Moet Linux een anti-virus draaien? Naar aanleiding van een vorige post van mij over de installatie van Sophos antivirus voor Linux, werd daar volgende de volgende vraag gesteld: Ik heb Linux nu 2 jaar,in de cursus die ik destijds volgde is volgens de leraar geen antivirus nodig bij Ubuntu 14.04 LTS. Nu vraag ik me af of er toch een anti-virus op moet? Het wel of niet draaien van een anti-virus onder Linux is al het toneel geweest van menig artikel. Om voor jezelf te kunnen beslissen of je wel of niet een anti-virus zal draaien op je box, moet je natuurlijk over de nodige feiten beschikken, die je toelaten je keuze te ondersteunen.
Wat is malware? We zijn al lang voorbij de faze waar een virus een klein programma was dat via een floppy disc (wie gebruikt deze nu nog) op je PC geïnstalleerd werd. De aanvallen op je systeem zijn vandaag van een heel ander caliber.
Malware is een overkoe pelende term voor “kwaada ardige software .” Dit is software die speciaal ontworp en is om toegang te krijgen tot en beschadi gen aan te brengen aan een compute r zonder medewe ten van de eigenaar .
Er zijn verschillende soorten malware zoals spyware, keyloggers, klassieke
virussen, wormen, of eender welke soort van kwaadaardige code die een computer infiltreert. In het algemeen wordt software als malware aangeduid wanneer men de intentie van de maker als norm hanteert eerder dan de werkelijke functies. De stijging van het aantal malware toepassingen is vooral te wijten aan de verleiding voor de georganiseerde cyber crimininelen voor het vele geld dat kan worden gemaakt via het internet. Malware werd oorspronkelijk geschreven als kleine experimenten en kwajongenstreken, maar leidde uiteindelijk tot vandalisme en vernieling van aangevallen machines. Vandaag de dag is veel malware enkel gemaakt voor winst door gedwongen reclame (adware), het stelen van gevoelige informatie (spyware), het verspreiden van e-mail spam of kinderporno (zombie-computers), of om geld af te persen (ransomware) al dan niet met vercijfering van de aangevallen gegevens (cryptoware). Verschillende factoren kunnen computers kwetsbaarder maken voor malwareaanvallen, zoals bijvoorbeeld gebreken in het besturingssysteem (door niet gepatchte systemen) gekoppeld aan het feit dat alle computers in een netwerk hetzelfde (Windows)-besturingssysteem draaien waarvan de gebruikers veel te snel op de (vervelende terugkomende) OK-knop klikken in die vreemde dialoogvensters van aan het Internet gekoppelde machines. Al die zaken laten snelle verspreiding van de malware toe.
Anti-virus software Voor alle besturingssystem (Windows, iOS, OSx, Android, Linux, …) bestaan er anti-virus programma’s. Ze bestaan zowel in betalende als in gratische versies. Je kunt je de vraag stellen of die programma’s hun werk goed doen. In de gespecialiseerde pers vind je regelmatig testresultaten terug van testen uitgevoerd met verschillende anti-virus producten. Je moet zelf uitmaken welk belang je aan deze testresultaten hecht, want niet alle tests worden ‘neutraal’ uitgevoerd. Websites zoals http://www.av-comparatives.org/ en http://www.av-test.org zijn in ieder geval de moeite waard om eens te bezoeken. De
resultaten
testen
uitgevoerd
door
http://www.av-comparatives.org/comparatives-reviews/ zijn best wel de moeite waard om eens door te nemen. Hieronder zie je de resultaten van de tests voor de maand mei 2015 voor de Windows omgeving.
En Linux in het hele gebeuren? Zij (av-comparatives.org) beginnen met het volgende te stellen: Linux operating systems are only used on a very small fraction of desktop/laptop computers – under 2% in April 2015, according to Net Market share – but Linux systems can be bought off the shelf from Dell, and are popular with enthusiasts. Linux is also widely used as a server OS. Although it is considered a more secure platform than Windows, malware for Linux does exist, and is aimed particularly at servers. Additionally, there is the risk of Windows malware passing through Linux systems undetected. Linux wordt dus duidelijk nog altijd als een server OS beschouwd voor dergelijke
test. Ook blijkt dat de modale gebruiker voor een Linux OS nog altijd als een ‘enthusiast’ wordt voorgesteld. Het argument dat Windows malware via een Linux platform kan worden doorgesluisd vind ik persoonlijk een non-event. Meer nog. Ik heb nergens terug kunnen vinden of de Windows anti-virus programma’s ook naar Linux, Android, OSx en iOS malware zoeken. Voor de liefhebbers is het 72-pagina groot Engelstalig rapport Linux Security Review May 2015 een aanrader, maar ik zal hieronder proberen de belangrijkste feiten uit het rapport op te sommen voor een huis-tuin- en keuken Linux gebruiker.
Is er een risico? Linux operating systems are often considered to be immune to malware attacks, which would mean that antivirus software for Linux would be redundant. In reality, the situation is not so simple. Linux malware does exist, even if the number of programs is small; for example, in March 2014, ZDNet reported the discovery of the cybercrime campaign “Operation Windigo”. One of Windigo’s components – Ebury – provided attackers with a back door to infected servers and the ability to steal SSH credentials and send spam mails. Researchers observed that Ebury had infected approximately 26,000 Linux servers since May 2013. Ja, er is dus mogelijkheid om Linux systemen te besmetten, al moet gezegd worden dat het hoofddoel van de malwaremakers is om servers te besmetten en niet zozeer de thuisgebruiker, want die ene sukkelaar thuis zal hen wel niet veel geld opbrengen.
