Dr Web, la compañía rusa líder en producir noticias sobre virus para Linux, nos acaba de presentar un nuevo troyano llamado Linux.Ekoms.1, capaz de ejecutar comandos en el sistema y descargar archivos de forma remota, cifrarlos mediante AES con clave pública RSA, además de realizar capturas de pantalla o sonido cada medio minuto.
Para ello una vez instalado el troyano (un pequeño detalle sin importancia…), comprueba si existen un par de archivos en nuestra configuración personal de mozilla o dropbox:
|
1
2
|
HOME/$DATA/.mozilla/firefox/profiledHOME/$DATA/.dropbox/DropboxCache |
y en caso de que no existan los crea (y si amigos…también me llamo la atención lo de “DATA”), para guardar allí la información sensible robada, que se envía a un servidor externo.
Ahora la pregunta es la de siempre ¿como podemos juzgar esto en términos de seguridad? ¿Y cual es la diferencia de este programa con funciones tan interesantes, respecto a herramientas para compartir y capturar el escritorio (a mi me recuerda bastante a TeamViewer…la verdad), que hacen cosas similares?
Bueno en ese punto creo que es importante mencionar el vector de ataque e infección, algo de lo que las compañías vendedoras de antivirus suelen “olvidar” mencionar en el caso de Linux.
Salvo prueba en contrario habría que descargarse el software, darle permisos de ejecución y lanzarlo como cualquier otro programa…eso en el mejor de los casos, porque tampoco descartemos que haya que compilarlo previamente, existan problemas de dependencias en nuestra distro (los que probamos programas a diario, sabemos que eso es muy posible) o incluso como último remedio haya que ejecutarlo como root.
Bueno…la inmensa mayoría de los linuxeros utilizamos los repositorios oficiales y comunitarios que provee nuestra distribución, y son contados los casos de programas que son instalados desde proveedores externos (por lo demás la recomendación siempre es ir a la web oficial y en caso de proyectos nuevos, echarle un vistazo al código fuente en caso de ser posible), así que el tema de la infección con Linux.Ekoms.1, la verdad lo veo complicado.
Significa esto que Linux sea invulnerable, no ni mucho menos…Ayer mismo se hizo publica una grave vulnerabilidad en el kernel que permitía escalada de privilegios y que las principales distribuciones ya han parcheado (eso si…la mayoría de usuarios de Android que dependen de las actualizaciones que provee el fabricante, lo tienen muy complicado), lo que demuestra que en la seguridad del kernel se pueden hacer las cosas mejor, tal como comentamos no hace mucho.
A lo que iba el artículo, es que esta es la típica noticia que se limitan a repetir los medios generalistas porque “vende mucho”, haciendo copy-paste de la nota oficial del vendedor de burras de turno y sin ningún espíritu crítico (lo del desconocimiento del sistema, en la mayoría de los casos también se les supone…), algo que podría confundir a muchos recién llegados a Linux o personas que están pensando en cambiarse al sistema del pingüino.
Así que para darle algo de credibilidad al asunto, hay que separar lo que realmente puede ser un problema de seguridad serio (de los que el software libre no está exento), de las denominadas pruebas de concepto o estos troyanos asustaviejas.
Puede que esté equivocado, pero mi opinión es que por ahora:
Los troyanos en Linux todavía no están listos para el escritorio
Imagen: wolfgangfoto (CC BY-ND 2.0)
Fuente: lamiradadelreplicante
