Um vírus ou malware dentro de uma conta de usuário ou de convidado afetará todo o sistema Ubuntu?

8

Quando comecei com o Linux e estudava a estrutura de arquivos e as permissões de acesso dos sistemas Linux, pensei em um pensamento que, desde que você opere somente em sua conta menos privilegiada ou restrita, nenhum vírus ou malware que sempre entra na sua conta, afetará todo o sistema. Nem "isso" afetaria os vários aplicativos instalados, já que as configurações e os documentos salvos são todos armazenados exclusivamente na sua conta ... ou, estou enganado com isso?

A respeito disso, tenho preocupações com o comando "sudo" no Ubuntu. Se alguma vez eu usei sudo com uma conta privilegiada usando um terminal, de dentro de um usuário não-infectado mas infectado ou conta de convidado, um malware da pasta home do usuário infectado ainda vazará para todo o sistema e infectará meu sistema Ubuntu?

Além disso, com o Windows Emulator, Wine ... Eu notei que os aplicativos que eu instalei não são de todo o sistema, mas estão localizados na conta que eu estava usando quando o instalei. Infelizmente, os aplicativos de vinho são ímãs de malware. Dentro de uma semana, o ClamTK detectou mais de 700 ameaças. Devo ficar preocupado com essas ameaças saindo e infectando todo o sistema?

Agradecemos antecipadamente àqueles que poderiam esclarecer isso.

    
por Joseph Domingo Tibi Ensano 04.12.2015 / 14:46

1 resposta

10

Uma nota antes de começar:
Eu falo sobre ameaças teóricas, não sobre malwares realmente existentes e disseminados.

Contanto que você opere uma conta sem privilégios de administrador e sudo e a infecte, por exemplo, instalando (manualmente ou automaticamente atrás de você, depois de clicar em algum lugar que você não deveria ter clicado) um programa de malware para sua pasta pessoal, essa infecção deve permanecer limitada a essa conta .

Eu digo deveria porque:

  • um usuário administrador pode iniciar o arquivo infectado de sua conta como root e infectar a máquina dessa maneira.

  • o malware pode infectar dispositivos portáteis (pendrives, etc.) montados pelo usuário e depois se espalhar em outras máquinas ou outras contas de usuário na mesma máquina, quando você montá-lo com outro usuário posteriormente.

  • o malware pode se espalhar pela rede, infectar outra máquina na sua LAN e infectar a conta de administrador quando estiver conectado na próxima vez e se conectar ao outro computador infectado.

  • Existem várias possibilidades conhecidas de como uma aplicação pode contornar as restrições. Isso é chamado de "escalação de privilégios", o que significa que o aplicativo é executado com privilégios mais altos do que os permitidos / pretendidos devido a bugs de software explorados, permissões de sistema de arquivos muito permissivas, etc ...

  • Como o Ubuntu vem com um tempo limite de sudo > 0s, você não é obrigado a digitar sua senha sudo várias vezes dentro de um curto período de tempo (por padrão, 15 minutos, se bem me lembro certo?) Para executar vários comandos como root, mas apenas ser solicitado uma vez para o primeiro. Se o malware agora substituir um arquivo para o qual o usuário infectado tem acesso de gravação (insere um comando para rodar como root usando sudo) e depois você executa o arquivo sem usar sudo, mas dentro do tempo limite, você nem percebe que há algo acontecendo com privilégios elevados.

  • provavelmente mais ...

Você vê, a maioria das chances de o malware infectar a máquina inteira requer interação do usuário e / ou depende de quão estritamente as contas, os computadores e as unidades conectáveis são separadas.

Os erros que permitem escalonamentos de privilégios são geralmente corrigidos rapidamente depois que os desenvolvedores aprendem sobre eles, mas no tempo entre a descoberta de um bug através de hackers mal-intencionados e o lançamento de uma correção, novos malwares podem ignorar as restrições do usuário que exploram o bug.

Conclusão:

A maioria dos malwares provavelmente não é capaz de elevar seus privilégios e obter acesso root para infectar toda a sua máquina, a menos que você os conceda manualmente digitando sua senha sudo na caixa de entrada errada. Isso significa que se comportar com cuidado e pensar em cada comando executado duas vezes (especialmente se outros usuários tiverem permissões de gravação em um arquivo que você deseja executar) deve protegê-lo muito bem.

No entanto, nunca há 100% de segurança, porque os desenvolvedores de malware geralmente estão um passo à frente dos programadores de software responsáveis por correções de bugs e correções de segurança.

    
por Byte Commander 04.12.2015 / 15:15