Malware en Linux
| ||||||
El sistema operativo GNU/Linux, Unix y otros derivados generalmente son calificados como bien protegidos contra los virus de ordenador. No se conoce la existencia de ninguna amenaza del denominado software malicioso, malware, en Linux que se haya expandido a un nivel siquiera similar a las amenazas existentes en el sistema operativo Microsoft Windows. Esto se atribuye en gran parte a que el malware carece usualmente de permisos para realizar actividades nocivas dentro del sistema y a las rápidas actualizaciones frente a vulnerabilidadades que se eliminan a diario en GNU/Linux, propias del modelo de software de código abierto. Algunos factores adicionales, para el refuerzo de la seguridad en GNU/Linux, son la mayor cultura informática difundida entre los usuarios de sistemas GNU/Linux y la falta de incentivos para un programador a la hora de escribir malware para GNU/Linux, debido a su relativamente baja cuota de mercado (~90% Windows vs ~1% Linux).
Sumario
Desarrollo de Amenazas
Los códigos maliciosos destinados a sistemas operativos como GNU/Linux y Mac OS X continúa en constante crecimiento debido al cambiante escenario del ciber crimen: los atacantes buscan constantemente nuevos vectores de infección para potenciar sus ganancias económicas a través del malware. Uno de los principales problemas en seguridad de la información para cualquier organización o usuario hogareño, se encuentra constituido por los códigos maliciosos que a lo largo del tiempo han ido evolucionando en cuanto a sus diversos métodos de propagación e infección, ampliando el horizonte de ataque hacia diferentes sistemas operativos.
En este sentido, los sistemas Windows han sido históricamente los más afectados por la problemática del malware, y sus usuarios se han acostumbrado a tomar medidas de seguridad para evitar infecciones en este tipo de sistemas operativos. Tanto a través de Ingeniería Social como a partir de explotación de vulnerabilidades, las amenazas para la plataforma Microsoft son mayoritarias y preponderantes.
Sin embargo, en los últimos años se han observado numerosos casos de malware que afectan a sistemas operativos GNU/Linux y Mac OS (ambos basados en plataformas UNIX). Desde un punto de vista histórico, se encuentran claras referencias en cuanto al desarrollo de amenazas de este estilo para plataformas *NIX. Por caso, el primer gusano en la historia del malware fue conocido como el gusano de Morris (en alusión a su creador Robert Tappan Morris ) y su propagación se produjo al explotar una vulnerabilidad en el programa Sendmail, implementado bajo UNIX en noviembre de 1988.
Durante los años 2009 y 2010 ha aparecido malware variado para GNU/Linux como, por ejemplo, el gusano detectado por ESET NOD32 bajo el nombre de Linux/PsyBot.A, capaz de infectar módems y routers ADSL que utilizan este sistema operativo y convertir a cada uno de ellos en parte de una botnet llamada psyb0t , orientada a llevar a cabo ataques de Denegación de Servicio Distribuido (DDoS - Distributed Denial Of Service). También fueron reportados durante 2010 diversos troyanos para esta plataforma, escondidos bajo, por ejemplo, falsos protectores de pantalla, o incluso versiones troyanizadas de software oficial como fueron los casos de UnrealIRC (el backdoor estuvo activo por ¡más de seis meses!) y ProFTPD .
Un poco de historia
Con relación a los antecedentes de malware para plataformas de Apple, durante 1982 apareció Elk Cloner, un virus diseñado para sistemas Apple II. Unos años después, más precisamente en 1988, aparece otro virus llamado MacMag capaz de infectar plataformas Macintosh.
También existen casos más recientes como Leap, un virus descubierto en el 2006 que se propaga a través del programa de mensajería instantánea iChat; o iService, un troyano aparecido durante el 2009 encargado de dar origen a la primera botnet para Mac OS y, finalmente, DNSChanger, un troyano orientado a modificar los DNS del sistema. Sin ir más lejos, ante el lanzamiento de la última versión del sistema operativo de Apple (Snow Leopard) a finales del 2009, la empresa confirmó la importancia de contar con solución contra el malware en dicha plataforma, e incluso la incorporación de un filtro para tal fin, nativo del sistema. Para los usuarios de estos sistemas, también se recomienda la utilización de software antivirus como ESET Cybersecurity para Mac.
Finalmente, y no menos importante, aparece el malware multi-plataforma, una de las tendencias más relevantes en materia de malware para el año 2011: códigos maliciosos que funcionan en más de una plataforma. Uno de los casos más populares es el troyano Koobface, que luego de estar activo por más de dos años con versiones para Windows, en octubre de 2010 lanzó una primera variante que afectaba también sistemas Linux y Mac. A través de un applet de Java, el malware identificaba la versión del sistema operativo y ejecutaba la amenaza según la plataforma de la víctima.
