Beveiligingslekken worden doorgaans erg snel gefixt in de
Linux scene. En zodra de fixes af zijn kun je ze direct op
de source patchen of de nieuwe versie installeren.

Je hoeft bijvoorbeeld niet te wachten op een bepaalde dag
van de maand zodat je nog max een maand onbeschermd bent.
Exploits komen ook steeds sneller uit...

Beveiligingslekken zijn belangrijk en moeten z.s.m.
verholpen worden, helemaal mee eens. Maar vertel mij eens
hoeveel beveiligingslekken Bagle of Zafi misbruiken?

Waarom denken de meesten dat virussen altijd het gevolg zijn van beveiligslekken?!?!?

omdat de hele architectuur van het doelwitplatform van die
virussen een beveiligingslek is

Met alles wat over Linux geschreven wordt in verband met virussen, loopt
diegene zijn tijd en die van andere te verknoeien
Vooreerst is Linux voor virusschrijvers totaal oninteressant omdat de groep
die ze er mee bereiken ontzettent klein is in vergelijk met Windows
Ten tweede zijn Linux gebruikers mensen die zelf ter zake kundig zijn, en
dit in tegenstelling tot de meeste Windows gebruikers

Ook voor linux barst het van de patches, meestal ook voor de bijgeleverde
3rd party software, maar toch. Een doodnormale thuisgebruiker zal bij
Linux al helemaal niet snappen hoe hij het moet fixen. Immers hem wordt
verteld dat Linux veiliger is dan Windows. Dus dan hoef je toch niks te
doen? De komende jaren zullen er echt dingen verschijnen voor Linux,
waarvan de meeste Windows gebruikers al "dagelijks" last van hebben.

Zie mijn opmerkingen over 'power users' hier onderaan:
http://www.security.nl/article/11757/1/Mac_en_Linux_gebruikers_moeten_security_bewust_worden.html

Het aantal linux gebruikers nu is veel groter dan het aantal
windows gebruikers in 1995; toch was indertijd wel een grote
virus uitbraak middels Windows.

Linux en andere Unixen zullen nooit zoveel last hebben van virussen. Dat komt
door de manier waarop het systeem is opgebouwd en gebruikt wordt. Lees
deze pagina maar eens door om een idee te krijgen waarom Linux simpelweg
minder vatbaar is voor virussen zoals Windows dit kent: http://linuxmafia.com/
~rick/faq/index.php?page=virus

idioten, meeste van jullie zijn wannabe's zo te zien aan jullie reacties.
Linux heeft een kleinere userbase dan windows, klopt, maar linux is meer
verspreid op kritieke omgevingen als server of workstation voor
professionals. Vergis je niet.

Lees het artikel eens goed door...

Beetje onzin. Een virus kan misschien geen schade aanrichten
op het systeem waar het op draait maar een 'gewone'
gebruiker kan bijvoorbeeld wel een SMTP server draaien die
vol gas virussen staat te verspreiden.. Daar heb je echt
geen root rechten voor nodig. Kijk ter vergelijking ook maar
eens naar de laatste rits windows virussen, er zijn er maar
een paar die daadwerkelijk schade aanrichten aan je systeem.

Onder un*x kan een gebruiker makkelijk een IRC backdoor,
SMTP server en nog meer ongein draaien. Deze kunnen allemaal
misbruikt worden voor het verder verspreiden van de malware
die deze gebruiker toevallig gestart heeft (denk hierbij aan
een uitgebreid shellscript o.i.d.).

Dat een virus een systeem niet kan infecteren omdat de
gebruiker geen rechten heeft is gewoon onzin. Ook een
'gewone' gebruiker kan een virus activeren en verspreiden.
Wat dat betreft zijn hier veel te veel mensen die vanuit hun
eigen wereldbeeld naar virussen kijken.

Je hebt geen 'extra' rechten en ook geen bug nodig om
anderen tot last te zijn. Think out of the box.

En jij hebt de wijsheid wel in pacht?
De wereld draait momenteel nog steeds op Cobol op een IBM
mainframe! Exploit that!!

Maar voor iedereen die het zelf wil proberen: The ELF
Virus Writing HOWTO
(http://www.lwfug.org/~abartoli/virus-writing-HOWTO/_html/).
De handleiding is er dus en zou voldoende info bevatten maar
geen kant en klare voorbeelden. En er zijn genoeg
linux-servers actief dus eigenlijk is het toch ongelooflijk
dat er vrijwel geen linux-virussen zijn. Het zal toch wel
komen doordat Windows zo'n veel grotere installed base heeft.
Succes!

behalve dan dat smtp toevallig op een restricted port zit :p

Tijd dat je uit het andere universum fysiek hier op onderzoek gaat.

Zucht... Sinds wanneer heb je root rechten nodig om een connectie
te maken naar poort 25? Ik doelde met SMTP server op
zo'n ding dat alleen maar kan verzenden, zoals dat
tegenwoordig in malware zit ingebakken.

Allereerst, mijn linux distributie zal toch echt geen mail
versturen zonder dat ik daar toestemming voor geef hoor. Als
zou god een hacker worden, dan kan ie hoogstens PROBEREN te
versturen, mijn dedicated mailserver is de enige machine die
mail mag versturen, en dan nog moet het door 2 firewalls en
nog belangrijker, 1 viruswall heen. Tegen die tijd roept
mijn IDS al moord en brand.

Verder is SLAPPER geen linux malware maar een bug in openssl
en ook nog alleen via APACHE. Is een beetje zeggen als dat
VNC bug in combinatie met IIS een Windows virus is. BLISS
kwam zelfs met zijn eigen disinfecter
(--bliss-disinfect-files-please) STAOG is de eerste malware
voor de linux-OMGEVING, niet Bliss. Ramen is niet eens een
linux virus, het is REDHAT malware want geen enkele andere
distro had daar last van de bugs in de FTP, rpc of spooler
daemon .

Hoe het ook zij blijf ik desondanks de verse ISO-files en
updates scannen op ongein, ofschoon je distributies tijdens
en na installatie helemaal kunt dichttimmeren en services en
bestanden van juiste rechten voorziet en separaat kunt
jailen. Als je er daarnaast voor zorgt dat je de
systeemcredentials niet het net op propageert 'ik ben
service zus, versie zoveel op platform zo versie
huppeldepup' scheelt dat ook sores. Hoewel je een
Windowsserver nooit kunt maskeren, want die zijn meestal
retetraag, alsof een schildpad er op uit wordt gestuurd om
de Microsoft-SQL database te doorzoeken om bij drukte een of
andere interne .DLL fout de wereld in te propageren.
Om Windows gebruikers tegen zichzelf te beschermen worden
via ons in ieder geval attached en 'hidden' executable-files
en consorten geweigerd. Een executable hernoemd naar een
onschuldig ogend bestand als bootschappenlijstje.txt gaat
er niet doorkomen.
Ondanks het een feit is dat het aantal Linux virussen vrij
klein is, zul je er toch altijd even bewust en alert op
moeten zijn als voor een/het ander besturingssysteem waarbij
deze wel gemeengoed zijn.
Het gezegde luid immers niet voor niets: keep your friends
close, but your enimies closer! Je moet dus alert blijven en
rekening blijven houden met virussen en andere troep, hoe
gering de kans ook.

Het leuke is dat je linux (of andere UNIX) kan inzetten als
file-server met virusscanner, die zelf immuun is voor
eventuele virussen die er op staan.

Ik wil niet lullig doen, maar zojuist viel de Securityfocus newsletter in
m'n mailbox.

De Linux-lekken van afgelopen week:

47. Linux Kernel Sendmsg() Local Buffer Overflow Vulnerability
BugTraq ID: 14785
Remote: No
Date Published: 2005-09-09
Relevant URL: http://www.securityfocus.com/bid/14785
Summary:
Linux kernel is prone to a local buffer overflow vulnerability.

The vulnerability affects 'sendmsg()' when malformed user-supplied
data is copied from userland to kernel memory.

A successful attack can allow a local attacker to trigger an overflow,
which may lead to a denial of service condition due to memory
corruption. Arbitrary code execution resulting in privilege escalation
is possible as well.

49. Linux Kernel Raw_sendmsg() Kernel Memory Access Vulnerability
BugTraq ID: 14787
Remote: No
Date Published: 2005-09-09
Relevant URL: http://www.securityfocus.com/bid/14787
Summary:
Linux Kernel is prone to a kernel memory access vulnerability.

