Acompanho um canal de cibersegurança no YouTube e na data de hoje (26/09/21) foi postado um vídeo sobre uma ocorrência no mínimo preocupante; uma variante do ransomware russo rEvil foi encontrada infectando máquinas Linux.
O payload/vetor em questão não se trata de um executável Windows rodando via Wine, mas sim de código nativo, rodando sem necessidade de quaisquer outros programas que garantam a sua execução, o que é motivo de preocupação por mostrar que finalmente os desenvolvedores de ransomware estão focando em diversificar suas estratégias de propagação para além do Windows, e a inclusão do Linux como alvo é algo que pode mudar todo o cenário de cibersegurança.
A forma de ataque não é diferente de outros tipos de infecção por ransomware em máquinas Windows; o usuário contrai o vírus por meio da execução direta via terminal do programa que contém o código malicioso, e em alguns instantes, todo o conteúdo da vítima é criptografado, onde até o momento não há nenhuma forma de reaver os arquivos.
Aqui o vídeo referido, mostrando o funcionamento do ransomware em ambiente controlado, com uma máquina Ubuntu 20.04: https://youtu.be/mc0J5fEuWSM
O fato é que este acontecimento muda drasticamente a forma a qual cibersegurança com Linux será daqui para frente, e é de extrema importância que isso chegue a maior parte possível dos usuários e profissionais, que este tipo de malware está chegando nativamente na plataforma e é extremamente perigoso, principalmente para servidores e máquinas que contenham arquivos de valor singular. Um problema que já nos orgulhamos no passado por não existir em nossa rotina, infelizmente hoje nos bate a porta.
Fica o alerta para toda a comunidade: evitem executar arquivos os quais não sejam de origem certificada e sempre deêm preferência ao repositórios oficiais no ato de baixar novos softwares. O rEvil é um ransomware que já existe há algum tempo, porém ainda não haviam sido relatados casos de infecção em máquinas Linux, o que trás uma certeza dolorosa: este não é nem será o único ransomware feito nativamente para a plataforma, e daqui para frente a tendência é que sejam criados novos e mais sofisticados. Mantenha-se informado!
Na verdade não, um fato que muita, mas muita gente (tanto usuários quanto não usuários de linux) ignora é que isso sempre existiu, então não muda nada
E nem o primeiro
Sim e a única coisa que mudou pra que isso acontecesse é que o usuário linux mediano e iniciante passou a se descuidar com a segurança e apenas isso, antes os apps tinham controle do sistema, hoje vendem a ideia de “sandbox” e sistema inquebrável… Isso passa uma falsa sensação de segurança não me admira se caso o Fedora Silverblue e companhia se tornarem a forma dominante venha a ocorrer ondas massivas de de ataques por ransonwares de 200 anos atrás
Infelizmente ainda existem pessoas que acham que não ou fazem pouco caso; mas agora a situação inevitavelmente vai escalar, já que estamos falando do tipo de malware mais popular, infame e destrutivo da história recente. O importante é fazer essa informação chegar nas pessoas e fazê-las entender que isso é pior do que parece.
Mesmo no linux procuro sempre cuidar para não instalar softwares de origens não oficiais, procuro sempre instalar o Clam AV pois é o único que conheço para o sistema.
Não cheguei a instalar ele ainda depois que instalei o Debian, mas vou fazer isso.
Se existe-se versão para linux com certeza eu compraria um AV pago como o Kaspersky (por exemplo).
As vezes sou reticente até em instalar algumas extenções para o GNOME, normalmente só vou nas mais conhecidas, o que tb não significa estar 100% seguro com relação ao código delas.
Eu também sou muito cuidadoso no Linux, já que não tem muitas opções de antivírus para ele (muitos antivírus comerciais para Linux são soluções pagas, cujas instalações e uso não são nada triviais ou que pararam no tempo lá em 2010).
Procuro criar um usuário limitado para jogos da Steam, itch e Lutris porque embora os seus softwares sejam confiáveis, os jogos em si eu não confio! Essa conta também serve para programas via wine e AppImages
Após criar um usuário secundário limitado, configuro as permissões da pasta do usuário principal como “Sem acesso” para Grupo e Outros (o Ubuntu 21.04, Manjaro KDE atual e algumas outras distros já estão configuradas assim), evitando que malwares executados de forma limitada em outra conta não tenha acesso à conta principal.
Evito ao máximo instalar softwares em que não confio a origem e nem costumo adicionar repositórios a esmo. Pelo menos os sandboxings como snaps e flatpaks eu posso controlar até onde eles acessam, mas mesmo assim sou meio cabreiro com alguns apps do Flathub (deve ser porque não descobri ainda como é feita a curadoria dos apps lá).
A substancial diferença de distros Linux, like-unix ou Unix em relação ao windows são que elas já nativamente preveem um cenário de insegurança. É “impossível” ter o mesmo padrão de nenhuma segurança de uma instalação windows numa instalação Linux, para abrir as portas é preciso “tomar uma atitude” e, portanto, ao menos em teoria, está sabendo o que está fazendo e tornando o sistema mais vulnerável num cenário conhecido.
Fazer o código rodar é a coisa mais mamão com açúcar. Alguém “perder o tempo” em fazer isto é algo óbvio. Preocupar-me-ia caso fosse algo que não dependesse de uma outra ação, ou invadisse um repositório oficial. Não é o caso.
