Gracias Gracias:  0
Me Gusta Me Gusta:  0
No me Gusta No me Gusta:  0
Página 1 de 4 123 ... ÚltimoÚltimo
Mostrando resultados del 1 al 10 de 31

Tema: Por que creo inutil un antivirus en linux

  1. #1
    Fecha de Ingreso
    28-diciembre-2010
    Ubicación
    Frente al teclado
    Mensajes
    829
    Post Thanks / Like
    Poder de Credibilidad
    9

    Por que creo inutil un antivirus en linux

    No quiero desvirtuar ni spameas el post del compañero gvcastellon acerca de como solucionar un problema en la instalacion del antivirus, asi que inicio tema nuevo.

    Primero aclaro que virus es diferente de gusano y de rootkit
    Un virus se trata de un programa que se copia y se ejecuta automáticamente, y que tiene por objeto alterar el normal funcionamiento de un PC, sin el permiso o el conocimiento del usuario. Para ello, los virus reemplazan archivos ejecutables por otros infectados con su código. La definición es estándar, y es un resumen de una línea de la entrada sobre virus que aparece en la Wikipedia.

    Si no se instala solo, no es un virus: podría ser un ser un rootkit, o un troyano. Un rootkit es un parche al kernel que permite ocultar determinados procesos a las utilidades de área de usuario. Dicho de otra forma, es una modificación del código fuente del kernel que tiene como objeto que las utilidades que permiten ver qué se está ejecutando en cada momento no visualicen un determinado proceso, o un determinado usuario.

    Un troyano es análogo: es una modificación al código fuente de un servicio concreto para ocultar determinada actividad fraudulenta. En ambos casos es necesario obtener el código fuente de la versión exacta instalada en la máquina Linux, parchear el código, recompilarlo, obtener permisos de root, instalar el ejecutable parcheado, e inicializar el servicio (en el caso del troyano) o el sistema operativo completo (en el caso del rootkit). El proceso, como vemos, no es trivial, y nadie puede hacer todo esto “por error”. Tanto unos como otros exigen en su instalación que alguien con permisos de root, de forma consciente, ejecute una serie de pasos tomando decisiones de índole técnica.

    Lo cual no es un matiz semántico sin importancia: para que un virus se instale, basta con que ejecutemos un programa infectado como usuario común. Por otro lado, para la instalación de un rootkit o de un troyano es imprescindible que un humano malicioso entre personalmente en la cuenta de root de una máquina, y de forma no automatizada realice una serie de pasos que son potencialmente detectables. un virus se propaga con rapidez y eficiencia; un rootkit o un troyano necesitan que vayan específicamente por ese sistema.

    La solución sería un programa que modificara el código del kernel cuando es un fichero. Pero el hecho de que estos se recompilen, lo hace imposible. No se puede parchear el binario, ya que hay millones de kernels binarios distintos en el mundo. Simplemente con que al recompilarlo le hubiesen puesto o quitado algun modulo al ejecutable del kernel, o le hubiesen cambiado el tamaño de alguna de las etiquetas que identifican la versión de compilación (algo que se hace incluso involuntariamente) o las opciones del compilador el parche binario no se podría aplicar. La alternativa sería descargar el código fuente de Internet, parchearlo, configurarlo para el hardware apropiado, compilarlo, instalarlo y reiniciar la máquina. Todo esto lo debería hacer un programa, de forma automática. Definitivamente lo quiero para mi proyecto de IA

    Es decir, ni siquiera un virus como root puede saltar esta barrera. La única solución que queda es la transmisión entre ficheros ejecutables. Lo que tampoco funciona.

