Ubuntu ja haittaohjelmat!

[Suutari]

Koko ajan näkee tälläkin palstalla epäilyjä viruksista, troijista yms. haittaohjelmista! Itselläni ei ole ollut mitään ongelmaa ko. asian kanssa ja nyt haluaisinkin tietää, että onko jollain todella toimivaa virusta yms. Ubuntuun? EPÄILEN! Ja haluan siis kohdentaa näihin kotikoneisiin! Toimivan ja leviävän haittaohjelman saanut laittakoot, millä tavalla kone saastui ja miten ko. ohjelma levisi.... Eipä taida tulla ainuttakaan vastausta, mutta toivotaan, että tämä viestiketju on monelle rohkaisu siirtyä Ubuntun käyttäjäksi! Ja Linux "guruille" kysymys, että onko Linux koneisiin mahdollista, edes teoriassa saada leviävä haittaohjelma, siis kotikoneissa?

[Storck]

Hyppäsit siis niiden muiden kelkkaan   

[Suutari]

No tavallaan joo ... Siis tarkoitukseni on lähinnä antaa kuva Ubuntun ja muiden Linux pohjaisten käyttiksien turvallisuudesta! Monella tuntuu olevan epäilyjä, koska windowsilla on totuttu pyörittämään haittaohjelmien poisto-ohjelmia ja sitten, kun siirrytään Linux käyttiksiin on epätietoisuus suuri siitä, että onko konetta turvallinen käyttää ilman viruksentorjuntaohjelmaa! Ja siis yritän vaan tällä tavalla todistaa skeptisimmille käyttäjille, että haittaohjelmia ei todellisuudessa ole, ainakaan kotikoneisiin! Kuten edellä mainitsin, niin itselläni ei ole asian kanssa mitään ongelmaa ja surffailen surutta Ubuntulla, enkä ole jättänyt vielä ainuttakaan sivua avaamatta siinä pelossa, että koneeseen tulis jotain "pöpöjä"

[Jakke77]

juu ei ole kyllä tullut vastaan yhtään toimivaa virusta (tai sitten se toimii mutten tiedä) vastaan, olen kyllä muutaman viruksen löytänyt koneestani avastin avulla mutta ne on olleet kaikki joitain windows-pöpöjä. uskosin kuitenkin että joskus ei ehkä tänään mutta huomenna joku kuitenkin (rumasana) tekee myös linuxille viruksen mikä tekee tästä toimimattoman.

[Ilokaasu]

Kannattaa lukea tämän foorumin virus/haittaohjelmaketjuja ja katsoa käyttäjän Janne vastaukset. Niistä pitäisi aika hyvin saada selville miten asia on

[Tuxer]

"guruille" kysymys, että onko Linux koneisiin mahdollista, edes teoriassa saada leviävä haittaohjelma, siis kotikoneissa?

Guru en ole mutta sen tiedän että mikään ei suojele käyttöjärjestelmää käyttäjiltä. Ihmiset asentavat useimmat haittaohjelmat ihan itse (jonkun kivan sovelluksen lisänä). Tätä vastaan ei käyttäjärjestelmä voi suojautua.

[MikkoJP]

Eli muistutettakoon, että haittaohjelmat eivät leviä itsekseen. Haittaohjelmat ovat ohjelmia, jotka tekevät jotain muuta, kuin mitä ohjelman asentanut käyttäjä on kuvitellut.

Tällaisen ohjelman laatiminen on suhteellisen triviaalia -- siltä suojaa lähinnä se, että Ubuntuun paketteja tekevät yhteisön jäsenet toivon mukaan tutkailevat ohjelmakoodia sen verran, ettei siellä ole mitään hämärää.

Haittaohjelmia koneelleen saa siis niitä asentamalla. Virukset ovat haittaohjelmia, mutta kaikki haittaohjelmat eivät ole viruksia.

Windows-puolellahan ihmiset asentelevat ihan vapaaehtoisesti näitä näytönsäästäjiä yms. ohjelmia, jotka sisältävät myös ylimääräistä haittakoodia. Mikään ei estä tekemästä samoin Linux-puolella.

