Beeinflusst ein Virus oder eine Malware in einem Benutzerkonto oder Gastkonto das gesamte Ubuntu-System?

8

Als ich mit Linux anfing und die Dateistruktur und Zugriffsberechtigungen von Linux-Systemen studierte, formulierte sich in meinem Kopf der Gedanke, dass, solange Sie nur in Ihrem weniger privilegierten oder eingeschränkten Konto arbeiten, keine Viren oder Malware jemals eindringen Ihr Konto wird sich immer auf das gesamte System auswirken. "Es" würde sich auch nicht auf die verschiedenen installierten Anwendungen auswirken, da die Einstellungen und gespeicherten Dokumente ausschließlich in Ihrem Konto gespeichert sind ... oder irre ich mich darin?

Diesbezüglich habe ich Bedenken hinsichtlich des Befehls "sudo" in Ubuntu. Wenn ich jemals sudo mit einem privilegierten Konto unter Verwendung eines Terminals innerhalb eines nicht privilegierten, aber infizierten Benutzers oder Gastkontos verwendet habe, wird eine Malware aus dem Home-Ordner des infizierten Benutzers immer noch auf das gesamte System übertragen und mein Ubuntu-System infiziert?

Außerdem habe ich mit dem Windows-Emulator Wine festgestellt, dass die von mir installierten Anwendungen nicht systemweit sind, sondern in dem Konto lokalisiert sind, das ich bei der Installation verwendet habe. Leider sind die Weinanwendungen Malware-Magnete. Innerhalb einer Woche hat ClamTK mehr als 700 Bedrohungen entdeckt. Sollte ich mir Sorgen machen, dass diese Bedrohungen das gesamte System infizieren?

Vielen Dank im Voraus an diejenigen, die Licht ins Dunkel bringen konnten.

Joseph Domingo Tibi Ensano
quelle

Antworten:

10

Ein Hinweis, bevor ich anfange:
Ich spreche über theoretische Bedrohungen, nicht über tatsächlich vorhandene und weit verbreitete Malware.

Solange Sie ein Konto ohne Administrator- und Sudo-Berechtigung betreiben und es infizieren, indem Sie beispielsweise (manuell oder automatisch hinter Ihrem Rücken, nachdem Sie auf eine Stelle geklickt haben, auf die Sie nicht geklickt haben sollten) ein Malware-Programm in Ihrem Home-Ordner installieren, sollte diese Infektion auf beschränkt bleiben dieses Konto .

Ich sage sollte , weil:

  • Ein Administrator kann die infizierte Datei von seinem Konto aus als Root starten und den Computer auf diese Weise infizieren.

  • Die Malware kann tragbare Geräte (USB-Sticks usw.) infizieren, die vom Benutzer bereitgestellt werden, und sich dann auf anderen Computern oder anderen Benutzerkonten auf demselben Computer verbreiten, wenn Sie sie später mit einem anderen Benutzer bereitstellen.

  • Die Malware kann sich über das Netzwerk ausbreiten, einen anderen Computer in Ihrem LAN infizieren und dann das Administratorkonto infizieren, wenn es das nächste Mal angemeldet wird und eine Verbindung zum anderen infizierten Computer herstellt.

  • Es gibt verschiedene bekannte Möglichkeiten, wie eine Anwendung die Einschränkungen umgehen kann. Dies wird als "Eskalation von Berechtigungen" bezeichnet. Dies bedeutet, dass die Anwendung aufgrund ausgenutzter Softwarefehler, zu zulässiger Dateisystemberechtigungen usw. mit höheren Berechtigungen als zulässig / beabsichtigt ausgeführt wird.

  • Da Ubuntu mit einem Sudo-Timeout> 0s geliefert wird, müssen Sie Ihr Sudo-Passwort nicht innerhalb eines kurzen Zeitraums mehrmals eingeben (standardmäßig 15 Minuten, wenn ich mich recht erinnere?), Um mehrere Befehle als root auszuführen, sondern müssen nur einmal dazu aufgefordert werden für den ersten. Wenn die Malware jetzt eine Datei überschreibt, für die der infizierte Benutzer Schreibzugriff hat (gibt einen Befehl ein, um sich mit sudo als root auszuführen) und Sie die Datei später ohne sudo ausführen, aber innerhalb des Zeitlimits bemerken Sie nicht einmal, dass es eine gibt etwas los mit erhöhten Privilegien.

  • wahrscheinlich mehr ...

Sie sehen, die meisten Chancen, dass die Malware den gesamten Computer infiziert, erfordern Benutzerinteraktion und / oder hängen davon ab, wie streng man seine Konten, Computer und steckbaren Laufwerke getrennt hält.

Die Fehler, die eine Eskalation von Berechtigungen ermöglichen, werden normalerweise schnell behoben, nachdem die Entwickler davon erfahren haben. In der Zeit zwischen der Entdeckung eines Fehlers durch böswillige Hacker und der Veröffentlichung eines Fixes kann neue Malware die Benutzerbeschränkungen umgehen, die den Fehler ausnutzen.


Fazit:

Die meisten Malware-Programme sind wahrscheinlich nicht in der Lage, ihre Berechtigungen zu erhöhen und Root-Zugriff zu erhalten, um Ihren gesamten Computer zu infizieren, es sei denn, Sie gewähren sie manuell, indem Sie Ihr sudo-Kennwort in das falsche Eingabefeld eingeben. Das bedeutet, dass Sie sich ziemlich gut schützen sollten, wenn Sie sich vorsichtig verhalten und über jeden Befehl nachdenken, den Sie zweimal ausführen (insbesondere wenn andere Benutzer Schreibberechtigungen für eine Datei haben, die Sie ausführen möchten).

Es gibt jedoch nie 100% ige Sicherheit, da Malware-Entwickler den Software-Programmierern, die für Fehlerkorrekturen und Sicherheitspatches verantwortlich sind, oft einen Schritt voraus sind.

Byte Commander
quelle
Wie ich wünschte, es gibt hier einen "Gefällt mir" -Button / Link. Vielen Dank.
Joseph Domingo Tibi Ensano
2
@JosephDomingoTibiEnsano: Es gibt einen "Button" zum Akzeptieren und Upvoten! :)
Cl-Netbox
@JosephDomingoTibiEnsano ^Mit den Schaltflächen links können Sie eine Antwort verbessern ( ) und akzeptieren ( Häkchensymbol im grauen Kreis).
Byte Commander
1
Malware konnte nur an der Tastatur schnüffeln, während der Benutzer das
Sudo-