    En Linux, un proceso puede hacer simplemente lo que le permita su usuario efectivo y su grupo efectivo. Es cierto que existen mecanismos para intercambiar el usuario real con el efectivo, pero poco más. Si nos fijamos donde están los ejecutables, veremos que solamente root tiene privilegios de escritura tanto en dichos directorios, como en los ficheros contenidos. Dicho de otro modo, solamente root puede modificar dichos archivos. La estructura de los ficheros ejecutables ELF es conocida y está bien documentada, por lo que es técnicamente posible que un archivo de este tipo cargue el payload en otro archivo ELF... siempre que el usuario efectivo del primero o el grupo efectivo del primero tengan privilegios de lectura, escritura y ejecución sobre el segundo fichero. ¿Cuántos ejecutables del sistema de ficheros podría infectar como usuario común?
    Esta pregunta tiene una respuesta simple, si quiero saber a cuántos binarios podría “infectar”, ejecuto el comando:
    Código:
    $ find / -type f -perm -o=rwx -o \( -perm -g=rwx -group `id -g`\) -o \( -perm -u=rwx -user `id-u` \) -print 2> /dev/null | grep -v /proc
    lo cual da una salida de 0 en mi PC. Aca esta el porque de que deteste esa mala configuracion por defecto de los ubuntu (unica distribucion infectada desde el 2007???) que permite a un usuario comun ejecutar sudo sin necesidad de claves

    De cualquier manera me gustaria leer sus opiniones acerca del tema y sus motivos para creer que un antivirus es util para algo mas que escanear el servidor de correo, los directorios samba o un pendrive ajeno
    VampirD

    Microsoft Windows is like air conditioning
    Stops working when you open a window.

  2. #2
    Fecha de Ingreso
    07-febrero-2007
    Ubicación
    Ourense
    Mensajes
    8.643
    Post Thanks / Like
    Poder de Credibilidad
    22

  3. #3
    Fecha de Ingreso
    19-marzo-2005
    Ubicación
    En un lugar del planeta Tierra
    Mensajes
    17.404
    Post Thanks / Like
    Poder de Credibilidad
    10
    Loable explicacion de lo que es los virus, troyanos, rootkit, ..... Y te agradezco el esfuerzo por ello pero como dice karlggest ya lo hemos debatido en el foro.

    Vuelvo a repetirlo, yo tengo un antivirus instalado, no por mi sino por mi familia y amigos, donde escaneo los archivos que me manda y reenvio. No es cuestión de mandarle virus a la gente (que usa Windows) por que tu openSUSE o cualquier distro GNU/Linux sea inmune a la mayoría de los virus.
    NORMAS A CUMPLIR EN LOS FOROS (Lectura obligatoria) Lo siento, no contesto privados sobre problemas con GNU/Linux.
    Síguenos en TWITTER y en FACEBOOK
    Código:
    Buscador de   Alojamiento      Alojamiento     Otros
     paquetes:    de imágenes:     de ficheros:    buscadores:
    Search        TinyPic          Ifile Wuala     Simple y Facil
    Webpinstant   Paste Suse       SendSpace       TextSnip  Cl1p

  4. #4
    Fecha de Ingreso
    06-enero-2008
    Ubicación
    Almazora
    Mensajes
    3.480
    Post Thanks / Like
    Poder de Credibilidad
    15
    Interesante y muy técnica la explicación. Te agradezco por ello el tiempo tomado. Para gente como yo, que no tenemos ni "p...a idea", nos da mas seguridad si cabe el hecho de usar GNU-LINUX y en especial openSUSE...
    Salu2
    Si tienes el vibrato de BB King, el tapping de Van Halen, la velocidad de Malmsteen y la guitarra de Vai... enhorabuena eres un gran imitador.

  5. #5
    Fecha de Ingreso
    18-mayo-2008
    Mensajes
    2.104
    Post Thanks / Like
    Poder de Credibilidad
    14
    Cita Iniciado por VampirD Ver Mensaje
    Si no se instala solo, no es un virus: podría ser un ser un rootkit, o un troyano.
    No sé qué quieres decir con "si no se instala solo". Los virus necesitan de la intervención humana para iniciar su actividad. Si dejas el ordenador encendido y conectado a Internet no le va a pasar nada a no ser que un atacante acceda e infecte tu ordenador. Aún así habrá sido un humano el que lo haya hecho.

    Cita Iniciado por VampirD Ver Mensaje
    Un rootkit es un parche al kernel que permite ocultar determinados procesos a las utilidades de área de usuario. Dicho de otra forma, es una modificación del código fuente del kernel que tiene como objeto que las utilidades que permiten ver qué se está ejecutando en cada momento no visualicen un determinado proceso, o un determinado usuario.

