Sie können ein Antivirenprogramm installieren falls Sie es wollen. Es sollte Ihrem Computer nicht schaden, aber erwarten Sie nicht viel Schutz für Ihr System und sehen Sie sich nicht als absolut sicher an . Die Wirksamkeit von Antivirensoftware ist sehr relativ und wird hauptsächlich verwendet, um die Verbreitung alter Malware zu vermeiden, insbesondere wenn Sie Windows-Computer in Ihrem Ökosystem haben. Sie sollten mit einem Leistungsabfall rechnen, obwohl es bis heute keine Benchmarks für die AV-Leistung unter Linux gibt, sodass sie nicht quantifiziert werden kann.
Warum sind Sie mit einem Antivirenprogramm nicht sicher? Weil sie nur ein Teil der benötigten Mechanismen sind. Im Moment fehlen viele Tools für die Desktop-Sicherheit unter Linux. Welche unterschiedlichen Sicherheitsmechanismen sind für Desktops relevant?
- Grafikstapelsicherheit (um Keylogger, Clickjacking, Bildschirmaufzeichnung, Zwischenablage-Sniffing usw. zu verhindern)
- App-Verteilungsschemata mit Sicherheitschecks (App Stores und Repositories mit statischer Analyse der Apps) und schnellen Sicherheitsupdates
- Malware-Erkennung :signaturbasiert (um sich vor identifizierten Bedrohungen zu schützen) und heuristikbasiert (oder so sagen sie, ich habe noch nie ein heuristikbasiertes AV verwendet, und ich vermute, dass dies hauptsächlich Marketinggerede ist, um zu sagen:„Wir werden Tonnen von Sicherheitswarnungen ausgeben ins Gesicht, wenn Sie eine neue App verwenden")
- Sandboxing (das darin besteht, Apps per Design voneinander zu isolieren)
- Kontextuelle Autorisierung zur Verwendung von Geräten und Benutzerdaten mit Sicherheit durch Benennung / Benutzergesteuerte Zugangskontrolle / Powerboxen / Verträge; erfordert Sandboxing
Derzeit sind die App-Sicherheitsupdates über Repositories das einzig Anständige unter Linux. Der Rest ist minderwertig.
Grafikstapelsicherheit
Wir verlassen uns alle auf den grafischen X11-Server. X.Org existiert seit 30 Jahren und das ursprüngliche Design wird immer noch auf dem Server verwendet. Früher gab es keine Desktop-Sicherheitsprobleme und Sie werden nicht überrascht sein zu erfahren, dass es überhaupt nicht sicher ist. Sie haben sofort einsatzbereite APIs, um Keylogger zu implementieren, Remote-Code-Exploits durchzuführen, wenn der Benutzer eine Root-Konsole geöffnet hat, das Sitzungsschließfach zu ersetzen, um Passwörter zu stehlen, usw., usw.
Es ist schwer zu beurteilen, wie Windows 8 und OS X bei diesem Thema abschneiden, da ich keine detaillierten Erklärungen zu ihrer Implementierung des Grafikstacks finden konnte. Ihre Sandbox-Apps haben eingeschränkten Zugriff auf die offensichtlichsten Angriffsvektoren, aber es ist wirklich unklar, wie gut das alles entworfen und implementiert ist. Es scheint mir, dass Win 8 Store-Apps dazu zwingt, im Vollbildmodus und einzeln ausgeführt zu werden, Probleme beim Entwerfen eines vollständigen sicheren Fenstermanagers verbirgt. Es gibt viele Probleme, die es zu berücksichtigen gilt. Fensterposition und -größe, Verwendung von Transparenz und Vollbild usw. bei der Implementierung eines Fenstermanagers mit Blick auf die Sicherheit. Ich habe keine Ahnung, wie OS X abschneidet.
Linux wird in den kommenden Jahren auf Wayland umsteigen, das auf Sicherheit ausgelegt ist. Wir haben ein klares Modell darüber, welche Fähigkeiten vorhanden sein sollten, und eine allgemeine Vorstellung davon, wie diese durchgesetzt werden und wie eine Autorisierung erlangt werden kann. Die Hauptperson hinter dieser Arbeit ist Martin Peres, obwohl ich zufällig an der Diskussion der Benutzer- und Entwicklererfahrung hinter den Fähigkeiten beteiligt bin. Design und Entwicklung sind im Gange, also erwarten Sie in absehbarer Zeit nichts. Lesen Sie diesen Beitrag für weitere Informationen. Wayland bietet nahtlose Sicherheit, wenn es in Verbindung mit App-Sandboxing verwendet wird.
App-Verteilung
Linux verfügt über ein System von Repositories mit unterschiedlichen Vertrauensstufen, die unsere Benutzer darin geschult haben, sich nur auf bereitgestellte Apps zu verlassen und auf proprietären Code zu achten. Theoretisch ist das sehr gut.
In der Praxis kenne ich keinen einzigen Distributor, der selbst die grundlegendsten Sicherheitsprüfungen für seine verpackten Apps erzwingt . Keine statische Analyse für seltsame Systemaufrufe, und für die gesamte Community ist es wirklich nicht klar, ob Skripte vor und nach der Installation (die als Root ausgeführt werden) überhaupt auf offensichtliche Fehler überprüft werden.
Die Sicherheitsprüfungen, die an Erweiterungen der GNOME-Shell durchgeführt werden, sind sehr leicht und manuell, aber zumindest vorhanden. Ich kenne die Erweiterungen von KDE oder andere Apps nicht.
Ein Bereich, in dem wir glänzen, ist, dass wir Sicherheitsupdates sehr schnell abrufen können, normalerweise innerhalb weniger Tage für jede Sicherheitslücke. Bis vor kurzem war Microsoft viel langsamer, obwohl sie aufgeholt haben.
Malware-Erkennung
Die einzige Antivirensoftware, die ich unter Linux kenne, ist ClamAV. Es scheint mir, dass es nur auf der Grundlage von Signaturen funktioniert, aber wie Sie bereits gesagt haben, haben wir keine identifizierte Desktop-Malware, vor der wir uns schützen könnten.
Es gibt wahrscheinlich Leute, die Linux-Desktop-Malware in der Welt der Advanced Persistent Threats schreiben. Ein Beispiel finden Sie unter Maske. Es ist unwahrscheinlich, dass Standard-AV etwas dagegen ausrichten kann, da APT-Malware-Autoren normalerweise talentiert genug sind, um Zero-Day-Exploits zu entwickeln.
Jetzt wirbt Microsoft damit, dass seine gesamte Software Zehntausende von Stunden lang Fuzz-Tests unterzogen wird, im Gegensatz zu praktisch überhaupt keinen sicheren Codierungspraktiken im Linux-Ökosystem. Aufgrund persönlicher Experimente mit Fuzzing bin ich absolut davon überzeugt, dass eine Handvoll niedrig hängender Zero-Day-Exploits in einigen populären Linux-Programmen vorhanden sind . Dies wird uns an dem Tag treffen, an dem wir eine finanziell tragfähige Benutzerbasis für gewöhnliche Malware-Autoren haben, und dann werden wir sehen, wie gut sich ClamAV herausstellt, aber ich vermute, dass der App-Update-Mechanismus einen größeren Einfluss auf den Umgang haben wird mit entdeckten Schwachstellen.
Unnötig zu erwähnen, dass sowohl Windows als auch OS X bei diesen Kriterien deutlich besser abschneiden als Linux.
Sandboxing und kontextbezogene Autorisierung
Sowohl OS X als auch Windows 8 bieten Sandboxing für die in ihrem Store gehosteten Apps. Ich bin noch nicht fertig damit, mich mit den Macken von OS X zu befassen, aber Windows 8 Store-Apps haben sehr ernsthafte Einschränkungen in Bezug auf unterstützte Sprachen und APIs, verfügbare Funktionen und allgemeine Benutzererfahrung, die damit bereitgestellt werden können. Das bedeutet, dass Desktop-Apps ohne Sandbox hier bleiben werden und das Sandboxing von Microsoft nicht Schutz vor Malware, nur vor manipulierten Dokumenten in fehlerhafter (Store App) Software. OS X scheint viel besser zu sein, obwohl auch alle Nicht-Store-Apps nicht in einer Sandbox laufen.
Linux hat derzeit keine GUI-App-Sandbox, die reibungslos genug funktioniert. Wir haben die zugrunde liegende Confinement-Technologie (die besten Kandidaten sind Container, die auf Linux-Namespaces basieren, siehe LXC und Docker, und die zweitbesten sind MAC-Erzwingungssysteme, die entwickelt werden müssten, um ein gewisses Maß an Dynamik zu unterstützen). Dank der großartigen Arbeit an kdbus und systemd haben wir fast die IPC- und Prozessverwaltungsmechanismen, die zum Bereitstellen und Handhaben dieser Sandbox-Apps erforderlich sind. Es fehlen ein paar Teile, wobei einige Vorschläge hauptsächlich von der GNOME Foundation vorangetrieben werden (siehe dieses Video über Sandboxing auf der GUADEC 13). Ich bin auch an der Diskussion beteiligt, wie der Zugriff auf Daten und die Autorisierung erfolgen kann, aber es gibt keinen Konsens zwischen den wenigen interessierten Personen, und Design und Entwicklung brauchen Zeit. Es wird wahrscheinlich noch ein paar Jahre dauern, bis anständige Prototypen existieren und bevor Sandboxing in relevantem Umfang für Linux eingesetzt wird.
Eines der großen Probleme auf allen Plattformen besteht darin, herauszufinden, wie Apps autorisiert werden können, um im richtigen Umfang Zugriff auf Daten und Gerätefunktionen zu erhalten. Das heißt, wie man sie tun lässt, was sie tun müssen, ohne Benutzer mit Autorisierungsaufforderungen zu belästigen, und gleichzeitig verhindert, dass Apps Berechtigungen missbrauchen. Es gibt ernsthafte Schlupflöcher in der Art und Weise, wie Windows 8 Store-Apps mit aktuellen Dokumenten und der futureAccessList von Apps umgehen lässt. In diesem Stadium ist die weitere Sicherung des Dokumentenzugriffs ohne Erhöhung der Sicherheitskosten für Entwickler und Benutzer eine offene Frage, an der zufällig auch eine Menge Leute arbeiten :)
Malware ist es egal, ob Sie eine „nur Ubuntu-Desktops mit Standardinstallation“ ausführen. Malware wird ausgeführt, solange das System den richtigen Befehlssatz unterstützt, für den die ELF-Binärdatei kompiliert wurde. Ubuntu basiert auf Debian und unterstützt die folgenden Befehlssätze:IA-32, x86-64, ARMv7, ARM64, PowerPC. Im Allgemeinen sind die meisten auf IA-32- oder x86-64-Systemen aufgebaut.
Da meine Aufgabe darin besteht, Malware rückgängig zu machen, muss ich sie manchmal debuggen, also habe ich Ubuntu Desktop Edition (sowohl 32- als auch 64-Bit) VMs, die ich täglich für das Remote-Debugging von Linux-Malware über IDA verwende.
Wenn Sie über die Infektionsmethode sprechen möchten, ist die Wahrscheinlichkeit eines Drive-by unter Linux geringer als unter Windows. Allerdings habe ich in den letzten Monaten beim Spielen mit einigen Drive-by-PHP-Skripten festgestellt, dass sie immer mehr Nicht-Windows-Plattformen unterstützen. Überprüfen Sie einfach die Plattform, die der Browser ankündigt, und liefern Sie den relevanten Exploit.
TL;DR- Ich infiziere täglich Ubuntu-Desktop-Installationen (VMs), während ich Linux-Malware umkehre.
Die Frage wird für Ubuntu gestellt. Wenn ich die Frage etwas auf Linux-Desktop-Editionen ausweiten kann, geben Sie in SELinux „Walled Garden ein "-Lösung wäre sehr nützlich. In SELinux können obligatorische Zugriffssteuerungsrichtlinien (MAC) den Schaden bei Infektionsversuchen stoppen oder begrenzen. Im Gegensatz zu AV, das als separater Prozess ausgeführt wird, der das Betriebssystem belastet, bietet SELinux native Unterstützung durch den Linux-Kernel und Sicherheit Labels werden in Inodes gespeichert.
Vorteile:
Sie können sehr komplizierte Sicherheitsrichtlinien implementieren. (D.h. der Webbrowser kann auf keinen anderen Ordner als ~/.mozilla zugreifen)
Nachteile:
In SELinux benötigen Sie jedoch eine gute Sicherheitsrichtlinie. Der Nachteil ist, dass die Bearbeitung dieser Richtlinie kompliziert ist.
Wie ich weiß, unterstützt Ubuntu SELinux standardmäßig nicht. Aber Betriebssysteme wie Fedora schon.
Fazit:
Unter dem Strich hat Linux in der Tat gute Sicherheitsmechanismen (File Permission, SELinux ), die Malware das Leben wirklich schwer machen, es sei denn, Sie haben sie durcheinander gebracht.