Особенности применения антивирусных программ для ОС Linux
Введение
На текущий момент возникает следующая ситуация - все больше компаний внедряют сотрудников и рабочие станции семейства Linux в свою корпоративную структуру сервера и рабочих станций. Это связано с технологическими, финансовыми, лицензионными и рядом других причин. Оснований для утверждения о всеобъемлющем и массовом характере перехода компаний на Linux нет. Во всем мире, а также в большинстве стран СНГ, существует довольно большой процент скептиков, которые с сомнением относятся к целесообразности миграции со ставшей уже привычной для многих операционной среды от компании Microsoft. В том числе, известны случаи и обратной миграции компаний с Linux на операционные системы Windows.
Однако в подавляющем большинстве случаев компании не переносят всю свою ИТ-инфраструктуру на одну рабочую платформу, а стараются использовать различные комбинации, например серверы под управлением Windows, а рабочие станции сотрудников частично обслуживаются в операционных системах Linux и Mac OS. Или, как вариант, CentOS устанавливается на серверах, а ОС Windows или Ubuntu на конечных точках, поскольку, например, некоторое программное обеспечение, необходимое компаниям, не может использоваться в определенных операционных системах. Из-за этой комбинации крупные компании столкнулись с проблемой выбора решения защиты от вирусов, установленной на конечных точках.
1. Антивирусные программные средства и их классификация
Для выявления, удаления и защиты от компьютерных вирусов были разработаны специальные программы, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусами. Текущие антивирусные программы включают функциональные продукты, которые объединяют превентивные, профилактические средства и средства лечения вирусов и восстановления информации.
Спецификация антивирусных программ зависит от их принципа работы: программы-детекторы, программы-доктора, программы-ревизоры, программы-фильтры, программы-вакцины.
Программы-детекторы (обнаружения) гарантируют поиск и обнаружение вирусов во временной памяти и на внешних носителях, а при обнаружении выдают соответствующее сообщение. Существуют многофункциональные и специализированные детекторы.
Многоцелевые детекторы в своей собственной работе применяют проверку неизменяемости файла путем подсчета и сопоставления образца с контрольной суммой. Отсутствие многоцелевых детекторов связано с невозможностью выявления причин повреждения файлов.
Специализированные детекторы выполняют выбор известных вирусов в соответствии с сигнатурой (повторяющийся участок кода). Отсутствие таких детекторов - это неспособность найти все известные вирусы. Детектор, который может обнаруживать несколько вирусов, называется полидетектором.
Программы-доктора, не только обнаруживают зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в начальное состояние. В начале работы программы-доктора находят вирусы в оперативной памяти, уничтожают их, и только потом переходят к "лечению" файлов. Среди программ-докторов выделяют полифаги, т.е. фаги, предназначенные для нахождения и ликвидации большинства вирусов. Если смотреть на, то что всегда появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и необходимо постоянное обновление их версий.
Программы-ревизоры являются одними из самых надежных средств защиты от вирусов. Программы-ревизоры запоминают начальное состояние программ, каталогов и системных областей диска, когда компьютер не заражен вирусом, а затем время от времени или по просьбе пользователя сравнивают текущее состояние с начальным состоянием. Обнаруженные изменения отображаются на видеомониторе. Такие антивирусные программы имеют вполне разработанные алгоритмы, находят скрытые вирусы и могут отличать изменения в версии проверяемой программы от изменений, внесенных вирусом.
Программы-фильтры представляют собой маленькие резидентные программы, предназначенные для нахождения подозрительных операций при работе компьютера, характерных для вирусов. Такими операциями могут являться:
-попытки коррекции файлов с расширениями СОМ и ЕХЕ;
-изменение атрибутов файлов;
-прямая запись на диск по абсолютному адресу;
-запись в загрузочные сектора диска;
-загрузка резидентной программы.
