig i 98% af tilfældene. Et antivirus-program kan give dig en procent mere sikkerhed, mens det er umuligt at gardere sig mod den sidste procent. Bruger du slet ikke din fornuft, kan et antivirus program sikkert klare lidt ekstra af fornuftsarbejdet, men slet ikke erstatte det

En dygtig virus/trojaner forfatter vil kunne narre selv den klogeste til at installere noget. Ingen er 100% sikker, så længe maskinen er på internettet, og man installerer ting og sager.

Jeg anbefaler indimellem nye brugere at benytte et antivirus-program. Ikke så meget fordi der er en stor risiko i ikke at have det - men snarere fordi det er for sent at installere det, når først ulykken ER sket. Det er dog heller ikke alle, jeg ser det nødvendigt at anbefale det for.

"Balladen" om denne trojaner er ganske rigtigt vildt overdrevet og hysterisk. At medierne anser det for artikel-værdigt, er vist mere for det sensations-prægede element man kan skabe af det, end selve kernen i historien. Sådan er det, når nu Ubuntu er blevet så interessant for så mange, og sådan vil det være fremover. Microsoft, Apple, IBM og andre har samme vilkår, og det må vi bare lære at leve med, og at lave så god "damage control" som muligt.

Faktisk er der en vinkel på sagen, som bekymrer mig mere, end selve opdagelsen af en trojaner: Nemlig at et velrenommeret og autoritativt site som Gnome Look ikke opdagede trojaneren.

Jeg har da selv installeret ting og sager fra Gnome Look mange gange tidligere, og har gjort det i en del år. Og jeg checker da absolut ikke koden på det jeg henter og installerer.

Selvfølgelig kan Gnome Look heller ikke manuelt checke alting igennem, men hvis man vil bevare sin troværdighed som et site, som brugere skal kunne hente ting fra uden at være bekymret for om der kommer det ene eller det andet snask med, så må sådan noget her ikke ske.

Troværdighedsproblemet er, som jeg ser det, større for Gnome Look, end for Ubuntu/Debian.

Og beklager gutter - frasen "at man kun skal holde sig til officielle kanaler" holder ikke. Godt nok kan de officielle kanaler og repositories meget, men løse alle brugerens ønsker og problemer gør de ikke. Og skal vi bede folk om at droppe sine ønsker, så vinder vi ikke mange Windows-brugere over på vores side.

Snarere skal folk gøres opmærksomme på, at risici FINDES, og at man derfor skal tage sine forholdsregler samt bruge sin fornuft - ligesom man altid har skulle gøre.

[Jimmyfj]

Her må jeg, desværre, erklære mig uenig. At begynde at adoptere Windows-adfærd på GNU/Linux er at skyde spurve med rumraketter. Jeg ved ikke om jeg har misfortsået dig, Martin, men jeg synes netop ikke vi skal lade nye brugere "slæbe" den gamle Windows-adfærd med over til GNU/Linux, uanset hvilken distro vi taler om.

Efter min mening er det langt vigtigere at informere nye brugere om, at der er visse ting, man som bruger ikke lige skal bevæge sig ud i. Og jeg mener godt vi kan begrunde den information med, at nye brugere af GNU/Linux er nye brugere. Derfor må det også være de nye brugere, som adopterer de metoder alle erfarne brugere af GNU/Linux er mere end villige til at dele ud til dem. Der er, trods alt, en grund til at såvel Unix som GNU/Linux er bygget op, som de er. Alt i vores egen distro bygger jo netop på sikkerhed.

1: Du kan ikke logge ind på Ubuntu som root
2: Dit root-password bliver "deaktiveret" efter 10 min. inaktiv
3: Ubuntu har både SELinux og AppArmor fra installation
4: Du kan kryptere din /home-mappe fra første start efter installation
5: Har du paranoia kan du tilmed kryptere din swap-fil

Med andre ord: Sikkerheden er i top, og resten er hélt op til dig selv som bruger. Jeg kan i hvert fald ikke se, hvad godt der skulle komme ud af at lade brugere lulle sig i søvn på en anti-virus-pude af falsk sikkerhed. Netop derfor er det bydende nødvendigt at gøre nye brugere opmærksom på, at ikke nok med at de har skiftet operativsystem, de bør dermed også udvide deres horisont med så meget information, som muligt, omkring deres nye system.