[Toni Alenius]

Linux "guruille" kysymys, että onko Linux koneisiin mahdollista, edes teoriassa saada leviävä haittaohjelma, siis kotikoneissa?

On, mutta työstä tulee hankalampaa kuin Windows -virusten tekemisestä, johtuen tiukemmista oikeuskäytännöistä. (käyttäjäryhmät, eri kansioiden ja tiedostojen luku, suoritus- ja kirjoitusoikeudet jne.)

[Sysi]

Kun tulee sata päivitystä kuussa, niin ei pelkää viruksia, niitä vastaanhan ne on. Ainakin osa.
Kun ei lataile hämäriä ohjelmia asennussovelluksineen  ympäri nettiä, ei saa yhtä helposti viruksia. (Tonin tuttaville  )

[pttk]

En ole minäkään törmännyt, mutta sellaisia on ollut että win on saastunut samalla koneella. Yksi esimerkki.

                                   http://forum.ubuntu-fi.org/index.php?topic=19356.0

Eihän se koneella olevalle Ubuntulle mitään voi kuitenkaan suorittaa, vaikka siellä näkyykin.  Mutta wintoosan saa kyllä ihan tilttiin.

[rikonen]

Haittaohjelmista meillä ei ole havaintoa, olemme käyttäneet Ubuntua 3-4 koneessa noin vuoden ajan. 7.04 ja 7.10 -asennuksista olen kuitenkin törmänyt useamman kerran syslogin outoon virheilmoitukseen "Failure registering capabilities with primary security module." MD5 -summa näyttää että imagea ei olisi peukaloitu.  Meillä virheilmoitus löytyy kaikista koneista, käyttiksen uudelleenasennus ei poista sitä.

Kokemus tietoturva-asioista pistää miettimään mistä tuo johtuu; onkohan käyttiksestä tarkoituksella joitain ominaisuuksia disabloitu, esim. winukan tietoturvaa on alennettu jenkkilän ulkopuolelle toimitettavissa versioissa.

[MikkoJP]

https://bugs.launchpad.net/ubuntu/+bug/163616

This is a harmless (though annoying) warning. The "capabilities" functions are basically already loaded internally by AppArmor, so it's not possible to load it the 2nd time. If you were for some reason not using AppArmor (and not using SELinux) then having raw capabilities loaded would be what you want. With either of the other LSM front-ends running (AppArmor or SELinux) it is redundant to have the capabilities front-end running.

[rikonen]

Noita juttuja on nähty. Tietäjiä on kaikenlaisia, kukaan ei ole esittänyt vahvaa todistusta sen harmittomuudesta. Faktaa on, että sen tietoturvassa on ongelmaa. Luulisi sen olevan helppo korjata kun se on siellä niin kauan ollut, on Hardyssä myös.

[lompolo]

Noita juttuja on nähty. Tietäjiä on kaikenlaisia, kukaan ei ole esittänyt vahvaa todistusta sen harmittomuudesta. Faktaa on, että sen tietoturvassa on ongelmaa. Luulisi sen olevan helppo korjata kun se on siellä niin kauan ollut, on Hardyssä myös.

Tämä tietäjä jota lainattiin on kuitenkin arvostettu turvallisuusasiantuntija. Jos on oikeasti jotain faktaa asiaan liittyvästä turvallisuusongelmista, lukisin mielelläni.

[rikonen]

Tämä tietäjä jota lainattiin on kuitenkin arvostettu turvallisuusasiantuntija. Jos on oikeasti jotain faktaa asiaan liittyvästä turvallisuusongelmista, lukisin mielelläni.

En ryhdy elvistelemään, mutta todettakoon, että teen työkseni laitteistoja jossa on softaa ja kaikkea on nähty. En ole sinisilmäinen enään. Käytännössä, jokainen on oman laitteen turvallisusasiantuntija ja arvioi riskit ohjelmiston suhteen olemassa olevan tiedon pohjalta. Luotettavin tieto on sellaista jonka pystyy jotenkin varmentamaan, tässä minun havainnot:

1) Katso System Log, sieltä löytyy virheilmoitus:
Failure registering capabilities with primary security module.
On mahdollista, että security module ei toimi kuten pitäisi, kone voi olla osa boottiverkkoa.

2) Paina check -painiketta update manager:ista kun olet ilman verkkoyhteyttä, saat seuraavan virheilmoituksen:
Failed to run /usr/sbin/synaptic '--hide-main-window' '--non-interactive' '--parent-window-id' '52428803' '--update-at-startup' as user root.
Wrong password.
Tuokin virheilmoitus viittaa ongelmiin security modulen kanssa (vika ei ollut salasanassa).

Lisäksi, verkkoyhteyden ollessa kytkettynä, sain yhden kerran näkyviin valikon josta kävi ilmi että päivityksiä ei ollut authentikoitu. Mistä lie johtunut, mutta en saannut toista kertaa ko. valikkoa näkyviin.

Summa summarum, en ole mitenkään vakuuttunut etteikö näihinkin koneisiin ole takaporttia olemassa, korjaamaton bugi olisi "siisti ratkaisu",  sehän olisi bugi vain.  Takaporttista kiinnostuneiden lista on pitkä; alkaen turvallisuuspalveluista ja päätyen rikollisiin, kaikkea mahtuu siihen väliin. Tietoturvassa pätee nyrkkisääntö; epäile kaikkea, tee pääsy tietoon työlääksi. 

[janne]

jepjep, melkoista pelonlietsontaa täällä taas vaihteeksi...

1) Katso System Log, sieltä löytyy virheilmoitus:
Failure registering capabilities with primary security module.
On mahdollista, että security module ei toimi kuten pitäisi, kone voi olla osa boottiverkkoa.

niin varmasti. sinun tulkintasi on todennäköisemmin oikea, kuin kaverin joka oikeasti tietää tästä kyseisestä tapauksesta. tuossa annetussa quotessa nimenomaan sanottiin, että kyseistä modulia yritetään tietyissä tapauksissa ladata kahdesti eri prosessien toimesta ja toinen kerta epäonnistuu, koska moduli on jo ladattun ja toiminnassa, eikä sitä voi tästä syystä rekisteröidä toista kertaa.

tarkistakaa äkkiä logeista löytyykö sieltä tuollaista ilmoitusta, koska silloin moduli on ladattuna ja se voi tarkoittaa, että kone on osa bottiverkkoa!! eiku...

2) Paina check -painiketta update manager:ista kun olet ilman verkkoyhteyttä, saat seuraavan virheilmoituksen:
Failed to run /usr/sbin/synaptic '--hide-main-window' '--non-interactive' '--parent-window-id' '52428803' '--update-at-startup' as user root.
Wrong password.
Tuokin virheilmoitus viittaa ongelmiin security modulen kanssa (vika ei ollut salasanassa).

no, sinä kun nyt näytät olevan kovempi asiantuntija kuin muut, niin kerro ihmeessä millä tavalla tuo kyseinen virheilmoitus viittaa ongelmiin security modulen kanssa? itse asiassa minua kiinnostaisi kovasti minkä security modulen kanssa niitä ongelmia tuon perusteella mahtaa olla?

Lisäksi, verkkoyhteyden ollessa kytkettynä, sain yhden kerran näkyviin valikon josta kävi ilmi että päivityksiä ei ollut authentikoitu. Mistä lie johtunut, mutta en saannut toista kertaa ko. valikkoa näkyviin.

juu-u, tuollainen ilmoitus tulee välillä, jos vaikuttaa siltä, että käytetyn repostioryn paketit on allekirjoitettu, mutta allekirjoituksen varmentaminen ei ole mahdollista. taitaa tulla silloinkin, kun paketteja ei ole allekirjoitettu.

Summa summarum, en ole mitenkään vakuuttunut etteikö näihinkin koneisiin ole takaporttia olemassa, korjaamaton bugi olisi "siisti ratkaisu",  sehän olisi bugi vain.

juu, kyllähän kaikki on mahdollista. jotkut jutut vaan epätodennäköisempiä kuin toiset. olihan tuossa äskettäin ongelmia ssl-paketin ja sen avulla luotujen avainten kanssakin. silti “given enough eyeballs, all bugs are shallow.” ja kun ongelma löytyy, distrojen koneistot reagoivat niihin hyvin pikaisesti.

