Linux ha guadagnato un buon nome per essere abbastanza sicuro e resistente a molti malware in circolazione. Alcuni dei popolari sistemi operativi basati su Linux sono Ubuntu, Mint, Fedora, Redhat, Debian, Arch. Tuttavia, nessuno di questi sistemi operativi per impostazione predefinita utilizza una protezione antivirus adeguata. Quindi questo articolo prende questa convinzione sotto esame e vede se un sistema operativo basato su Linux richiede davvero una protezione antivirus o meno.
Che cos'è un sistema Linux?
Anche se nella cultura popolare tutti i sistemi operativi Linux sono uniti e considerati uno, la realtà è che Linux è solo un kernel , che è alla base di molti sistemi operativi che utilizzano il suddetto kernel. Alcuni dei più diffusi sistemi operativi basati su Linux, noti anche come aromi, sono Ubuntu, Mint, Fedora, Redhat, Debian, Arch. Ognuno ha uno scopo e ha una grande comunità fedele dedicata intorno ad esso, anche alcuni sistemi operativi Linux come Ubuntu hanno più tipi come Desktop, Server per soddisfare determinati gruppi.
Detto questo, indipendentemente dal sapore, la versione desktop è solitamente adattata agli utenti normali e quindi ha un'interfaccia utente grafica, mentre il tipo di server è personalizzato per soddisfare il personale IT che di solito padroneggia i comandi della shell; quindi per impostazione predefinita mancano di un'interfaccia utente grafica.
Struttura del sistema operativo Linux
Qualsiasi sistema operativo Linux, indipendentemente dal suo aspetto, ha più account utente. Per impostazione predefinita, l'utente supremo in Linux è radice , che non è consigliabile utilizzare per scopi generali a causa dei rischi ad esso associati, e quindi quando il sistema operativo viene installato richiede di creare un nuovo account utente con privilegi limitati. Questi privilegi limitano la giurisdizione del particolare account utente; quindi è meno probabile che l'intero sistema sia interessato nel caso in cui la sicurezza del sistema operativo sia compromessa.
Tutti i processi vengono eseguiti per impostazione predefinita con l'account utente attualmente connesso anziché come utente root. A tutti gli utenti viene assegnata una cartella separata nella posizione di base del file system, nota come Home, e se l'account utente attualmente connesso viene violato, solo questa cartella è interessata.
Malware e tipi
Una tipica protezione antivirus fornisce protezione non solo dai virus, ma anche da a gamma di malware esistente là fuori. Alcuni dei tipi di malware popolari sono adware, spyware, virus, worm, Trojan, rootkit, backdoor, keylogger, ransomware, browser hijacker. Detto questo, il pubblico spesso fa riferimento a tutti questi malware come virus, anche se a virus informatico è un pezzo di codice allegato a un'applicazione autonoma e viene eseguito quando viene eseguito il suo host. Linux sembra immune a certi tipi di malware, ma non significa necessariamente che sia immune agli attacchi di tutti i tipi di malware, ad esempio un spyware serve a spiare gli utenti. Poiché è abbastanza facile eseguire qualsiasi applicazione a livello di utente, uno spyware può facilmente penetrare nel sistema e continuare a spiare l'utente, lo stesso vale per adware, worm, Trojan, backdoor, key logger e anche ransomware. Quindi, questo equivoco di non avere alcuna minaccia in Linux è ovviamente un errore. Il rischio è ancora presente, ma è molto più basso rispetto alla famiglia di sistemi operativi Windows.
Cosa fa una protezione antivirus?
Protezione antivirus le applicazioni eseguono varie azioni, dalla scansione dei file alla messa in quarantena delle minacce rilevate. Di solito qualsiasi protezione antivirus mantiene un database composto da firme dei virus conosciuti . Quando l'antivirus esegue la scansione di un file alla ricerca di minacce, esegue l'hashing del file e lo confronta con i valori esistenti nel database, se entrambi corrispondono, il file viene messo in quarantena. Questo database delle firme viene spesso aggiornato per impostazione predefinita a meno che non venga disabilitato manualmente per fornire una protezione coerente.
Perché Linux ha bisogno di una protezione antivirus?
Alcuni sistemi sono costituiti da inoltro di posta, server Web, demone SSH o server ftp che è molto probabile che richiedano una protezione maggiore rispetto a un sistema operativo desktop medio che difficilmente viene condiviso da più persone. Altri sistemi server esistono ben oltre il firewall per i calcoli e sono raramente accessibili da molte persone, o modifiche a nuove applicazioni e sono a basso rischio di essere infettati.
