Seguridad en sistemas GNU/Linux, ¿Depende del sistema o del administrador?

En días pasados corrían por la red reportes de ataques que aprovechan una vulnerabilidad en PHP, que permite que algunos sitios legítimos sirvan páginas web y anuncios fraudulentos, exponiendo a los visitantes a la instalación de malware en sus ordenadores. Estos ataques aprovechan una vulnerabilidad extremadamente crítica de PHP expuesta públicamente hace ya 22 meses y para la que se han liberado las actualizaciones correspondientes.

Algunos han comenzado a señalar con insistencia que una buena parte de los servidores comprometidos en estos ataques está corriendo versiones de GNU/Linux, pretendiendo cuestionar la seguridad de este Sistema Operativo, pero sin entrar en detalles sobre la naturaleza de la vulnerabilidad ni las razones por las cuales ha sucedido esto.

Los sistemas con GNU/Linux infectados, en todos los casos, están corriendo la versión 2.6 del kernel de Linux, liberado en 2007 o anteriores. En ningún caso se menciona la infección de sistemas corriendo kernels superiores o que hayan sido debidamente actualizados; pero claro, aún existen administradores que piensan “… si no está roto, no necesita arreglo” y luego pasan estas cosas.

Por otra parte, un reciente estudio de la firma de seguridad ESET, expone en detalle la llamada “Operación Windigo”, en la que mediante varios kits de ataque, entre ellos uno llamado Cdorked especialmente diseñado para Apache y otros populares servidores web de código abierto, así como otro llamado Ebury SSH, han sido comprometidos más de 26,000 sistemas GNU/Linux desde Mayo del pasado año, ¿Acaso significa esto que GNU/Linux ha dejado de ser seguro?

Primero que todo, poniendo las cosas en contexto, si comparamos los números anteriores con los casi 2 millones de equipos con Windows comprometidos por el bootnet ZeroAccess antes de ser cerrado en Diciembre del 2013, es fácil concluir que, en cuanto a seguridad, los sistemas con GNU/Linux siguen siendo más seguros que los que utilizan el Sistema Operativo de Microsoft, pero ¿Es culpa de GNU/Linux que 26,000 sistemas con ese SO hayan sido comprometidos?

Como en el caso de la vulnerabilidad crítica de PHP comentada anteriormente, que afecta a sistemas sin actualizaciones en su kernel, estos otros ataques involucran sistemas en los que no se cambió el usuario y/o contraseña por defecto y que mantenían los puertos 23 y 80 innecesariamente abiertos; entonces ¿Realmente es culpa de GNU/Linux?

Evidentemente, la respuesta es NO, el problema no es el SO que se utilice si no la irresponsabilidad y dejadez de los administradores de esos sistemas que no acaban de entender la máxima enunciada por el experto en seguridad Bruce Schneier que debería estar grabada a fuego en nuestrios cerebros: La seguridad ES un proceso NO es un producto.

De nada vale que instalemos un sistema probadamente seguro si luego lo dejamos abandonado y no instalamos las actualizaciones correspondientes tan pronto son liberadas. De igual manera, de nada vale mantener actualizado nuestro sistema si continúan en uso las credenciales de autenticación que aparecen por defecto durante la instalación. En ambos casos, se trata de elementales procedimientos de seguridad, que no por repetidos, son aplicados debidamente.

Si tienes bajo tu cuidado algún sistema GNU/Linux con Apache u otro servidor web de código abierto y quieres comprobar si ha resultado comprometido, el procedimiento es sencillo. Para el caso de Ebury, debes abrir un terminal y escribir el siguiente comando:

ssh -G

Si la respuesta es distinta a:

ssh: illegal option – G

y luego el listado de opciones correctas para ese comando, entonces tu sistema está comprometido.

Para el caso de Cdorked, el procedimiento es un poquito más complicado. Debes abrir un terminal y escribir:

curl -i http://myserver/favicon.iso | grep "Location:"

Si tu sistema estuviera comprometido, entonces Cdorked redireccionará la solicitud y te dará la siguiente salida:

Location: http://google.com

Caso contrario, no te retornará nada o una localización diferente.

La forma de desinfección puede parecer burda, pero es la única probada como efectiva: borrado completo del sistema, reinstalación desde cero y reseteo de todas las credenciales de usuario y administrador desde una terminal no comprometida. Si te parece trabajoso, piensa que, de haber cambiado oportunamente las credenciales, no hubieras comprometido el sistema.

Para un análisis mucho más detallado de las formas de operar de estas infecciones, así como las formas específicas utilizadas para expandir las mismas y las correspondientes medidas a tomar, sugerimos la descarga y lectura del análisis completo de la “Operación Windigo” disponible en el siguiente enlace:

Operación Windigo

Por último, una conclusión fundamental: No existe Sistema Operativo garantizado contra administradores irresponsables o descuidados; en cuanto a seguridad, siempre hay algo que hacer, pues el primer y más grave error consiste en pensar que ya la hemos alcanzado, ¿o acaso no lo crees así?


