mardi 25 octobre 2011

Heureusement, sous linux on a pas de virus (kernel.org)

On connaît la chanson: sous linux (comme sous mac) on a pas de virus, etc, etc... et les windowsiens sont réduits à devoir utiliser des antivirus car ce système est moins bien construit.
Ce genre d'arguments était peut-être vrai à l'époque des win9x (pas de droits sur les fichiers par exemple), mais de moins en moins sur les windows modernes.

Suite à des intrusions réussies sur windows on lit des commentaires généralement outrés sur l'absence d'antivirus.
Dans les forums, lors d'une suspicion de compromission on lit toujours "passe un coup d'antivirus pour voir" ce qui déclenche les rires des linuxiens qui eux, savent bien que les virus, ça n'existe pas chez eux.

Et puis kernel.org s'est fait compromettre. Et le premier second commentaire sur la lkml indique: "Install the chkrootkit package from your distro". Air connu. Pour ceux qui se souviennent de zf05, on avait pu lire le .bash_history de Kevin Mitnick. Très régulièrement revient l'usage de rkhunter, ce qui semble un réflexe plutôt sain :-)
On retrouve donc une grande similitude avec les utilisateurs de windows:
  • Anonymous Victim: Est-ce que je suis infecté?
  • The crowd: Bah passe un coup d'anti-[virus|rootkit] et tiens nous au courant.
Si j'étais éditeur d'antivirus, je lancerai vite un anti-rootkit linux, je pense qu'il y a un marché à prendre. Ça n'empêchera pas les zélotes linuxiens de clamer haut et fort que leur système est intrinsèquement plus sûr que windows, mais pour paraphraser un slogan connu, on pourrait dire: "Sous linux, on a pas de virus, mais on a des rootkits".

A ce sujet, le dernier passage d'un anti-rootkit sur votre linux date de quand?

5 commentaires:

  1. Euh.. Ouais... Fin bon j'veux pas dire mais déjà les droits utilisateurs sous linux c'est mieux foutu que sous windows.
    Il faut savoir que pour casser un système linux il faut les droits pour accéder aux fichiers systèmes (root). Sous windows c'est un peu l'anarchie quoi que le dernier windows est plus sûr que ses prédécesseurs...
    Après faut pas voir tout de suite virus = LE MAL...
    Il existe des virus dit "bénéfiques".
    Et puis petite note historique : le premier virus a été conçu sous UNIX et tout le monde sait qu'un système n'est pas parfait, mais certains systèmes sont mieux foutu que d'autres pour limiter ces imperfections

    RépondreSupprimer
  2. ...Et puis kernel.org s'est fait compromettre...

    RIEN A VOIR avec les virus! ... quel amalgame, on dirait un politicien...

    Sous windows, sans droit particulier, je peux supprimer les fichiers hors de mon compte... Linux est définitivement plus sûr.

    RépondreSupprimer
  3. @Anonyme 1 et 2 : "Ça n'empêchera pas les zélotes linuxiens de clamer haut et fort que leur système est intrinsèquement plus sûr que windows" :-)

    Ceci dit, NTFS existe depuis un certain nombre d'années.

    RépondreSupprimer
  4. Je vois pas le rapport entre l'attaque d'un site (le site kernel.org) et la sécurité des systèmes basés sur le noyau linux.

    L'enquête menée par les admins du site kernel.org semble s'orienter vers une taupe qui aurait filé un pass.

    Sur le noyau en lui même y a pas grand chose à dire. D'ailleurs aucune faille n'a été exploitée lors de l'attaque. Par contre, chaque fois qu'une faille est découverte, la réactivité est bien supérieure à celle de winwin et mac

    RépondreSupprimer
  5. @Anonyme: le point porte sur la préconisation de se servir d'un antirootkit.

    Concernant kernel.org, je ne sais pas si "aucune faille n'a été exploitée", ni n'est au courant d'où en est l'enquête.

    Ceci dit, pour linux, juste pour ces derniers jours:
    -Déni de service
    http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff_plain;h=7ed47b7d142ec99ad6880bbbec51e9f12b3af74c
    -Un problème sur ext4
    https://bugzilla.redhat.com/show_bug.cgi?id=747942
    -Un panic
    https://bugzilla.redhat.com/show_bug.cgi?id=736425
    -Encore un autre
    https://bugs.launchpad.net/apparmor/+bug/789409
    -Elevation de privilèges via PAM
    https://bugzilla.redhat.com/show_bug.cgi?id=746619
    -Exécution de code
    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3256
    -Un gros FAIL de debian (encore un, c'est plus ancien, mébon ça fait toujours sourire)
    http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=642480
    etc, etc...

    Donc nous avons de la faille noyau, de la faille distante, des problèmes de conceptions, et tu trouves que c'est secure?

    RépondreSupprimer