Nelle versioni Linux popolari come Mint e Ubuntu è presente un pacchetto integrato che è collegato al repository software ufficiale da cui è possibile scaricare le applicazioni per l'installazione. Da questo deposito è sotto il controllo di migliaia di volontari e sviluppatori, è meno probabile che contenga malware.
Tuttavia, esiste il rischio se il software viene scaricato tramite una fonte diversa, ad esempio oltre a scaricare il software tramite il repository ufficiale, molte distribuzioni Linux consentono agli utenti di scaricare software tramite vari PPA (archivi personali dei pacchetti), se un software viene scaricato tramite tale fonte e se contiene contenuti dannosi, c'è il rischio che il computer venga compromesso a seconda di come è codificato il malware e per quale scopo è stato progettato. Quindi, se vengono spesso utilizzati PPA di terze parti, è una saggia decisione installare una protezione antivirus per mantenere il sistema sicuro.
Una popolare protezione antivirus gratuita per proteggere un sistema Linux è Comodo Antivirus per Linux . Non solo protegge il file system, ma anche il gateway di posta da accessi non autorizzati. Questo è specificamente progettato per gli utenti desktop regolari per mantenere il sistema sicuro e protetto.
Come affermato in precedenza, anche se un malware non può ottenere l'accesso completo all'intero sistema operativo, può comunque accedere al livello utente. Avere accesso a livello utente è ancora pericoloso, ad esempio utilizzando questo comando rm -rf $HOME può cancellare completamente la home directory dell'utente e rendere la sua giornata infelice. Se non c'era un backup della directory home, il danno può essere tremendo. Inoltre, al giorno d'oggi una minaccia diffusa e popolare è ransomware , che crittografa l'intero disco rigido e richiede un pagamento tramite bitcoin per decrittografare i file. In tali casi, anche se non può penetrare nel sistema, può comunque crittografare la directory home e rendere l'utente completamente impotente. La home directory memorizza immagini, documenti, musica, video e ottenere queste cartelle crittografate significa una grande perdita per l'utente. Poiché i criminali spesso richiedono un enorme pagamento dalle vittime, a meno che l'utente non sia ricco, è molto improbabile che i file vengano sbloccati. Quindi è meglio installare una protezione antivirus per proteggere il sistema piuttosto che essere vittima di un piccolo criminale.
Altre minacce ai sistemi Linux desktop sono i browser hijacker, adware . Queste applicazioni vengono spesso installate tramite il browser Web e quindi, anche se il sistema operativo è sicuro, il browser Web è vulnerabile a tali minacce. Questo porta il password da divulgare e annunci costanti visualizzati in modo casuale nei siti Web. Quindi è importante che il browser web utilizzi a password principale per proteggere le password digitate attraverso di esso. Lo screenshot seguente mostra l'opzione per la gestione delle password digitate tramite Google Chrome. Quando non esiste una password principale per proteggere queste password, un'estensione/plugin dannoso installato nel browser può estrarle facilmente. Questo è più pericoloso su Firefox rispetto a Chrome, poiché Firefox non ha una password principale per impostazione predefinita, Chrome, invece, richiede di digitare la password dell'account utente del sistema operativo per visualizzarli.
Inoltre, i server Linux richiedono una migliore protezione per mantenere sicuri i suoi servizi principali. Alcuni di questi servizi sono l'inoltro della posta, il server web, il demone SSH, il server ftp. Poiché un server utilizza così tanti servizi che interagiscono con il pubblico, il risultato può essere catastrofico.
Un buon esempio di ciò è un server pubblico che ospita il software Windows viene infettato da un malware e diffonde contenuti dannosi su più computer . Poiché il malware è scritto per computer Windows, il server Linux non subisce alcun danno, ma aiuta a danneggiare inavvertitamente i computer Windows. Ciò danneggia gravemente la reputazione dell'azienda che ospita il software.
Allo stesso modo, anche altri servizi necessitano di una sorta di salvaguardia. I relay di posta sono spesso penetrati da malware per diffondere spam su Internet. Una buona soluzione per questo problema è utilizzando un relay di posta di terze parti invece di mantenerne una interna. Alcuni dei relè di posta più diffusi sono Mailgun, SendPluse, MailJet, Pepipost. Questi servizi forniscono una migliore protezione contro lo spam e la diffusione di malware tramite i relay di posta.
