Program antiwirusowy na system UNIX.

Question

Cześć wszystkim,

Od kilku tygodni uczę się pracować na systemie Kubuntu. Moje doświadczenie z system linux jest niewielkie, dlatego też zwracam się do Was z prośbą o podzielenie się informacjami na temat bezpieczeństwa systemu z rodziny Linux. Chodzi dokładnie o podanie mi informacji w jaki sposób przede wszystkim zabezpieczyć sam system, ale również przeprowadzić audyty, skany bezpieczeństwa system operacyjny w poszukiwaniu oprogramowania szpiegującego typu keylogger, malware, koń trojański itp. Mam pewne podejrzenia co do zainstalowania na moim komputerze złośliwego oprogramowania, które szpieguje moje poczynania w sieci. 

Korzystam z narzędzi: 

1. UFW: zapora firewall - wyłączony ruch przychodzący. 

2. ClamAV i ClamTk: najczęściej korzystam z wersji clamav przy użyciu terminala. Aktualizuje bazę sygnatur i przeprowadzam pełne skanowanie systemu, ale niestety program nic nie znajduje.

3. RKhunter: jest to starszy program, ale również wspomagam się nim w celu poszukiwania rootkitów. Podczas skanowania pojawia się alert ostrzegawczy, ale po przestudiowaniu internetu ponoć wynik ten jest fauszywie pozytywny.

4. CHKrootkit: tutaj brak alertów informujących o podejrzeniu zagrożenia. 

Mam wrażenie, że zostałem zarażony jakimś programem szpiegującym pracując jeszcze w środowisku systemowym Microsoft Windows 10 Pro. Przebywam w miejscu, gdzie możliwe jest przeprowadzenie ingerencji w mój sprzęt komputerowy podczas mojej nieobecności. Wiem, że kilka miesięcy temu przełamano zabezpieczenia systemu Windows na moim laptopie, co wynika z historii dziennika zdarzeń systemu Windows 10. Jestem w sumie ciekaw co Wy sądzicie o tym wpisie, który wyłapałem, dlatego dodaje zrzut ekranowy. Proszę o waszą opinie moi drodzy. 

Serdecznie dziękuje za ewentualne zainteresowanie się moim problemem i podzielenie się swoją opinią. 

Z poważaniem, Piotr

Comments

Tak, jest to laptop z zewnętrzną kartą Wi-Fi firmy TP-Link. Osobiście nie korzystam z połączenia bezprzewodowego, ponieważ router z laptopem mam spięty kablem ethernetowym. Jeżeli zaś chodzi o adapter bluetooth on również jest urządzeniem zewnętrznym, z którego akurat często korzystam używając na codzień słuchawek bezprzewodowych. 

Co do Windy doszedłem do wniosku takiego samego co Ty. jakieś 90% wirusów jest pisane pod system Microsoft, jeżeli chodzi o sprzęt typowo komputerowy. Z printcrean'a, którego dołączyłem do mojego zapytania moim zdaniem jasno wynika, że ktoś uruchomił klienta pocztowego MS Outlook. W przedziale czasowym widocznym w logu nie przebywałem w miejscu, gdzie zostawiłem laptop. Zawsze, kiedy odchodzę od komputera blokuje stację lub wyłączam komputer. 
Dodam jeszcze jeden ciekawy zrzut ekranu z podglądu zdarzeń, gdzie moim zdaniem doszło do złamania zabezpieczeń związanych z logowaniem do konta użytkownika, zabezpieczonego hasłem. Hasło w 100% było bardzo silne, skłądającego się z przynajmniej 16 znaków w tym cyfr, mały i wielkich liter oraz znaków specjalnych. 
Zabezpieczenie systemu Windows w funkcję szyfrowania dysku BitLocker, równie silnego klucza odblokowującego oraz hasła wymaganego przy uruchomieniu komputera w BIOS również nic nie dały...

Czy da się wywnioskować i jednoznacznie stwierdzić po tych logach, że doszło do włamania? Zachowanie mojego sprzętu komputerowego po tych incydentach było bardzo dziwne (duże zurzycie pamięci RAM i wariujący procesor - w mojej opinii nie mam osobiście wątpliwości co do stwierdzenia, że zostałem zhakowany).
Jestem ciekaw waszych opinii. 

---

Apropos tematu ("Program antiwirusowy na system UNIX") – Kubuntu (Ubuntu Linux) to nie jest UNIX. Tj. Linux* jest uznawany za system "UNIXo-podobny", ale nie jest żadnym odgałęzieniem UNIXa.
* tj. systemy operacyjne oparte o jądro Linux ;)

Fajne video o UNIXach btw (cały kanał zresztą polecam):
https://www.youtube.com/watch?v=HADp3emVABg
https://www.youtube.com/watch?v=Ffh3DRFzRL0

---

Dziękuje Ci za poprawienie mnie co do rozróżenia geanologii systemów oraz bardzo dziękuje za podesłany materiał.

Może również podzielisz się swoją opinią co do zrzutów ekranowych jakie zamieściłem, co myślisz o tych logach?

---

TBH mi ten screenshot nic nie mówi – i.e. za mało informacji.

No i jeśli zostałeś zarażony czymś na Windowsie, a teraz jesteś na Kubuntu, to nie do końca widzę, jak to coś miało sobie przeskoczyć na Kubuntu – brzmi dość niespotykanie (tak tak, technicznie możliwe, ale chyba nie widziałem czegoś takiego w praktyce).

I też nie do końca rozumiem co jest Twoim celem.

