Linux-вирусы: неприятный сюрприз или сбывшийся прогноз?

Насколько Ваша компания готова к новому поколению вредоносных программ?

Как это ни прискорбно, но прогнозы "Лаборатории Касперского" о возможности возникновения массовых эпидемий вредоносных программ для Linux, полностью оправдались. Последние инциденты, вызванные Интернет-червем Ramen и его клонами, многоплатформенным вирусом Pelf (Lindose) и другими, подтверждают, что эта, казавшаяся неприступной, операционная система также пала жертвой компьютерных вирусов.

Почему Linux?

Современная вирусология определяет три основных требования к конкретной операционной системе или приложению, выполнение которых дает "зеленый свет" для существования в них вредоносных кодов. Во-первых, документированность: для создания вируса его автору необходимо знать максимум подробностей об особенностях работы операционной среды. В обратном случае, написание вируса представляется столь же успешным, сколько разработка летательного аппарата без знания основных принципов аэродинамики. Во-вторых, недостаточная защищенность: наличие брешей в системах безопасности, возможность создания саморазмножающихся и самораспространяющихся объектов. В-третьих, широкая распространенность: практика показывает, что создатели вирусов обращают свое внимание только на те системы, которые пользуются большой популярностью.

До последнего времени Linux не удовлетворял только последнему условию. Сегодня популярность этой ОС значительно возросла и создатели вирусов переключили свое внимание с "традиционных" Windows и Microsoft Office и устремились в новые области компьютерных систем.

Грянул гром - мужик перекрестился. Но было поздно.

Насколько компьютерное сообщество оказалось подготовленным к широкому распространению Linux-вирусов? Мы склонны выделять три группы пользователей, отношение которых к проблеме компьютерной безопасности в целом предопределило их степень готовности к новому вызову:

• компании, имеющие четкую, продуманную политику защиты корпоративных вычислительных систем, которые учитывают возможные угрозы их компьютерной безопасности;
• компании, живущие сегодняшним днем и не заботящиеся о дне завтрашнем;
• компании принципиально не устанавливающие защиту для Linux-узлов, считающие эту операционную систему неуязвимой.

К сожалению, только первая группа оказалась достаточно подготовленной к отражению атак Linux-вирусов, в то время как две другие пали их жертвами. Отсутствие активной позиции в борьбе с вирусами, ориентированной на учет будущих угроз, а также полное пренебрежение правилами информационной безопасности корпоративных систем стали основными причинами появления Linux-вирусов в диком виде.

Вряд ли сегодня у кого-то вызывает сомнение необходимость установки антивирусного ПО на файловых серверах или серверах приложений, работающих под управлением Linux: через них могут беспрепятственно передаваться вредоносные коды для других операционных систем и заражать другие сегменты корпоративных сетей. Беспокойство вызывает другой факт: практически полное отсутствие адекватных систем защиты от вирусов на рабочих станциях Linux. Сторонники такой позиции, полагающиеся на жесткую систему разграничения прав доступа, не учитывают возможность использования вирусами брешей в системах безопасности: с их помощью вредоносные программы могут получить доступ практически к любому ресурсу Linux. В данном случае недостаточно присутствие централизованной антивирусной проверки на уровне сервера, поскольку неучтенные потоки непроверенных данных (файлы из Интернет, мобильные носители информации) могут проходить мимо нее.

Ответ "Лаборатории Касперского"

Прогнозирование возможных направлений развития компьютерных вирусов - один из важнейших приоритетов работы "Лаборатории Касперского", стремящейся предоставлять своим заказчикам адекватную защиту еще до того, как "грянет гром". Именно учет тенденций развития рынка операционных систем и изучение принципов работы Linux позволили экспертам компании сделать неутешительный прогноз и начать разработку соответствующих систем защиты от вирусов. В результате "Лаборатория Касперского" в начале 1999 года первой в мире представила интегрированную систему полномасштабной антивирусной защиты для Linux.

