Spyware

[Dino Kerriou]

dejo algo de datos

Linux es seguro

Sí, Linux es bastante seguro. De hecho un virus deberá utilizar algun
despiste de configuración en el sistema para poder colarse hasta tener
acceso a todas sus partes.

Está claro que actualmente usar Linux es el mejor antivirus que existe. No
he visto a nadie que haya sufrido un virus en Linux y eso que conozco a
mucha gente que usa Linux masivamente. Es posible que con el tiempo esta
situación vaya cambiando y Linux sea otro escenario donde se libren las
batallas entre programadores de virus y de antivirus. Por el momento, salvo
experimentos de laboratorio, estamos a salvo.
¿Cómo podemos hacer una escalada de privilegios?

Exploits

Un exploit es un programa que aprovecha un fallo en el sistema para
conseguir algo no permitido de él. Si un virus incluye ese código dentro del
suyo, podría conseguir acceder a zonas no permitidas y hacerse con el
control del sistema.

Este enfoque ha sido utilizado en varios virus para Linux, como el staog por
Quantum/VLAD, pero implica la extinción del virus en cuanto el fallo que
explota el exploit sea subsanado. Algunos virus intentan aprovecharse del
exploit, y si no tiene éxito, eliminan el código del exploit del resto de
infecciones.

Este enfoque es más propio de entornos menos dinámicos en cuanto a
correcciones de fallos en programas, como Windows (poca gente actualiza
periódicamente su navegador o su editor de textos). En entornos de
desarrollo open source los fallos suelen ser detectados y subsanados más
dinámicamente.

LKMs (Loadable Kernel Modules)

Hemos dicho en la introducción que el núcleo de Linux es monolítico, pero
tiene un sistema de carga y descarga de módulos que permite un uso más
eficiente de los controladores de dispositivos (drivers).

Un módulo del kernel (o LKM) se ejecuta en RING-0, dentro del espacio
reservado para el kernel, es decir, tiene un poder total sobre la máquina.
Es posible programar LKMs que tengan más poder o que engañen a "root", por
lo que si un virus lograse cargar un módulo dentro del módulo, podría ser
una pesadilla para el administrador de la máquina, y el único límite de
acción serían las limitaciones físicas de los dispositivos.

Con un LKM se puede hacer de todo: ocultar procesos, modificar tamaños de
archivos, etc. por lo que puede que los futuros virus de Linux incluyan LKMs
para sus propósitos.

Windows/Linux

Muchos de los ordenadores personales que utilizan los usuarios de Linux,
aunque a veces cueste reconocerlo, tienen una partición con Windows. Existen
varias herramientas para acceder a particiones Linux desde Windows, de las
que explore2fs quizá sea la más conocida.

Si un virus atacase un sistema Windows, consiguiese los privilegios
suficientes como para acceder al disco duro y buscar un fichero clave dentro
de la partición Linux -como pueda ser "init" (el proceso inicial del que se
crean todos los demás proceos) o la shell que use "root"- todas las
protecciones de Linux como tal habrían sido inútiles. Aunque suene un poco
fuerte: la inseguridad inherente de Windows actuaría como "Caballo de Troya"
contra el sistema Linux.

Existe otra herramienta bastante utilizada, VMWare, que permite tener varias
máquinas virtuales corriendo Sistemas Operativos diferentes. Es también muy
común tener Windows y Linux funcionando al mismo tiempo con VMWare. En lugar
de tener que esperar a que el sistema rearranque con Linux como en el caso
anterior, la infección podría hacerse directamente, ya que VMWare es
fácilmente detectable (utiliza un RING que no es ni 0 ni 3).

fork() y crack

Un virus desde una cuenta de usuario podría armarse de paciencia y crear un
proceso con muy baja prioridad (para no interferir en el rendimiento normal
del sistema) que intentase crackear las contraseñas por fuerza bruta.

Imaginemos un sistema automatizado, en el que el administrador entra sólo
cada semana a retocar 4 cosas, pero no hay una supervisión real. Un virus
podría colarse desde una cuenta sin privilegios, y estar un par de semanas
intentando crackear las contraseñas. Una vez conseguido esto, sólo queda dar
el salto a "root" y de ahí a donde quiera (kernel, otros ordenadores...).
Entonces... ¿por qué no hay (casi) virus para Linux?

Perfil del usuario medio

Actualmente el usuario medio de Linux tiene poco que ver con el usuario
medio de Windows o Macintosh. Quizá mucha gente cayó con lo de "Enanito sí,
pero que pedazo de coj...", pero esto tendría poco éxito en un entorno de
usuarios de Linux.

La gente acostumbra a conocer el origen de sus programas, y examina su
código fuente. No quiero decir que *todos* los usuarios de Linux lo hagan,
pero sí hay un grupo importante de gente que lo hace y lo comenta al resto.

Las llamadas "técnicas de ingeniería social" (es decir, hacer uso de la
candidez del usuario que recibe un virus o gusano) tienen muchas más
dificultades con usuarios de Linux.

Filosofía del software

Como acabo de comentar, que Linux sea de código abierto y haya una
mentalidad clara en cuanto a ese tema, dificulta ocultar código en los
programas.

Ken Thompson dijo que ningún software creado por otro podía ser confiable,
especialmente si había sido creado por él. Tal y como explicó en una
conferencia en mitad de la década de los 80, Thompson había introducido un
sistema de autorreplicación y "troyanización" en todo compilador C para UNIX
que le permitió hasta entonces poder entrar como "root" en todo sistema
hasta la fecha. Si alguien quiere saber cómo se las ingenió el bueno de
Thompson, lo explicaré por email gustosamente, o bien esperáis al turno de
preguntas O:-)

Pocos VXers linuxeros

Todavía hay pocos escritores de virus que usan Linux habitualmente. Algunos
han instalado Linux en una partición para hacer sus pruebas y conocen
bastantes cosas de él, pero no tienen en absoluto la soltura que han
conseguido durante años de uso de DOS y Windows.

Supongo que esto cambiará con el tiempo, y pronto los VXers usarán Linux a
diario. Cuando esto ocurra, yo creo que habrá una nueva hornada de virus
para Linux programados desde la experiencia, no como un experimento de
laboratorio.

¿Y qué puede pasar en el futuro?

   - Más usuarios novatos
   - Más empresas usan Linux -> Menos Open Source
   - Más configuraciones "click&play" -> Menos robustez del sistema
   - Más VXers linuxeros

Conclusión
Solución: una buena "salud" informática

Es decir:

   - Actualizar las versiones de nuestros programas para evitar bugs.
   - Conseguir los programas de fuentes fidedignas.
   - Utilizar siempre que sea posible la versión en código fuente de los
   programas.
   - No ejecutar todo lo que nos llegue por Internet
   - ...

Todo ese tipo de cosas que, como espero haya quedado claro ;-), utilizan los
virus para colarse en nuestros sistemas.
Para saber más...

   - http://vx.netlux.org/29a <http://vx.netlux.org/29a/main.html>:
   Página de 29a, el grupo de virus de más nivel de la viruscene actual.
   - http://pagina.de/wintermute: Página de wintermute, gran VXer y amigo
   ;-)
   - http://linuxassembly.org: Página de ensamblador en Linux

Fuente http://www.kriptopolis.org/node/2275


El día 28/06/07, Dino Kerriou <greenfrognet en gmail.com> escribió:
>
> Hola, en Linux no existe ningún Spyware o Virus de Potencial peligrosidad,
> simplemente NO existe, hay uno que otro pero se limitan a ser mas bien como
> pruebas y cosas raras. si tienes Linux y la paranoia te consume instala
> Firestater, un firewall,  esta en los repositorios de ubuntu, y es muy
> bueno.
>
> si alguien pudiera dar la explicación técnica exacta de por que no hay
> virus ni spyware den linux seria ideal.
>
> Saludos
>
>
> El día 28/06/07, Gabriel Patiño <gepatino en gmail.com> escribió:
> >
> > El 28/06/07, Iván Argulo <ivanargulo en gmail.com> escribió:
> > > Hola Laura:
> > >
> > > Supongo que si hay anti spyware un sistema Linux, tendrá que haber spy
> > ware
> > > en ese sistema... no tendría mucho sentido que sólo escaneara para
> > amenazas
> > > bajo Windows... básicamente porque no afectarían a Linux...
> > >
> > > No sé, en este campo hablo un poco desde la ignorancia... Pero gracias
> > por
> > > tu comentario, me da que pensar y por donde seguir buscando :D
> > >
> >
> > Hola Iván,
> >
> > Hace años que uso linux tanto para servidores como para equipos de
> > escritorios (y notebooks) y nunca tuve problemas de spyware.
> >
> > Si bien es posible que algun programa tenga una vulnerabilidad que
> > permita la instalacion de un programa de spyware, mientras mantengas
> > tu sistema actualizado es muy poco probable que esto ocurra. En mi
> > caso, nunca desde el año 99 (alguien puede afirmar lo mismo con
> > Windows? :)
> >
> > La razón por la cual es muy poco probable que esto pase es muy simple:
> > El software libre (no solo Linux, sino todo el soft libre en general:
> > firefox, gaim, evolution, etc) es constantemente revisado por cientos,
> > si no miles, de exelente programadores. Estas personas altamente
> > capacitadas tienen como unica motivación hacer software de calidad sin
> > los problemas que se encuentran en otros tipos de sistemas, y de echo
> > generalmente lo hacen sin recibir un peso a cambio.
> > El concepto de seguridad en el soft libre es un tema de orgullo
> > propio, y contra eso es muy dificil de pelear. Entre tantos
> > programadores (realmente son muchos) hay un montón que saben muchisimo
> > de seguridad y no dejan pasar una oportunidad de error. Y lo que es
> > mejor, si se detecta un error que pueda comprometer sus máquinas (y
> > por lo tanto la tuya) lo solucionan en cuestión de horas y los parches
> > estarán disponibles como actualizaciones en tu distro como mucho en 24
> > horas.
> >
> > Ese es el motivo principal por el que no hay (mejor dicho, no conozco
> > que haya) software anti spyware. No tiene sentido hacer un programa
> > que arregle errores de otros programas cuando los programas originales
> > son constantemente verificados y mejorados.
> >
> > Bienvenido al mundo del software libre :) Aca no necesitas
> > desperdiciar recursos de tu computadora con antivirus ni programas que
> > no hacen mas que corregir errores de programacion de otros :)
> >
> > Saludos,
> > --
> > Gabriel E. Patiño
> >
> > Un amigo necesita ayuda --> http://www.ayudemosaezequiel.com.ar
> >
> > --
> > ubuntu-es mailing list
> > ubuntu-es en lists.ubuntu.com
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-es
> >
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ubuntu.com/archives/ubuntu-es/attachments/20070628/71d7e189/attachment-0001.htm