Actualidad
Actualmente, existe una amplia variedad de códigos maliciosos para plataformas GNU/Linux y Mac OS y, aunque la proporción es mucho menor en comparación con el malware que existe para sistemas operativos Microsoft, se desmitifica la creencia en cuanto a la inexistencia de códigos maliciosos para estos sistemas operativos.
Los sistemas operativos GNU/Linux y Mac OS no se encuentran exentos de los riesgos aparejados por el accionar del malware actual, y la protección contra los códigos maliciosos en estas plataformas es muy importante, no sólo para evitar las infecciones de estos, sino también para controlar la propagación de malware para otras plataformas, y que estos sistemas funcionen como “transporte” de malware en redes mixtas, si no contaran con protección para esta amenaza.
En consecuencia, es sumamente necesario que los usuarios de estas plataformas tengan en cuenta los mismos consejos y buenas prácticas de prevención sugeridos para los usuarios de Windows ya que el desarrollo de códigos maliciosos para otras plataformas constituye un problema real a nivel mundial. El número de programas maliciosos, incluidos virus, troyanos y otras amenazas, escritos específicamente para Linux ha ido en aumento en los últimos años y más que duplicado durante el año 2005.
Vulnerabilidades
Al igual que otros sistemas Unix, GNU/Linux implementa un entorno multiusuario donde los usuarios reciben una serie de privilegios o permisos específicos y donde existe un control de acceso dedicado. Para obtener el control de un sistema GNU/Linux o provocar alguna consecuencia seria al propio sistema, el malware debería obtener acceso root en dicho sistema.
Una de las vulnerabilidades de GNU/Linux es que multitud de usuarios piensan que no es vulnerable a los virus. Tom Ferris, un investigador de Security Protocols en Mission Viejo, California, dijo en 2006: "En la mente de la gente, si no es Windows, es seguro, y ese no es el caso. Piensan que nadie escribe malware para GNU/Linux o Mac OS X. Pero eso no es necesariamente cierto...".
Shane Coursen, un consultor técnico senior de Kaspersky Lab señaló que "el crecimiento del malware en GNU/Linux se debe simplemente a su creciente popularidad, particularmente como sistema operativo de escritorio... La utilización de un sistema operativo es directamente relacionada con el interés de los programadores de malware a la hora de desarrollar software malicioso para ese sistema operativo".
Los virus y ataques malintencionados presentan una amenaza real a los sistemas Linux. Si un binario infectado contiene uno de esos virus al ser ejecutado, el sistema se infectaría. El nivel de infección dependerá de los privilegios del usuario que ejecutó el programa. Si éste fuese una cuenta de superusuario podría llegar a infectar el sistema entero. En caso de un usuario normal, el sistema operativo estaría seguro aunque los datos del usuario no. El virus podría borrar e incluso enviar esos datos a otro equipo remoto. Por otro lado, las vulnerabilidades de escalada de privilegios pueden permitir que malware ejecutándose bajo una cuenta de acceso limitado también se propague por todo el sistema.
El uso de repositorio de software reduce las amenazas de instalación de software malicioso, al ser comprobados por los administradores, los cuales intentan asegurar que no se cuele ningún malware en sus repositorios. Por ello, para asegurar la distribución segura de software, están disponibles sistemas como los checksum MD5. El uso adecuado de estas firmas digitales supone una línea adicional de defensa, que previene la violación de las comunicaciones a través de ataques man-in-the-middle o ataques de redirección como ARP Spoofing o DNS Poisoning. Todo esto limita el alcance de los ataques, reduciendo los potenciales usuarios malignos a los autores originales y a aquellos con acceso administrativo al propio repositorio.
Virus multiplataforma
Una nueva área de sospecha descubierta en 2007 es el de los virus multiplataforma, a raíz del incremento de la popularidad de las aplicaciones multiplataforma. Este tema apareció en el frente debido a la distribución de un virus de OpenOffice.org llamado Bad Bunny.
Stuart Smith, de Symantec, escribió lo siguiente:
"Lo que hace a este virus merecedor de mención es que ilustra lo fácil que puede abusarse de las plataformas de scripting, extensiones, plug-ins, ActiveX, etc. [...] La habilidad del malware de sobrevivir en un entorno multiplataforma o multiaplicación tiene especial relevancia según más y más malware se lanza a través de sitios web. Cuánto falta para que alguien use algo como esto para poder infectar a través de JavaScript, sin importar la plataforma del usuario?"
Aplicaciones antivirus
Existen varias aplicaciones antivirus disponibles para Linux, entre las cuales destacan:
- SAVUnix
- ClamAV (software libre)
- Avast! (versiones gratuita y comercial)
- AVG (versiones gratuita y comercial)
- Avira Antivir (propietario)
- BitDefender (propietario)
- F-PROT (propietario)
- ESET (versiones comerciales)
- Kaspersky Linux Security (versiones comerciales)
- Sophos (propietario)