При попытке какой-либо программы совершить указанные операции программа-сторож отправляет пользователю сообщение и предлагает запретить или разрешить соответствующую операцию. Тем не менее они не "лечат" файлы и диски. К недостаткам таких программ относят их "назойливость".
Вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Иммунизатор модифицирует программу или диск, чтобы он не влиял на их работу, и вирус будет считать их инфицированными и из-за этого не будет проникать. В настоящее время иммунизаторы имеют ограниченное применение.
На сегодняшний момент не существует официальной классификации антивирусных средств защиты компьютеров [1].
2. Особенности ОС Linux
Как известно, разработки операционных систем велись еще в 60-х годах XX века, но в силу специфики распространения компьютеров в то время, они не получили всеобщего распространения, оставаясь чисто академическими проектами. Первой системой, вышедшей за стены своего родителя, была Unix, сразу же завоевавшая место в образовательных учреждениях благодаря своей открытой природе. Впоследствии исходные тексты Unix стали коммерческой тайной и были закрыты. Разработчики, желавшие непосредственно ознакомится с принципами функционирования операционных систем, вынуждены были довольствоваться одной теорией. Ситуация изменилась с появлением операционной системы Minix и ее наследницы Linux. Особенностью Minix и Linux являются открытые исходные тексты всей системы. Linux является второй по распространенности системой для компьютеров IBM PC и самой распространенной из открытых систем.
В 1991 году финский студент Линус Торвальдс (Linus Torvalds) создал собственное ядро операционной системы, совместимое по программным интерфейсам с ОС UNIX, получившее название Linux. Ядро Linux в сочетании с набором утилит проекта GNU послужили основой для создания полноценной ОС, сравнимой по возможностям с коммерческими UNIX-системами, а подчас и превосходящей их [2].
В настоящее время ядро операционной системы (далее - ОС) Linux используется повсеместно огромным количеством пользователей на большом количестве аппаратных платформ от встроенных систем до суперкомпьютеров. По своей архитектуре ядро ОС Linux является монолитным - оно целиком загружается в оперативную память во время старта ОС и затем работает в одном адресном пространстве. Как правило, в ядре реализуется основная функциональность, например, планирование процессорного времени, управление памятью и межпроцессным взаимодействием, обработка прерываний, поддержка разнообразных примитивов синхронизации. Изменить набор функций ядра можно путем динамической загрузки модулей или его статической перекомпиляции с другой конфигурацией и/или для другой целевой архитектуры. В обоих случаях модули становятся частью монолитного ядра. Для ядра ОС Linux в виде загружаемых модулей могут быть собраны большинство драйверов устройств, файловых систем, сетевых протоколов, аудиокодеков и т.д. Необходимость в конкретных загружаемых модулях определяется аппаратным обеспечением, а также потребностями конкретных пользователей. На типовых персональных компьютерах может быть загружено несколько десятков или сотен модулей. Общее количество загружаемых модулей, которые поставляются вместе с ядром ОС Linux последних версий, составляет порядка 5 тысяч [3].
3. Компьютерные вирусы и Linux
Если провести опрос среди среднестатистических пользователей персональных компьютеров на тему компьютерных вирусов для MS Windows, то наверняка можно будет получить масса ответов с несколькими примерами из жизни. Если же задать подобный вопрос про Linux, то ответ, скорее всего, будет кратким и сведется либо к категорическому «нет» либо к более честному варианту «не знаю, не интересовался».
Действительно, ситуация с Linux и вирусами довольно неоднозначна, кто-то утверждает, что нет вирусов, кто-то убежден, что они есть. Если смотреть на факты, несколько десятков вирусов перечислены в Wikipedia, которые разработаны специально для того, чтобы навредить системам Linux [4]. Более того, большинство из них были написаны в 2008 году, а в последнее время новых вирусов не зарегистрировано. Поэтому, действительно, по сравнению с огромным количеством вирусов для Windows, для Linux существует очень мало вирусов, что связано с несколькими причинами:
- низкая распространенность самой ОС;
- большое количество дистрибутивов и различия между ними;
- в Linux настоятельно (вплоть до фактического запрета) не рекомендуется работать в системе с правами супер пользователя.