This issue affecting the 'raw_sendmsg()' function can allow a local
attacker to disclose kernel memory or manipulate the hardware state
due to unauthorized access to IO ports.

Linux kernel 2.6.10 is reportedly vulnerable, however, other versions
are likely to be affected as well.

52. Linux Kernel SCSI ProcFS Denial Of Service Vulnerability
BugTraq ID: 14790
Remote: No
Date Published: 2005-09-09
Relevant URL: http://www.securityfocus.com/bid/14790
Summary:
The Linux kernel is prone to a denial of service vulnerability. The
kernel is affected by a memory leak which eventually can result in a
denial of service.

A local attacker can exploit this vulnerability by making repeated
reads to the '/proc/scsi/sg/devices' file and exhaust kernel memory,
resulting in a denial of service.

53. Linux Kernel Netfilter Ipt_recent Remote Denial of Service
Vulnerability
BugTraq ID: 14791
Remote: Yes
Date Published: 2005-09-09
Relevant URL: http://www.securityfocus.com/bid/14791
Summary:
Linux Kernel is reported prone to a local denial of service vulnerability.

An attacker can exploit this issue by sending specially crafted
packets to a vulnerable computer employing the 'ipt_recent' module.

A successful attack can cause a denial of service condition.

55. Linux Kernel EXT2/EXT3 File System Access Control Bypass
Vulnerability
BugTraq ID: 14793
Remote: No
Date Published: 2005-09-09
Relevant URL: http://www.securityfocus.com/bid/14793
Summary:
Linux Kernel is prone to an access control bypass vulnerability when
using the EXT2/EXT3 file systems.

Successful attacks may involve data corruption and modification,
information disclosure, and execution of arbitrary code.

Ook met dit OS patch je je te pletter.

Ohja je hebt gelijk. Er bestaan opeens toch wel
tienduizenden linux-virussen. Voor al die apache-servers
bijvoorbeeld.

Er is een verschil tussen een VIRUS en een LEK... Behalve
als je product Microsoft Windows heet. Bovendien zie ik het
nut er niet van in om je EIGEN computer te laten crashen
want dat is het enige wat je zou kunnen doen met die lekken.
Gelukkig moet je bij Linux daar een vulnerability voor
hebben, Windows heeft dat ingebouwd.

Het gros van de hedendaagse virussen worden gemaakt naar aanleiding
van een lek. Ook al zijn daar inmiddels patches voor.

Deze zinsnede bij een van de exploits is daarom wel aardig:
"Arbitrary code execution resulting in privilege escalation is possible as
well".

In ieder geval kloppen de reacties aardig met het gestelde over het
onterechte gevoel van veiligheid dat de meeste Linux- en MAC-gebruikers
hebben.

Je zult geen UNIX-man of vrouw horen zeggen dat het systeem
onkwetsbaar is.
Maar de mogelijkheden voor virussen en spyware zijn nogal
beperkt vergeleken met Windows. En dat komt niet alleen door
de hoeveelheid clients. Maar hier zitten allerlei
Windows-figuren te blaten over zaken waar ze geen weet van
hebben. Ze zijn opgegroeid met Windows en alle bijbehorende
ziektes en kunnen simpelweg niet geloven dat die ziektes op
andere systemen veel minder kansen hebben.

dan is het een client, geen server.

Waarom denk je dat?

NB Ik ben nooit een windows man geweest. Ben opgegroeit met AmigaOS ;)

Ok. Jij je zin.. Een SMTP engine dan.. Bovendien kan ik makkelijk een spam-relay (SMTP Server; een MTA) op poort >1024 laten draaien, er is geen enkele reden waarom de server perse op poort 25 zou moeten draaien. Die server hoeft tenslotte geen email van onbekenden te ontvangen. Ik, als ik malware-verspreider zou zijn, weet op welke poort die smtp-relay draait..

Lees //linuxmafia.com/ (dank poster hierboven)
eens door. Zoek eens naar Apache-wormen/virussen en hun
effect en vergelijk het marktaandeel eens met IIS.

Op
http://www.theregister.co.uk/2004/10/22/linux_v_windows_security/
staat een onderzoek beschreven naar de veiligheid van
Windows en linux. Daarin wordt ook de ontwerpfilosofie
belicht. Het hele rapport staat op
http://www.theregister.co.uk/security/security_report_windows_vs_linux/#winvslinuxdesign.