Сегодня Антивирус Касперского™ является самым технологически совершенным антивирусным продуктом для Linux, предоставляющим широкий спектр технологий борьбы с вирусами: антивирусный сканер для проверки мест хранения данных, антивирусный демон для фильтрации данных в масштабе реального времени и антивирусный монитор для перехвата всех используемых файлов. Программа может использоваться на рабочих станциях, файловых серверах и серверах приложений, в том числе почтовых шлюзах Sendmail, Qmail и Postfix. Открытый исходный текст клиентской части Антивируса Касперского позволяет пользователям интегрировать продукт в другие приложения для решения специфических задач. Программа корректно работает с любым дистрибутивом Linux, использующим библиотеку NSS версии 1.* или совместимую с ней. Простой и понятный пользовательский интерфейс сделает процесс установки, конфигурирования и обновления Антивируса Касперского максимально удобным.

Благодаря поддержке широкого спектра форматов исполняемых файлов (ELF, скрипт-программы и т.д.), а также специфических программ-упаковщиков (TAR. TGZ и др.) программа способна защищать от всех типов вредоносных программ, включая те из них, которые созданы специально для Linux. В дополнение к этому в продукт интегрирована уникальная технология распознавания неизвестных вирусов для Linux. Подтверждением ее эффективности является успешное отражение Антивирусом Касперского атак всех модификаций Интернет-червя Ramen (таких как Lion, Adore и др.) без дополнительных обновлений антивирусной базы.

"Лаборатория Касперского" предлагает своим пользователям уникальную загрузочную систему Rescue Kit, предназначенную для восстановления работоспособности компьютера в случае его поражения вирусами. Rescue Kit создает набор загрузочных дискет на базе ядра операционной системы Linux, содержащих предустановленный Антивирус Касперского для Linux. Это дает возможность проводить "чистую загрузку" и проводить сканирование зараженных дисков одновременно всех наиболее популярных файловых систем: FAT (DOS), FAT32 (Windows 95/98/ME), NTFS (Windows NT/2000), HPFS (OS/2), EXT (Linux).

Сегодня Антивирус Касперского для Linux является одним из наиболее распространенных антивирусных продуктов для этой операционной системы. Он используется на тысячах предприятий по всему миру.

Что дальше?

Сегодня Linux стал одним из стандартов для файловых серверов и серверов приложений. Вместе с тем, он завоевывает все большую популярность и в качестве настольной операционной системы, используемой на рабочих местах рядовых пользователей. На наш взгляд, именно это станет причиной еще большего распространения вредоносных кодов для Linux. Во-первых, в большинстве случаев конечные пользователи просто не смогут корректно настроить систему защиты от внешних вторжений. Во-вторых, создатели вирусов смогут в массовом порядке использовать метод социального инжиниринга для проникновения на компьютеры - именно этот метод предопределил широкое распространение таких "громких" Интернет-червей как "LoveLetter" и "Анна Курникова".

Существует и другая опасность для Linux: т.н. многоплатформенные вирусы, т.е. вирусы, способные существовать как в среде Linux, так и, например, Windows. В этом случае, на передний план выходит необходимость тщательно проверять не только собственно Linux-файлы, но и файлы для других ОС.

В целом, основными чертами будущих вирусов для Linux являются:

• использование брешей в системе безопасности
• использование технологий распространения по электронной почте и Интернет
• использование технологии заражения проходящего почтового трафика на уровне сервера
• внедрение систем несанкционированного контроля (backdoor)

Принципы корпоративной политики защиты Linux-узлов

Выход из создавшейся ситуации состоит в проведении жесткой корпоративной политики защиты Linux-узлов, которая включает в себя следующие основные принципы:

• Постоянное отслеживание обнаруженных брешей в системах безопасности используемого дистрибутива Linux и приложений. Для этого мы рекомендуем подписаться на рассылку новостей Вашего поставщика Linux-решений.
• Немедленная инсталляция выпускаемых заплаток к обнаруженным брешам в системе безопасности. Если заплатки недоступны или еще не готовы, то необходимо предпринять временное решение по закрытию обнаруженной бреши.
• Использование и регулярное обновление антивирусного ПО как на рабочих станциях, так и серверах различного назначения.
• Использование межсетевых экранов для предотвращения утечки конфиденциальной информации, происходящей при помощи систем несанкционированного контроля для Linux.
• Обучение рядовых пользователей основам безопасной работы с Linux.

Вы можете приобрести Антивирус Касперского в центральном офисе "Лаборатории Касперского", у официальных партнеров компании или в российских Интернет-магазинах.

Подпишитесь на бесплатную рассылку последних новостей Лаборатории Касперского из мира информационной безопасности ЗДЕСЬ.