Небольшое (по сравнению с Windows) количество пользователей Linux и большое (опять же по сравнению с Linux) количество дистрибутивов Linux со своим особенностями делают нерентабельным создание вируса для конкретного дистрибутива, так как написание «хорошего» вируса требует финансовых затрат и привязки к низкоуровневым особенностям «жертвы».
Отдельно стоит сказать о запуске вирусов внутри известного эмулятора Wine, который представляет собой программное обеспечение для запуска программ Microsoft Windows. Если создать некий вирус, удаляющий системный файлы, то он сможет запуститься (естественно не сам, а с помощью пользователя или сценария) и нанести определенный ущерб, так как программы под Wine видят файловую систему такой же, как и под Windows.
Но так как «системный диск» Wine находится в каталоге пользователя, то для восстановления работоспособности потребуется только переустановить Wine и нанесен скорее всего будет только «косметический» ущерб. Если же вирус использует для своей маскировки специфические особенности ОС, то он, скорее всего, просто не сможет себя активировать.
Так что, чем изощреннее Windows-вирус, тем меньше угрозы он представляет для Linux. Поэтому бояться Windows-вирусов в Linux пока не стоит, и вряд ли они когда-либо будут представлять настоящую угрозу.
В то же время ни один файл не защищен от действий самого пользователя. Однострочный скрипт может уничтожить все файлы в домашнем каталоге пользователя. Поэтому перед запуском любого скрипта, даже из надежного источника, стоит внимательно изучить его с помощью команды man, если любые действия, выполненные в ней, выглядят подозрительными. В Linux обычно не рекомендуется запускать код, полученный из ненадежных источников, b всегда использовать официальные репозитории. Конечно, в сообществе Linux были прецеденты, где зараженные пакеты попадали в официальные репозитории, но это скорее исключение, чем правило, как в случае с «пиратскими» репозиториями или программным обеспечением Windows.
Вирусы распространяются не только благодаря непродуманным действиям пользователя, но и из-за непреднамеренных ошибок в ПО, однако и здесь Linux-сообщество помогает справиться с проблемами благодаря использованию open-source ПО. Ошибки в открытом ПО быстрее становятся известными и не менее быстро исправляются, так как в распределенном сообщество нельзя утаить информацию об ошибке, как это может сделать крупная корпорация с коммерческим ПО.
Тем не менее, разговоры о вирусной угрозе для Linux не прекращаются, и определенную роль в этом играют сами разработчики антивирусного ПО, которые хотят захватить новый сегмент рынка.
Однако до сих пор их маркетинговая политика была не слишком успешна, так как, во-первых, аудитория Linux-пользователей - это чаще всего люди с опытом IT, а во-вторых, на Linux еще не возникало настоящих вирусных эпидемий, которые обычно и вызывают всплеск интереса к антивирусам.
Еще одна проблема состоит в том, что предлагаемые антивирусные решения для Linux не обладают точным позиционированием на рынке.
Да, они ищут вирусы для Linux, однако большинство вирусов для Linux - это backdoor и rootkit-программы, которые в обычном состоянии не должны выдавать свое присутствие и используются злоумышленниками только для получения доступа к системе, желательно с правами суперпользователя.
И так как они не ведут «активных» боевых действий, то и обнаружить их крайне сложно, потому что «вредоносная» сущность rootkit-программы проявляется только тогда, когда злоумышленник уже получил доступ к системе и нанес ей определенный ущерб [5].
4. Особенности применения антивирусных программ для ОС Linux
Хотя Linux принято считать невосприимчивым к вредоносному ПО, по-прежнему важно иметь антивирусную защиту, отчасти из-за того, что вредоносное ПО Linux все таки существует, даже если оно редко, и частично предотвращает передачу вирусов в более уязвимые операционные системы, такие как Windows и Android.