Takaporttista kiinnostuneiden lista on pitkä; alkaen turvallisuuspalveluista ja päätyen rikollisiin, kaikkea mahtuu siihen väliin.

totta kyllä.

Tietoturvassa pätee nyrkkisääntö; epäile kaikkea, tee pääsy tietoon työlääksi. 

melkoine nyrkkisääntö jos se sisältää FUDin levittäisen.

[Ilokaasu]

"janne on puhunut"

[metusalem]

AppArmor on toiminut   UGH !

Siitähän on ohjeita vaikka tuolla http://myy.helia.fi/~a0402587/apparmor/
tai Wikissä

[rikonen]

1) Katso System Log, sieltä löytyy virheilmoitus:
Failure registering capabilities with primary security module.
On mahdollista, että security module ei toimi kuten pitäisi, kone voi olla osa boottiverkkoa.

niin varmasti. sinun tulkintasi on todennäköisemmin oikea, kuin kaverin joka oikeasti tietää tästä kyseisestä tapauksesta. tuossa annetussa quotessa nimenomaan sanottiin, että kyseistä modulia yritetään tietyissä tapauksissa ladata kahdesti eri prosessien toimesta ja toinen kerta epäonnistuu, koska moduli on jo ladattun ja toiminnassa, eikä sitä voi tästä syystä rekisteröidä toista kertaa.

En ryhdy väittelemään, kertokaa ennemmin muille miten tuon vian saa pois?

2) Paina check -painiketta update manager:ista kun olet ilman verkkoyhteyttä, saat seuraavan virheilmoituksen:
Failed to run /usr/sbin/synaptic '--hide-main-window' '--non-interactive' '--parent-window-id' '52428803' '--update-at-startup' as user root.
Wrong password.
Tuokin virheilmoitus viittaa ongelmiin security modulen kanssa (vika ei ollut salasanassa).

no, sinä kun nyt näytät olevan kovempi asiantuntija kuin muut, niin kerro ihmeessä millä tavalla tuo kyseinen virheilmoitus viittaa ongelmiin security modulen kanssa? itse asiassa minua kiinnostaisi kovasti minkä security modulen kanssa niitä ongelmia tuon perusteella mahtaa olla?

Jotain outoa siinä on jos oikeata salasanaa väitetään vääräksi. Jossain on bugi.

Lisäksi, verkkoyhteyden ollessa kytkettynä, sain yhden kerran näkyviin valikon josta kävi ilmi että päivityksiä ei ollut authentikoitu. Mistä lie johtunut, mutta en saannut toista kertaa ko. valikkoa näkyviin.

juu-u, tuollainen ilmoitus tulee välillä, jos vaikuttaa siltä, että käytetyn repostioryn paketit on allekirjoitettu, mutta allekirjoituksen varmentaminen ei ole mahdollista. taitaa tulla silloinkin, kun paketteja ei ole allekirjoitettu.

Toivottavasti noin, toiminta ei vain paljoa luottamusta herätä, tuon edellä olevan jälkeen.

Summa summarum, en ole mitenkään vakuuttunut etteikö näihinkin koneisiin ole takaporttia olemassa, korjaamaton bugi olisi "siisti ratkaisu",  sehän olisi bugi vain.

juu, kyllähän kaikki on mahdollista. jotkut jutut vaan epätodennäköisempiä kuin toiset. olihan tuossa äskettäin ongelmia ssl-paketin ja sen avulla luotujen avainten kanssakin. silti “given enough eyeballs, all bugs are shallow.” ja kun ongelma löytyy, distrojen koneistot reagoivat niihin hyvin pikaisesti.

Tiedostettu on. Toivoisi kuitenkin että turvallisuuteen liittyvät bugit korjattaisiin juurtajaksain - nykyinen käytäntö ei vakuuta täysin.