Ingen sætter sig vel ind i en bil og kører, uden først at lære sig lidt om bilen og dens funktioner. Det ville i hvert fald være en smule hovedløst. På samme måde med dit OS. Det er op til dig at lære det at kende.

[Artificial Intelligence]

Jeg kan kun +1 igen til hvad Jimmyfj siger.

Dog vil jeg tilføje, at de anti-virus applikationer man kan få i Linux er så ringe, at de giver flere problemer for brugeren, i nuværende tilstand. De giver simpelthen for mange "False Positives", og jeg har set hvordan brugere på det internationale forum har "screwed" deres eget system på grund af dette.
Et Anti-virus applikation skal aldrig være det første led i et forsvar. Hvis man giver nyankommende det, så er man med til at kompromere linux sikkerhed generelt, med at give nye brugere en layback attitude. Det ser man alt for ofte i Windows verden.
Derudover er et anti-virus applikation retro-active, og vil være ude i stand til at finde nye malware som ikke ligger i dens data-base. I så fald skal den have en extrem paranoid og aggressive heuristic, hvilket vil give flere problemer end den gavner.

Og ja, det gør sgu' en forskel om det er en virus, trojan, spy etc. etc. for som jeg sagde i mit tidligere indlæg omkring virus og "social engineering". Måske ikke for en normal brugere, der er ligeglad med hvad de hedder og gør, men rent teknisk i forhold til Linux sikkerhed og opbygning.

[Pihl]

Hør, vi er ikke uenige om, hvad der er det optimale. Vi er ikke uenige om, at det første forsvar er fornuften. Det skriver jeg vist også ret tydeligt i første indlæg, og det ligger i CWs citat af mig.

Vi er heller ikke uenige om, at verden burde være et fredeligt sted, at der ingen forurening skulle være, og at alle mennesker skulle leve fredeligt sammen.

Men der er langt fra drømme til virkelighed.

Jeg er ikke uenig med jer i hvordan det burde være. Men (*shock*) alle er ikke lige så IT interessede som vi er, og det faktum må vi erkende og rådgive efter. Selvfølgelig skal vi ikke sige "brug antivirus, og så skal du aldrig bekymre dig". Klart, antivirus må ikke være en sovepude, men det skal være en sidste bastion, når man nu ER i gang med at downloade noget fra en semi trusted source som eksempelvis gnome look.

Det er ikke "Windows-adfærd", som det lidt arrogant blev kaldt. Det er menneskelig adfærd. Desværre. Og vi kan gøre en masse ting ved dette - vi kan rådgive, informere, hjælpe og meget andet, men det løser ikke alle problemer.

@Jimmy
Dine 5 punkter hjælper ikke noget, når brugeren bliver narret til at installere noget gennem fx en screensaver. De betyder noget for vira, som installerer sig selv automatisk, men har ingen betydning, når du indtaster dit (sudo) password for at installere det.

@AI
Nej altså, det gør ikke den mindste forskel, når vi snakker antivirusprogram. Når vi snakker om bruger, ja, men et antivirus skal da fange malwaren uanset om det er en virus, trojaner eller whatever. At det slet ikke altid gør det, er som sagt en anden sag, og netop hvor fornuften skal komme først.

Og nu må i to ikke prøve at bilde mig ind, at i de år hvor i har brugt Ubuntu/Linux, har i ALDRIG installeret noget fra en 3. parts kilde, og hvor i ikke gennemgik kildekoden for malware først.

Det kan ske for ALLE, og hvis det sker, kan man jo håbe at antivirusprogrammet kan opdage den skjulte kode og advare brugeren...

Kan vi få hele internettet som et maintained officielt repository, vil jeg gerne holde helt op med at anbefale værktøjer til beskyttelse mod malware. Men så længe folk er nødt til at gå udenfor officielle repos for at få det de ønsker, vil jeg stadig anbefale folk at bruge at installere det.

Men for at opsummere: Vi er IKKE uenige i, at fornuften er vigtigst, at information og best practice kommer før antivirusprogram

[Artificial Intelligence]

I så fald, hvis vi antager ud fra din overbevisning omkring beskyttelse. Så så jeg gerne at folk der mener de skal bruge et program til at søge, brugte chrootkit og rkhunter istedet til dette foremål. Da clamAV og andet er givetvis ubruglige i Linux sammenhæng. (Gratis open source CLI applikationer).

The chkrootkit security scanner searches the local system for signs
that it is infected with a 'rootkit'. Rootkits are set of programs
and hacks designed to take control of a target machine by using known
security flaws.

Rootkit Hunter scans systems for known and unknown rootkits,
backdoors, sniffers and exploits.

It checks for:
- MD5 hash changes;
- files commonly created by rootkits;
- executables with anomalous file permissions;
- suspicious strings in kernel modules;
- hidden files in system directories;
and can optionally scan within files.

Kode: Vælg alt

sudo apt-get install chkrootkit rkhunter
sudo rkhunter -c
sudo chkrootkit

[Pihl]

Du har ret i, at ClamAV ikke nødvendigvis er den bedste løsning (jeg skulle hurtigt nævne en i telefonen). Men den er nu Open Source

Man kan se en liste over antivirus-løsninger her: https://help.ubuntu.com/community/Antivirus

Men som altid, uanset om man bruger Linux eller Windows: Brug fornuften først og antivirusprogrammet sidst.

[Jimmyfj]

@Pihl

Jeg er ked af, hvis du opfatter min bemærkning om Windows-adfærd som arrogant. Den er, på ingen måde, ment sådan. Men en analogi, hvor adfærden gennem flere år har været at skyde skylden fra sig selv, over på alle mulige andre, det er det, jeg lige som prøver at fremhæve. Samt, at det helt er op til brugeren selv at sikre sit system bedst muligt.

Skulle dette så være gennem "anti-virus" på GNU/Linux, so be it. Det handler ikke så meget om, hvor vidt det er fornuftigt at anvende anti-virus software. Efter min bedste mening er det spild af tid, som kunne være brugt mere fornuftigt, mere rationelt på andre ting. Intet andet. Det kan være, at følgende lyder en smule mere arrogant, end min analogi om "Windows-adfærd", men hvad folk bruger deres maskine/OS til er mig inderlig ligegyldigt. Min hjælp bliver jo alligevel først brugbar, når skaden ér sket, ikke?

Og du har så evig ret. Jeg er en af dem, som lever livet lystigt og gladeligt henter software fra 3-parts kilder. Men jeg gør det IKKE, hvis ikke repoet har en key til Signing af indholdet. Og JO, også jeg har hentet materiale fra GNOME-Look.org. Men jeg er også klar over, at de ting jeg henter skal hedde noget med ***xxx.tar.gz - .Deb-filer henter jeg fra getdeb.net, og er de ikke der, så fra softwarens hjemmeside. Men néj. Heller ikke jeg spilder tid med at kigge kildefiler. Jeg stoler på de kilder, jeg henter fra, og stoler også stadig på Gnome-look.org.

Men også du, Martin, må indrømme, at enhver form for hjælp/assistance fra sitet her er "too late" - Skaden ER sket, og alt vi kan gøre, er at dele ud af vores egen erfaring. Og hér véd jeg, at vi kan blive enige; for ikke TO brugere af samme system giver de samme råd/den samme vejledning omkring sikkerhed/ikke-sikkerhed. Så lad DEN enighed skinne igennem, for vi siger jo, trods alt det samme, du, AI og jeg selv.