¿Un virus o malware dentro de una cuenta de usuario o cuenta de invitado afectará todo el sistema Ubuntu?

8

Cuando comencé con Linux, y mientras estudiaba la estructura de archivos y los permisos de acceso de los sistemas Linux, un pensamiento formulado en mi mente, es que, siempre y cuando opere solo dentro de su cuenta menos privilegiada o restringida, no entrará ningún virus o malware. su cuenta afectará alguna vez a todo el sistema. Tampoco "afectaría" a las diversas aplicaciones instaladas, ya que la configuración y los documentos guardados se almacenan exclusivamente en su cuenta ... ¿o me equivoco al respecto?

Con respecto a esto, tengo preocupaciones con el comando "sudo" en Ubuntu. Si alguna vez usé sudo con una cuenta privilegiada usando una terminal, desde el interior de una cuenta de usuario o invitado no privilegiada pero infectada, ¿se filtrará un malware de la carpeta de inicio del usuario infectado a todo el sistema y hará que mi sistema Ubuntu se infecte?

Además, con el emulador de Windows, Wine ... noté que las aplicaciones que instalé no están en todo el sistema, sino que están localizadas en la cuenta que estaba usando cuando lo instalé. Desafortunadamente, las aplicaciones de vino son imanes de malware. En una semana, ClamTK ha detectado más de 700 amenazas. ¿Debería preocuparme que estas amenazas salgan e infecten todo el sistema?

Gracias de antemano a los que podrían arrojar luz sobre esto.

Joseph Domingo Tibi Ensano
fuente

Respuestas:

10

Una nota antes de comenzar:
hablo sobre amenazas teóricas, no sobre piezas de malware realmente existentes y generalizadas.

Siempre que opere una cuenta sin privilegios de administrador y sudo y la infecte, por ejemplo, instalando (manual o automáticamente a sus espaldas, después de hacer clic en algún lugar donde no debería haber hecho clic) un programa de malware en su carpeta de inicio, esta infección debería limitarse a esta cuenta .

Yo digo que debería , porque:

  • un usuario administrador podría iniciar el archivo infectado desde su cuenta como root e infectar la máquina de esta manera.

  • el malware podría infectar dispositivos portátiles (memorias USB, etc.) montados por el usuario, y luego propagarse en otras máquinas u otras cuentas de usuario en la misma máquina, cuando lo monte con otro usuario más tarde.

  • el malware podría extenderse por la red, infectar otra máquina en su LAN y luego infectar la cuenta de administrador la próxima vez que inicie sesión y se conecte a la otra computadora infectada.

  • Hay varias posibilidades conocidas de cómo una aplicación podría pasar por alto las restricciones. Esto se llama "escalada de privilegios", lo que significa que la aplicación se ejecuta con privilegios más altos que los permitidos / previstos debido a errores de software explotados, permisos de sistema de archivos demasiado permisivos, etc.

  • Como Ubuntu viene con un tiempo de espera de sudo> 0s, no es necesario que ingrese su contraseña de sudo varias veces en un corto período de tiempo (por defecto 15 minutos, si no recuerdo mal) para ejecutar varios comandos como root, pero solo se le solicita una vez para el primero Si el malware ahora sobrescribió un archivo para el que el usuario infectado tiene acceso de escritura (ingresa un comando para ejecutarse como root usando sudo) y luego ejecuta el archivo sin usar sudo, pero dentro del tiempo de espera, ni siquiera nota que hay algo sucede con privilegios elevados.

  • probablemente más ...

Verá, la mayoría de las posibilidades de que el malware infecte toda la máquina requieren la interacción del usuario y / o dependen de cuán estrictamente se mantengan separadas sus cuentas, computadoras y unidades conectables.

Los errores que permiten la escalada de privilegios generalmente se solucionan rápidamente después de que los desarrolladores se enteran de ellos, pero en el tiempo transcurrido entre el descubrimiento de un error a través de piratas informáticos maliciosos y el lanzamiento de una solución, el nuevo malware podría evitar las restricciones de los usuarios que explotan el error.


Conclusión:

La mayoría del malware probablemente no sea capaz de elevar sus privilegios y obtener acceso de root para infectar toda su máquina, a menos que lo otorgue manualmente ingresando su contraseña de sudo en el cuadro de entrada incorrecto. Eso significa comportarse con cuidado y pensar en cada comando que ejecuta dos veces (especialmente si otros usuarios tienen permisos de escritura en un archivo que desea ejecutar) debería protegerlo bastante bien.

Sin embargo, nunca hay un 100% de seguridad, porque los desarrolladores de malware a menudo están un paso por delante de los programadores de software responsables de las correcciones de errores y parches de seguridad.

Byte Commander
fuente
Cómo deseo que haya un botón / enlace "Me gusta" aquí. Gracias.
Joseph Domingo Tibi Ensano
2
@JosephDomingoTibiEnsano: ¡Hay un "botón" de aceptación y un voto a favor! :)
cl-netbox
@JosephDomingoTibiEnsano Puede votar ( ^) y aceptar (símbolo de marca en círculo gris) una respuesta usando los botones a la izquierda.
Byte Commander
1
El malware podría oler el teclado mientras el usuario escribe la contraseña de sudo ...
el.pescado