Jeśli Twoim celem jest znalezienie tego szkodnika, ale nie jesteś pewien jak to zrobić, to udaj się najlepiej do firmy od informatyki śledczej, która przeczesa ten system – inaczej to są lata nauki, zanim będziesz to w stanie sam skutecznie zrobić. Od razu zaznaczę, że tego typu usługi stoją raczej po drogiej stronie.

To powiedziawszy, jeśli uważasz, że zrobił to ktoś, to ma fizyczny dostęp do Twojego komputera (a nie jakiś losowy przestępca z losowego kraju), to brzmi jak kwestia skontaktowania się z prawnikiem i złożenia doniesienia na policję / do prokuratury, bo tego typu "zagrywki" są zdecydowanie nielegalne.

Jeśli Twoim celem jest po prostu używanie komputera i pozbycie się szkodnika, to reinstalacja na Kubuntu w zasadzie rozwiązała sprawę (chyba, że mam faktyczne dobre powody sądzić, że ugania się za Tobą jakaś agencja wywiadowcza).

A jeśli Twoim celem jest nauczenie się jak robić tę całą listę rzeczy, o których piszesz, to – jak pisałem wyżej – brzmi jak lata nauki. Reaktywny w swojej odpowiedzi podrzucił Ci kilka książek od których można zacząć, choć to oczywiście tylko wierzchołek góry lodowej. Możesz też rzucić okiem na "Praktyczną Analizę Powłamaniową" Adama Ziaji, choć tam chyba skupia się na appkach webowych, ale hostowanych na Linuxie.

---

Zawiadomienie na policję złożyłem zaraz po wystąpieniu incydentu bezpieczeństwa. Mało tego prosiłem o zabezpieczenie kamery, która jest skierowana praktycznie centralnie na wejście do pomieszczenia, w którym był laptop. Niestety, ale sprawa została umożona, a kamera najprawdopodobniej w ogóle nie zabezpieczona przez organy ścigania. Sama moja prośba o zabezpieczenie kamery przez osobę mającą do tego uprawnienia, czyli właściciela można tak to ująć była dosyć wymowna. W każdym razie bardzo dziękuje za podesłanie materiałów oraz udzielenie tak wyczerpującej odpowiedzi na zadane przeze mnie pytanie. Rozwiało to moje wątpliwości co do pewnych kwestii.
Ogólnie pisząc masz rację chce pogłębić swoją wiedzę na temat bezpieczeństwa informatycznego i zdaje sobie sprawę z czasu jaki muszę poświęcić, aby tego typu incydenty być samemu w stanie zdiagnozować. Osobiście myślę, że w tego typu pracy jest potrzebnych wielu ludzi posiadających przeogromną wiedzę i praktykę w tego typu temacie. Jeszcze raz serdecznie dziękuje Wam za pomoc. Liczę, że jak ktoś inny jeszcze ma jakieś ciekawe wskazówki lub materiały to podzieli się nimi pod moim postem.
Pozdrawiam serdecznie i życzę dobrej nocy. :)

Answer 1

A to jest laptop lub desktop z WIFI?? Jeśli tak to o włamanie nie trudno, bardziej ogarnięty gimnazjalista wejdzie do Twojego komputera, tym bardziej, że piszesz że miałeś Winzgrozę, system dziurawy bardziej niż ser szwajcarski.

Czytałem artykuł na blogu security, sieci Bluetooth i WIFI mają mnóstwo dziur (oprócz celowo wprowadzonych backdoorów, z których też mafie korzystają) - jest wiele możliwości włamania się przez WLAN, więc trzeba jak tylko można unikać tych sieci w domu, a szczególnie w firmach / biurach.

Polecam poczytać dobre blogi w temacie security, jeden z lepszych to:

https://www.schneier.com/

Helion wydał niedawno książki o zabezpieczaniu PC, nowa jest w drodze (hardening Linux):

Bezpieczeństwo sieci firmowej. Kontrola ruchu wychodzącego Marek Serafin. Książka, ebook - Księgarnia informatyczna Helion
https://helion.pl/ksiazki/bezpieczenstwo-sieci-firmowej-kontrola-ruchu-wychodzacego-marek-serafin,besifi.htm#format/d

Bezpieczeństwo systemu Linux w praktyce. Receptury. Wydanie II Tajinder Kalsi. Książka, ebook - Księgarnia informatyczna Helion
https://helion.pl/ksiazki/bezpieczenstwo-systemu-linux-w-praktyce-receptury-wydanie-ii-tajinder-kalsi,bezli2.htm#format/d

Kliknij tutaj, aby zabić wszystkich. Bezpieczeństwo i przetrwanie w hiperpołączonym świecie Bruce Schneier. Książka, ebook - Księgarnia informatyczna Helion
https://helion.pl/ksiazki/kliknij-tutaj-aby-zabic-wszystkich-bezpieczenstwo-i-przetrwanie-w-hiperpolaczonym-swiecie-bruce-schneier,klitut.htm#format/e

Bezpieczeństwo systemu Linux. Hardening i najnowsze techniki zabezpieczania przed cyberatakami. Wydanie III Donald A. Tevault. Książka, ebook - Księgarnia informatyczna Helion
https://helion.pl/ksiazki/bezpieczenstwo-systemu-linux-hardening-i-najnowsze-techniki-zabezpieczania-przed-cyberatakami-wyda-donald-a-tevault,besyl3.htm#format/d

 

Są też linuxy Live (na płytach i USB) które służą do wykrywania różnych "robaków" i analizy powłamaniowej, warto się nimi zainteresować.

Comments

Zobacz też (za free): https://sklep.securitum.pl/analiza-powlamaniowa-w-linuxie