Les systèmes Linux ont-ils besoin d'un antivirus contre les ransomwares?
J'utilise Linux pour stocker des données privées et des sauvegardes pour mon équipe car il est dit que Linux est lui-même très sécurisé contre les logiciels malveillants et n'a pas besoin d'antivirus.
Mais maintenant que le ransomware se propage et a commencé à affecter les PC professionnels qui exécutent Windows, il ne sera donc pas trop long qu'une nouvelle variante de ransomware soit publiée ou il pourrait déjà y en avoir qui peut également affecter les systèmes Linux.
Je ne veux pas risquer que nos données soient cryptées par un ransomware uniquement pour les bitcoins. Les systèmes Linux ont-ils maintenant besoin d'un antivirus pour se protéger contre cette menace?
Il y a en fait plusieurs parties de la question:
- Linux est-il affecté par les logiciels malveillants et en particulier les ransomwares?
- Existe-t-il des produits antivirus pour Linux?
- Ces produits aident-ils contre cette menace?
Pour répondre au premier:
Oui, il existe des logiciels malveillants pour Linux et des ransomwares. Actuellement, il est généralement propagé d'une manière différente par rapport à Windows: les logiciels malveillants sur Windows sont principalement distribués par courrier électronique et hameçonnage et utilisent des vulnérabilités et des fonctionnalités spécifiques à la plate-forme, c'est-à-dire actuellement principalement Windows scripting Host, des macros dans les documents Office et des vulnérabilités dans Office. Sur les systèmes Linux, il est généralement installé en attaquant le serveur, souvent en utilisant des problèmes de sécurité dans Wordpress et autres CMS. Mais c'est principalement parce que l'utilisation du serveur de Linux est importante alors que l'utilisation du bureau est encore rare Les capacités et les vulnérabilités nécessaires pour diffuser les ransomwares d'une manière similaire à Windows existent également souvent sous Linux bien que certaines différences (comme la nécessité de définir explicitement les autorisations des fichiers exécutables) rendent certains exploits plus difficiles.
Quant au second, c'est-à-dire les produits antivirus pour Linux:
Il existe à la fois des produits gratuits comme ClamAV et des produits commerciaux disponibles.
Et enfin, ces antivirus aident-ils contre les logiciels malveillants/rançongiciels ciblant Linux?
Ce n'est généralement pas le cas. Ces produits antivirus se soucient principalement de la protection contre les attaques ciblant Windows et sont généralement utilisés pour analyser les fichiers ou les courriers qui pourraient être servis sur les systèmes Windows. Ainsi, ils sont par exemple utiles sur un serveur de messagerie ou un serveur de fichiers et également sur un serveur web pour s'assurer que le serveur n'est pas utilisé pour propager des malwares. Mais ils ne protègent même pas complètement contre les attaques ciblant Windows. Ils peuvent contenir du code pour détecter certains logiciels malveillants bien connus (et parfois seulement une preuve de concept) contre Linux, mais ils ne protègent pas contre de nouvelles choses. Il existe également des produits qui recherchent des traces de compromission du système existant et parfois ceux-ci sont appelés antivirus mais souvent pas.
Linux est sécurisé mais il n'est pas parfait.
Le malware Linux existe et il y a un exemple: WordPress-Delivered Ransomware et Hacked Linux Distributions qui décrit comment une machine Linux peut être infectée par un ransomware en exploitant une vulnérabilité de programme.
Comment ça marche?
Un site WordPress est piraté par n'importe quelle méthode disponible. Cela peut être une attaque par devinette de mot de passe par force brute ou en exploitant une vulnérabilité dans un plugin, un thème ou un noyau.
L'attaquant installe du code sur le site WordPress qui redirige les visiteurs vers d'autres sites Web infectés qui exécutent le kit d'exploitation nucléaire. Les redirections peuvent se produire via une série de sites Web pour essayer d'empêcher les navigateurs Web et Google de vous avertissant qu'un site est infecté. Les sites impliqués dans la redirection changent fréquemment.
