Quanto è grande la minaccia del malware Desktop Linux? [chiuso]

In primo luogo, dissipiamo ogni idea che Linux sia in qualche modo magicamente immune: file infetti classici , trojan horses e i rootkit esistevano tutti su Unix ben prima che Windows diventasse di primo piano. Credo che ci siano una serie di motivi per cui il classico malware di Windows Desktop non si impadronisce della popolazione dei desktop Linux. Non credo che un singolo motivo sia sufficiente, ma presi tutti insieme, aggiungono qualcosa come "l'immunità della mandria".

1. Linux ha una tradizione che separa i ruoli "utente" e "amministratore". Non è obbligatorio, e non è impervio, ma è lì.
2. Linux ha autorizzazioni di file più sensibili, lettura / scrittura / esecuzione e la separazione utente / gruppo / altro, insieme a setuid. Anche questa è solo una piccola cosa, e se leggi E xperiences con Virus su sistemi Unix di Tom Duff, vedi che non funziona affatto nei sistemi multiutente interattivi in stile anni '80.
3. Linux ha una base hardware e software molto frammentata. Gestisco hardware dell'era del 2003-2006 a casa. Funziona ancora molto bene. Ma significa che gli autori di malware non possono contare su nulla per quanto riguarda l'hardware. Lo stesso per il software: c'è quasi sempre tra 3 e 10 candidati per qualsiasi nicchia particolare. I client di posta elettronica abbondano e ognuno ha una base di utenti fedele. Se questa non è una variazione sufficiente, ogni distro compila la propria, quindi nessuna "build" coerente è presente su una massa critica di desktop. Inoltre, le versioni di tutto, incluso il kernel, cambiano molto più velocemente di quanto Microsoft non cambi le cose. Per ogni particolare software candidato in una data nicchia, molte versioni esistono in natura. Non è poi così insolito compilare qualunque cosa tu abbia, quindi hai essenzialmente una versione non modificabile di qualunque utility.
4. Linux ha una migliore tradizione di separazione dei dati dai file eseguibili. /usr/share contiene documentazione, /bin e /usr/bin contengono gli eseguibili, /etc contiene la configurazione. Tutto ottiene proprietà e permessi diversi. Di nuovo, come i permessi sui file, non obbligatorio e non solido, ma esiste.
5. Linux non ha l'array di casi speciali che Windows ha. Da file system con più radici ('C:' vs 'D:') a nomi di file speciali, magici che appaiono in qualsiasi directory ('AUX', 'CON', ecc.) A "long name name support", Windows richiede un molto più cura quando si programma. Questi casi speciali forniscono anche nicchie per nascondere i file, o ottenere cose da eseguire.
6. Estensioni dei nomi di file magici. Questo mi ha sempre fatto impazzire - chi pensava che fosse una buona idea rendere un file eseguibile per parte del suo nome? Inoltre, chi pensava che nascondere l'estensione da un utente fosse una buona idea? Quanti attacchi di virus / phishing si sono verificati perché è possibile eseguire un file denominato "Threesome.jpg.exe", ma il browser di file nasconde la parte ".exe"? Sì, un'altra piccola cosa, e sì, puoi configurarlo via, ma nessuno lo fa. Per molto tempo, Microsoft non ha enumerato le estensioni che rendevano eseguibile un file, quindi ogni tanto emergeva un nuovo tipo di file-infector.
7. Linux ha una documentazione molto migliore. Sì, un sacco di "Head First", "For Dummies" e titoli un po 'più avanzati esistono per Windows. Ma hai sempre avuto la fonte per Linux. Chiunque può verificare che qualche particolare documentazione sia accurata. Nulla viene tramandato dall'Alto. Sto pensando a cose ufficialmente sanzionate come la serie Inside Windows NT , che sembra sia passata attraverso 3 autori e 6 o 7 edizioni. Tutto ciò, ma nessuno ha ufficialmente documentato l'API nativa NT. Proprio per non pensare che io stia odiando Microsoft, Oracle ha lo stesso tipo di problema, come ha fatto DEC in passato.

Alcuni di questi sono sociali (tradizioni), alcuni sono almeno un po 'tecnici (estensioni di file) ma hanno una componente sociale. Potrebbero esserci di più, ma penso che qualsiasi due o tre delle differenze sopra riportate facciano diventare gli utenti Linux una popolazione meno vulnerabile.

Has such malware been encountered "in the wild" on a significant scale?

Niente di simile a ciò che abbiamo visto su Windows. Bliss è probabilmente il più conosciuto. I virus per Linux tendono ad avere una vita molto breve (questo è un buon articolo per questo: link ). Direi che i motivi principali di questa breve vita sono: a) il virus non può essere eseguito come root, e b) la maggior parte del software che si usa è open source, quindi gli exploit vengono individuati rapidamente e modificati rapidamente.

Do malware distributors target Desktop Linux users?

Difficile rispondere in modo definitivo, naturalmente. Direi "no" principalmente perché:

• difficile da fare a causa della sicurezza / configurazione utente di Linux
• non quota di mercato (escluso apache / server)
• (solo la mia opinione) ma potrei vederlo come un "fuoco amichevole" tra i gruppi di scrittura di malware (onore tra le persone? Non ne ho idea.) Dico solo questo perché dovresti avere una profonda comprensione di Linux per creare un serio exploit ... e quelle persone probabilmente lo adorano e preferiscono scrivere una patch piuttosto che provare e farne una rapida parata.

How much protection do Linux' built-in security features provide from an escalation of the attack through all levels of the system?

Molto. Questo è ciò che ha reso Windows pre-Vista un incubo di sicurezza (o sogno a seconda della prospettiva). Oltre alle cose incorporate che ho citato, ci sono ancora strumenti di sicurezza per Linux come [Antivirus] ( link )