Microsoft koncem loňského roku slíbil Defender ATP (Advanced Threat Protection) pro Linux. Ve středu pak vydal veřejnou předběžnou verzi. Podporovány jsou distribuce RHEL, CentOS a Oracle Linux od 7.2, Ubuntu LTS od 16.04, Debian od 9 a SLES od 12.
Instalovat můžete buď ručně, nebo s pomocí nástrojů Puppet či Ansible. Vypadá to, že uvolněná verze cílí spíše na servery než na desktopy. Změny v souborovém systému jsou detekovány pomocí rozhraní jádra fanotify.
(zdroj: techrepublic)
V principe nie, ale do Microsoftich ekosystemov sa zrejme dostavaju servre s Linuxom a v ramci ochrany ostatnych hostov proste Microsoft naportoval skenovacie jadro na Linuxove API. Nemoze sa tak vytvorit cesta, ktorou pojde "prepasovat" nejaky bordel k endpointu, ktory by to nemusel dat.
Určitě. Všude tam, kde si Linux vyměňuje soubory s Windows, např. přes SMB, jako přílohy k mailu apod. je to stoprocentně třeba. Kromě toho viry pro Linux existují, sice si s nimi většinou poradí CLAM (pokud se mu instaluje dobrý repozitář signatur), ale konkurence neuškodí. Osobně bych sice něco tak privilegovaného, jako je antivirus, nesvěřil proprietární černé skříňce, ale v korporátech se na to právě proto vrhnou.
ja sa tu pozastavim len nad styrmi slovami: viry pre Linux existuju
ano, existuju, ale je ich pravdepodobne menej, nez bolo aplikacii v store pre windows mobile predtym, nez to microsoft zabalil.
Principialne je virus pre Linux dost zbytocna a/alebo kratkodoba zalezitost. Budto virusy na ziaden bug (v kerneli) nespoliehaju a potom spadaju viac menej do kategorie kuriozit. Pretoze potom nutne spoliehaju na to, ze user sedi pod rootovskym uctom, inac su neschopne sa "sirit". Alebo na nejaky bug v kerneli spoliehaju a potom je ich zivotnost obmedzena na dobu, kym je bug fixnuty.
Dalsi dovod, preco sa virusy blbo siria, je ten ze vacsina softu je bud stahovana z oficialnych repozitarov, alebo kompilovana zo zdrojakov. Mnozstvo SW, ktore sa stahuje nadivoko z internetu, alebo inych medii je marginalne.
Ina vec su ine druhy malware-u, ktore cielia na diery v softe na systeme nainstalovanom. Ak taky soft bezi pod rootom, je na problem zadelano (ale tiez sa to typicky nesiri kopirovanim po binarkach). Problem u tohto druhu utokov je, ze antivirak je na to bezzuby, treba mat intrusion detection system, alebo nieco na urovni firewallu.
Toto je fakt dobre len na to, aby sa na Linuxovych hostoch neukladali subory, ktore mozu napadnut Widlie masiny.
Potřebuje virus/červ/malware roota?
Přece stačí aby uživatel něco omylem spustil, ono se mu to zaregistruje do XDG Autostart (nebo .bashrc a podobně) a může to celkem slušně škodit i tak. Zašifrovat soubory (které vlastní) a požadovat platbu, navazovat odchozí spojení, posílat maily, těžit kryptoměny atd.
29. 3. 2020, 13:49 editováno autorem komentáře
TL;DR: nie kazdy malware je virus; nie kazdy antivirak je ucinny proti kazdemu druhu malware
to ale doslo k tomu, ze mame popletenu terminologiu pani. rozne druhy malware (co je vseobecny pojem zhromazdujuci vsetky druhy skodliveho kodu) sa siria roznym sposobom. tym sa odlisuju cervy od trojskoych konov a virusov.
principialny rozdiel je asi taky, ze cerv sa siri vyuzivanim zranitelnosti v aplikaciach, ci uz lokalnych, alebo po sieti. sem patria veci ako makro "virusy", ktore sami seba pridavaju do dokumentov, internetove cervy, ktore sa siria trebars pomocou bugu v nejakom sietovom demone. cisto na ucely sirenia nie je nutne, aby disponoval moznostou infekcie lokalnych binariek.
trojsky kon je umyselne pribaleny k nejakej (hoc aj zdanlivo) uzitocnej aplikacii, takze v zasade nemusi mat implementovany ziaden mechanizmus dalsieho sirenia, pretoze spustenie povodnej binarky moze jeho ucelu stacit sam o sebe.
virus sa siri tak, ze sam seba kopiruje do dalsich spustitelnych suborov, ktore sa snad jedneho casu dostanu na inu masinu, alebo inu instalaciu. pre virus je nevyhnutne, aby bol schopny zapisovat do binariek, co na riadne zinstalovanom linuxe znamena, ze musi mat roota.
a nejde samozrejme iba o terminologiu. rozne typy malware vyzaduju rozne sposoby detekcie. napr. antivirus je dost bezzuby pri detekcii internetovych cervov, ktore sa siria chybami v sietovych sluzbach. na to je potrebny IDS na firewalle / na API kernelu.
trojske kone moze ist detekovat signaturami az po tom, co sa zisti, ze nejaky trojsky kon existuje, alebo sa zisti zavadne chovanie.
