[FUG-BR] RES: anti-vírus Clamav

[Renato Frederick]

Senhores,

Ignorando o fato de vírus que se aproveitam de programas com problemas,
analisando o sistema operacional, a possibilidade de 'fulano' contrair um
vírus rodando BSD como root, é a mesma do 'fulano' rodando Windows XP
Professional como administrador local.

Se os 'fulanos' clicarem em um .exe, ou em um binário compilado para o BSD e
este possuir código destrutivo, ambos irão destruir todo o sistema
operacional, indiferente se é Windows/Linux/MAC/BSD. 
Houve uma ameaça a segurança, houve o meio para que ela se propagasse(o
clique do fulano) e a condição(acesso administrativo).

A grande questão é que a até alguns anos o conceito de usuário de desktop
Windows era administrador. E adicione a isto programas com furos, como
Internet Explorer, Mozilla(sim, ele também tem falhas!), Outlook, Office..
etc. ambiente perfeito para o problema.

Agora é claro e evidente que é muito mais fácil o programa líder de mercado
possuir liderança de infecções, os criadores de vírus terão menos trabalho
em criar um .EXE anexado a um email do que compilar um binário para FreeBSD
7.0 AMD64 ou um binário universal com bibliotecas embutidas para
Linux/BSD/Xenix/SCO.

A MS com o Windows Vista tentou diminuir isto colocando o controle de
acesso(MUAC),que é o que já existe no MACOS e seria o mesmo no mundo UNIX ao
"sudo".
Claro que os usuários reclamaram e o MUAC acaba sendo desligado,
ironicamente, no mundo MAC e UNIX, todos usam o sudo.

Com certeza se um software muito usado tem furos de segurança, haverá um
time de criminosos para aproveitar a brecha e criar uma ameaça, porém estes
criminosos não são idiotas e não perderão seu tempo para explorar um furo em
que as premissas sejam irrisórias ou raras. E este é o caso do mundo UNIX, a
premissa de usuário root é rara, a premissa de popularidade é baixa e por ai
vai.

Considero exploit um vírus e há dezenas deles para apache+php.. então, um
exploit que aproveita uma falha do php+apache, que consegue se instalar como
um executável no /tmp e com isto usar 100% de CPU é um vírus.. ele só não
vai corromper todo o sistema porque o apache roda com conta não
privilegiada. Da mesma maneira que o ideal, para o mundo IIS+MS seria criar
um app pool com usuário limitado, não como network service.

Enfim, acho que devemos analisar tecnicamente o que é um vírus e como ele se
instala/propaga para aí sim acabar com estes pré-conceitos de que "Linux não
tem vírus, Windows tem vírus".. isto é tão chato e flamewar quanto "o meu é
melhor que o seu".




> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
> nome de Joao Rocha Braga Filho
> Enviada em: quarta-feira, 11 de fevereiro de 2009 13:04
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] anti-vírus Clamav
> 
> 2009/2/11 Vladymir Bezerra <vlad.bezerra em gmail.com>:
> > Minha intenção com esse post foi simplesmente desmistificar a idéia
> > de que não existem/comportam viruses para unixes. Como disse
> > anteriormente a incidência é, digamos, irrelevante. No flames.
> 
> Uma grande diferença, que dificulta em MUITO a existência de vírus e
> outros malwares nos Unixs, é como os desenvolvedores e mantenedores
> de versões de sistemas, de programas etc, encaram o desenvolvimento
> e os recursos que vão implementar. Em geral são muito mais
> conseqüentes,
> pensam nas conseqüências, antes de implementarem qualquer coisa.  É
> esta seriedade de trabalho que faz com que os malwares sejam
> praticamente inexistentes nos Unix.
> 
> Um certo sistema não encarava da mesma maneira, e atualmente ainda
> sofrem para desenvolver segurança, mas ainda estão apredendo e
> penando com as coisas que já fizeram antes de forma irresponsável.
> Um exemplo foi o ano de 2001 que foi um verdadeiro inferno para este
> sistema, gerando o e-mail de 14 de Janeiro de 2002, enviado a todos os
> funcionários, pedindo a mudança de enfoque, de facilidade de uso para
> segurança. Este e-mail é encarado por alguns como atitude desesperada,
> por outros como hipocrisia, por outros como o primeiro passo de uma
> jornada MUITO longa de um caminho que se desviaram a mais de uma
> década antes. Eu vejo como um misto disto tudo.
> 
> Um exemplo clássico era o boato chamado "Good News" que circulava no
> início da década de 90, que falava que se abrisse um e-mail com o
> título
> de Good News o seu computador seria infectado por um vírus. Ou seja,
> o conceito de vírus se espalhar por e-mail já existia, mesmo como
> piada,
> mas esta empresa implementou no seu sistema lançado em 24/08/1995
> as ferramentas para que isto se tornasse verdade. O programa de e-mail
> que veio com este sistema, quando recebia como anexo uma imagem,
> ele a abria, quando era um documento abria o editor de texto, e quando
> era um programa executável... Sim... Parece muita ingenuidade.
> 
> 
> João Rocha.
> 
> 
> 
> 
> >
> > []s
> >
> > 2009/2/11 irado furioso com tudo <irado em vfemail.net>
> >
> >> Em Tue, 10 Feb 2009 20:53:37 -0300
> >> Vladymir Bezerra <vlad.bezerra em gmail.com>, conhecido consumidor de
> >> drogas (BigMac's com Coke) escreveu:
> >>
> >> > Sabemos que a incidência de virus é de rara a nula, mas dizer que
> não
> >> > comportam virus já
> >> > não está de acordo com a realidade.
> >>
> >> contudo, são necessárias condições basicas USUALMENTE não
> encontradas,
> >> se o Admin for alguém que se preocupe com as coisas; não estar como
> >> ROOT é uma delas, mas não a única. Destaco:
> >>
> >> / quote
> >> "A few years ago Tom Duff created [...]. When the
> >> program was executed, it searched the current directory,
> >> subdirectories, /bin, /usr/bin for writable, uninfected files and
> then
> >> infected them if there was enough space."
> >> / unquote
> >>
> >> embora não sendo impossível ACREDITO que seria bastante dificil a
> >> execução dessa ação (descrita) se vc não for root, unico que tem
> acesso
> >> a todo o sistema. Isso NÃO implica que o usuário convencional esteja
> >> livre de alguma praga.
> >>
> >> o (primeiro) link nos mostra a seguir os "binary executables", que
> não
> >> desmente o que já disse, depois discorre sobre o ELF; novamente
> >> insisto: seria necessário ou que o root cometesse ações inseguras ou
> >> então que, por exemplo, um repositório de atualização estivesse
> >> previamente "contaminado". Claro, isso NÃO É impossivel, há um ou
> dois
> >> anos tivemos isso acontecendo dentro da comunidade Debian (e foi
> ação
> >> insegura do(s) root(s) dos servidores containados).
> >>
> >> O artigo finaliza:
> >>
> >> /quote
> >> How to spread?
> >> As stated earlier, it is one thing to write a virus, it is another
> to
> >> deploy it: seed the infection, and have it spread. A channel (or a
> >> mechanism) used by virus to spread is called a vector. There is no
> >> dearth of potential vectors on Unix (for example, buffer overflow
> >> vulnerabilities).
> >> /unquote
> >>
> >> então aqui cabe o destaque - ultima frase: "Não há falta de vetores
> >> potenciais no Unix ( por exemplo vulnerabilidades de estouro de
> pilha").
> >> Acontece que (acho que estou em loop) isso implicaria em programa
> >> malicioso que buscasse/utilizasse essa vulnerabilidade, onde
> voltamos
> >> (aqui o loop) ou a atitudes inseguras do adminstrador ou a
> contaminação
> >> dos servidores de onde teriam vindo esses programas maliciosos.
> >>
> >> Então IMHO, mesmo existindo viruses/programas maliciosos para Unix,
> >> estes são rarissimos, quase curiosidade de laboratório e, dadas as
> >> caracteristicas do SO, praticamente impossivel sua disseminação
> >> descontrolada.
> >>
> >> de qualquer forma, seguro morreu de velho e cautela e caldo de
> galinha
> >> não fazem mal a ninguém.
> >>
> >> ps: embora tenha lido o segundo link, não me detive a comenta-lo
> porque
> >> uma frase lá nos remete a toda essa peroração (acima, novo loop):
> >>
> >> "This document describes how to write parasitic file viruses
> infecting
> >> ELF executables."
> >>
> >>
> >>
> >> é mais ou menos como uma conferencia de pseudo-hacker's que assisti
> de
> >> certa feita, em que um jovem mostrava como assumir a personalidade
> de
> >> outro usuário sem usar o "su -"; o detalhe é que ele PRECISAVA estar
> >> como root, na ocasião, para poder alterar alguns scripts. Risos.
> >> Encontra-se de tudo, no mundo.
> >>
> >> as empresas que produzem viruses - err.. sorry, anti-viruses -
> >> adorariam tivessemos pragas similares no mundo *nix como se tem em
> >> outra plataforma. Se isso fosse REALMENTE possivel, já o teriam
> feito,
> >> com MUITO alarde, uma vez que a base fundamental em servidores,
> aqueles
> >> que realmente importam, ou são *nix ou são mainframes. Pergunte ao
> seu
> >> banco.
> >>
> >> --
> >>  saudações,
> >>  irado furioso com tudo
> >>  Linux User 179402/FreeBSD BSD50853/FUG-BR 154
> >>  Não uso drogas - 100% Miko$hit-free
> >> O marido enganado é um homem que se engana a respeito da mulher que
> o
> >> engana.
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> >
> >
> > --
> > Webpage:
> > http://vlad.bezerra.googlepages.com
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> 
> 
> 
> --
> "Sempre se apanha mais com as menores besteiras. Experiência própria."
> 
> goffredo em gmail.com
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd