GNU/Linux >> Tutoriales Linux >  >> Linux

¿Debo obtener un antivirus para Ubuntu?

Puedes instalar un antivirus si tu quieres. No debería dañar su máquina, pero no espere mucha protección para su sistema y no se considere completamente seguro . La eficacia del software antivirus es muy relativa, y se usan principalmente para evitar la propagación de malware antiguo, especialmente si tiene máquinas con Windows en su ecosistema. Debe esperar una disminución del rendimiento, aunque no hay puntos de referencia de rendimiento AV en Linux a partir de hoy, por lo que no se puede cuantificar.

¿Por qué no estás seguro solo con un antivirus? Porque son solo una parte de los mecanismos necesarios. En este momento, faltan muchas herramientas para la seguridad de escritorio en Linux. ¿Cuáles son los diferentes mecanismos de seguridad relevantes para los equipos de escritorio?

  • Seguridad de la pila de gráficos (para evitar keyloggers, clickjacking, grabación de pantalla, rastreo de portapapeles, etc.)
  • Esquemas de distribución de aplicaciones con controles de seguridad (tiendas de aplicaciones y repositorios con análisis estático de las aplicaciones) y actualizaciones de seguridad rápidas
  • Detección de malware :basado en firmas (para protegerse de amenazas identificadas) y basado en heurística (o eso dicen, nunca he usado ningún AV basado en heurística y sospecho que esto es principalmente una charla de marketing para decir "lanzaremos toneladas de advertencias de seguridad en tu cara cuando usas una nueva aplicación")
  • Caja de arena (que consiste en aislar aplicaciones entre sí por diseño)
  • Autorización contextual para usar dispositivos y datos de usuario con seguridad por designación / control de acceso impulsado por el usuario / powerboxes / contratos; requiere sandboxing

Actualmente, lo único decente en Linux son las actualizaciones de seguridad de la aplicación, a través de repositorios. Todo lo demás es deficiente.

Seguridad de la pila de gráficos

Todos confiamos en el servidor gráfico X11. X.Org existió durante 30 años y el diseño original todavía se usa en el servidor. Antes no había problemas de seguridad en el escritorio y no te sorprenderá saber que no es seguro en absoluto. Tiene API listas para usar para implementar registradores de teclas, hacer explotaciones de código remotas si el usuario tiene alguna consola raíz abierta, reemplazar el casillero de sesión para robar contraseñas, etc., etc.

Es difícil evaluar cómo le va a Windows 8 y OS X en este tema porque no pude encontrar ninguna explicación detallada sobre la implementación de su pila de gráficos. Sus aplicaciones de espacio aislado tienen acceso restringido a los vectores de ataque más obvios, pero no está claro qué tan bien diseñado e implementado está todo esto. Me parece que Win 8 obliga a las aplicaciones de la tienda a ejecutarse en pantalla completa y una a la vez oculta los problemas en el diseño de un administrador de ventanas seguro a gran escala. Hay muchas cuestiones a tener en cuenta wrt. posición y tamaño de la ventana, uso de transparencia y pantalla completa, etc. al implementar un administrador de ventanas con la seguridad en mente. No tengo idea de cómo funciona OS X.

Linux cambiará a Wayland en los próximos años, que está diseñado teniendo en cuenta la seguridad. Tenemos un modelo claro de qué capacidades deberían existir y una idea general de cómo se harán cumplir y cómo se puede obtener la autorización. La persona principal detrás de este trabajo es Martin Peres, aunque estoy involucrado en la discusión de la experiencia del usuario y del desarrollador detrás de las capacidades. El diseño y el desarrollo están en curso, así que no esperes nada pronto. Lee esta publicación para más información. Wayland proporcionará seguridad sin problemas cuando se use junto con el sandboxing de la aplicación.

Distribución de aplicaciones

Linux tiene un sistema de repositorios con varios niveles de confianza, que capacitó a nuestros usuarios para confiar solo en las aplicaciones provistas y desconfiar del código propietario. Esto es muy bueno en teoría.

En la práctica, no conozco a un solo distribuidor que aplique incluso los controles de seguridad más básicos en sus aplicaciones empaquetadas . No hay ningún tipo de análisis estático para llamadas extrañas al sistema, y ​​para cualquier cosa de la comunidad, no está realmente claro si los scripts previos y posteriores a la instalación (que se ejecutan como root) se verifican en absoluto en busca de cosas malas obvias.

Los controles de seguridad realizados en las extensiones de GNOME Shell son muy ligeros y manuales, pero al menos existen. No sé acerca de las extensiones de KDE u otras aplicaciones.

Un área en la que destacamos es que podemos obtener actualizaciones de seguridad muy rápidamente, generalmente en unos pocos días por cualquier falla de seguridad. Hasta hace poco, Microsoft era mucho más lento que eso, aunque lo alcanzaron.

Detección de malware

El único software antivirus que conozco en Linux es ClamAV. Me parece que solo funciona en función de las firmas, pero, como usted señaló, no tenemos ningún malware de escritorio identificado contra el que protegerse.

Probablemente haya gente escribiendo software malicioso para equipos de escritorio de Linux en el mundo de las amenazas persistentes avanzadas. Consulte Máscara para ver un ejemplo. Es poco probable que los AV estándar puedan hacer algo contra ellos, ya que los creadores de malware APT suelen tener el talento suficiente para crear vulnerabilidades de día cero.

Ahora, Microsoft anuncia pruebas de fuzzing de todo su software durante decenas de miles de horas, a diferencia de prácticamente ninguna práctica de codificación segura en el ecosistema de Linux. A partir de experimentos personales con fuzzing, estoy absolutamente convencido de que hay un puñado de exploits de día cero de bajo costo en algunos software populares de Linux . Esto llegará el día en que tengamos una base de usuarios financieramente viable para los autores de malware comunes, y luego veremos qué tan bueno resulta ser ClamAV, pero sospecho que el mecanismo de actualización de la aplicación tendrá un mayor impacto en el manejo con vulnerabilidades descubiertas.