Para mim, estão fazendo tempestade num copo d’água. Qual a novidade, de fato? Tem alguma?
Provavelmente o OP deve ter crescido ouvindo de usuários non sense de Linux e tecnologias que o pinguim não pega vírus. De certa forma, segurança nas distros Linux é alta, tiro isso pelo AppArmor, porém dizer que é impenetrável e nunca jamais existiu um código malicioso é algo totalmente errôneo…
Eu penso que, apesar do povo em geral tentar passar a impressão de que o Linux é inacessível por malwares, qualquer pessoa que tenha bom senso (se bem que hoje em dia falta isso a rodo) não vai se arriscar a executar um software desconhecido sem antes verificar a origem. Eu, ao menos, procuro fazer isso pra não ter problemas além de usar o bom e velho backup em um dispositivo separado do meu PC.
Eu creio que o que prejudica a disseminação maior de malwares em Linux seja o fato de, em sua grande maioria, os softwares serem open source pois qualquer um que entenda de programação, saiba analisar um código fonte e tenha uma boa ética moral, vai perceber algo de errado com o código de um determinado software e vai avisar o resto da comunidade seja em repositórios oficiais da distro ou ate mesmo no próprio GitHub. Bom, isso teoricamente falando.
O que mais compromete o Linux como um todo são os próprios usuários. É louvável a atitude de algumas distros em tornar sua usabilidade mais user friendly, mas isso não tira do usuario a necessidade de obter conhecimentos básicos sobre o que esta usando e como deveria usar de forma correta. Pois, assim como o uso de uma arma de fogo requer conhecimento prévio pra não ocorrerem acidentes, da mesma forma podemos encarar a tecnologia nos dias atuais.
Em resumo: ainda que seja um clichê, o melhor antivírus pra qualquer sistema operacional continua sendo o próprio usuário.
Também achei o Texto um pouco dramático, ransomware para Linux não é nenhuma novidade, pior vilão é usuário que executa qualquer coisa baixada da internet com a senha do root ou não configura um firewall no computador/servidor já que maioria das infecções por ransomware ocorre primeiro por um trojan que baixar executáveis (vírus) necessários para o SO compatível.
Ransomwares para GNU/Linux existem faz muito tempo e continuarão a existir. Contudo, a chance de ser infectado ao fazer uma utilização típica das distros mais comuns, recorrendo apenas aos repositórios oficiais e Snaps/Flatpaks (também nos canais oficiais), tende a zero.
Não uso antivírus no meu Debian e não vejo razão para usar. Nem recomendo antivírus para GNU/Linux a outras pessoas. O contexto é muito diferente do Windows.
A segurança no Linux desktop é muito mais resultado cultural que técnico, o usuário Linux costuma estar mais ciente do que é seguro ou não.
Curiosamente o ambiente desktop linux está até um pouco atrasado nas tendências de segurança.
A questão é que estas tecnologias geralmente são focadas em dar mais controle refinado ao usuário, mas geralmente o usuário comum é mais o tipo de pessoa que precisaria de um software que dissesse “nananinanão rapazinho, isso você não vai fazer, é uma brecha de segurança”.
No fato de que Wayland ainda precisa se tornar unânime e packagers amigáveis com o usuário tais como Flatpak estão longe de aplicar isolamento rigoroso, quase a totalidade dos pacotes Flatpak não estão realmente isolados e a boa parte de usuários por ai rodando Xorg tem espaço para fácilmente um software keylogger ler o teclado em quase qualquer lugar, o mais preocupante deles, alguns lockscreens que não se deram ao trabalho de recorrer a SECOMP.
E isso é meio que o mais básico, existem vários pequenos detalhes aqui e ali, mas no geral tem muita superfície de ataque que poderia ser coberta, alguns problemas dizem respeito a automatização de tecnologias que já estão ai, outras, em escolher defaults pensando em seguraça out of box. Outro exemplo… Nenhuma distro que eu saiba usa LUKS em conjunto com TPM e poucas realmente lidam bem com secure boot de forma que um leigo não saia queimado no processo.
Não há problema em adotar uma versão antiga, desde que acompanhe e banque o desenvolvimento de atualizações de segurança.
Se GNU/Linux fosse inseguro, o que teria de golpe volumoso não está no gibi.
Por esse motivo eu digo que o que salva o usuário Linux é o bom senso e conhecimento, somos criteriosos com o que instalamos e usamos e ficamos de olho nos nossos sistemas. Se não fosse isso seria um caos.
Tudo que o root instala tem liberdade total, instalamos quase tudo com root quando até apps que precisam de privilégio poderiam ser instalados sem o root se envolver, nenhum controle quase do que pode escrever onde, usar que funcionalidades do sistema, etc… Nenhum alerta de que um software de backup vai fazer papel de keylogger ou escrever na partição raiz… etc
Mas um dos princípios de filosofia é a ampla liberdade, de fazer o que quiser com código, inclusive apagar todo o sistema com uma linha de código. Por que o desenvolvedor iria querer isto? Deve ser raro, a tendência é nunca querer, mas se precisar e achar que isto é uma decisão razoável de projeto, ele pode fazer.
Sabendo o que você quer fazer, por algum motivo específico.
A questão da liberdade total, neste caso, vem com responsabilidade. E o modo root é a exceção, mesmo numa distro que queira ser a mais amigável possível.
Esse não foi o primeiro e nem vai ser o último.