Se il sistema operativo ha una sicurezza aggiornata, cosa fa una scansione antivirus su Linux [chiuso]

0

Sto parlando di scanner AV destinati alla scansione di sistemi desktop Linux, come ad esempio rkhunter. Queste scansioni per noti rootkit / worm / malware Linux. Ma se sono noti, il tuo sistema non dovrebbe già essere riparato per difenderli?

E un'altra domanda che è dovuta alla mia ignoranza sull'antivirus. Come funzionano i virus su Windows? Poiché lo scanner sta analizzando le firme malware note, Windows non dovrebbe avere già una sicurezza che sconfigga il malware? Ovviamente mi manca qualcosa.

    
posta Ninja-Rabbit 27.06.2017 - 23:04
fonte

4 risposte

1

L'equivoco qui è che lo sfruttamento non è sempre una parte di un'infezione. Quando un sistema operativo viene sottoposto a patch, viene protetto da un bug che potrebbe consentire a un utente malintenzionato di infettare un computer. Ma un utente malintenzionato non ha bisogno di usare un bug per ottenere l'accesso, e se usa un bug non è necessariamente parte del sistema operativo (potrebbe trovarsi in un servizio, browser, app installato). Pensa all'utilizzo dell'ingegneria sociale, utilizzando una password ottenuta in qualche modo o persino utilizzando un exploit del browser che è agnostico alla versione os in quanto sfrutti solo il processo del browser.

Gli scanner antivirus aggiungono un altro livello di protezione, se il malware è stato installato utilizzando credenziali, social engineering o forse anche un giorno zero, se è noto lo fermerai comunque.

Dato che la sicurezza di un concetto è sempre costruita a strati, supponendo che più ostacoli metterai gli attaccanti avrà un tempo più difficile, il che presumendo che tu non sia un obiettivo di valore sufficientemente elevato ti renderà indesiderabile o praticamente sicuro.

    
risposta data 27.06.2017 - 23:39
fonte
0

Lo scopo di un programma antivirus è identificare ed eliminare / bloccare programmi eseguibili dannosi. Questo è separato dal problema di assicurare che un tale programma dannoso non entri nella tua macchina in primo luogo. Infatti, un determinato programma dannoso potrebbe essere posizionato sulla tua macchina attraverso un numero qualsiasi di exploit, ma il programma stesso è ciò che danneggia. La scansione dei file prima che vengano eseguiti impedisce l'esecuzione di molti programmi dannosi, indipendentemente dalla loro origine.

I programmi dannosi non sono necessariamente ovvi come "rm -rf /". Considera un programma che cripta la tua home directory e poi cancella la versione non criptata (nella speranza di farti pagare un riscatto). Questo programma non sta sfruttando nulla, sta aprendo e leggendo i file (cosa normale per un programma), quindi esegue alcuni calcoli e quindi scrive su un altro file (che è anche normale). Anche l'eliminazione dei file è una cosa relativamente normale per i programmi. Quindi la necessità di identificare programmi maligni rispetto all'identificazione di programmi che cancellano solo i file.

    
risposta data 28.06.2017 - 00:59
fonte
0

Autore originale di rkhunter qui.

Il confronto con i sistemi Windows e Linux sono uguali: hai ancora bisogno di uno scanner antivirus, anche se hai installato tutte le patch disponibili. Semplicemente perché il software dannoso può essere eseguito su un sistema operativo completamente aggiornato. Quindi hai bisogno di difese in diverse aree. E mentre molti dicono che Linux non è realmente vulnerabile al malware, posso dire il contrario. L'unica domanda è quale tipo di scanner è necessario (scanner in tempo reale in accesso o programmato).

    
risposta data 28.06.2017 - 11:55
fonte
0

Un utente malintenzionato potrebbe utilizzare un exploit sconosciuto o zero-day (contro il quale il sistema operativo non è stato ancora aggiornato) per installare un rootkit conosciuto. Pertanto, la scansione antivirus vale ancora la pena anche se le patch sono aggiornate.

    
risposta data 28.06.2017 - 12:04
fonte

Leggi altre domande sui tag