As pessoas sempre dizem que o Linux é mais seguro que o Windows. O principal motivo parece ser a filosofia geral de design do sistema e o fato de os usuários serem usuários e não raiz.
Uma das principais preocupações de segurança ao usar o Windows e o Internet Explorer parece ser o ActiveX. A cada poucos dias, eu leio sobre outro tipo de exploração usando o ActiveX, e quase sempre a solução é desativar o ActiveX. Li tantas vezes que me pergunto por que as pessoas se preocupam em ativar o ActiveX. (Um motivo pode ser que o nome contenha "ativo"; outro pode ser a função de atualização do Windows.)
Usando o Ubuntu e o Firefox, eu sempre me sinto tão seguro ao ler sobre as explorações do ActiveX. Sei que existem muitas outras vulnerabilidades de segurança que usam JavaScript e / ou Adobe Flash, mas, pelo que entendi, esse tipo de vulnerabilidade de segurança pode causar tanto dano quanto meus direitos de usuário permitirem. É claro que isso não ajuda muito quando o malware quer destruir todos os meus dados - mas a maioria dos malwares hoje em dia só quer usar meu PC como um drone de botnet e, portanto, não está interessado em destruir meus dados.
Então, a pergunta novamente: o Firefox rodando no Ubuntu tem algo semelhante ao ActiveX, em termos de vulnerabilidades de segurança?
Outra pergunta que pode ser idêntica: uma vulnerabilidade de segurança envolvendo Adobe Flash e / ou JavaScript pode ser "facilmente" explorada para causar tanto dano quanto uma exploração ActiveX?
Quando digo "fácil", quero dizer que o ataque não precisa explorar outro componente do sistema para elevar os direitos do usuário. Por exemplo, uma exploração envolvendo o Adobe Flash obterá acesso ao meu PC usando meus direitos de usuário e, em seguida, continuará explorando alguma vulnerabilidade conhecida Xpara obter acesso root. Isso não é "fácil".
Respostas:
O 'ActiveX' pode ser considerado em duas partes, o modelo de objeto e o método de instalação. O Firefox tem algo semelhante - e compatível com várias plataformas, Ubuntu ou outro - para ambos.
O modelo de objeto do ActiveX é o Microsoft COM ; O equivalente do Firefox é XPCOM . Muitos outros recursos e aplicativos do Windows que não têm nada a ver com a navegação na Web usam o MS COM, e tradicionalmente houve problemas em que os controles COM que não foram escritos para uso seguro na Web estavam disponíveis para as páginas da Web. Isso causou muitos compromissos. O Firefox é melhor aqui, pois o XPCOM não é compartilhado com o resto do sistema. As versões mais recentes do IE têm melhores controles para mitigar quais sites têm permissão para usar quais controles.
(Como uma questão secundária, como muitos complementos para o Firefox são escritos em JavaScript, uma linguagem de script de alto nível, eles geralmente são mais seguros contra estouro de buffer e erros de manipulação de string do que extensões para o IE, geralmente escritas em C [ ++].)
A parte do controle-downloader do ActiveX também foi um pouco mais limpa desde os velhos tempos em que qualquer coisa na zona Meu computador podia instalar qualquer software de que gostava, e scripts agressivos do carregador podiam prendê-lo em um
alertloop até que você concordasse em aprovar o ActiveX pronto. O equivalente do Firefox, XPInstall , se comporta de maneira semelhante, com a 'barra de informações' em todos os sites, exceto na Mozilla, por padrão, e um aviso / prompt adequado antes da instalação.Há outra maneira integrada de comprometer-se no Mozilla: scripts assinados . Eu nunca vi isso realmente usado, e certamente haverá outra janela de aviso antes que um script obtenha direitos extras, mas isso me preocupa que isso esteja disponível para as páginas da Web.
Sim, a maioria das explorações da Web hoje ocorre em plugins. Adobe Reader, Java (*) e QuickTime são os mais populares / vulneráveis. IMO: livre-se deles e use o FlashBlock para mostrar apenas o Flash quando você desejar.
(*: e os diálogos de Java antes de permitir que você abandone toda a segurança de um applet não confiável também são um pouco vazios.)
