Могут ли быть вирусы на линуксе?

А вот в венде, насколько я знаю, пароль до сих пор за несколько сек подобрать можно.

Это мы уже проходили, ты слился, так ничего и не доказав.

А проверять отдельные пакеты нет смысла, т.к. они получаются централизованно очень редко.

да ладно. Зависимости ты откуда берёшь?

Подписываются именно репозитории.

подписывается КАЖДЫЙ пакет, но подпись конечно своя(может быть) у каждого репозитория.

Можно подписать и пакет, но это ничего не даёт - если пакет получен из стороннего источника - ключей для проверки у пользователя нет

почему «нет»? У меня есть.

К тому же пакет часто получается локально - при помощи сборки dpkg-source или checkinstall, тогда подписывание вообще является делом бессмысленным.

в этом случае проверяют сигнатуру сырцов.

И да, у меня Debian.

какая разница, если ты всё равно не в теме?

не проще-ли венду в /dev/null?

Не проще. И ты таки не знаешь, что такое «заморозка системного диска». Это не про холодильники.

А вот в венде, насколько я знаю, пароль до сих пор за несколько сек подобрать можно.

Ничего себе ты хакер. Поделись опытом.

да ладно. Зависимости ты откуда берёшь?

Из репозиториев, да.

подписывается КАЖДЫЙ пакет, но подпись конечно своя(может быть) у каждого репозитория.

Ну, я это и имел ввиду. Очевидно же, что подписью файла Packages дело не ограничивается. Более того, каждый пакет подписывется ключом мейнтейнера, а не одним общим.

почему «нет»? У меня есть.

Ну, если есть - и на то имеются способы проверки. Быстрый гуглинг сказал, что это - debsig-verify.

в этом случае проверяют сигнатуру сырцов.

Да, я знаю. И что?

Напомню - в начале речь шла о том, что при попытке установки взятого с помойки .deb-пакета пользователю его поставить по умоляанию не дадут. Я это опроверг. А то, что иногда проверка нужна и способы для этого есть, мы уже выяснили.

Я говорил о том, что нет смысла в том, чтобы dpkg блокировал установку всех отдельных пакетов, так как они чаще всего получены из источников, отличающихся от официальных репозиториев и, следовательно, чаще всего не могут быть проверены. А для тех кому надо - способы есть.

На линуксе не принято находить софт с бэкдорами где попало. Либо ставят из репозиториев, либо с офсайта. Поэтому «вирусу» сложнее попасть в систему.

Безусловно. Но я не исключаю параноидальную возможность «индивидуального подхода» лично к моей машине.

Ps Топикстартер, Skype - вирус?..

Слишком тонко, анон. Особенно после информации о всяких там PRISM. Так что - скорее да, чем нет. Если ты хотел сказать, что определение вируса расплывчато, то отвечу так: ящитаю, что вирус = софт, действующий против интересов пользователя. Например, похищающий пароли из FTP-клиента к серверам. Или делающий rm / -rf (format c:). Короче, то, что сделает мою жизнь несколько более унылой, чем до этого.

Тут сказали, что новый софт должен запускаться в песочнице. Что вы имеете ввиду?

И самый главный вопрос: как вообще понять, что какая-то софтина делает что-то не угодное? Например, в, прости господи, шиндовс я уже почти все процессы знаю по именам. А тут у меня 0.0 предположений о том что зачем нужно.

И еще немного паранойи. В каком-то интервью с кем-то кто-то сказал. А может и не в интервью. А может я это тут прочитал где-то.

Мол, сырцы ядра настолько большие, что несмотря на открытый код, проверить их все одному человеку не под силу. Поэтому запросто может быть ситуация, когда в ядро впилен зонд. Его просто не буду искать, т.к. это слишком долго/тяжело, несмотря на саму возможность его найти.

За куски кода ответсвенны рвзные люди, они и проверяют. И вряд ли кто-то из них может такое сделать - репутацию для доступа к Git ядра очень труздно заслужить и очень легко потерять.

А проверяют - коммиты, фрагментарно.

И самый главный вопрос: как вообще понять, что какая-то софтина делает что-то не угодное? Например, в, прости господи, шиндовс я уже почти все процессы знаю по именам. А тут у меня 0.0 предположений о том что зачем нужно.

Ну мониторь активность сетевую, если так интересно. И вообще - в Linux как раз очевидно, кто и что делает. Единственное, что имеет смысл ограничивать - потенциально уязвимые прикладные программы типа Firefox или Chromium. Но для этого есть простой AppArmor, сложный SELinux и костыльное разграничение пользователей.

И вообще - в Linux как раз очевидно, кто и что делает.

Мне не очевидно, мягко говоря. Что я делаю не так? Что почитать?

Нууу, например. sudo ps -ax и можно вешаться, черт знает, что это всё такое.

top -u <имя пользователя> . Остальное тебе не важно. Ну или, если уж так хочется, отфильтруй процессы в квадратных скобках - процессы ядра, тогда уже попроще будет разобраться.

Компетентный дон, наверное, еще не успел родиться, когда появился червь Ramen?

это уже было на хабре. Поиск в помощь.

Его просто не буду искать, т.к. это слишком долго/тяжело, несмотря на саму возможность его найти.

есть автоматические системы поиска.

И к тому-же, когда ты пошлёшь патч с зондом, его будут проверять. Т.ч. надо Линуса подкупить. Ну и ещё Over9000 человек.

это уже было на хабре

Слышал звон? А то я уж подумал, что ты спец.

я на той неделе пруфлинки уже давал. Не хочешь учится думать, научись хотя-бы искать. Я вам не ликбез.

я на той неделе пруфлинки уже давал

Мне пруфлинки не нужны, мне интересен твой личный опыт. Ты же специалист, судя по всему, во всех областях. Вот и расскажи, когда и как ты «ломал» пароли. Или просто «выписываешь» «Технику молодежи»?

Мне пруфлинки не нужны, мне интересен твой личный опыт. Ты же специалист, судя по всему, во всех областях. Вот и расскажи, когда и как ты «ломал» пароли.

Товарищ майор, хорош прикалываться, завтра зайду на Литейный, и всё подпишу.

могут, надо написать программу, которая вставит свой код в elf, я даже находил где-то описание, как это сделать, проблема только в том, как запустить эту программу из под рута, но у себя дома в целях эксперимента вы можете это сделать и заразить все исполняемые файлы в вашей системе

Лично мне это не интересно. Я беспокоюсь за безопасность своей системы, не более.

Конечно могут быть и есть уже давно. Немного примеров есть даже здесь. В реальности ситуация такова - если затраты оправданы, то будет проводится целенаправленная атака на конкретный сервер (который с большой вероятностью крутится на unix-like). А уязвимости есть везде.

Могут ли быть вирусы на линуксе?

Могут. Но не хотят.

Ничего безотказнее социальной инженерии еще не придумали. Тут не поможет ни «мегакрутая» ОС, ни «Мегакрутой» антивирус.

Только это не вирус будет, а обычное использование идиотизма для получения доступа к системе.

Уже. Посмотрите раздел игр под линукс на рутрекере.

Возможно, но вирусы пишут не с целью обойти мегакрутую защиту, а как раз таки с целью

получения доступа к системе.

Опустим то, что это промежуточная цель.

С какой стати линуксоид будет с сайта что-то устанавливать и выдавать права?

Не линуксоид - но пользователь

Запустят «установщик» на gtk — а у юзера только qt установлен.

Уже пройденный этап - многим «опасным» сайтам, лень перерисовывать мега-сообщение об обнаруженных вирусах под Висту/8, так до сих пор и болтаются с ХП оформлением.

Хочешь сказать что в софте под линукс не бывает уязвимостей класса Remote Code Execution ?

Уже пройденный этап - многим «опасным» сайтам, лень перерисовывать мега-сообщение об обнаруженных вирусах под Висту/8, так до сих пор и болтаются с ХП оформлением.

И это тоже не вирус, а троян.

Это всё игра словами. Вирус не вирус, троян не троян... Чистопородные вирусы уже давным давно не авангард зловредов.

Тред про вирусы, я ответил про вирусы. Соблазнение секретарш пентагона, веб-страницы в стиле windows xp и загрузка с livecd убунты, пока админ Вася ушел покурить — не вирусы и никак не зависят от операционной системы и еще защит.

Для вирусов достаточно RCE уязвимости. В самбе к примеру периодически выявляют

Вот только распространенных версий самбы дофига, и одна уязвимость есть далеко не у всех юзеров.

да. Могут быть. Их нет исключительно по сл. причинам:

1. малая распространённость _конкретного_ дистра (т.е. дистров Over9000, да их всепх в общем 1%)

2. default os Linux ещё и с apparmor'ом фкороппке. Он не всесилен, троян проушанет, но ВИРУС — не пройдёт.

3. ВНЕЗАПНО: большая грамотность хомячков. Да, ламер которому плевать, поставит маздай(точнее _оставит_ маздай). Если он взял себе за труд поставить убунту — это уже о многом говорит. Он _готов_ ткнуть пару галок для своей безопасности.

4. Практически НЕТ необходимости ставить левое ПО. Мне вот например кроме адобе-флеша ничего и не нужно. Вирусам просто не через ЧЕГО размножаться. Разве что через атсрал.

Разве что через атсрал.

http://msisac.cisecurity.org/advisories/2013/2013-035.cfm

http://msisac.cisecurity.org/advisories/2013/2013-035.cfm

спасибо за пруф.

Вот именно, что буде такая дыра появляется в GNU ФФ, то она СРАЗУ закрывается. А если она появляется скажем в IE, то известна она становится исключительно вирусмейкерам & касперскому, и им это афишировать тупо не выгодно. Производителю IE вдвойне невыгодно, ибо

1. нужно тратить деньги на закрытие дыры

2. ВСЕ узнают, что IE это РЕШЕТО.

Посему все (кто в теме), делают вид, что «всё хорошо», а «вирусы появляются „сами по себе“, из-за кривых рук пользователя». Ну а IE тут «не при чём» (хотя непонятно, какую магию используют в мысы, что-бы делать браузер БЕЗ ошибок?)

Вот именно, что буде такая дыра появляется в GNU ФФ, то она СРАЗУ закрывается.

не сразу, а пока ее не опубликуют.
про многолетнюю уязвимость в linux kernel напомнить?

Вот именно, что буде такая дыра появляется в GNU ФФ, то она СРАЗУ закрывается.

Сразу говоришь ? «Firefox versions prior to 20.0», prior to что означает понимаешь ?

ну как на ведроиде пускают эксплоит и получают S-OFF а потом ставят su и Clockwork Superuse/Chainfire SuperSU и шпиндюлят прошивочку
можно написать, лучше на перл - пример есть на лоре

Да. Внедряем в якобы полезную программу троян, который 1). Показывает меню, которое обычно по правой кнопке мыши 2). Размер меню - 1 пиксел 3). Затем меню зависает - теперь ничто не реагирует на нажатия мыши и клавиатуры - остаётся Ctrl-Alt-F1 и killall pidgin. 4). Затем наш троян выводит картинку на весь экран «Ваш Linux был заблокирован. Для разблокирования отправьте SMS на короткий номер и введите код в поле ниже. Перезагрузка компьютера или попытка завершить сеанс приведут к форматированию раздела /».

Вот именно, что буде такая дыра появляется в GNU ФФ, то она СРАЗУ закрывается.

Сразу говоришь ? «Firefox versions prior to 20.0», prior to что означает понимаешь ?

ссылки на обнаруженные вирусы будут?

не сразу, а пока ее не опубликуют. про многолетнюю уязвимость в linux kernel напомнить?

ещё напомни, сколько серверов через эту дыру поломали.

Да. Внедряем в якобы полезную программу троян, который

1. как ты её будешь распространять?

2. даже если ты напишешь супер-пупер полезную утилиту, как она приживётся в _любом_ Linux?

Затем меню зависает

этим ты только полную ТП удивишь. Даже тупая блонди перезагрузится под рутом, и удалит твой троян (осилит, не сомневайся. Поставить из блобов в обход ПМ ведь осчилила!).

ссылки на обнаруженные вирусы будут?

Могут ли быть вирусы на линуксе? - Это, если ты внезапно забыл, название топика.

С пониманием у тебя как ? Стабильно плохо ?

>> Да. Внедряем в якобы полезную программу троян, который

> 1. как ты её будешь распространять?

RPM/DEB/tar.gz

> 2. даже если ты напишешь супер-пупер полезную утилиту, как она приживётся в _любом_ Linux?

Конечно. Прочитай что такое стандарт LSB. Вся проприетарщина компилируется по этому стандарту. Суть такова: часть системных библиотек имеют обратную совместимость: GCC 4.8 запускает также все программы GCC 4.0-4.7, GLIBC 2.18 - 2.0-2.17. Также обратную совместимость имеют GTK и Qt. Часть системных библиотек не имеют обратной совместимости, например libpng, libjpeg, libcurl, libssl. И тогда в /usr/lib кладутся две версии одной библиотеки: стабильная и последняя. Список (неполный). Всё, что не перечислено в списках (или если требуется более новая библиотека), кладётся в архив с программой (либо прописывается зависимостью к RPM/DEB). LSB 4.0 писался с RHEL 5, так что чтобы программа запускалась тупо везде, её нужно компилировать в CentOS 5, включив как можно меньше возможностей программы для снижения количества зависимостей.

Пример. В системных требованиях так и сказано, «библиотеки LSB 4.0». А вот тут требуются слишком новые версии библиотек, поэтому требуются новые openSUSE/Fedora/Ubuntu/Debian. Поддержку RHEL6 прекратили месяц назад. Также Firefox с http://getfirefox.com/ поддерживает RHEL5, а следовательно запускается в вообще любой версии openSUSE 10.2-12.3, Fedora 6-19, Ubuntu 7.04-13.04 и Debian 4-7. И Flash Player так же. Nero Linux ещё, Maya Linux. Ну и конечно же, все игры из Humble Bundle. Выпущены в 2010, работают и сейчас.

Могут ли быть вирусы на линуксе? - Это, если ты внезапно забыл, название топика.

С пониманием у тебя как ? Стабильно плохо ?

относительно тебя: да. Ты сам говорил, что «Это всё игра словами. Вирус не вирус, троян не троян...». Забыл? Или это не ты?

Как я понимаю, ТСа такие детали классификации тоже не волнуют, я согласен с тем тобой, кто был в двенадцатом часу пополудни.

RPM/DEB

facepalm... Ты уже сломал ключи маинтейнеров? Такое взлетит разве что в BolgenOS, ибо только Ден Попов не в курсе про ЭЦП.

Конечно. Прочитай что такое стандарт LSB. Вся проприетарщина компилируется по этому стандарту. Суть такова: часть системных

да я без тебя знаю, что бинарник с rm -rf / сделать несложно. Как ты его запускать будешь? Я же говорю, тот, кто установил твой «вирус» просто залогинестя под рутом, и снесёт твою фигню. Раз смог поставить, сможет и снести. Всегда ваш К.О.

Вот если-бы _прижиться_ смогла-бы твоя зараза... А с этим сложнее, потому-то и не подходит не тот rpm, а совсем не из-за либ.

Мол, сырцы ядра настолько большие, что несмотря на открытый код, проверить их все одному человеку не под силу.

Отключаем а в последствие вообще физически удаляем все что ненужно. Сырцы становятся заметно тоньше. Задача прочтения сырцов упрощена и уже вполне посильна даже для одного человека.

много серверов у гигантских зарубежных (и не только) хостеров