Un altro servizio suscettibile di attacchi è il demone SSH . demone SSH viene utilizzato per connettersi a un server su una rete non sicura e può essere utilizzato per ottenere l'accesso completo all'intero server, inclusa la radice. Lo screenshot seguente mostra un attacco al demone SSH su Internet proveniente da un hacker.
Questi tipi di attacchi sono piuttosto diffusi sui server pubblici e quindi è estremamente importante proteggere il server da questi tipi di attacchi. Lo scopo delle richieste non autorizzate al demone SSH è ottenere l'accesso al server per diffondere malware, utilizzarlo come nodo per lanciare attacchi DDOS contro un server diverso o diffondere contenuti illegali.
Per proteggere il demone SSH CSF (Configured Server Firewall) può essere installato insieme a LFD (login failure daemon). Questo limita il numero di tentativi al demone SSH, una volta superato il limite, il mittente è permanentemente nella lista nera e le sue informazioni vengono inviate all'amministratore del server se configurato correttamente.
Inoltre, CSF tiene traccia delle modifiche dei file e informa l'amministratore come mostrato nello screenshot seguente. Questo è molto utile se un pacchetto installato tramite un PPA di terze parti è sospetto. Quindi, se il pacchetto si aggiorna da solo o se modifica un file senza l'autorizzazione dell'utente, CSF notifica automaticamente all'amministratore del server le modifiche.
I seguenti comandi della shell installano CSF insieme a LFD nei sistemi Ubuntu/Debian.
wget http://download.configserver.com/csf.tgz tar -xzf csf.tgz cd csf sh install.sh
Un'altra grande minaccia per entrambe le versioni server e desktop è lo sblocco interno delle porte. Queste operazioni vengono eseguite da un Trojan o da una backdoor. Con un firewall appropriato, le porte possono essere aperte e chiuse, quindi se in qualche modo è installata una backdoor nel sistema, le porte chiuse possono essere aperte internamente per rendere il server vulnerabile ad attacchi esterni.
Perché Linux non ha bisogno di una protezione antivirus?
Linux non ha necessariamente bisogno di una protezione antivirus se viene mantenuto correttamente e il software viene scaricato tramite canali sicuri. Molte versioni Linux popolari come Mint e Ubuntu hanno i propri repository. Questi repository sono sotto stretto controllo e quindi è meno probabile che esista un malware nei pacchetti scaricati attraverso di esso.
Anche Ubuntu per impostazione predefinita ha AppArmor che limita le azioni del software per assicurarsi che vengano eseguite solo ciò che è stato loro assegnato. Un altro popolare modulo di sicurezza a livello di kernel è SELinux che fa lo stesso lavoro ma a un livello molto più basso.
Linux non è popolare tra gli utenti regolari e gli utenti regolari sono spesso presi di mira dal malware perché sono più facili da manipolare e ingannare. Quindi gli autori di malware sono spinti a passare alla piattaforma Windows invece di perdere tempo su Linux, che ha un demografia inferiore che può essere ingannato. Quindi questo rende Linux un ambiente sicuro e quindi, anche se vengono utilizzati canali non sicuri per scaricare software, la possibilità di avere un malware è minima o bassa.
Conclusione
La sicurezza è importante per qualsiasi sistema informatico; questo è lo stesso per Linux. Anche se la credenza popolare è che Linux sia completamente al sicuro dagli attacchi di malware, il numero di scenari sopra indicati dimostra il contrario. Il rischio aumenta quando il computer è condiviso tra più persone o se è un server a cui il pubblico può accedere tramite Internet. Quindi è importante prendere adeguate precauzioni di sicurezza per prevenire incidenti catastrofici. Ciò include l'installazione di una protezione antivirus adeguata, un firewall, l'utilizzo di una password principale per il browser per proteggere le password digitate attraverso di esso, l'utilizzo di un modulo a livello di kernel per limitare le azioni delle applicazioni se la sicurezza è molto importante, il download di software solo attraverso canali affidabili e sicuri come i repository ufficiali invece di scaricarli tramite terze parti o canali non sicuri, mantenendo aggiornato il sistema operativo e prestando sempre attenzione alle ultime notizie e tendenze pubblicate in varie reti di notizie Linux. Quindi, in poche parole, Linux non ha bisogno di una protezione antivirus, ma è meglio avere una protezione antivirus per assicurarsi che la sicurezza non sia compromessa.