    Un troyano es análogo: es una modificación al código fuente de un servicio concreto para ocultar determinada actividad fraudulenta. En ambos casos es necesario obtener el código fuente de la versión exacta instalada en la máquina Linux, parchear el código, recompilarlo, obtener permisos de root, instalar el ejecutable parcheado, e inicializar el servicio (en el caso del troyano) o el sistema operativo completo (en el caso del rootkit). El proceso, como vemos, no es trivial, y nadie puede hacer todo esto “por error”. Tanto unos como otros exigen en su instalación que alguien con permisos de root, de forma consciente, ejecute una serie de pasos tomando decisiones de índole técnica.

    Lo cual no es un matiz semántico sin importancia: para que un virus se instale, basta con que ejecutemos un programa infectado como usuario común. Por otro lado, para la instalación de un rootkit o de un troyano es imprescindible que un humano malicioso entre personalmente en la cuenta de root de una máquina, y de forma no automatizada realice una serie de pasos que son potencialmente detectables. un virus se propaga con rapidez y eficiencia; un rootkit o un troyano necesitan que vayan específicamente por ese sistema.
    Esto es algo más bien subjetivo pero para mí sí es un matiz semántico. Aunque sean distintas estrategias y unas sean más sofisticadas que otras, todas tienen como fin el introducir un elemento ajeno al sistema para algún fin normalmente malicioso.

    Cita Iniciado por VampirD Ver Mensaje
    La solución sería un programa que modificara el código del kernel cuando es un fichero. Pero el hecho de que estos se recompilen, lo hace imposible. No se puede parchear el binario, ya que hay millones de kernels binarios distintos en el mundo. Simplemente con que al recompilarlo le hubiesen puesto o quitado algun modulo al ejecutable del kernel, o le hubiesen cambiado el tamaño de alguna de las etiquetas que identifican la versión de compilación (algo que se hace incluso involuntariamente) o las opciones del compilador el parche binario no se podría aplicar. La alternativa sería descargar el código fuente de Internet, parchearlo, configurarlo para el hardware apropiado, compilarlo, instalarlo y reiniciar la máquina. Todo esto lo debería hacer un programa, de forma automática. Definitivamente lo quiero para mi proyecto de IA
    No es necesaria tanta inteligencia. Se pueden hacer ataques a distribuciones concretas ya que vienen con versiones de kernel conocidas y pueden contener fallos aún no descubiertos o parcheados. Mejor aún, puedes atacar e infectar los repositorios y así no tienes ni que molestarte en atacar máquinas individuales, ya se infectaran solitas. Lo que quiero decir es que hay muchas formas de infectar y/o ganar el control de otras máquinas.

    No sé si habrá cambiado mucho la cosa, pero un profesor que tuve decía que la IA tenía de momento mucho de A y poco de I, XD.

    Cita Iniciado por VampirD Ver Mensaje
    Es decir, ni siquiera un virus como root puede saltar esta barrera. La única solución que queda es la transmisión entre ficheros ejecutables. Lo que tampoco funciona.

    En Linux, un proceso puede hacer simplemente lo que le permita su usuario efectivo y su grupo efectivo. Es cierto que existen mecanismos para intercambiar el usuario real con el efectivo, pero poco más. Si nos fijamos donde están los ejecutables, veremos que solamente root tiene privilegios de escritura tanto en dichos directorios, como en los ficheros contenidos. Dicho de otro modo, solamente root puede modificar dichos archivos. La estructura de los ficheros ejecutables ELF es conocida y está bien documentada, por lo que es técnicamente posible que un archivo de este tipo cargue el payload en otro archivo ELF... siempre que el usuario efectivo del primero o el grupo efectivo del primero tengan privilegios de lectura, escritura y ejecución sobre el segundo fichero. ¿Cuántos ejecutables del sistema de ficheros podría infectar como usuario común?
    Esta pregunta tiene una respuesta simple, si quiero saber a cuántos binarios podría “infectar”, ejecuto el comando:
    Código:
    $ find / -type f -perm -o=rwx -o \( -perm -g=rwx -group `id -g`\) -o \( -perm -u=rwx -user `id-u` \) -print 2> /dev/null | grep -v /proc
    lo cual da una salida de 0 en mi PC. Aca esta el porque de que deteste esa mala configuracion por defecto de los ubuntu (unica distribucion infectada desde el 2007???) que permite a un usuario comun ejecutar sudo sin necesidad de claves
    A veces se encuentran fallos que permiten la escalada de privilegios y conseguir cosas que no se podrían conseguir si todo funcionara como debe. No conocía que Ubuntu tuviera configurado sudo permitiendo ejecutar comandos sin usar clave. En openSUSE también se puede, pero no está habilitado por defecto.

