lunes, 15 de septiembre de 2008

Sistemas Operativos indefensos V

Sinopsis: los usuarios de GNU/Linux y de sus distribuciones, igual que los de Mac OS, suelen sentirse invulnerables. Basan esa presunción en lo relativamente poco extendido del sistema y ponen su confianza en que lo que podría considerarse su máxima debilidad es, en realidad, su mayor fortaleza.

Igual que ocurre con los usuarios de la Mac , quienes basan en Linux su plataforma se sienten, por razones similares, invulnerables (ver sistemas operativos indefensos III).

No resulta fácil estudiar la estrategia defensiva de Linux frente al malware, entre varias razones, porque su filosofía responde a un enfoque diferente a lo usual en los otros sistemas que he analizado.

Para empezar, Linux es sólo el núcleo (también llamado "kernell") de un sistema operativo, además es de arquitectura abierta y de libre uso (gratis). Eso quiere decir que cualquiera puede bajarlo de la red y, si tiene el conocimiento para ello, puede programarse un sistema operativo a la medida de sus necesidades.

Como si eso fuera poco, existen también diversas distribuciones GNU/Linux (una variante del sistema operativo que incorpora determinados paquetes de software para satisfacer las necesidades de un grupo especifico de usuarios, lo que origina ediciones hogareñas, empresariales y para servidores) como por ejemplo redhat, debian, fedora, ubuntu y un montón mas, cada una de las cuales es libre de generar sus propios métodos defensivos. Incluso hay distribuciones de las distribuciones, lo que complica aún mas las cosas.

Obviamente, sería infinita la tarea de analizar cada uno, por lo que invito a quien lea esto y quiera comentar las ventajas defensivas de la distribución que usa a que me ilustre en la materia.

Lo primero que salta a la vista al analizar las defensas de este sistema es que es de fuente abierta, lo que permite a cualquier atacante detectar fácilmente sus vulnerabilidades y aprovecharse de ellas, cosa que parece una debilidad enorme.

Sin embargo, esto es precisamente lo que los desarrolladores y usuarios consideran la mayor fortaleza del sistema. Opinan que, al ser libre y de código abierto, muchos usuarios estarán pendientes de detectar las debilidades y, en lugar de aprovecharse de ellas con fines maliciosos, las corregirán y advertirán a otros usuarios e inclusive les suministrarán la solución. Esa es su principal defensa.

Lo curioso es que esto es en verdad lo que ocurre en la mayoría de los casos, lo que habla muy bien de la comunidad de programadores y usuarios del sistema.

Infortunadamente he dicho en la mayoría de los casos.

Hace poco, el U.S. CERT (U.S. Computer Emergerncy Readiness Team, Es decir el Equipo de Estados Unidos para Disposición ante Emergencias) ha emitido una advertencia sobre ataques activos contra infraestructuras basadas en Linux utilizando claves SSH (un protocolo, supuestamente seguro, y un conjunto de herramientas para reemplazar otras más comunes que los desarrolladores y usuarios de Linux y sus distribuciones consideran inseguras. Se usa para asegurar cualquier tráfico basado en red).

Algunos usuarios de Linux están pasando ahora por la experiencia que durante años hemos pasado los usuarios de Windows.

Aún se tienen pocos detalles, pero parece que el atacante comienza utilizando claves SSH robadas para tener acceso al sistema, después de lo cual utiliza un exploit (programa malicioso que trata de forzar alguna deficiencia o vulnerabilidad de otro programa) para atacar el Kernell (núcleo) del sistema operativo, conseguir acceso a la raíz e instalar un rootkit (ver sistemas operativos indefensos IV) al que llaman phalanx2 porque parece un derivado de un anterior rootkit llamado phalanx (falange). Phalanx está configurado para robar sistemáticamente claves SSH y enviarlas al atacante, quien las usa para tratar de atacar otros sitios y/o sistemas de interés del sitio atacado.

El U.S. CERT esbozó formas de reducir el riesgo de ataque (véase http://www.us-cert.gov/current/#ssh_key_based_attacks), así como medidas a adoptar en caso que el ataque esté confirmado.

Puesto que esta amenaza es reciente, será relativamente simple hacer el seguimiento (por ejemplo en los enlaces de las distribuciones de Linux que doy arriba) del tiempo que les toma corregir la debilidad.

En cualquier caso, si existen antivirus para Linux, como PandaDesktopSecure for Linux , McAfee LinuxShield y muchos otros.

No hay comentarios:

Publicar un comentario en la entrada

Gracias por comentar este post. Al hacerlo te agradezco que tomes en cuenta que no publicaré:
1.- Comentarios que contengan spam.
2.- Los que sean ofensivos o irrespetuosos.
3.- Los escritos en mayúsculas, porque en la web es considerado como si gritaras.

FeedBurner

Powered by FeedBurner