En dies passats corrien per la xarxa informes d'atacs que aprofiten una vulnerabilitat en PHP, que permet que alguns llocs legítims serveixin pàgines web i anuncis fraudulents, exposant els visitants a la instal·lació de malware en els seus ordinadors. Aquests atacs aprofiten XNUMX:XNUMX vulnerabilitat extremadament crítica de PHP exposada públicament fa ja 22 mesos i per a la qual s'han alliberat les actualitzacions corresponents.
Alguns han començat a assenyalar amb insistència que una bona part dels servidors compromesos en aquests atacs està corrent versions de GNU / Linux, pretenent qüestionar la seguretat d'aquest Sistema Operatiu, però sense entrar en detalls sobre la naturalesa de la vulnerabilitat ni les raons per les quals ha passat això.
Els sistemes amb GNU / Linux infectats, En tots els casos, estan corrent la versió 2.6 de el nucli de Linux, Alliberat el 2007 o anteriors. En cap cas s'esmenta la infecció de sistemes corrent nuclis superiors o que hagin estat degudament actualitzats; però clar, encara hi ha administradors que pensen "... si no està trencat, no necessita acord" i després passen aquestes coses.
D'altra banda, un recent estudi de l'empresa de seguretat ESET, Exposa en detall l'anomenada "Operació Windigo", En la qual mitjançant diversos kits d'atac, entre ells un anomenat Cdorked especialment dissenyat per Apache i altres populars servidors web de codi obert, així com un altre anomenat Ebury SSH, Han estat compromesos més de 26,000 sistemes GNU / Linux des de Maig de l'any passat, potser vol dir que GNU / Linux ha deixat de ser segur?
Primer que tot, posant les coses en context, si comparem els números anteriors amb els gairebé 2 milions d'equips amb Windows compromesos pel bootnet ZeroAccess abans de ser tancat al desembre de l'any 2013, és fàcil concloure que, pel que fa a seguretat, els sistemes amb GNU / Linux segueixen sent més segurs que els que utilitzen el Sistema Operatiu de Microsoft, però És culpa de GNU / Linux que 26,000 sistemes amb aquest SO hagin estat compromesos?
Com en el cas de la vulnerabilitat crítica de PHP comentada anteriorment, que afecta sistemes sense actualitzacions en el seu nucli, aquests altres atacs involucren sistemes en què no es va canviar l'usuari i / o contrasenya per defecte i que mantenien els ports 23 i 80 innecessàriament oberts; llavors Realment és culpa de GNU / Linux?
Evidentment, la resposta és NO, el problema no és el SO que s'utilitzi si no la irresponsabilitat i deixadesa dels administradors d'aquests sistemes que no acaben d'entendre la màxima enunciada per l'expert en seguretat Bruce Schneier que hauria d'estar gravada a foc en nuestrios cervells: La seguretat ÉS un procés NO és un producte.
De res val que instal·lem un sistema provadament segur si després ho deixem abandonat i no vam instal·lar les actualitzacions corresponents tan aviat són alliberades. De la mateixa manera, de res val mantenir actualitzat el nostre sistema si continuen en ús les credencials d'autenticació que apareixen per defecte durant la instal·lació. En ambdós casos, es tracta de elementals procediments de seguretat, Que no per repetits, són aplicats degudament.
Si tens sota el teu compte algun sistema GNU / Linux amb Apache o un altre servidor web de codi obert i vols comprovar si ha resultat compromès, el procediment és senzill. Per al cas de Ebury, Has de obrir un terminal i escriure la següent comanda:
ssh -G
Si la resposta és diferent a:
ssh: illegal option – G
i després el llistat d'opcions correctes per a aquest comando, llavors el sistema està compromès.
Per al cas de Cdorked, El procediment és una mica més complicat. Has obrir un terminal i escriure:
curl -i http://myserver/favicon.iso | grep "Location:"
Si el teu sistema estigués compromès, llavors Cdorked redirigirà la sol·licitud i et donarà la següent sortida:
Location: http://google.com
En cas contrari, no et retornarà res o una localització diferent.
La forma de desinfecció pot semblar basta, però és l'única provada com efectiva: esborrat complet de sistema, Reinstal·lació des de zero i reseteig de totes les credencials d'usuari i administrador des d'un terminal no compromesa. Si et sembla laboriós, pensa que, d'haver canviat oportunament les credencials, no haguessis compromès el sistema.