O Ubuntu fornece alguns plugins questionáveis por padrão, em particular um plug-in do media player que tornará vulnerável qualquer vulnerabilidade em qualquer um dos seus codecs de mídia pela web (semelhante ao plug-in do Windows Media Player, apenas potencialmente com muitos outros formatos). Embora eu ainda tenha que encontrar uma exploração direcionada ao Linux como essa, isso é realmente apenas segurança através da obscuridade.
Observe que o ActiveX em si não é diferente. Um comprometimento do navegador da Web baseado no ActiveX ainda oferece apenas acesso no nível do usuário; é apenas porque antes do Vista todos os usuários costumavam executar tudo como administrador que isso aumentava para um enraizamento total.
Talvez talvez não. Mas acho que você encontrará o dano que alguns malwares podem causar, mesmo em uma conta de usuário normal, é bastante ruim. Copie todos os seus dados pessoais, observe as teclas pressionadas, exclua todos os seus documentos ...
fonte
Depende da natureza da vulnerabilidade. Às vezes, você tem "sorte" e a vulnerabilidade "apenas" permite uma divulgação limitada, mas geralmente as vulnerabilidades permitem a execução arbitrária de código. Nesse ponto, você está profundamente doo-dah, tão profundo quanto os problemas do ActiveX. E esses buracos podem estar no tratamento de arquivos de imagem (imagens maliciosas) ou de som ou quase qualquer outra coisa.
O ActiveX foi pior porque forneceu uma maneira para os criadores de códigos declararem "Se isso estiver instalado, é seguro fazer referência a partir de uma página da web" e muitos codificadores o ativaram sem entender as implicações, então havia muitos alvos e seria fácil sair. Mas você tem a mesma exposição do manuseio incorreto de números estranhos em arquivos de imagem. É só que os problemas do arquivo de imagem são corrigidos com a atualização do navegador.
A única defesa contra isso é usar o sandboxing, o que limita o processo que um usuário pode executar. O OpenBSD foi pioneiro em tornar isso popular com a separação de privilégios de vários daemons (principalmente o OpenSSH, então você está usando isso no Ubuntu agora). O Chrome popularizou isso para navegadores da Web, mas só possui sandboxing em algumas plataformas. Ironicamente, talvez, por um tempo você provavelmente estivesse mais seguro com o Chrome no Windows do que qualquer navegador gráfico no Linux. Felizmente, isso está mudando. Acredito que alguma proteção parcial esteja nos lançamentos do Linux agora.
http://www.cl.cam.ac.uk/research/security/capsicum/ é bom se você quiser explorar sistemas de capacidade para caixas de areia e ver como as coisas podem melhorar.
fonte
AFAIK, uma exploração ActiveX também não pode causar danos fora dos direitos do usuário (sem usar outras explorações, como você indica). O principal problema no Windows era que quase todo mundo trabalhava como administrador na maioria das vezes ...
fonte
Eu só quero mencionar que o Linux é teoricamente menos seguro que o Windows 7, que possui alguns recursos interessantes de segurança.
O motivo pelo qual não existem vírus Linux é o mesmo porque quase não existem jogos comerciais para Linux: os produtores acompanham as massas e as massas usam o Windows.
Portanto, a maneira mais segura é usar produtos alternativos (como o Firefox há alguns anos atrás, hoje as explorações do Firefox são usadas com bastante frequência).
Agora, para responder às suas perguntas: Tanto quanto eu sei, o ActiveX-Exploits não se refere ao Firefox.
Eu me sinto bastante seguro navegando com Linux e Firefox, no entanto, usar o Opera pode ser mais seguro, pois o Opera é muito menos popular.
O que você deve considerar é ter uma senha forte se o SSH estiver aberto na Internet, pois existem muitos scanners que tentam hackear o ssh para instalar coisas estranhas no seu PC (desative o acesso direto à raiz em / etc / ssh / sshd_config).
Eu acho que a maioria dos outros ataques é específica para um usuário; portanto, se você não tem nenhum segredo ou inimigo da empresa em geral, o seu computador deve estar bem seguro.
fonte