Leuk... Maar die artikelen maken allemaal dezelfde fout als
de meeste hier.. Ze gaan er allemaal vanuit dat je een
bug/lek nodig hebt om een virus/worm te schrijven. Ik zou
bijna een PoC linux virus gaan schrijven om te bewijzen dat
dat dus niet hoeft. Het enige wat je hoeft te doen is een
gebruiker "verleiden" tot het starten van een programma..
That's it.. De discussie over design, rechten en wie nu
hoeveel bugs heeft is compleet zinloos m.b.t virussen en
wormen..

Ga maar eens kijken wat een virus/worm, in essentie,
eigenlijk is.. Haal daar alle platform afhankelijke dingen
uit en kijk wat je over houdt. Probeer je dan eens voor te
stellen hoe je zoiets op un*x zou kunnen doen.. Zo moeilijk
is het niet..

Veel linux-mensen hier zijn denk ik, net zo benieuwd naar je
PoC als ik. Laat maar wat zien, opschepper.

Klinkt als een uitdaging, als ik wat tijd over heb..... aan
de andere kant kan ik het misschien beter niet doen.. Als er
naar aanleiding van mijn PoC ineens een hele rits linux
virussen verschijnen dan word ik straks gelyncht...
Bovendien ben ik nu verzekerd van werk omdat er blijkbaar
nog genoeg mensen zijn met een verkeerd beeld over virussen..

Je zou het op een website kunnen publiceren en open houden
voor iedereen. De eerste virussen waren wetenschappelijke
geintjes, dus jij kunt daar vast een nieuw 'onderzoekje' aan
toevoegen.
En nu dus niet met zwakke excuses komen. Dat staat zoooo
doorzichtig.

Dat is ook een uitdaging. Er staat een kratje bier op. Dus
laat je PoC maar zien, de linux-gemeenschap zal het alleen
maar leuk vinden.

Ik denk dat het aantal virussen voor Linux veel minder is omdat Microsoft
Windhoos een monopolistisch gebeuren is en geen open source. Linux
wordt door de gebruikers ontwikkeld, waardoor er idd altijd zo snel
oplossingen zijn voor eventuele problemen, terwijl bij MS de hele handels
molen eerst op gang moet komen. Daar staat cash maken boven kwaliteit
en gebruikers vriendelijkheid.
Grtz Michaël

Wie naar de feiten kijkt, kan twee zaken zien. Enerzijds dat
er tal van lekken zijn in Linux en anderzijds dat er bar
weinig virussen zijn voor Linux. De verdere interpretatie
van beide visies is duidelijk uitgemeten in de reacties hier.

De toekomst zal het uitwijzen, maar het veel genomen
uitgangspunt dat Windows en Linux sterk op elkaar lijken is
nogal naief. De systemen lijken helemaal niet op elkaar en
zelfs met een toename van het aantal 'domme' gebruikers zal
het virus probleem op Linux nooit dezelfde proporties hebben.

Virussen op Windows zijn de laatste jaren steeds
schadelijker geworden en een internet verbinding is
tegenwoordig al genoeg voor een infectie. Virussen op Linux
komen nog steeds niet van de grond. Rara?

Een groot voordeel van Linux is natuurlijk dat je als gebruiker beperkte
rechten hebt en alleen dringende zaken even als root doet. Je zou hetzelfde
bij Windows kunnen doen door gebruik te maken van de 'Run As' functie en
alleen dringende zaken als administrator te doen.

Dit is de theorie, als je het vervolgens uit gaat proberen (als gebruiker met
beperkte rechten) kom je de gekste problemen tegen en blijkt het uiteindelijk
bijna niet werkbaar, het kost tenminste veel tijd en moeite.

1 probleem uit de praktijk wil ik jullie niet onthouden en toont in mijn ogen
hoe microsoft in beginsel wel technisch mooie zaken wil maken, maar hoe
dit toch telkens in hun gezicht ontploft: ik kan als gewone gebruiker de
spellingscontrole niet gebruiken onder Word omdat ik als gewone gebruiker
geen rechten heb om subsleutels aan te maken in proof map ergens diep
vertopt in het register......duh!