Lorsqu'un visiteur du site infecté est redirigé, le kit d'exploitation nucléaire recherche les vulnérabilités dans le plugin Flash du visiteur du site, Microsoft Silverlight, Adobe Reader ou Internet Explorer.
Si Nuclear trouve une vulnérabilité, il exploite la machine visiteur et installe le TeslaCrypt Ransomware.
Le ransomware crypte ensuite tous les fichiers sur le poste de travail et extorque le propriétaire à payer pour faire décrypter leur système.
Un deuxième exemple: le Linux.Encoder.1 décomposé par Dr.Web
Pourquoi vous n'avez pas besoin d'un programme antivirus sous Linux?
car vous avez installé vos programmes à partir d'un référentiel de confiance et votre système est fréquemment mis à jour pour corriger les failles des programmes
avec les logiciels open source, les codes sources sont disponibles pour tous et peuvent être testés, patchés par des experts et des développeurs.
Pourquoi avez-vous besoin d'un antivirus?
L'antivirus peut être utile:
Pour rechercher des virus dans les e-mails.
Si vous avez
wineinstallé sur votre système pour exécuter votre logiciel Windows préféré.Si vous avez une machine Windows sur votre réseau.
Pour analyser un disque dur Windows.
Pour analyser un fichier avant de l'envoyer aux machines Windows.
Le moyen facile de vaincre les ransomwares sur n'importe quel système d'exploitation est d'avoir une sauvegarde régulièrement mise à jour.
La meilleure façon de se protéger de la manipulation des données consiste à effectuer des sauvegardes sur une machine qui fournit un stockage à ajouter uniquement.
Le cas le plus simple est celui des serveurs de fichiers journaux - il existe une seule liaison série sur laquelle vous pouvez envoyer des données, qui est horodatée et stockée; le système n'interprète pas autrement les données et il n'y a pas d'interface de commande sur la liaison série.
Pour les sauvegardes complètes, je dédierais une machine qui se connecte aux autres, récupère activement l'état actuel et l'archive directement, éventuellement en dédupliquant avec les versions antérieures. Les clients n'ont aucun moyen de contacter ce système de quelque façon que ce soit, tous les ports TCP sont fermés de l'extérieur).
Ce système a alors un excellent point de vue non seulement pour fournir des versions antérieures, mais il peut également être utilisé pour détecter les manipulations - les auteurs de logiciels malveillants ont le choix de masquer le logiciel malveillant de ce système (vous avez donc une sauvegarde propre), ou d'inclure (ce qui permet à un système antivirus exécuté sur le serveur de sauvegarde de le détecter).
Cette réponse est spécifique à votre scénario et ne s'applique pas à tous les systèmes Linux en général:
Vous n'avez pas besoin d'une protection antivirus dans votre configuration. Vous pouvez l'ajouter s'il vous fait mieux dormir, mais il est peu probable qu'il augmente considérablement votre sécurité.
Votre système est essentiellement un magasin de fichiers. Sauf si vous n'avez pas mentionné de détails importants sur le système, il n'a pas de surface d'attaque extérieure (c'est-à-dire qu'il n'est pas connecté à Internet, n'exécute aucun autre service et n'est utilisé comme ordinateur de bureau ou machine de travail par personne).
Je ne vois pas de moyens réalistes pour qu'un malware soit exécuté sur cette machine. Oui, votre service de partage de fichiers pourrait avoir un exploit, mais le logiciel malveillant devrait d'abord infecter une autre machine sur le réseau, puis attaquer cet exploit, et bien qu'il ne soit pas impossible, cela semble peu probable.
De plus, je suis sûr que vous conservez une sauvegarde secondaire hors site si vous songez à une solution de sauvegarde solide. Assurez la lisibilité de cette sauvegarde secondaire avec un test de relecture avant de l'envoyer hors site et même si quelque chose arrive à votre serveur de sauvegarde, vous pouvez simplement l'effacer et obtenir la sauvegarde hors site.