Hlavní navigace

Vlákno názorů ke zprávičce Microsoft Defender ATP pro Linux předběžná verze od MeeGo - no future - Fakt je to pro Linux třeba? :-(

  • Aktualita je stará, nové názory již nelze přidávat.
  • 29. 3. 2020 11:52

    ventYl

    V principe nie, ale do Microsoftich ekosystemov sa zrejme dostavaju servre s Linuxom a v ramci ochrany ostatnych hostov proste Microsoft naportoval skenovacie jadro na Linuxove API. Nemoze sa tak vytvorit cesta, ktorou pojde "prepasovat" nejaky bordel k endpointu, ktory by to nemusel dat.

  • 29. 3. 2020 12:10

    klokan

    Nehledě na to, že Microsoft dneska nabízí řadu svých produktů i na Linuxu, od ASP.NET po MS-SQL na serveru a Skype, Teams, VSC a perspektivně Edge na desktopu. Tohle je jenom další v řadě.

  • 29. 3. 2020 11:55

    klokan

    Určitě. Všude tam, kde si Linux vyměňuje soubory s Windows, např. přes SMB, jako přílohy k mailu apod. je to stoprocentně třeba. Kromě toho viry pro Linux existují, sice si s nimi většinou poradí CLAM (pokud se mu instaluje dobrý repozitář signatur), ale konkurence neuškodí. Osobně bych sice něco tak privilegovaného, jako je antivirus, nesvěřil proprietární černé skříňce, ale v korporátech se na to právě proto vrhnou.

  • 29. 3. 2020 12:50

    ventYl

    ja sa tu pozastavim len nad styrmi slovami: viry pre Linux existuju

    ano, existuju, ale je ich pravdepodobne menej, nez bolo aplikacii v store pre windows mobile predtym, nez to microsoft zabalil.

    Principialne je virus pre Linux dost zbytocna a/alebo kratkodoba zalezitost. Budto virusy na ziaden bug (v kerneli) nespoliehaju a potom spadaju viac menej do kategorie kuriozit. Pretoze potom nutne spoliehaju na to, ze user sedi pod rootovskym uctom, inac su neschopne sa "sirit". Alebo na nejaky bug v kerneli spoliehaju a potom je ich zivotnost obmedzena na dobu, kym je bug fixnuty.

    Dalsi dovod, preco sa virusy blbo siria, je ten ze vacsina softu je bud stahovana z oficialnych repozitarov, alebo kompilovana zo zdrojakov. Mnozstvo SW, ktore sa stahuje nadivoko z internetu, alebo inych medii je marginalne.

    Ina vec su ine druhy malware-u, ktore cielia na diery v softe na systeme nainstalovanom. Ak taky soft bezi pod rootom, je na problem zadelano (ale tiez sa to typicky nesiri kopirovanim po binarkach). Problem u tohto druhu utokov je, ze antivirak je na to bezzuby, treba mat intrusion detection system, alebo nieco na urovni firewallu.

    Toto je fakt dobre len na to, aby sa na Linuxovych hostoch neukladali subory, ktore mozu napadnut Widlie masiny.

  • 29. 3. 2020 13:48

    Cabrón

    Potřebuje virus/červ/malware roota?

    Přece stačí aby uživatel něco omylem spustil, ono se mu to zaregistruje do XDG Autostart (nebo .bashrc a podobně) a může to celkem slušně škodit i tak. Zašifrovat soubory (které vlastní) a požadovat platbu, navazovat odchozí spojení, posílat maily, těžit kryptoměny atd.

    29. 3. 2020, 13:49 editováno autorem komentáře

  • 29. 3. 2020 21:08

    Pavel Tavoda

    Presne, minule sa mi jedna aplikacia bez toho aby sa pytala zaregistrovala do GNOME autostartu. Bol to zaskodnicky virus, hned som to dal prec. Myslim ze skype sa to volalo.

  • 30. 3. 2020 0:30

    klokan

    Přesně tak. Virus často root nepotřebuje protože cílem je ukrást hodnotná data (hesla - ne k lokálnímu uživatelskému účtu, ale k paypalu, na banku atd., čísla kreditních karet apod) a ta se nachází v uživatelském účtu, ne u roota.

  • 30. 3. 2020 1:36

    Vít Šesták

    A navíc to heslo si často může i sám zjistit, pokud uživatel používá sudo (alias v bashrc, události v X11, vlastní popup, …)

  • 30. 3. 2020 14:18

    ventYl

    TL;DR: nie kazdy malware je virus; nie kazdy antivirak je ucinny proti kazdemu druhu malware

    to ale doslo k tomu, ze mame popletenu terminologiu pani. rozne druhy malware (co je vseobecny pojem zhromazdujuci vsetky druhy skodliveho kodu) sa siria roznym sposobom. tym sa odlisuju cervy od trojskoych konov a virusov.

    principialny rozdiel je asi taky, ze cerv sa siri vyuzivanim zranitelnosti v aplikaciach, ci uz lokalnych, alebo po sieti. sem patria veci ako makro "virusy", ktore sami seba pridavaju do dokumentov, internetove cervy, ktore sa siria trebars pomocou bugu v nejakom sietovom demone. cisto na ucely sirenia nie je nutne, aby disponoval moznostou infekcie lokalnych binariek.

    trojsky kon je umyselne pribaleny k nejakej (hoc aj zdanlivo) uzitocnej aplikacii, takze v zasade nemusi mat implementovany ziaden mechanizmus dalsieho sirenia, pretoze spustenie povodnej binarky moze jeho ucelu stacit sam o sebe.

    virus sa siri tak, ze sam seba kopiruje do dalsich spustitelnych suborov, ktore sa snad jedneho casu dostanu na inu masinu, alebo inu instalaciu. pre virus je nevyhnutne, aby bol schopny zapisovat do binariek, co na riadne zinstalovanom linuxe znamena, ze musi mat roota.

    a nejde samozrejme iba o terminologiu. rozne typy malware vyzaduju rozne sposoby detekcie. napr. antivirus je dost bezzuby pri detekcii internetovych cervov, ktore sa siria chybami v sietovych sluzbach. na to je potrebny IDS na firewalle / na API kernelu.

    trojske kone moze ist detekovat signaturami az po tom, co sa zisti, ze nejaky trojsky kon existuje, alebo sa zisti zavadne chovanie.

    virusy tym, ze musia svoju kopiu niest v binarke, ktora sa nejako dostane na system, su zistitelne antivirusom na zaklade vzoriek, alebo samplovania behu aplikacie. neviem ako dnes, ale onehda sa samploval nejaky pociatocny beh, pretoze virus sa casto hookol niekam blizko startu aplikacie, takze nemalo zmysel behavioralne skenovat cely proces (je to casovo narocne a pre infekcny kod je dost problem najst spolahlive a nenapadne miesto infekcie dalej pocas behu aplikacie). to je zaroven dovod, preco je antivirak dost bezzuby voci infekcii z internetu.

    az potom sa dostavame k tomu, co taky malware robi, teda aky je jeho payload. moze byt rozny, od cmuchacov roznych hesiel cez instalatory rootkitov az po botnety schopne univerzalneho pouzitia.

    samozrejme, nie je to vsetko ciernobiele, pretoze rozne druhy malware mozu byt schopne roznorakeho sirenia, uplne bezna pre Windows bude asi kombinacia cerva s virusom. takisto antivirusy uz dost dlho nefunguju cisto na skenovani vzoriek a samplovani pociatku behu aplikacie, ale integruju v sebe rozne schopne IDS systemy a robia (snad) sken na urovni systemoveho API, takze je sanca, ze zachytia aj nieco, co je viac nez virus a trojsky kon.

    obavam sa ale, ze tato sranda nebude komplexny antivirak s IDS. zrejme si to len cez fanotify nechava posielat zoznam suborov, ktore boli zmenene a tie skenuje vzorkami / heuristickou analyzou v sandboxe. na vytvorenie aplikacneho sandboxu prava roota netreba, takze funkcnost tejto srandy je zavisla od toho, ze system nebol kompromitovany rootkitom. utok prichadzajuci zo siete voci beziacemu servisu si to pravdepodobne tiez nevsimne a asi nebude schopne totalne zabranit spusteniu takeho suboru, aj keby sa stiahol (nenapada mi, ako). urobit nieco take pre Linux je asi netrivialne vzhladom k roznorakosti kernelov. Asi jedina moznost je pouzitie security API a implementovanie to okolo grsec a spol. pripadne jeho uplna nahrada.

    30. 3. 2020, 14:18 editováno autorem komentáře

  • 30. 3. 2020 7:38

    Peter Fodrek

    ono mať roota je vždy nebezpečná vec a to, že user nemá admina je hlavná výhoda Unix/Unix like OS

    In 2019, a record-high 858 Microsoft vulnerabilities was discovered.

    Removing administrative rights from endpoints would mitigate 77% of all critical Microsoft vulnerabilities in 2019.
    All critical vulnerabilities in Internet Explorer and Microsoft Edge would have been mitigated by removing administrative rights.
    Eighty percent of critical vulnerabilities affecting Windows 7, 8.1 and 10, and Windows Servers would have been mitigated by removing administrative rights.

    https://www.channelfutures.com/security/removing-admin-rights-key-to-stopping-microsoft-vulnerabilities

    či 2016
    The report said that removing admin rights could've mitigated more than 99 percent of flaws affecting Internet Explorer, which had a critical-rated flaw almost every month; and mitigated 82 percent of all vulnerabilities affecting Office.

    https://www.zdnet.com/article/most-windows-flaws-mitigated-by-removing-admin-rights-says-report/