    Cita Iniciado por VampirD Ver Mensaje
    De cualquier manera me gustaria leer sus opiniones acerca del tema y sus motivos para creer que un antivirus es util para algo mas que escanear el servidor de correo, los directorios samba o un pendrive ajeno
    Mi opinión es que los antivirus no pueden hacer nada contra la mayor de las amenazas de seguridad de un sistema: los usuarios. Esto se ve cada día incluso en instituciones militares y gubernamentales donde se supone que se toman medidas estrictas de seguridad.

    En realidad pienso igual que tú, no creo que sea necesario un antivirus en Linux si no es para no retransmitir virus que nos lleguen a otros conocidos. Pero si nos llegan archivos infectados de conocidos éstos tendrán el ordenador infectado y lo más probable es que los hayan enviado también a otros conocidos y más de uno tenga el ordenador con virus hasta en la sopa. Lo mejor es intentar usar el sentido común.

    Un saludo.
    Última edición por jcsl; 29-dic-2012 a las 20:43 Razón: Corregir errata.

  6. #6
    Fecha de Ingreso
    19-marzo-2005
    Ubicación
    En un lugar del planeta Tierra
    Mensajes
    17.404
    Post Thanks / Like
    Poder de Credibilidad
    10
    Cita Iniciado por jcsl Ver Mensaje
    En realidad pienso igual que tú, no creo que sea necesario un antivirus en Linux si no es para no retransmitir virus que nos lleguen a otros conocidos. Pero si nos llegan archivos infectados de conocidos éstos tendrán el ordenador infectado y lo más probable es que los hayan enviado también a otros conocidos y más de uno tenga el ordenador con virus hasta en la sopa. Lo mejor es intentar el sentido común.
    Bueno, también me paso que envié un archivo con virus a un amigo que no tenia el equipo infectado y me dio un toque: Que el mero hecho de tener un SO inmune a los virus de Windows no implica que mande archivos infectados, asi que los escaneo por si acaso, sobre todo los de formato de MS Office, que son los que mas recibo y envió.
    NORMAS A CUMPLIR EN LOS FOROS (Lectura obligatoria) Lo siento, no contesto privados sobre problemas con GNU/Linux.
    Síguenos en TWITTER y en FACEBOOK
    Código:
    Buscador de   Alojamiento      Alojamiento     Otros
     paquetes:    de imágenes:     de ficheros:    buscadores:
    Search        TinyPic          Ifile Wuala     Simple y Facil
    Webpinstant   Paste Suse       SendSpace       TextSnip  Cl1p

  7. #7
    Fecha de Ingreso
    18-mayo-2008
    Mensajes
    2.104
    Post Thanks / Like
    Poder de Credibilidad
    14
    Hola.

    Pues eso, que la única utilidad es la de tratar con terceros, XD.

    Un saludo.

  8. #8
    Fecha de Ingreso
    07-febrero-2007
    Ubicación
    Ourense
    Mensajes
    8.643
    Post Thanks / Like
    Poder de Credibilidad
    22
    Cita Iniciado por DiabloRojo Ver Mensaje
    L(...)
    Vuelvo a repetirlo, yo tengo un antivirus instalado, no por mi sino por mi familia y amigos, donde escaneo los archivos que me manda y reenvio. No es cuestión de mandarle virus a la gente (que usa Windows) por que tu openSUSE o cualquier distro GNU/Linux sea inmune a la mayoría de los virus.
    EMHO, cualquier persona que use esa cosa se merece cualquier cosa que le suceda. Y, además, me niego a instalar software por si "al pobrecillo" le sucede algo: si no quiere virus, que use GNU/Linux, si quiere; y si no, que use el antivirus que le apetezca: es SU problema.

    Y por cierto, acoto: a "la mayoría de virus" no, a todos. Que sea teóricamente posible no quiere decir que exista en el mundo real. Otro malware puede ser eficaz en GNU/Linux, pero no son virus.

    Salud!!

  9. #9
    Fecha de Ingreso
    18-mayo-2008
    Mensajes
    2.104
    Post Thanks / Like
    Poder de Credibilidad
    14
    Hola.

    Cita Iniciado por karlggest Ver Mensaje
    EMHO, cualquier persona que use esa cosa se merece cualquier cosa que le suceda. Y, además, me niego a instalar software por si "al pobrecillo" le sucede algo: si no quiere virus, que use GNU/Linux, si quiere; y si no, que use el antivirus que le apetezca: es SU problema.
    Bueno, yo también pienso que cada cual es responsable de proteger su equipo y tampoco instalo antivirus ni para eso. No coincido con "si no quiere virus, que use GNU/Linux", que cada cual use lo que quiera pero que se atenga a las consecuencias. De todas formas usar Windows (o Android o lo que sea) no es sinónimo de tener o no tener virus. Cuando lo usaba no los tenía porque me preocupaba por no tenerlos. Si alguien no se preocupa por ello entonces se aplica lo que dices: "es SU problema".

    Un saludo

  10. #10
    Fecha de Ingreso
    19-marzo-2005
    Ubicación
    En un lugar del planeta Tierra
    Mensajes
    17.404
    Post Thanks / Like
    Poder de Credibilidad
    10
    Cita Iniciado por jcsl Ver Mensaje
    Pues eso, que la única utilidad es la de tratar con terceros, XD.
    Mas claro, agua.
    Cita Iniciado por karlggest Ver Mensaje
    EMHO, cualquier persona que use esa cosa se merece cualquier cosa que le suceda. Y, además, me niego a instalar software por si "al pobrecillo" le sucede algo: si no quiere virus, que use GNU/Linux, si quiere; y si no, que use el antivirus que le apetezca: es SU problema.
    Sera que "al pobrecillo" no te importa mucho
    Tampoco es darle GNU/Linux si no quiere problemas, sino que cambie las pautas en Windows: usar un usuario genérico, poner firewall, antivirus, etc... e instalar programas de fuentes confiables. Vamos que cambie el chip, cosa que le cuentas mucho hacérselo ver a la gente.
    Última edición por DiabloRojo; 30-dic-2012 a las 20:11 Razón: Clamorosa falta de ortografia XDD
    NORMAS A CUMPLIR EN LOS FOROS (Lectura obligatoria) Lo siento, no contesto privados sobre problemas con GNU/Linux.
    Síguenos en TWITTER y en FACEBOOK
    Código:
    Buscador de   Alojamiento      Alojamiento     Otros
     paquetes:    de imágenes:     de ficheros:    buscadores:
    Search        TinyPic          Ifile Wuala     Simple y Facil
    Webpinstant   Paste Suse       SendSpace       TextSnip  Cl1p

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Temas Similares

  1. Antivirus en Linux
    By Dux in forum Software
    Respuestas: 39
    Último mensaje: 08-nov-2017, 20:53
  2. Respuestas: 8
    Último mensaje: 10-feb-2008, 00:21
  3. sonido desaparece
    By danielito in forum Hardware
    Respuestas: 11
    Último mensaje: 21-oct-2006, 17:16
  4. Que antivirus Windows Linux me recomiendan?
    By Mendocino in forum Software
    Respuestas: 0
    Último mensaje: 27-sep-2006, 00:22
  5. Suse 10.1 de verdad es para mejorar???
    By scrolling in forum El Contubernio
    Respuestas: 14
    Último mensaje: 08-sep-2006, 01:50

Marcadores

Normas de Publicación

  • No puedes crear nuevos temas
  • No puedes responder mensajes
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •