Lật tẩy chuyện thần thoại về virus của Linux

Scris de Cypress Wednesday, 16 July 2008

Theo: http://www.mylro.org/content/view/1088/53

Bài được đưa lên Internet ngày: 16/07/2008

Lời người dịch: Nếu bạn thích bỏ tiền mua (và/hoặc ăn cắp) các chương trình diệt virus, thích bỏ thời gian và công sức để vui chơi với các loại virus mà chính chúng thường là thủ phạm làm cho máy tính của bạn chạy như sên bò, thậm chí không chạy tí tẹo nào, thì bạn nên chọn Windows để sử dụng vì bạn có lý do chính đáng là đã ... quen với nó. Nếu bạn tiếc thời gian và tiền bạc để phải loay hoay với những trò ngớ ngẩn và vớ vẩn đó, hãy chọn sử dụng một hệ điều hành GNU/Linux. Hãy đọc kỹ bài này, và hy vọng bạn sẽ hết tin vào những “chuyên gia” chuyên kể các chuyện cổ tích về virus đối với GNU/Linux, mà gần như hầu hết các “chuyên gia” đó chưa từng sử dụng GNU/Linux bao giờ trong cuộc đời của mình trong khoảng thời gian liên tục quá 1 năm (Bạn nhớ là phải liên tục quá một năm đấy nhé!).

Các hệ điều hành như Linux và Unix nói chung được xem là an ninh hơn cho người sử dụng thông thường, đối nghịch với hệ điều hành mà có chữ “Windows” như một phần tên của chúng. Vì sao lại như vậy? Khi đưa vào một tranh luận về chủ đề này với một người sử dụng Windows, hầu hết cuộc tranh cãi chung anh ta cố gắng cho tôi ăn là việc Windows là phổ biến rộng rãi, và vì thế, dễ bị tổn thương hơn. Ngoài những chuyện thần thoại đáng ngạc nhiên như “Linux chỉ là để cho các máy chủ” hoặc “liệu nó có một trình soạn thảo văn bản hay không?” , vấn đề về an ninh của máy tính để bàn Linux vẫn còn được hiểu nhầm một cách nghiêm trọng.

Có hàng loạt lý do vì sao một máy tính cá nhân PC Linux lại an ninh hơn đối với các phần mềm độc hại so với một máy tính cá nhân PC Windows. Rõ ràng hơn cả là cách mà một người sử dụng tương tác với hệ điều hành của mình. Những người viết ra virus và sâu độc hại sự dụng chủ yếu kỹ thuật mang tính xã hội để bịp người sử dụng vào trong một tệp đang mở. Một ngày nào đó bạn nhận được một tệp đính kèm được trá hình như một hình ảnh mà hứa hẹn với bạn một thiên đường các ngôi sao phim ảnh khoả thân, và không nghĩ tới 2 lần, bạn nháy và mở nó. Không có hình ảnh nào ở đó, nhưng trình chống virus của bạn có thể hoặc không phất cờ đỏ cho bạn. Những người sử dụng Linux tự dạy cho mình hãy cẩn thận hơn và chúng tôi biết tốt hơn là việc đăng nhập vào như gốc root đối với những công việc đơn giản hàng ngày. (Trong các công việc đơn giản hàng ngày, người sử dụng Linux thường không đăng nhập vào như một người quản trị sử dụng các quyền của gốc root, mà đăng nhập vào máy tính để sử dụng như một người sử dụng có các quyền thông thường).

Linux and UNIX-like operating systems in general are regarded as being more secure for the common user, in contrast with operating systems that have "Windows" as part of their name. Why is that? When entering a dispute on the subject with a Windows user, the most common argument he tries to feed me is that Windows is more widespread, and therefore, more vulnerable. Apart f-rom amusing myths like "Linux is only for servers" or "does it have a word processor?", the issue of Linux desktop security is still seriously misunderstood.

There are numerous reasons why a Linux PC is more secure f-rom malicious software than a Windows PC. The most obvious is the way a user interacts with his operating system. Virus and worm writers make heavy use of social engineering to trick users into opening a file. One day you receive an attachment disguised as an image that promises you a heaven of naked movie stars, and without thinking twice, you click and open. No image there, but your antivirus may or may not go berserk in flashes of red. Linux users teach themselfs to be more careful and we know better than to log in as root for simple daily tasks.

Một virus của Linux bị kết tội từ nhận thức sớm và có một khu rừng xù xì đang chờ đợi. Đối với một tệp nhị phân ELF để bị lây nhiễm bởi một virus, chương trình độc hại phải đầu tiên có thể viết truy cập vào các tệp nhị phân khác. Cao cấp hơn thế, nó phải làm thế nào đó cải trang được chính nó. Các ứng dụng chỉ là nhị phân rất hiếm khi có trong thế giới Linux mà bất kỳ phần mềm nào không được thiết kế bởi một hãng phát triển chính nào phải tuân theo. Sau một ngày ở rừng, ai đó sẽ chỉ ra tệp nhị phân này ẩn dấu điều gì đó nữa và yếu tố gây ngạc nhiên sẽ qua đi. Chúng ta quen với việc có mã nguồn trong sự bố trí sắp đặt của chúng ta. Hãy thử dấu một mã độc hại trong một văn bản thông thường...

Sự đa dạng của các phát tán và các gói cũng là một yếu tố mà làm chậm một cách mạnh mẽ sự lan truyền của một virus. Không giống như các hệ điều hành Windows, các phát tán Linux chạy trên một loạt các kiến trúc tuyệt vời và đó cũng dẫn tới việc làm chậm lại tốc độ lây lan của virus.

Người sử dụng Windows quen thường xuyên chạy các ứng dụng với các quyền quản trị. Tài khoản đầu tiên bạn tạo ra trên một máy chạy Windows trong hầu hết các trường hợp là một tài khoản duy nhất mà bạn sẽ sử dụng mãi mãi, và điều đó là một tài khoản có các quyền của người quản trị. Khá dễ dàng cho một virus hoặc sâu độc hại lan truyền với tất cả các cửa được mở này, trong khi trong Linux, sau khi một người sử dụng cài đặt một hệ điều hành mới và tất cả các ứng dụng anh ta cần, anh ta hiếm khi sử dụng tài khoản root (tài khoản của người quản trị với các quyền của người quản trị). Trong hầu hết các trường hợp, ngay cả nếu một tệp bị lây nhiễm được khởi tạo, thì nó không thể truyền hay nhân giống bản thân nó ra ngoài phạm vi thư mục chủ của người sử dụng, làm cho những phần còn lại của máy tính còn nguyên vẹn không bị động chạm tới.

A Linux virus is doomed f-rom early conception and there's a rough jungle awaiting. For an ELF binary file to get infected by a virus, the malicious program has to first get write access to other binaries. Prior to that, it must somehow disguise itself. Binary-only applications are so rare in the Linux world that any software not designed by a major developing firm is subject to inquiry. After a day in the wild, someone will figure out the binary file hides something else and the element of surprise will be gone. We're used to having the source code at our disposal. Try hiding a malicious code in plain text...

The diversity of distributions and packages is also a factor that drastically slows down the spreading of a virus. Unlike Windows operating systems, Linux distributions run on a great variety of architectures and that also tends to slow the virus spreading rate.

Windows users are accustomed to constantly running applications with administrative rights. The first account you cre-ate on a Windows XP machine is in most cases the only one you'll ever use, and that one has administrator privileges. It's fairly easy for a virus or worm to spread with all those doors open, while in Linux, after a user installs a fresh system and all the applications he needs, he seldom uses the root account. In most cases, even if an infected file is launched, it cannot propagate itself beyond the user's home directory, leaving the rest of the system intact.

