2010-03-30, 19:28
#97
Kul tråda att läsa! 
anakata vet uppebarligen vad han pratar om (känner igen ditt nick för övrigt av någon anledning...
)
Om du hittat ett hittills okänt säkerhetshål i någon kritisk del av kärnan, en miss i TCP/IP stacken t ex eller i någon av de tjänster som snurrar på på de allra flesta linux-maskiner (vilket är vad som krävs för automatiskt spridning av ett virus över InterNet, och det anser jag vara vad som krävs för att ett virus ska vara värt att lägga någon vikt vid), och samtidigt tillåter inkommande anslutningar från nätet (sshd, apache på webservrar, någon form av smtp på mailservrar osv) slösar man inte bort det på att få med burken i ett botnet (vilket ändå skulle upptäckas ganska snabbt i de flesta fall).
Antingen säljs kunskapen som den är till mer illasinnade, eller så använder man hålet för att skaffa sig information om sätt att ta över helt andra maskiner. Får man tillgång till en mailserver t ex behöver man inte vara ett geni för att inse att innehållet är värt mycket mer än att "infektera" servern i sig med någon spambot - det finns det ju ändå så mycket Windows-burkar till
Ett annat problem är att exploits ofta får skräddarsys för just den maskin man attackerar (eller åtminstone just den version av Linux-kärna / tjänst + libc för att alls fungera. Windows styrka i form av dess bakåtkompatibilitet är också en av dess stora svagheter i det här sammanhanget: Alla gamla Windows-program fungerar. Nästan alla virus funkar på nästan alla Windows-burkar (lite förenklat). Jättestor potential för automatiserad virus-spridning alltså när du väl lyckats smitta EN dator på ett givet nätverk.
I Linux måste de binära exekverbara filerna vara för i stort sett exakt rätt version. Det är också anledningen till att man måste kompilera saker själv om man inte hittar en version av ett program man vill köra som är till för just den distribution + (någorlunda) rätt version av densamma. Man gör därför ett litet feltänk när man säger "Windows har jättemånga virus, och Linux, som ändå har så många serveranvändare, har i princip inga." Det är visserligen sant, men egentligen skulle man behöva säga t ex "...men t ex Centos 5.4 har i princip inga virus". Potentialen för ett virus att fungera är alltså mycket sämre än "alla Linux-installationer" utan bara just en specifik version kan anses vara målplattformen för en viss exploit (återigen, lite förenklat).
EDIT: Här ett exempel på ett virus som får anses (ha varit) allvarligt:
http://www.viruslist.com/en/viruses/...?virusid=23864
De flesta exempel jag hittade använder sig i stort sett samma exploit. Antingen Apache enligt ovan eller BIND (t ex http://en.wikipedia.org/wiki/L10n_worm )
anakata vet uppebarligen vad han pratar om (känner igen ditt nick för övrigt av någon anledning...
)Om du hittat ett hittills okänt säkerhetshål i någon kritisk del av kärnan, en miss i TCP/IP stacken t ex eller i någon av de tjänster som snurrar på på de allra flesta linux-maskiner (vilket är vad som krävs för automatiskt spridning av ett virus över InterNet, och det anser jag vara vad som krävs för att ett virus ska vara värt att lägga någon vikt vid), och samtidigt tillåter inkommande anslutningar från nätet (sshd, apache på webservrar, någon form av smtp på mailservrar osv) slösar man inte bort det på att få med burken i ett botnet (vilket ändå skulle upptäckas ganska snabbt i de flesta fall).
Antingen säljs kunskapen som den är till mer illasinnade, eller så använder man hålet för att skaffa sig information om sätt att ta över helt andra maskiner. Får man tillgång till en mailserver t ex behöver man inte vara ett geni för att inse att innehållet är värt mycket mer än att "infektera" servern i sig med någon spambot - det finns det ju ändå så mycket Windows-burkar till
Ett annat problem är att exploits ofta får skräddarsys för just den maskin man attackerar (eller åtminstone just den version av Linux-kärna / tjänst + libc för att alls fungera. Windows styrka i form av dess bakåtkompatibilitet är också en av dess stora svagheter i det här sammanhanget: Alla gamla Windows-program fungerar. Nästan alla virus funkar på nästan alla Windows-burkar (lite förenklat). Jättestor potential för automatiserad virus-spridning alltså när du väl lyckats smitta EN dator på ett givet nätverk.
I Linux måste de binära exekverbara filerna vara för i stort sett exakt rätt version. Det är också anledningen till att man måste kompilera saker själv om man inte hittar en version av ett program man vill köra som är till för just den distribution + (någorlunda) rätt version av densamma. Man gör därför ett litet feltänk när man säger "Windows har jättemånga virus, och Linux, som ändå har så många serveranvändare, har i princip inga." Det är visserligen sant, men egentligen skulle man behöva säga t ex "...men t ex Centos 5.4 har i princip inga virus". Potentialen för ett virus att fungera är alltså mycket sämre än "alla Linux-installationer" utan bara just en specifik version kan anses vara målplattformen för en viss exploit (återigen, lite förenklat).
EDIT: Här ett exempel på ett virus som får anses (ha varit) allvarligt:
http://www.viruslist.com/en/viruses/...?virusid=23864
De flesta exempel jag hittade använder sig i stort sett samma exploit. Antingen Apache enligt ovan eller BIND (t ex http://en.wikipedia.org/wiki/L10n_worm )
__________________
Senast redigerad av nightcap 2010-03-30 kl. 19:52.
Senast redigerad av nightcap 2010-03-30 kl. 19:52.
