Se il sistema operativo ha una sicurezza aggiornata, cosa fa una scansione antivirus su Linux [chiuso]

L'equivoco qui è che lo sfruttamento non è sempre una parte di un'infezione. Quando un sistema operativo viene sottoposto a patch, viene protetto da un bug che potrebbe consentire a un utente malintenzionato di infettare un computer. Ma un utente malintenzionato non ha bisogno di usare un bug per ottenere l'accesso, e se usa un bug non è necessariamente parte del sistema operativo (potrebbe trovarsi in un servizio, browser, app installato). Pensa all'utilizzo dell'ingegneria sociale, utilizzando una password ottenuta in qualche modo o persino utilizzando un exploit del browser che è agnostico alla versione os in quanto sfrutti solo il processo del browser.

Gli scanner antivirus aggiungono un altro livello di protezione, se il malware è stato installato utilizzando credenziali, social engineering o forse anche un giorno zero, se è noto lo fermerai comunque.

Dato che la sicurezza di un concetto è sempre costruita a strati, supponendo che più ostacoli metterai gli attaccanti avrà un tempo più difficile, il che presumendo che tu non sia un obiettivo di valore sufficientemente elevato ti renderà indesiderabile o praticamente sicuro.

Lo scopo di un programma antivirus è identificare ed eliminare / bloccare programmi eseguibili dannosi. Questo è separato dal problema di assicurare che un tale programma dannoso non entri nella tua macchina in primo luogo. Infatti, un determinato programma dannoso potrebbe essere posizionato sulla tua macchina attraverso un numero qualsiasi di exploit, ma il programma stesso è ciò che danneggia. La scansione dei file prima che vengano eseguiti impedisce l'esecuzione di molti programmi dannosi, indipendentemente dalla loro origine.

I programmi dannosi non sono necessariamente ovvi come "rm -rf /". Considera un programma che cripta la tua home directory e poi cancella la versione non criptata (nella speranza di farti pagare un riscatto). Questo programma non sta sfruttando nulla, sta aprendo e leggendo i file (cosa normale per un programma), quindi esegue alcuni calcoli e quindi scrive su un altro file (che è anche normale). Anche l'eliminazione dei file è una cosa relativamente normale per i programmi. Quindi la necessità di identificare programmi maligni rispetto all'identificazione di programmi che cancellano solo i file.

Autore originale di rkhunter qui.

Il confronto con i sistemi Windows e Linux sono uguali: hai ancora bisogno di uno scanner antivirus, anche se hai installato tutte le patch disponibili. Semplicemente perché il software dannoso può essere eseguito su un sistema operativo completamente aggiornato. Quindi hai bisogno di difese in diverse aree. E mentre molti dicono che Linux non è realmente vulnerabile al malware, posso dire il contrario. L'unica domanda è quale tipo di scanner è necessario (scanner in tempo reale in accesso o programmato).

Un utente malintenzionato potrebbe utilizzare un exploit sconosciuto o zero-day (contro il quale il sistema operativo non è stato ancora aggiornato) per installare un rootkit conosciuto. Pertanto, la scansione antivirus vale ancora la pena anche se le patch sono aggiornate.