No hace falta decir que tanto Windows como OS X funcionan significativamente mejor que Linux en este criterio.

Sandboxing y autorización contextual

Tanto OS X como Windows 8 proporcionan sandboxing para las aplicaciones alojadas en su tienda. No he terminado de investigar las peculiaridades de OS X, pero las aplicaciones de la tienda de Windows 8 tienen limitaciones muy serias en términos de idiomas y API compatibles, funciones disponibles y experiencia de usuario general que se puede proporcionar con ellas. Eso significa que las aplicaciones de escritorio que no están en la zona de pruebas están aquí para quedarse y la zona de pruebas de Microsoft no. protege contra malware, solo contra documentos creados en software con errores (Store App). OS X parece funcionar mucho mejor, aunque cualquier aplicación que no sea de la tienda tampoco está protegida.

Linux no tiene una zona de pruebas de aplicación GUI que funcione lo suficientemente fluida en este momento. Tenemos la tecnología de confinamiento subyacente (los mejores candidatos son los contenedores basados ​​en espacios de nombres de Linux, véase LXC y Docker, y los sistemas de cumplimiento de MAC que se deben desarrollar para admitir cierta cantidad de dinamismo). Casi tenemos el IPC y los mecanismos de gestión de procesos necesarios para implementar y manejar esas aplicaciones de espacio aislado gracias al increíble trabajo en kdbus y systemd. Faltan algunas cosas, con algunas propuestas impulsadas principalmente por la Fundación GNOME (ver este video sobre Sandboxing en GUADEC 13). También participo en la discusión sobre cómo puede ocurrir el acceso a los datos y la autorización, pero no hay consenso entre las pocas personas interesadas, y el diseño y el desarrollo toman tiempo. Probablemente pasarán un par de años más antes de que existan prototipos decentes y antes de que el sandboxing se implemente en Linux a cualquier escala relevante.

Uno de los grandes problemas que enfrentan todas las plataformas es descubrir cómo autorizar aplicaciones para obtener acceso a datos y capacidades del dispositivo en la escala adecuada. Eso significa, cómo permitirles hacer lo que necesitan hacer sin molestar a los usuarios con solicitudes de autorización y evitar que las aplicaciones abusen de los privilegios. Existen lagunas graves en la forma en que Windows 8 permite que las aplicaciones de la tienda manejen los documentos recientes y la lista de acceso futuro de las aplicaciones. En esta etapa, asegurar aún más el acceso a los documentos sin agravar el costo de la seguridad para los desarrolladores y usuarios es una pregunta abierta, en la que también están trabajando muchas personas :)


Al malware no le importa si está ejecutando una "instalación estándar de escritorios de Ubuntu solamente". El malware se ejecutará siempre que el sistema admita el conjunto de instrucciones correcto para el que se compiló el binario ELF. Ubuntu está basado en Debian y admite los siguientes conjuntos de instrucciones:IA-32, x86-64, ARMv7, ARM64, PowerPC. Por lo general, la mayoría se basan en sistemas IA-32 o x86-64.

Como mi trabajo es revertir el malware, hay ocasiones en las que necesito depurar a través de él, por lo que tengo máquinas virtuales de Ubuntu Desktop Edition (tanto de 32 como de 64 bits) que utilizo para realizar la depuración remota de malware de Linux a diario a través de IDA.

Si desea hablar sobre el método de infección, entonces seguro, es menos probable que obtenga un drive-by en Linux que en Windows. Sin embargo, me he dado cuenta en los últimos meses jugando con algunos de los scripts PHP drive-by que son compatibles con más y más plataformas que no son de Windows. Simplemente verifique la plataforma que anuncia el navegador y entregue el exploit relevante.

TL;DR:infecto las instalaciones de escritorio (VM) de Ubuntu a diario mientras invierto el malware de Linux.


La pregunta se hace para Ubuntu. Si puedo ampliar la pregunta a las ediciones de escritorio de Linux, SELinux escriba "Walled Garden La solución sería muy útil. En SELinux, las políticas de control de acceso obligatorio (MAC) pueden detener o limitar el daño en un intento de infección. las etiquetas se almacenan en inodos.

Ventajas:

Puede implementar políticas de seguridad muy complicadas. (Es decir, el navegador web no puede acceder a otra carpeta que no sea ~/.mozilla)

Desventajas:

Sin embargo, en SELinux necesitará una buena política de seguridad. El inconveniente es que editar esta política es complicado.

Como sé, Ubuntu no es compatible con SELinux de forma predeterminada. Pero los sistemas operativos como Fedora lo hacen.

Conclusión:

Como resultado final, Linux tiene buenos mecanismos de seguridad (permiso de archivo, SELinux) que hacen que la vida de los programas maliciosos sea realmente difícil a menos que los haga un desastre.


Linux
  1. Distribuciones populares de Linux para pruebas de seguridad

  2. Las 5 mejores distribuciones de Linux para juegos

  3. Pasos de seguridad avanzados para Linux

  4. Obtenga la fecha de ayer en bash en Linux, DST-safe

  5. Amazon Linux frente a Ubuntu para Amazon EC2

IDM para Ubuntu:instale IDM en Linux

Las mejores distribuciones de Linux para 2022

Cómo obtener Linux Kernel 5.0 en Ubuntu 18.04 LTS

Usando el antivirus ClamAV en Ubuntu 18.04

Los 10 mejores antivirus para Linux:¡Lista de software antivirus de Linux!

Instale PostgreSQL en un servidor Ubuntu para configuraciones de seguridad