Oggi ho installato sia Windows che Ubuntu sul mio SSD.
Che cosa succede se per qualche motivo ottengo un malware / virus (indirizzato a Windows), magari scaricando qualcosa che non dovrei, mentre eseguo Ubuntu?
Il malware / virus troverà un modo dalla partizione di Ubuntu nella partizione di Windows e alla fine farà qualcosa con i miei file di Windows? Supponiamo di aver scaricato alcuni malware (destinati a Windows) sulla mia partizione Ubuntu, cosa è probabile che accada?
Se hai in gioco due virus, uno che ha infettato Linux con un carico utile per infettare Windows, allora potrebbe accadere concettualmente. Tuttavia, un virus nativo di Windows non può essere eseguito in Linux. Il motivo per cui nulla potrebbe accadere ha a che fare con qualcosa noto come "Application Binary Interface", o "ABI" in breve.
In Windows, la maggior parte delle chiamate di sistema viene eseguita tramite qualcosa chiamato "INT 20h", mentre in Linux, le chiamate di sistema vengono eseguite tramite "INT 80h". Ciò significa che un virus basato su Windows che tenta di chiamare il sistema tramite 20h terminerà semplicemente senza causare alcun danno, come INT 20h è un comando" programma terminato compatibile DOS ".
In realtà, la maggior parte degli autori di virus passerà attraverso il percorso di minor resistenza: scrivere un virus Linux per infettare il sistema Linux attualmente in esecuzione e scrivere un virus Windows per infettare il sistema Windows attualmente in esecuzione. Ci vorrebbe una notevole quantità di sforzo extra solo per scrivere un virus il cui unico scopo era quello di infettare un sistema operativo offline.
Per quanto ne so, sarebbe molto più semplice scrivere semplicemente un virus hypervisor che gira "sotto" il sistema operativo, poiché l'ABI non avrebbe alcun significato, dal momento che avrebbe accesso diretto all'hardware e alla memoria.
D'altra parte, se scarichi intenzionalmente un virus, ad esempio, stai cercando di ottenere una copia di un gioco da una risorsa discutibile, e l'hai fatto in Linux, ma hai scaricato il file nella partizione di Windows, e in seguito hai eseguito il programma in Windows, quindi potresti essere infettato a quel punto. Il punto principale, tuttavia, è che Linux è impermeabile ai virus Windows e Windows è impermeabile ai virus Linux. Semplicemente non parlano la stessa lingua.
In molte configurazioni dual boot di Ubuntu è possibile eseguire il codice come utente non privilegiato che ha la possibilità di scrivere sulla partizione Windows. Perché se riesci a farlo con il gestore file senza chiedere una password di sistema, un malware potrebbe montare anche la partizione Windows con lo stesso tipo di aiuto. E se il malware installa un file nella cartella Autostart dell'utente Windows, viene eseguito al prossimo avvio di Windows. Oppure potrebbe semplicemente leggere i file di Windows e inviarli all'autore dell'attacco.
Se in questo modo non è possibile il malware potrebbe provare a utilizzare un bug di escalation di privilegi per ottenere le autorizzazioni root o anche kernel. Da lì è possibile montare e scrivere sulla partizione di Windows o persino configurare un malware BIOS / UEFI.
E a volte nemmeno l'escalation dei privilegi è necessaria perché stai facendo un'installazione software apparentemente innocua come root, come provare ad installare alcuni pacchetti python e fare un refuso .
Ovviamente il malware originale dovrebbe essere progettato pensando a questa configurazione dual-boot. È molto probabile che si verifichi un malware in esecuzione in Ubuntu (a parte i malware che si rivolgono ai server Web), è ancora più basso che questo sia progettato per infettare la partizione di Windows in una configurazione dual-boot. Ma è possibile e probabilmente nemmeno difficile da implementare . E soprattutto se sei un bersaglio interessante e l'attaccante sa della tua configurazione, allora potrebbe provare questo percorso di attacco.
Un modo per proteggerti da ciò è crittografando la partizione di Windows in modo che sia impossibile accedere ai file dall'esterno del sistema operativo Windows. Questo però non protegge dagli attacchi a livello di BIOS / UEFI.
Sì, è possibile che un malware infetti la partizione di Windows mentre stai usando Linux - fonte: è successo a me.
Questo è stato molti anni fa quando stavo iniziando con Linux. Il sistema dualboot era attualmente in esecuzione su Linux e volevo scambiare file tra due computer usando Samba. Dato che c'erano alcuni problemi, ho rimosso tutte le protezioni e le limitazioni di sicurezza in Samba uno alla volta finché non ha funzionato (o forse non funzionava nemmeno, non ricordo).
Dopo il riavvio in Windows qualche tempo dopo, il firewall personale mi ha accolto con diversi allarmi che chiedevano se i programmi xyz e foo potevano connettersi a Internet. Quelli si sono rivelati malware eseguibili situati in c: \ windows \ system o simili.
Ho scoperto che il mio Samba giocava sotto Linux. In realtà avevo condiviso l'intera unità Windows C: \ con autorizzazioni di scrittura e senza alcuna limitazione di autenticazione o indirizzo; e anche apparentemente non ho attivato alcun firewall in Linux (o forse ho disabilitato anche quello). Poiché questo era nei giorni in cui il router SOHO era comune, il computer era direttamente connesso a Internet tramite modem DSL. Quindi alcuni malware avevano trovato la mia condivisibile Samba share (probabilmente tramite la scansione brute-force degli intervalli IP), si erano copiati nella directory di sistema di Windows e avevano aggiunto anche le voci necessarie per l'avvio automatico dei file che aveva trovato lì. Naturalmente l'infezione era rimasta inattiva mentre Linux era in esecuzione, ma è diventato attivo la prossima volta che ho avviato Windows.
Così scontato, questo è stato un mucchio enorme di fottuti da parte mia; ma mostra che se sei sufficientemente disattento sotto Linux potresti addirittura infettare il tuo sistema Windows.
Se la partizione di Windows è montata, qualsiasi utente autorizzato a scrivere su quella montatura può modificare qualsiasi file a suo piacimento, senza le normali restrizioni o autorizzazioni che verrebbero applicate all'avvio di Windows. Ciò potrebbe consentire a un utente malintenzionato di sostituire i file di sistema critici per infettare Windows.
Detto questo, non penso che ci sia qualche malware noto che faccia questo. Dovrebbe essere specificamente mirato per questo scenario e richiederebbe la partizione di Windows per essere montata con determinate autorizzazioni.
Le altre risposte spiegano piuttosto bene perché il malware di Windows non verrà eseguito su Ubuntu. Tuttavia ci sono alcuni linguaggi come Java, e la maggior parte dei linguaggi interpretati che sono multipiattaforma come PHP, Python, Ruby, ecc. E il malware scritto in uno di questi linguaggi verrà eseguito bene su Windows, Mac, Linux e persino BSD.
Supponendo che il codice dannoso possa essere eseguito con successo in Ubuntu, può quindi procedere a fare quello che vuole, per lo più ottenendo root (usando un exploit del kernel per esempio) e poi scrivendo alla partizione di Windows per copiarsi anche lì.