この記事は問題の完全な概要を主張するものではありません。既に存在するがまだ具体的に解決されていない問題の輪郭のみを概説したいと思います。 説明した保護方法の一部は、現在動作するようにできます。一部は、システムソフトウェアの作成者に強制的に実装する必要があります。
更新何らかの理由で、一部の読者にとって、この記事の一般的な考えは理解できないことが判明したため、明確に記述します:考えは、Linux環境で既知の攻撃(もちろん「攻撃」と呼ぶことができる場合)を使用する特定の例を示すことです。 Linuxは他のシステムよりもある点で安全ではありません。
侵入方法について話すのは意味がありません;有害なソフトウェアは依然としてどのシステムにも漏洩します。 そして、ウイルス対策は役に立ちません。 また、マルウェアがトロイの木馬や害虫であっても、マルウェアの種類については特に掘り下げません。 トロイの木馬は、さまざまなキーロガー、パスワードスティーラー、その他のスパイです。 害虫は文書消しゴムおよびシステム駆逐艦です。 さらに、これをすべて「ウイルス」という言葉で呼びます。 また、システムレベルでの破壊の問題も省略しています。つまり、ウイルスが/ usr / binに侵入できないと想定しています。
オートスタート
したがって、システム内のウイルスは、たとえばlibflashの穴を介して、ダウンロードされたバイナリが起動されました。 生き残るためには、彼はスタートアップで登録する必要があります。 現代のシステムでは、これにはさまざまな方法がありますが、多くの場合、計算が非常に困難です。 各デスクトップ環境(DE)には、DEの起動時にアプリケーションを実行する方法がいくつかあります。 たとえば、KDEには〜/ .kde / envディレクトリがあり、システムの起動時にすべてのファイルが実行されます。〜/ .kde / Autostartディレクトリは同様に機能します (2つのディレクトリには違いがありますが、この記事のフレームワークでは重要ではありません)。 ウイルスを起動するために実行可能なスクリプトファイルをそこに置くだけで十分です。 厄介なオプションは、このディレクトリをスキャンし、起動コマンドを既存のスクリプトに埋め込むことです。
プロセスのリストでウイルスの名前を隠すなどの些細なことについても話しません。 ウイルスは、何でも簡単に装うことができます。
DEツールに加えて、 〜/ .xsessionや〜/ .profile 、または.zshrcなどのさまざまな起動スクリプトが残ります。 大きな欲求があれば、おそらく破壊的なゴミを〜/ .fonts.confに入れることさえできます。
どうやって戦うの? まさか。 信頼できるコントロールはありませんが、スクリプトの混乱に煩わされる人はいません(ソフトウェアの作者による)。 偏執的な解決策は、重要なユーザー構成ファイルからハッシュを読み取り、ユーザーが変更できない場所にハッシュを保存することです。 次に、起動時にすべてのハッシュを確認します。
変装
ウイルスは、スタートアップファイルに自分自身を登録するだけでなく、構成ファイルに多数の有用な情報を追加することができます。 最も魅力的な目標の1つは、PATH環境変数です。 この変数には、実行可能プログラムを見つけるために試行されるパスのリストが格納されていることを思い出してください。 通常、PATH変数は次のようになります: / usr / bin:/ bin 、ウイルスは〜/ bin:/ usr / bin:/ binのように変更できます。 これは、フルパスを指定せずに入力されたプログラムが最初にユーザーディレクトリで検索され、次にシステムでのみ検索されるという事実に満ちています。 また、ユーザーディレクトリには、 sshまたはsudoと呼ばれる慎重に作成されたウイルスプログラムがあります 。 ユーザーは何も気づかないため、ユーザーが入力した重要なデータは安全にマージされます。
解決策? プログラムを起動するときは、フルパスのみを使用してください。 ただし、これは保証された保護ではありません。 より堅牢なソリューションは、重要な環境変数への変更へのアクセスを制限することです。
レッキング
ここのすべては完全に悲しいです。 原則として、最大の損傷を引き起こすには、1つのコマンド-rm -rf〜/で十分です。 その後、すべてのデータに別れを告げることができます。
また、一部のWindowsウイルスが行うように、ホームディレクトリ内のすべてのデータの暗号化を妨げるものはありません。
たとえば、ブラウザ構成でごみを処方するなど、より小さな妨害行為も可能です(たとえば、ホームページを置き換える)。 これを集中的に処理することは不可能です。ここでは、アプリケーションの作成者が理解する必要があります。
疑いもなく、アプリケーションプロファイルの標準の場所は、攻撃者の生活を楽にします。 たとえば、ほとんどの場合、Operaプロファイルは〜/ .operaディレクトリにあります。 そのため、標準プロファイルパスを変更することで部分的に保存できます。多くのアプリケーションでこれを行うことができます。
結論
適切なセキュリティには、かなりの量の妄想が必要です。 ウイルスの寿命を著しく複雑にすることは、実行中のアプリケーションの制御システムに役立ちます(実行可能ファイルとスクリプトのハッシュの比較)。 ディスクの「キャッチ」を禁止するには、この同じディスクへの書き込みを禁止できます。 ただし、構成ファイルを変更する何らかの方法を提供する必要があります。
説明されている方法とオプションは、問題について考えようとするときに思い浮かぶものです。 確かに、他の非常に洗練された方法( 〜/ .fonts.confの使用など)がありますが、これで十分です。 ここに、システムソフトウェアを含むソフトウェアのメーカーだけが、このような原始的な家庭のセキュリティの問題についてあまり考えていません。 そしてそれは必要でしょう。