Categorías

GNU/Linux

Charlie-Brown

Cacharrero de hardware desde hace años, entusiasta del software libre (y de todo lo que signifique libertad), aunque sin llegar a ser un... Ver perfil ›

21 comentarios

  1.   Leo dijo

    Cierto es todo, la gente “pasa”, y luego pasa lo que pasa. Lo veo a diario con el tema de las actualizaciones, ya independientemente del sistema (Linux, Windows, Mac, Android…) que la gente no hace actualizaciones, le da vagancia, no tiene tiempo, no toco por si acaso…

    1.    Charlie-Brown dijo

      Y no solo eso, sino que pasan de cambiar las credenciales por defecto o siguen utilizando contraseñas como “1234” y similares y después se quejan; y si, tienes mucha razón, no importa cuál SO utilicen, los errores son los mismos.

      Muchas gracias por pasarte por aquí y comentar…

  2.   Axl dijo

    Excelente! muy cierto en todo!

    1.    Charlie-Brown dijo

      Gracias por tu comentario y por pasarte por acá…

  3.   Percaff_TI99 dijo

    Un comando mas completo que encontré en la red de un usuario @Matt:

    ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

    1.    Charlie-Brown dijo

      ¡Waoh!… Mucho mejor, el comando ya te lo dice directamente.

      Gracias por la contribución y por pasarte por aquí.

  4.   vidagnu dijo

    Totalmente de acuerdo contigo, la seguridad es una mejora continua!

    Excelente artículo!

    1.    Charlie-Brown dijo

      Muchas gracias por el comentario y por pasarte por acá…

  5.   Thalskarth dijo

    Muy cierto, es un trabajo de hormiga en donde siempre hay que estar revisando y cuidando la seguridad.

  6.   babel dijo

    Buen artículo, justo ayer en la noche mi pareja me estaba diciendo acerca de la operación Windigo que leyó en las noticias: “no que Linux es invulnerable a las infecciones”, y le decía que dependía de muchas cosas, no sólo si Linux es o no seguro.
    Le voy a recomendar que lea este artículo, aunque no entienda nada de tecnicismos XD

    1.    Charlie-Brown dijo

      Desgraciadamente esa es la impresión que dejan ese tipo de noticas, que en mi opinión son tergiversadas con toda intención, por suerte tu pareja al menos te comentó, pero ahora prepárate para una ronda de preguntas después que se lea el artículo.

      Muchas gracias por el comentario y por pasarte por aquí…

  7.   federico dijo

    Muy buen articulo, charlie. Gracias por tomarte tu tiempo.

    1.    Charlie-Brown dijo

      Gracias a ti por pasarte por aquí y por tu comentario…

  8.   usemoslinux dijo

    muy buen artículo!
    abrazo, pablo.

    1.    Charlie-Brown dijo

      Muchas gracias Pablo, un abrazo…

  9.   Joseph dijo

    Agradecido por la información que publicas, y totalmente de acuerdo con los criterios explicados, por cierto muy buena referencia al articulo de Schneier “La seguridad ES un proceso NO es un producto”.

    Saludos desde Venezuela. 😀

    1.    Charlie-Brown dijo

      Gracias a ti por comentar y por pasarte por acá.

  10.   otkmanz dijo

    Buenas!
    En primer lugar antes que nada, excelente aporte!! Lo he leído y ha estado realmente interesante, estoy completamente de acuerdo con tu opinión de que la seguridad es un proceso, no un producto, depende del administrador del Sistema, de que te vale tener un sistema super seguro si luego lo dejas ahí sin actualizarlo y sin ni siquiera cambiar las credenciales predeterminadas?

    Aprovecho para hacerte una pregunta si no te importa, espero que no te importe responder.
    Mira, realmente estoy muy entusiasmado con este tema de la seguridad y me gustaría aprender más sobre la seguridad en GNU/Linux, en el tema de SSH y en lo que es GNU/Linux en general, vamos, si no es molestia, podrías recomendarme algo por donde empezar? Un PDF, un “índice”, cualquier cosa que pueda orientar a un novato sería de gran ayuda.
    Un saludo y muchísimas gracias por adelantado!

  11.   Valfar dijo

    Operación Windigo… Hasta hace poco me di cuenta de esta situación, todos sabemos que la seguridad en GNU/Linux es más que todo responsabilidad del administrador. Bueno, aún no me explico como mi sistema salió comprometido osea, “System Infected” si no he instalado nada en el sistema que no sea directamente del soporte, y en realidad si acaso es desde hace una semana que tengo instalado Linux Mint, y solo he instalado lm-sensors, Gparted y laptop mode tools, entonces me parece extraño que el sistema se haya visto infectado, ahora tengo que eliminarlo por completo y volver a instalar. Ahora me entra la gran duda de como proteger el sistema ya que este se infecto y no se ni como jaja… Gracias

  12.   anon dijo

    gracias por la informacion.

  13.   Gabriel dijo

    Siempre es importante contar con mecanismos de seguridad como el que se reseña en el artículo y más cuando se trata de cuidar a la familia, pero si quieres ver todas las opciones que ofrece el mercado con respecto a esto te invito a visitar http://www.portaldeseguridad.es/

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.