1. суть експерименту
2. хід експерименту
3. лікування
4. підсумки експерименту
5. «Ой, а я пароль вводив! ..»
6. висновок

Прийоми соціальної інженерії експлуатують не тільки неуважність, дефіцит знань і відсутність досвіду, але ще й людські слабкості. Саме вони, слабкості, змушують наступати на свідомо небезпечні граблі. Ну і ще надія «авось обійдеться». Однак віруси для GNU / Linux існують не тільки як дозвільні забави або «proof of concept» (докази можливості їх створення). Загрози цілком реальні і діючі.

суть експерименту

Уявімо собі ситуацію: людина перейшла з комерційної ОС на Ubuntu і, звернувшись до пошуковим системам , З чималим натхненням виявив, що полюбився йому комп'ютерна гра доступна і для GNU / Linux. Але ось біда: сайт, що пропонує завантаження, якийсь не дуже офіційний, підозрілий. А пограти хочеться дуже сильно.

Тепер таку ситуацію воспроізведём на практиці. Коротка консультація з любителями стрілялок - знаходимо подібну гру, завантажуємо її в бінарному вигляді (готову статичну збірку) і запускаємо на комп'ютері з Xubuntu 12.04.

хід експерименту

День перший. Стрілялка запустилася і почала працювати. Через сорок хвилин одне з ядер процесора отримало перманентну стовідсоткову навантаження, і охолоджуюча система застогнала жалібно, але в той же час з деяким обуренням. Інших неприємностей не виявилося.

День другий. Включаємо комп'ютер після нічного відпочинку. запускаємо браузер Firefox . У всіх формах (введення пароля, додавання коментарів) курсор тексту блимає, не слухаючись клавіш. Сам собою підставляється набір безглуздих символів.

Відкриваємо емулятор терміналу, щоб виконати команду top і подивитися, який процес пустує. Однак працювати неможливо: той же самий набір символів починає заповнювати віконце, не дозволяючи щось ввести з клавіатури. Тиснемо поєднання Ctrl + C в спробі скасувати поточне дію - секундна пауза - і розмноження нісенітницю триває.

запускаємо браузер Google Chrome . У ньому ніяких ознак вірусної атаки немає. Всі форми функціонують, як то кажуть, в штатному режимі. Не дивно, адже кожна вкладка ізольована в «пісочниці», відгороджена від решти пам'яті.

Перезавантажуємо комп'ютер. Не допомагає. У всіх програмах, де можна друкувати будь-якої текст, з'являється і нескінченно дублюється абракадабра.

лікування

Виходимо з того, що пароль для підвищення привілеїв ми ніде не вводили, вірус його не знає, тому міг окопатися тільки в домашній директорії. Значить, заходимо туди і тиснемо поєднання Ctrl + H, щоб бачити приховані каталоги.

Тепер є два шляхи:

1. вручну знайти і видалити все підозріле, що з'явилося після першого запуску (судячи з дати) сумнівною програми;
2. випиляти взагалі всі приховані папки, імена яких доповнені точкою на початку (ті, які видаляти не можна, залишаться, категорично відмовившись відправлятися в небуття).

Другий шлях більш надійний, оскільки шансів на виживання вірусу не залишає, де б він не сховався. Звичайно, потім доведеться повозитися, адже зникнуть абсолютно всі призначені для користувача настройки , Аж до закладок в браузерах і способу перемикання розкладки. (В ході експерименту використовувався окремий комп'ютер, що не містив чогось цінного, тому був обраний саме такий спосіб лікування.)

Самі файли нехорошою програми, зрозуміло, теж підлягають знищенню.

підсумки експерименту

Користувачів лякають уразливими в додатках, необхідністю регулярно оновлювати софт і всякими аналогічними страшилками. Однак очевидна, що кидається в очі проблема з безпекою чомусь ігнорується. Сформулюємо її так: редагування списку всього автоматично запускається не вимагає підвищення привілеїв. Віруси здатні туди прописуватися, не знаючи пароля, - і потім ніякі перезапуски сеансу їм не страшні.

Додамо сюди ще один фактор: більшість домашніх користувачів, «хом'ячків» і «чайників», не відає про монтування домашньої папки з параметром «noexec» і не збирається в подібні речі заглиблюватися.

Крім того, якщо хлопці з Canonical все ж впровадять в Ubuntu пакети в форматі Click , Що запускаються з домашньої папки, тоді про «noexec» можна буде забути геть.

«Ой, а я пароль вводив! ..»

Припустимо, ви запускали в Ubuntu щось стороннє, помітили дію вірусу не відразу і встигли десь ввести пароль, підвищивши привілеї. Є певна ймовірність, що цей пароль був перехоплений і кудись відправлений. Значить, слід його змінити (після лікування).

Спосіб перший:

1. вводимо в віконці терміналу команду passwd;
2. вводимо спочатку поточний пароль, потім новий, послідовно відповідаючи на запити утиліти.

Спосіб другий: використовуємо графічні засоби. Тобто обходимося без терміналу. Якщо в наявному у вас релізі Ubuntu програма «Користувачі та групи» відсутній, доведеться завчасно встановити пакет gnome-system-tools. Штука корисна, не завадить.

В Xubuntu 12.04. * графічний засіб є «з коробки»: Головне меню - «Система» - «Користувачі та групи». В кінці рядка «Пароль ...» є кнопка «Змінити».

висновок

Подібні експерименти влаштовуються досвідченими людьми і не рекомендовані до повторення новачками. Адже атака може виявитися не простий витівкою, як в описаному випадку. Візьме вірус так і знищить всі документи, фотографії, домашнє відео і інші особисті цінності, які ви не встигли продублювати на знімних накопичувачах і в хмарних сховищах .

Правило занудне, тривіальне, але актуальності не втратило: краще не пробувати софт зі сторонніх сайтів, задовольнятися вмістом тільки офіційних репозиторіїв. Обмежитися доступним в «Центрі додатків». Оскільки небезпеки дійсно цілком реальні.

Автор: vanilinkin, спеціально для xBB.uz, 25.10.2014

Попередні публікації:

Останнє редагування: 2014-10-25 7:37:35

Мітки матеріалу: linux , ubuntu , проблеми програмного забезпечення , віруси , xubuntu , gnu linux , програми , софт , комп'ютерні віруси , безпеку

3 коментарі

Залиште, будь ласка, свій коментар до публікації