Linux maakt het moeilijk voor de malware makers door het aantal verschillende systemen A survey, which gathered data concerning the different Linux kernel versions used on Linux servers, showed that there were almost 1,300 different Linux kernel version distributed among the roughly 20,000 Linux servers included in the survey. Not only the kernel itself, but also the software stack on top of it comes in the
form of hundreds of different Linux distributions. The graph (http://futurist.se/gldt/wp-content/uploads/12.10/gldt1210.png) shows an overview of these Linux distributions 480 in total by October 2012, not considering that even within the same distribution, different versions are used in practice.
En voor de thuisgebruiker? The relatively low market share of Linux based operating systems on home user workstations might be another factor that influences the amount of Linux malware. According to Netmarketshare3 , the market share of Linux is only 1.5% in the Desktop section, making Linux systems a rather unlucrative target for attackers. The low market share might also explain the relatively low numbers of available antivirus programs targeted at Linux home users. One last factor, we would like to mention is the way third-party software is typically installed on Linux distributions. This kind of software is mostly installed via software repositories that contain trusted software and are maintained by the community and/or authors of the distribution. This makes it harder for malware authors to distribute malware by hiding it in seemingly benign software. Zoals we al menig maal gezegd hebben is de opzet van je Linux Distro met betrekking tot het installeren van extra software via de distro-repositories een sterke beveiliging tegen besmetting met malware. Als je dus buiten de repo’s om (bv. via PPA’s) extra software installeert, moet je dubbel oppassen dus.
Veiligheidstips Employing good security practices can help to further secure your Linux system. We recommend the following: 1. Keep installed software up-to-date 2. Use phishing protection (at least the one provided in most browsers) 3. Only install software from trusted sources (e.g., the package manager of your Linux distribution) 4. Don’t log on as root – use the sudo utility to gain temporary
5. 6. 7. 8.
administrator access Use strong passwords Disable services that you don’t use (IPv6, for instance) Don’t run commands you do not understand Backup your data/system regularly
Resultaten van de testen Er zijn in het totaal 18 anti-virus programma’s getest, waarvan enkel maar vijf gratis zijn en van die vijf zijn er twee die niet meer onderhouden worden. De lijst: AVG Free Edition for Linux 13.0.3118 (free, but no longer maintained) Clam Antivirus 0.98 (free) Comodo Antivirus for Linux 1.1.268025 (free) F-Prot Antivirus for Linux Workstations 6.7.10.6267 (free, but no longer maintained) Sophos Anti-Virus for Linux 9.7.2 (free)
AVG Free Edition for Linux 13.0.3118 Features AVG Free Edition for Linux is a command-line only scanner that features ondemand as well as on-access scans. An installation also includes optional plugins for mail filtering and scanning of Samba shares. Note: while the program’s virus database can still be updated normally, AVG informed us that “AVG Free Edition for Linux” itself is no longer developed nor maintained. Verdict AVG Free for Linux is highly configurable and performing on-demand scans is straightforward. Unfortunately, we were unable to make the real-time protection run without the computer being rendered inoperative, which we feel is a major drawback of the program.
Clam Antivirus 0.98 Features ClamAV is an open source anti-virus engine with versions for Windows, Mac OS X, BSD, Solaris and Linux systems. ClamAV provides on-demand scanning to detect
trojans, viruses and other malware. On-access scanning (using the fanotify API) is also included. By default, ClamAV does not include a graphical user interface. However, third-party GUIs are available (e.g. ClamTk) Verdict ClamAV is included in Ubuntu’s package repository, allowing easy installation. Using the program to perform on-demand scans is straightforward. One drawback of the application is the inability to run real-time protection on the tested operating systems.
Comodo Antivirus for Linux 1.1.268025 Features Besides a real-time and on-demand anti-virus scanning component, COMODO AV also provides a mail gateway that can filter spam and emails with malicious attachments. The mail gateway is designed to filter traffic on mail servers. Verdict Although the initial installation of Comodo Antivirus for Linux is entirely GUIbased, post-setup configuration and enabling real-time protection require use of the terminal. On Ubuntu 14.04.1, we found that enabling real-time protection required manual replacement of a driver (not recommended for Linux novices). Once the program is up and running, it can be used in very similar fashion to a typical Windows antivirus program. The main window makes important status information and important functions such as update and scan easily accessible. The help feature is good. Suggestions for improvement, in addition to full compatibility with Ubuntu 14.04.1, would be to increase the sensitivity of the real-time protection to detect malware on a flash drive.
F-Prot Antivirus for Linux Workstations 6.7.10.6267 Features F-PROT Antivirus for Linux includes a command-line scanner and an update tool. Note: while the program’s virus database can still be updated normally, it seems that since the company Frisk Software has been acquired by Cyren, “F-Prot Antivirus for Linux” itself is no longer developed nor maintained. Verdict F-PROT Antivirus for Linux is an easy to install command-line scanner.
Uninstalling the product might become tedious however, since no uninstall script is provided. Performing on-demand scans using the product is straightforward.
Sophos Anti-Virus for Linux 9.7.2 (free) Features Sophos Anti-Virus for Linux includes an on-demand scanner, as well as on-access scanning. Verdict Sophos Anti-Virus for Linux provides a very straightforward installation process and an intuitive user interface to configure the application components. It requires administrators to possess some experience in using the Terminal on Linux systems.
Tot slot Een anti-virus gebruiken of niet was de vraag waarmee ik hier aan de rit ging. Ik meen te kunnen stellen dat een thuisgebruiker die zich houdt aan het werken met beperkte rechten op een goed gepatched systeem, met een sterk wachtwoord in feite geen anti-virus hoeft te draaien om zijn/haar systeem gezond te houden.
Zoals altijd geldt ook hier de PICNIC regel Problem In Chair, Not In Computer
