El teu blog de Linux en català

Història dels virus a GNU/Linux

Ahir va aparèixer a MuySeguridad un article molt interessant, on es resumien els virus que han aparegut per a sistemes GNU/Linux. El primer que crida l’atenció d’aquest article és que el nombre de virus per a GNU/Linux és molt baix. Però si llegiu detingudament el resum que fan, encara us cridarà més l’atenció la poca afectació que ha pogut fer aquest virus. Això és degut a que l’arquitectura de GNU/Linux (i en general de tots els sistemes UNIX-like) dificulta molt la seva actuació.

A continuació us faig una traducció literal de l’article de MuySeguridad:

1996:
El grup de crackers VLAD va escriure el primer virus GNU/Linux conegut com a Staog. Feia ús d’una vulnerabilitat en el nucli que li permetia quedar-se com a procés resident i esperar a que s’executés un binari. Un cop executat, el virus s’afegia a aquest fitxer. Després que es descobrís el virus, la vulnerabilitat es va solucionar ràpidament. VLAD també va ser responsable del virus per a Windows 95 Boza.

1997:
El virus Bliss va arribar a GNU/Linux com un virus que s’adjuntava a executables del sistema i evitava que s’executessin. Un usuari havia de tenir accés a root per tal que el virus fos efectiu. A dia d’avui, Debian encara és vulnerable a aquest virus, però l’amenaça és mínima, perquè els usuaris no acostumen a treballar amb root.

1999:
No hi va haver virus importants aquest any, però és curiós el missatge que es va enviar als usuaris de PCs, instant-los a utilitzar Linux. Va arribar en plena època del virus Melissa (per a Windows) i apareixia un missatge en el PC que comentava que el virus Tuxissa anava a  instal·lar Linux. Només era un missatge, sense acció posterior.

2000:
Un virus conegut com a Virus.Linux.Winter.341 va arribar i s’introduïa en arxius ELF (el format executable en Linux). El virus era molt petit, només 341 bytes, i afegia LoTek by Wintermute a la secció de notes de l’arxiu ELF. El virus també permetia el canvi de nom de l’ordinador a Wintermute, però mai no va arribar a obtenir el control de la màquina per aconseguir aquest efecte.

2001:
Aquest any va ser prou mogut en el mercat de virus GNU/Linux perquè va començar amb el virus ZipWorm, que s’adjuntava en qualsevol fitxer Zip que estigués en el mateix directori on s’executava. El següent va ser el virus Satyr que no era maliciós, afegint als fitxers ELF l’entrada unix.satyr version 1.0 (c)oded jan-2001 by Shitdown [MIONS], http://shitdown.sf.**. També va arribar un virus anomenat Ramen que substituia els fitxers index.html amb la seva pròpia versió que Ramen Crew a la part superior i un paquet de Ramen Noodles a la part inferior. Una altra de les amenaces Linux del 2001 va ser el cuc Cheese que bloquejava les portes posteriors creades pel virus Ramen.

2002:
Una vulnerabilitat per a Apache va servir de guia per la creació i expansió del cuc Mughty (Mighty?). El cuc explotava la vulnerabilitat en la interfície SSL d’Apache que infectava els ordinadors de manera silenciosa. Posteriorment, es creava una connexió a un servidor IRC i s’esperava en un canal per rebre instruccions / ordres.

2003:
Aquest any van arribar virus no maliciosos com Rike, escrit en assemblador i que s’adjuntava als fitxers ELF. Un cop adjunt, expandia l’espai que ocupava el fitxer i escrivia RIKE en aquest espai lliure.

2004:
De manera similar al virus anterior, va arribar el virus Binom que expandia la mida del fitxer i escrivia l’entrada [ Cyneox/DCA en aquest espai. El virus s’expandia després d’executar-se el fitxer infectat.

2005:
El cuc Lupper va començar a expandir-se entre servidors web Linux vulnerables. El cuc buscava una URL específica i intentava utilitzar un exploit que aprofitava una vulnerabilitat PHP/CGI. Si el servidor permetia rebre ordres remotes i de descàrrega de fitxers, començava la infecció i continuava buscant altres servidors a infectar.

2006:
Va aparèixer una variant del cuc Mighty de 2002 conegut com a Kaiten. Obria una connexió a un canal IRD i esperava ordres per ser executades.

2007:

Un exploit d’OpenOffice va servir per expandir un virus conegut com a BadBunny. Aquest virus infectava Windows, Mac y Linux. El virus creava un fitxer badbunny.py i un script XChat creava badbunny.pl, un virus Perl que infectava altres fitxers Perl. També hi va haver un troià de renom, Rexob, que un cop en la màquina obria una porta posterior que permetia l’execució de codi.

2009:
L’any passat hi va haver un problema per als usuaris de GNOME que mitjançant la descàrrega de «salvapantalles» i altres fitxers aparentment segurs, hostatjaven un salvapantalles conegut com a WaterFall. Un cop instal·lat en la màquina, obria una porta posterior que causava que la màquina participés en atacs DDoS. Aquest tipus d’atacs van afectar a webs com MMOwned.com.

2010:
Aquest any va arribar el cuc koobface que s’expandia a través de les xarxes socials i tenia com a objectius equips Windows, Mac i més recentment GNU/Linux. Un cop infectat l’equip, el virus intentava aconseguir informació de login de FTP i xarxes socials. Un cop que es coneixia la contrasenya, el virus enviava un missatge infectat a tots els teus contactes.

Descobert codi maliciós dins d'un salvapantalles de Gnome-look.org

Atenció! Tots hem fet propaganda alguna vegada del nostre sistema operatiu lliure tot dient que “Ubuntu/Debian/Fedora/etcètera és molt millor que Windows/Mac/El rei d’Espanya, perquè no té virus”, però de vegades l’experiència insisteix en demostrar-nos que ens equivoquem.

I és que a la pàgina web gnome-look.org (una de les pàgines de referència per obtenir complements d’aparença, icones, fons d’escriptori… per a GNOME) s’ha descobert que un usuari havia penjat un paquet .deb corresponent a un aparentment inocu salvapantalles contenia un codi maliciós, aparentment malware, que enviava informació sobre l’ordinador on s’instal·lava i era capaç d’actualitzar-se a ell mateix.

Aquest arxiu defectuós ha estat ràpidament eliminat de la plana web quan un usuari ho va descobrir i ho va fer públic. Aquí podeu veure el fil de discussió als fòrums d’Ubuntu.

Per sort, si us heu baixat aquest arxiu, hi ha una solució fàcil. A la terminal:

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app5552

PRECAUCIÓ: EXECUTEU NOMÉS AQUESTA ORDRE SI SOSPITEU QUE PODEU ESTAR AFECTATS PER LA INCIDÈNCIA.

Si teniu algun problema addicional, podeu consultar el fil que he posat més amunt.

Cal que pensem que realment no hi ha cap sistema informàtic totalment invulnerable als atacs. Linux és segur si l’usuari actua de manera segura, gràcies a que hi ha moltíssims experts que desinteressadament fan la tasca de comprovar la seguretat de tot el codi que utilitzen els nostres ordinadors, sempre que l’obtinguem d’una font de confiança.

Per tant, compte a l’hora de donar permisos d’execució a programes baixats d’internet, perquè no totes les coses que instal·lem poden ser segures, i ens podem estar baixant qualsevol marranada. El programari predeterminat, el procedent dels repositoris oficials… és de ben segur completament lliure de codi maliciós, però cal estar sempre a l’aguait!

En fi, un petit ensurt, i per sort una solució senzilla 🙂

Salut!

Font.

Descobert un troià per a Linux a un salvapantalles de gnome-look

Havia d’arribar algun dia. S’ha informat de l’aparició d’un troià ocult a dins d’un paquet .deb a la famosa pàgina Gnome-Look (una pàgina on es poden trobar icones, fons d’escriptori, temes, etc. que en alguns casos ja venen empaquetats per a diferents distribucions).

Sembla que la instal·lació d’aquest paquet .deb, destinat a usuaris no avançats i que afecta a sistemes Debian, instal·la un script que deixa el sistema preparat per al llançament d’atacs de denegació de servei (DDoS). Si això no fora suficient, el troià s’actualitza ell mateix baixant noves versions del mateix. Sembla que, a més, aquest troià s’ha pujat uns quants cops a la web de gnome-look per facilitar la seua propagació. S’ha informat que al tema “ninja black” també s’ha trobat aquest troià.

Eliminació del troià

Per eliminar el troià cal eliminar una sèrie d’scripts (en cas que es troben al nostre sistema). Només cal executar les dues següents ordres que, per una part, eliminar els scripts i el deb instal·lat:

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash
sudo dpkg -r app5552

Un cop fet això, estarem fora de perill.

Aneu amb compte

Fa un parell de dies el PellRoja va iniciar un fil al fòrum per fer una mica d’autocrítica respecte a GNU/Linux. Entre els punts comentats, estava els dels virus. Actualment és complicat que Linux quede infectat, però això no vol dir que siga impossible. Davant d’usuaris ingenus que instal·len qualsevol paquet trobat a qualsevol lloc, la fortalesa de Linux cau. I això és el que ha passat amb aquest paquet: gnome-look no és realment una pàgina de confiança, o no com ho poden ser els repositoris oficials i de la comunitat de diferents distribucions. Per tant, a partir d’ara caldrà anar amb molt de compte amb quins paquets instal·leu: caldrà que comproveu sempre que les fonts són de confiança.

I no ens em de confondre: usuaris no avançats som tots aquells que som incapaços de mirar el codi font o entendre una miqueta com funciona. Hi ha molta gent al darrere “vigilant” per nosaltres, però això no vol dir que hagem de baixar la guàrdia. Gnome-look és una pàgina molt important per al programari lliure (a l’igual que kde-look), per la qual cosa hauran de canviar la seua política en aquest aspecte per poder assegurar als usuaris que allò que es baixen és de confiança.

Virus a GNU/Linux mitjançant Wine?

Ho vaig veure primer a Slashdot i ahir ja en parlaven altres pàgines com The Inquirer, la font original de tot és un bloc anomenat opensourcenerd. El titular, tot i així, porta a confusió: ha de quedar clar que els virus afecten només als programes que fan servir Wine, no al sistema en general.

3060834097_9c15383c90

Sembla que Wine ha avançat tant amb el seu desenvolupament que ha aconseguit la possibilitat de poder ser infectat per un virus fet per a windows. Des d’aquest bloc que us comentem, es va fer l’experiment d’instal·lar un anomenat malware que es pot trobar per internet i que es fa passar per antivirus, l’anomenat Windows Police Pro.

Wine executa tan bé aquest programa que el procés d’infecció s’inicia correctament. Així, el sistema Wine es va modificar incloent explorer.exe, cosa que va suposar que per netejar-ho tot calguera purgar el paquet wine i tornar a instal·lar-lo. Sense cap mena de dubte una experiència curiosa.

Potser caldria que alguns programadors de GNU/Linux es dedicaren a programar virus de forma seriosa per veure com reacciona el sistema ja que tots sabem que, tot i que actualment el tema dels virus no ens preocupa, en un futur podria ser un problema. Millor estar preparats.

Llegiu també:

Recull – 21/2/2009

Poc a dir. La setmana passada vam veure un pis a Barcelona, ens van dir que complíem els requisits, que només ens quedava reunir-nos amb el propietari del pis. Van passar els dies i el propietari ens va deixar tirats més d’una vegada. Després d’una setmana ens van trucar i ens van dir que “una familiar del propietari s’havia quedat sense pis i li l’havia de deixar”. En fi, una putada com una casa (o com un pis). I mentrestant, al món del programari lliure:

ubuntu-release-cycle_6

Primer virus per a GNU/Linux?

Fa molt de temps vam escriure un article sobre els virus a GNU/Linux (i un altre també sobre antivirus). Les conclusions finals no van ser que “a GNU/Linux no puguen existir virus” ni que “no existisquen”, sinó que GNU/Linux és un sistema molt més segur per la seua política de desenvolupament en comparació a altres sistemes tancats.

Abans de continuar amb el tema i la notícia d’actualitat, us recomanem que llegiu aquest article sobre virus a GNU/Linux (en castellà), ja que és prou complet i resoldrà molts dels vostres dubtes sobre aquest tema.

La qüestió és que el dia 5 d’agost va aparèixer un informe de Symantec avisant d’un troià per a GNU/Linux. Es tracta d’un troià que es troba a dins d’un fitxer infectat que entra al sistema quan l’instal·lem. Clar, això requereix permisos de superusuari i sembla que eixe és el moment en el qual el “virus” entra a l’ordinador.

Ara bé, cal anar fil per randa i veure què vol dir això i en quines situacions es podria produir la infecció. Podria tractar-se d’un fitxer empaquetat (deb, rpm, etc.) o d’un fitxer binari que, per instal·lar-lo, calguera introduir la contrasenya de root.

Però és que una situació com aquesta és molt complicada que es produïsca a GNU/Linux, ja que gairebé el 100% dels fitxers binaris o paquets precompilats a GNU/Linux són programari lliure, el codi font del qual està constantment revisat per diferents usuaris.

Això significaria que el troià només es trobaria a pàgines no “oficials” i no a cap repositori. És a dir, els paquets que instal·lem els usuaris de linux provenen sempre de pàgines tipus sourceforge o google code o repositoris oficials. O bé de programari privatiu, però que és de companyies que desenvolupen programes per a linux, a les quals no els interessa ficar un virus al seu paquet (ja, el programa privatiu és un virus en si mateix).

Així que per infectar el sistema amb aquest virus, caldria baixar-se un fitxer que ningú sap on es troba ni què fa, instal·lar-lo amb permisos de superusuari i aleshores el troià ens infectaria. Una mica ridícul, no?. Si no ho creieu així, els de Symantec us ofereixen la seua seguretat per un mòdic preu.

En conclusió: això que han descobert els de Symantec no és res per la qual cosa els usuaris de GNU/Linux ens hagem d’amoïnar. Un virus de debò no ens demanaria la contrasenya per obtindre permisos de superusuari, sinó que aprofitaria un forat de seguretat per aconseguir privilegis. I, gràcies a Sant iGNUcius, GNU/Linux és un sistema on els forats de seguretat són corregits molt abans que un virus comence a respirar.

GNULinux||||CAT - Si no s'indica el contrari, el contingut text es troba disponible sota els termes d'una llicència Atribució - CompartirIgual 3.0

Delicately crafted using Franz Josef theme and WordPress.