Một số hệ điều hành Linux sử dụng các môi trường chroot, làm cho nó còn khó khăn hơn đối với sự nhân bản virus. Và – một lần nữa – một virus mà không thể nhân bản bản thân nó được, thì sẽ không đi xa hơn nhiều được.

Tuy nhiên Linux không phải là được miễn trừ hoàn toàn. Với sự trợ giúp đủ từ người sử dụng và sự truy cập tới một mật khẩu của người quản trị, các virus có thể gây hại cho máy tính của bạn. Hãy lấy ví dụ Bliss, một virus khái niệm được phát triển cho các máy tương thích với POSIX. Nó lần đầu được tìm thấy vào đầu năm 1997và thiếu những đặc tính lén lút mà chúng ta thấy trong các virus hiện đại khác thông qua rsh. Là một virus khái niệm, nó giữ nhật ký log của tất cả các tệp bị lây nhiễm trong /tmp/.bliss. Việc chạy virus này như là root sẽ gây ra trong một mưu toan tạo miếng vá cho mã nguồn của nhân, nếu hiện diện. Phần thú vị là Bliss có thể bị loại bỏ khỏi hệ thống bằng việc sử dụng một lựa chọn đơn giản – bliss-uninfect-files-please.

Năm 1996 là năm mà virus Staog đã được tìm thấy trong thế giới hoang dã này. Nó đã khai thác 2 bộ nhớ đệm có thể bị tổn thương vì tràn và một lỗi suidperl, nằm cư trú và một khi nó chiếm được truy cập root, làm lây nhiễm bất kỳ chương trình nào mà người sử dụng khởi động.

Some Linux systems make use of chroot environments, making it even harder for a virus to multiply. And - again - a virus that cannot replicate itself, won't go very far.

Linux however is not completely immune. With enough help f-rom the user and access to an administrator's password, viruses can do damage to your system. Let's take for example Bliss, a concept virus developed for POSIX-compatible systems. It was first sighted at the beginning of 1997 and lacks the stealth c-haracteristics we see in modern viruses. It tries to infect and attach itself to binary files that are writable and copy itself on other machines through rsh. Being a concept virus, it even keeps a log of all infected files in /tmp/.bliss. Running the virus as root results in an attempt to patch the kernel source, if present. The fun part is that Bliss can be removed f-rom the system by simply using the --bliss-uninfect-files-please option.

1996 was the year that the Staog virus was found in the wild. It exploited two buffer overflow vulnerabilities and a suidperl bug, remained resident and once it gained root access, infected every program a user launched.

Winux đã được gọi cho virus đa nền tảng thực sự đầu tiên. Nó đã có thể lây nhiễm cả các tệp PE có thể chạy được của Windows và các tệp ELF của Linux. Nó đã sử dụng Linux như một phương tiện lây nhiễm, và – là một virus khái niệm lành – nó chỉ làm thay đổi tên tệp của các tệp bị lây nhiễm trong Windows sang các chữ in hoa. Sâu độc Linux.Ramen đã được xây dựng trên nguyên lý y như vậy như sâu độc Morris nổi tiếng ngày nay. Nó ảnh hưởng tới các phiên bản không được vá lỗi của Red Hat Linux 6.2 và 7.0 và tự biểu thị bằng việc thay thế trang chủ của máy chủ web với một cụm từ “RameN Crew - Hackers looooooooooooove noodles”. Nó xảy ra, nếu Apache đã được cài đặt.

Một mẩu phần mềm độc hại thú vị khác là OSF.8759 không đụng tới các thư mục /dev và /proc và bắt đầu nghe cổng 3049, tạo một con đường cho một kẻ tấn công từ ngoài vào để chạy các lệnh nào đó trên hệ thống đích. Tuy nhiên, virus này không lây nhiễm quá 201 tệp cùng một lúc và có thể nhanh chóng loại bỏ bằng công cụ như theo đường liên kết bên dưới.

Winux was called the first true cross-platform virus. It was capable of infecting both Windows PE executables and Linux ELF files. It used Linux as a means of propagation, and - being a good concept virus - it only changed the filenames of the infected Windows files to uppercase. The Linux.Ramen worm was built on the same principle as the now-famous Morris worm. It affected unpatched versions of Red Hat Linux 6.2 and 7.0 and manifested itself by replacing the webserver's main page with one that read "RameN Crew - Hackers looooooooooooove noodles". That is, if Apache was installed.

Another interesting piece of malware is OSF.8759. Files infected by this virus gain an extra 8759 bytes in size while a backdoor part of the code tries to replicate and infect everything executable in the current and /bin directory. The clever part is that OSF.8759 doesn't touch the /dev and /proc folders and starts listening on port 3049, providing a way for an outside attacker to execute certain commands on the target system. However, the virus doesn't infect more than 201 files at a time and can be quickly removed with this tool.

Virus Devnull cố khai thác một sự có thể bị tổn thương của OpenSSL không được vá lỗi. Để làm việc đó, ban đầu nó phải chạy một script của vỏ từ một máy chủ web, tải về và trích xuất ra một tệp gzip, tạo ra một thư mục có tên là /.socket2 trong thư mục gốc /home của bạn, tải về một tệp khác, sủ dụng GCC để biên dịch một tệp nhị phân được gọi là sslx và chạy một tệp khác để khởi động quét các máy chủ có thể bị tổn thương. Bạn không cần một trình chống virus cho việc này. Nếu tất cả các hành động này mắt bạn không nhìn thấy, thì các tệp và thư mục mới tạo ra này sẽ nhận ra. Việc loại bỏ là dễ dàng như việc xoá các tệp nhị phân devnull và sslx.

Như bạn có thể thấy, Linux là một môi trường xù xì khó khăn đối với việc nhân bản các phần mềm độc hại. Có thể có 70 virus được biết tới cho Linux, bao gồm cả những biến dạng. So sánh với hàng trăm ngàn virus của Windows, đó chỉ là hạt cát bỏ biển. Một số người có thể hỏi cái gì là nhu cầu của các tệp chống virus cho Linux nếu sự nguy hiểm có thể hầu như là bị bỏ qua. Các phần mềm chống virus trên Linux có thể là hữu ích một cách cực độ để giữ cho các phần chia sẻ của Samba được sạch. Clamaw là một chương trình chống virus tuyệt vời của Linux mà nó có thể hoàn tất các nhiệm vụ này. Các cái tên đáng chú ý khác trên thị trường có thể là Avast!, Kaspersky, Vexira hoặc AVG.

Tuy nhiên, nuếu bạn là trong một môi trường chỉ Linux, thứ duy nhất bạn phải yêu cầu chính mình là... làm gì với đống tiền mà bạn có thể đáng ra phải chi trả cho các sản phẩm chống virus.

The Devnull virus tries to exploit a now-patched OpenSSL vulnerability. To do that, it first has to execute a shell script f-rom a webserver, download and extract a gzip file, cre-ate a folder called /.socket2 in your /home directory, download another file, use GCC to compile a binary called sslx and execute another file to start scanning for vulnerable hosts. You don't need an antivirus for this one. If all these actions don't catch your eye, the newly-cre-ated files and directories will. Removal is as easy as deleting the devnull and sslx binaries.

As you can see, Linux is a rough environment for replicating malware. There are maybe 70 known viruses for Linux, including variants. In comparison with the hundreds of thousand Windows viruses, that's a d-rop in the ocean. Some may ask what is the need of Linux antivirus binaries if the danger can almost be ignored. Antiviral software on Linux can be extremely useful to keep those Samba shares clean. Mail servers can also be scanned for infected attachments, so that Windows networks can remain safe. Clamav is an excellent Linux antivirus program that can accomplish these tasks. Other notable names in the market would be Avast!, Kaspersky, Vexira or AVG.

However, if you're in a Linux-only environment, the only thing you should ask yourself is... what to do with the money you would have otherwise spent on antivirus products.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com