virusy tym, ze musia svoju kopiu niest v binarke, ktora sa nejako dostane na system, su zistitelne antivirusom na zaklade vzoriek, alebo samplovania behu aplikacie. neviem ako dnes, ale onehda sa samploval nejaky pociatocny beh, pretoze virus sa casto hookol niekam blizko startu aplikacie, takze nemalo zmysel behavioralne skenovat cely proces (je to casovo narocne a pre infekcny kod je dost problem najst spolahlive a nenapadne miesto infekcie dalej pocas behu aplikacie). to je zaroven dovod, preco je antivirak dost bezzuby voci infekcii z internetu.
az potom sa dostavame k tomu, co taky malware robi, teda aky je jeho payload. moze byt rozny, od cmuchacov roznych hesiel cez instalatory rootkitov az po botnety schopne univerzalneho pouzitia.
samozrejme, nie je to vsetko ciernobiele, pretoze rozne druhy malware mozu byt schopne roznorakeho sirenia, uplne bezna pre Windows bude asi kombinacia cerva s virusom. takisto antivirusy uz dost dlho nefunguju cisto na skenovani vzoriek a samplovani pociatku behu aplikacie, ale integruju v sebe rozne schopne IDS systemy a robia (snad) sken na urovni systemoveho API, takze je sanca, ze zachytia aj nieco, co je viac nez virus a trojsky kon.
obavam sa ale, ze tato sranda nebude komplexny antivirak s IDS. zrejme si to len cez fanotify nechava posielat zoznam suborov, ktore boli zmenene a tie skenuje vzorkami / heuristickou analyzou v sandboxe. na vytvorenie aplikacneho sandboxu prava roota netreba, takze funkcnost tejto srandy je zavisla od toho, ze system nebol kompromitovany rootkitom. utok prichadzajuci zo siete voci beziacemu servisu si to pravdepodobne tiez nevsimne a asi nebude schopne totalne zabranit spusteniu takeho suboru, aj keby sa stiahol (nenapada mi, ako). urobit nieco take pre Linux je asi netrivialne vzhladom k roznorakosti kernelov. Asi jedina moznost je pouzitie security API a implementovanie to okolo grsec a spol. pripadne jeho uplna nahrada.
30. 3. 2020, 14:18 editováno autorem komentáře
ono mať roota je vždy nebezpečná vec a to, že user nemá admina je hlavná výhoda Unix/Unix like OS
In 2019, a record-high 858 Microsoft vulnerabilities was discovered.
Removing administrative rights from endpoints would mitigate 77% of all critical Microsoft vulnerabilities in 2019.
All critical vulnerabilities in Internet Explorer and Microsoft Edge would have been mitigated by removing administrative rights.
Eighty percent of critical vulnerabilities affecting Windows 7, 8.1 and 10, and Windows Servers would have been mitigated by removing administrative rights.
či 2016
The report said that removing admin rights could've mitigated more than 99 percent of flaws affecting Internet Explorer, which had a critical-rated flaw almost every month; and mitigated 82 percent of all vulnerabilities affecting Office.
https://www.zdnet.com/article/most-windows-flaws-mitigated-by-removing-admin-rights-says-report/
Podle dokumentace k API fanotify se o rezidentní štít jedná.
http://man7.org/linux/man-pages/man7/fanotify.7.html
Také bych čekal jaderný modul, právě i kvůli efektivitě. Navíc, v dokumentaci k fanotify se píše, že za jistých okolností se nemusíte o některých událostech dozvědět (praktické zkušenosti ale nemám). Nevím, zda jít přes LSM, stačilo by se zavěsit někam nad souborové systémy a filtrovat operace tam (to by bylo Windows řešení).
fanotify také vypadá stabilně (pokud je kernel zkompilován s příslušnými parametry).
Stejně běžíte na hardwaru s nesvobodným mikrokódem. To bych asi jako měřítko nezohledňoval.
Na desktopu se to jistě hodí. Hrozby pro Linux už popsali jiní, i to, že Vaše dokumenty sdílíte (můžete sdílet) s ostatními lidmi a jejich platformami (třeba už jen obyčejný mailserver, nemusí to být ani fileserver). Dívat se na hrozby optikou minoritního Linuxu, na který se zatím útočníci moc nezaměřují, je krátkozraké.
V korporacích není OSS zárukou, je spíš nevýhodou. Vždy, kdy je to možné, je lepší mít certifikaci důvěryhodné firmy, než konstatování "můžeme si to zkontrolovat sami (když na to dáte lidi a peníze)".
30. 3. 2020, 14:24 editováno autorem komentáře
Jako raději si nainstalujeme certifikovaný systém, který je sice děravý, ale budeme doufat, že to výrobce v dohledné době bude záplatovat a nerozbije při tom něco jiného, než si nainstalovat systém bezpečnější s daleko rychlejším systémem aktualizací? Jen na okraj, adminy musíš zaplatit, ať se starají o Windows, nebo o linux.
Pochopitelně se to vyplatí. Výrobce jasně definuje oblast a kompatibilitu a stará se o to, aby to dodržel. Adminova práce není látat chyby druhých, ale zorganizovat, aby části systému byly kompatibilní a správně oparametrizované. Navíc certifikované systémy mají v doporučeních užití vícestupňové ochrany, právě kvůli tomu, aby se minimalizovaly dopady jednoho problému. Všechna tato opatření jsou právě výhodou certifikací a nezávisí to na joudovi adminovi, který může mít zrovna špatný den a zapomene něco vymyslet.
Takže ano, jednoznačně korporáty vyžadují certifikovaná řešení, eliminují se tím chyby jednotlivců.
ČLÁNKY DO MAILU