Per a una anàlisi molt més detallada de les formes d'operar d'aquestes infeccions, així com les formes específiques utilitzades per expandir les mateixes i les corresponents mesures a prendre, suggerim la descàrrega i lectura de l'anàlisi completa de la "Operació Windigo" disponible en el següent enllaç:
Finalment, una conclusió fonamental: No existeix Sistema Operatiu garantit contra administradors irresponsables o descuidats; pel que fa a seguretat, sempre hi ha alguna cosa que fer, ja que el primer i més greu error consisteix a pensar que ja l'hem assolit, o per ventura no ho creus així?
Cert és tot, la gent «passa», i després passa el que passa. El veig cada dia amb el tema de les actualitzacions, ja independentment de sistema (Linux, Windows, Mac, Android ...) que la gent no fa actualitzacions, li dóna vagància, no té temps, no toco per si de cas ...
I no només això, sinó que passen de canviar les credencials per defecte o segueixen utilitzant contrasenyes com «1234» i similars i després es queixen; i si, tens molta raó, no importa quina SO utilitzin, els errors són els mateixos.
Moltes gràcies per passar-te per aquí i comentar ...
Excel·lent! molt cert en tot!
Gràcies pel teu comentari i per passar-te per aquí ...
Un comando mes complet que vaig trobar a la xarxa d'un usuari @Matt:
ssh -G 2> & 1 | grep -i il·legal -i unknown> / dev / null && echo "System clean» || trobo "System infected»
¡Waoh! ... Molt millor, la comanda ja t'ho diu directament.
Gràcies per la contribució i per passar-te per aquí.
Totalment d'acord amb tu, la seguretat és una millora contínua!
Excel·lent article!
Moltes gràcies pel comentari i per passar-te per aquí ...
Molt cert, és un treball de formiga en on sempre cal estar revisant i tenint cura de la seguretat.
Bon article, just ahir a la nit la meva parella m'estava dient sobre l'operació Windigo que va llegir a les notícies: «no que Linux és invulnerable a les infeccions», i li deia que depenia de moltes coses, no només si Linux és o no segur.
Li vaig a recomanar que llegeixi aquest article, encara que no entengui res de tecnicismes XD
Desgraciadament aquesta és la impressió que deixen aquest tipus de notícies, que al meu entendre són tergiversades amb tota intenció, per sort la teva parella a el menys et va comentar, però ara prepara't per a una ronda de preguntes després que es llegeixi l'article.
Moltes gràcies pel comentari i per passar-te per aquí ...
Molt bon article, charlie. Gràcies per prendre el teu temps.
Gràcies a tu per passar-te per aquí i pel teu comentari ...
molt bon article!
abraçada, pablo.
Moltes gràcies Pau, una abraçada ...
Agraït per la informació que publiques, i totalment d'acord amb els criteris explicats, per cert molt bona referència a l'article de Schneier «La seguretat ÉS un procés NO és un producte».
Salutacions des de Veneçuela. 😀
Gràcies a tu per comentar i per passar-te per aquí.
Bones!
En primer lloc primer de tot, excel·lent aportació !! Ho he llegit i ha estat realment interessant, estic completament d'acord amb la teva opinió de que la seguretat és un procés, no un producte, depèn de l'administrador de el Sistema, que et val tenir un sistema super segur si després el deixes aquí sense actualitzar-lo i sense ni tan sols canviar les credencials predeterminades?
Aprofito per fer-te una pregunta si no t'importa, espero que no t'importi respondre.
Mira, realment estic molt entusiasmat amb aquest tema de la seguretat i m'agradaria aprendre més sobre la seguretat en GNU / Linux, en el tema de SSH i en el que és GNU / Linux en general, anem, si no és molèstia, podries recomanar-me alguna cosa per on començar? Un PDF, un «índex», qualsevol cosa que pugui orientar un novell seria de gran ajuda.
Una salutació i moltíssimes gràcies per endavant!
Operació Windigo ... Fins fa poc em vaig adonar d'aquesta situació, tots sabem que la seguretat en GNU / Linux és més que tot responsabilitat de l'administrador. Bé, encara no m'explico com el meu sistema va sortir compromès o sigui, «System Infected» si no he instal·lat res en el sistema que no sigui directament de el suport, i en realitat si de cas és des de fa una setmana que tinc instal·lat Linux Mint, i només he instal·lat lm-sensors, Gparted i portàtil mode tools, llavors em sembla estrany que el sistema s'hagi vist infectat, ara he de suprimir-lo completament i tornar a instal · lar. Ara m'entra el gran dubte de com protegir el sistema ja que aquest es infecte i no es ni com jaja ... Gràcies
gràcies per la informació.
Sempre és important comptar amb mecanismes de seguretat com el que es ressenya en l'article i més quan es tracta de tenir cura de la família, però si vols veure totes les opcions que ofereix el mercat pel que fa a això et convido a visitar http://www.portaldeseguridad.es/