[ubuntu-ar] Malware escondido en un salvapantallas

martin martin.ayos at gmail.com
Thu Dec 10 17:21:44 GMT 2009 

-----Mensaje original-----
De: Marcelo Fernandez <marcelo.fidel.fernandez en gmail.com>
Reply-to: Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
Para: Ubuntu User Group Argentina <ubuntu-ar en lists.ubuntu.com>
Asunto: Re: [ubuntu-ar] Malware escondido en un salvapantallas
Fecha: Thu, 10 Dec 2009 14:05:33 -0300

El día 10 de diciembre de 2009 12:49, martin <martin.ayos en gmail.com> escribió:
>
> Pero con bajar de los repositorios oficiales ya está, no? Una consulta.

Hola Martín,

Sí, al bajar de repositorios oficiales el software gestor de paquetes
está chequeando la "firma digital" de cada paquete. Si coincide, tenes
un altísimo grado de probabilidad que el paquete haya sido publicado
únicamente por quien lo firmó (la gente de Ubuntu en este caso). Si
fue modificado (supongamos, alguien vulnera el sitio desde donde lo
bajás y modifica en su beneficio un paquete), la firma no coincide en
la enorme mayoría de los casos (la probabilidad es tan baja que es
despreciable), y el gestor de paquetes te avisa de eso. Vos podés
continuar, bajo tu propio riesgo, o cancelarlo y avisar o esperar.

Por otra parte, también podés agregar repositorios extra de otros
programas (Google, Virtualbox, Getdeb, etc.), con lo cual se aplica la
misma idea: al momento de agregar el repositorio tenés que importar la
"firma digital" del repositorio en cuestión para el momento de
bajar/actualizar los paquetes en sí. Todo este esquema es
relativamente seguro, y no molesta tanto al usuario.

Lo que era más "cargoso" al agregar un repositorio extra (importar la
firma del repositorio), a partir de Ubuntu 9.10 se simplifica con el
comando "apt-add-repository" (que creo que por ahora sólo funciona con
los repositorios PPA de Ubuntu). También para versiones posteriores
creo que se extenderá al navegador.

> Existe solo la posibilidad de que se ejecute en un paquete .deb? qué
> sucede si descomprimo o instalo un tar? Es lo mismo, no? Pregunto esto
> porque subí y bajé varias cosas de Gnome-Look. Más que nada wallpapers y
> skydomes y algún que otro tema. Me parecía un lugar copado, la gente
> tiene buena onda. con las imágenes no hay problema y con los temas,
> aunque se instalen tampoco, supongo, porque no hay que darles
> privilegios. Me refiero a bajar algo de sourceforge por ejemplo o de
> getdeb,siguen siendo seguros? Pregunto desde mi total ignorancia. No uso
> antivirus porque me molestan, pero sí visto estos sitios. gnome-look no
> me parece que sea un mal lugar. Pero bueno, ahora muchos no vamos a
> visitarlo. Es una pena. Un abrazo.

Mirá, en este punto es todo igual a Windows. Simplificando, un malware
tiene que ejecutarse para funcionar. Si bajás un .tar, lo
descomprimís, y hay un archivo .jpg, no hay problema, ya que lo que
ejecutás para verlo es el Eye of Gnome (/usr/bin/eog). Lo mismo con
los skydomes (son archivos gráficos) que los abre compiz, y demás. Son
recursos que en su gran mayoría son utilizados por programas que ya
están en tu disco. Con lo cual el riesgo es mínimo, sólo hay que saber
diferenciar entre "ejecutar" algo y "abrirlo".

En fin, gnome-look.org es confiable. Pero hay que tener cuidado, y
preguntar ante cualquier "anormalidad". :-)

Espero haberte aclarado un poco el tema.

Saludos
-- 
Marcelo F. Fernández
Buenos Aires, Argentina
Licenciado en Sistemas - CCNA

E-Mail: marcelo.fidel.fernandez en gmail.com
Blog: http://blog.marcelofernandez.info
Twitter: http://twitter.com/fidelfernandez

---------
Sí, muchas gracias, Marcelo. Tu respuesta me parece super clara. En
general no ejecuto nada como sudo o root si no estoy seguro. Pero me
preocupaba el tema de get deb, por ejemplo, porque la instalación está
tan automatizada que es bastante difícil. Claro, podés bajar el paquete
sin instalarlo, pero igual. Es verdad, no había pensado en el tema de
las firmas digitales, eso me deja mucho más tranquilo. En cuanto a las
imágenes, mi pregunta ya está respondida. Se trata de no ejecutar nada,
lo sabía, pero uno se pone bastante paranoico. Te consulto algo que
tiene y no tiene que ver con esto: el Clam sirve para algo? En realidad
nunca tuve virus, ni siquiera cuando usaba Win. Pero en Win chequeaba
todo con el nod32, no sé si sigue el mismo, en mi trabajo (es mi único
encuentro con Win, está el nod). Además, si existe un malware que se
"instala" y ejecuta como root, es posible rastrearlo y eliminarlo,
verdad? no bastaría con ver, por ejemplo, el archivo de sucesos y a
partir de allí saber qué se hizo para deshacerlo? No lo sé, pregunto
porque me resisto a usar antivirus en linux.


-- 
Martín Ayos
=======================
http://xlibro.com.ar/
http://www.philosophia.com.ar
http://www.ratakruel.com.ar
=======================
Ubuntu User: #  25000
Linux User # 481475
=======================
“Aquí estoy, flotando alrededor de mi lata
lejos, encima de la Luna
el planeta Tierra es azul
y yo no puedo hacer nada..”

More information about the Ubuntu-ar mailing list