Tietoturvassa pätee nyrkkisääntö; epäile kaikkea, tee pääsy tietoon työlääksi. 

melkoine nyrkkisääntö jos se sisältää FUDin levittäisen.

FUDia tässä ei ole olenkaan. Olen vain erittäin kriittinen näiden vermeiden suhteen. Haluaisin yksinkertaisen ja toimintavarman käyttiksen, sellaisen, joka toimisi useamman vuoden putkeen ilman huolia. Sellaista ei taida vain mistään löytyä, jatkan etsintää...

Omalta osaltani lopetan tämän keskustelun tähän.

[janne]

En ryhdy väittelemään, kertokaa ennemmin muille miten tuon vian saa pois?

ilmeisesti minun olisi pitänyt kääntää tuo koko quote. kyseinen palvelu yritetään käynnistää kahdesti, siltä varalta, että käyttäjä syystä tai toisesta (tai vaikka tietämättään) poistaa apparmorin ja/tai selinuxin käytöstä. tässä tapauksessa kyseinen moduli tulisi nykyisellä järjestelyllä silti ladatuksi.

käytännössä tuo siis tarkoittaa sitä, että järjestelmä on ns. failsafe ja sen poistaminen käytöstä tekisi järjestelmästä potentiaalisesti turvattomamman ja aivan varmasti vähemmän viansietoisen. se ei ole vika vaan ominaisuus.

minä en tosin osaa lunttaamatta neuvoa miten tuo poistettaisiin käytöstä, eikä minulla ole kamalasti motivaatiota opetella huonontamaan ajamaani järjestelmää, joten jos haluat välttämättä ko. virheilmoituksen pois logeista tietoturvan kustannuksella, niin joudut odottelemaan jonkun toisen vastausta tai etsimään sen jostain itse.

Jotain outoa siinä on jos oikeata salasanaa väitetään vääräksi. Jossain on bugi.

veikkaan, että virheilmoitus ei ollut riittävän täsmällinen, mutta en voi tietää, eikä hirveästi edes kiinnosta.

Toivottavasti noin, toiminta ei vain paljoa luottamusta herätä, tuon edellä olevan jälkeen.

juu, yritys saada järjestelmästä mahdollismman turvallinen ja huono virheilmoitus ovat kyllä eritysen epäilyksiä herättäviä.

Tiedostettu on. Toivoisi kuitenkin että turvallisuuteen liittyvät bugit korjattaisiin juurtajaksain - nykyinen käytäntö ei vakuuta täysin.

juu, sitähnä sinä olet toitottanut. oikeasti ainakaan tuo logijutun perusteella turvallisuus ei tunnut sinua juurikaan kiinnostavan, ainakaan yhtä paljoa kuin logien siistiminen.

FUDia tässä ei ole olenkaan. Olen vain erittäin kriittinen näiden vermeiden suhteen.

yrität yllyttää ihmisiä tarkistamaan logista, löytyykö sieltä ilmoitus joka, asiantuntijan raportin mukaan, kertoo modulia yritettävän ladata useaan kertaan jotta se saataisiin päälle joka tilanteessa. analysoit heti perään kuinka tämä sinun mielestäsi tarkoittaa sitä, että kone olisi mahdollisesti osa bottiverkkoa. mitenhän tämä ei ole FUDin levittämistä?

kriittisyys on jotain ihan muuta kuin omien, tuulesta temmattujen, tulkintojen esittämistä todennäköisempinä kuin aiheesta oikeasti tietävien selityksiä.

Haluaisin yksinkertaisen ja toimintavarman käyttiksen, sellaisen, joka toimisi useamman vuoden putkeen ilman huolia. Sellaista ei taida vain mistään löytyä, jatkan etsintää...

niin, kovasti se riippuu  niistä kriteereistä joita järjestelmälle asetaa. yksinkertaisia nykyjärjestelmät tai tulevatkaan eivät enää ole, mutta toimintavarmoja ja luotettavia ne voivat olla. omani olen löytänyt ja toivotan sinulle onnea sinun kriteerisi täyttävän järjestelmän etsinnässä.