Portada
mis comunidades
otras secciones
#12:
#1 Lo que no le afectan son los virus de Windows. Los binarios ELF de Windows se pueden infectar, al menos en los Linux antiguos. Sobre eso aunque nunca ha supuesto un problema al existir la posibilidad han añadido mejoras para evitarlo, por lo que te infecten un binario es complicado.
Ahora en Windows también es complicado. Que ejecuten algo como administrador, que no necesite estar escondido dentro del binario de otro programa sino que manipulando el administrador de tareas de Windows lo escondan para que no se vea es más sencillo.
El equivalente en Linux también es relativamente sencillo. Es decir, ejecutar algo como administrador y que eso que se ejecuta se esconda y no se vea.
La cuestión es como llegar a conseguir ejecutar algo como administrador. La manera más fácil es engañar a un usuario usando un troyano. En Windows se ha vuelto relativamente complicado en los últimos tiempos, porque los usuarios ya no logea como administradores sino que cambian de permisos para ciertas tareas y solo para esas. Vamos como se lleva haciendo en Linux y en otros sistemas tipo Unix desde el neolítico informático.
Como hay muchos chicos malos y los chicos buenos cada vez son menos pardillos y no van a ejecutar algo como administradores intentan usar alguna vulnerabilidad para que ejecutado como usuario no privilegiado se ejecute como usuario privilegiado. En el caso que nos ocupa usan dos vulnerabilidades, una descubierta en 2013 y otra en 2016. No lo he mirado en detalle pero estoy casi segura que están corregidas.
Para más risas miran tu fichero hosts (donde el administrador de sistemas pone las direcciones de otros equipos para poder conectarse por nombre en lugar de recordar la dirección IP) e intenta atacar también esos equipos.
Puede ser que exista una cosa que se llama relación de confianza, que sirve para que un usuario se conecte en otro equipo sin usar la contraseña. Esta relación de confianza permite lanzar comandos automatizados desde un equipo a otros equipos o copiar ficheros y cosas así. En principio no funciona con comandos interactivos de manera automática sin usar algunos trucos tales como "expect".
De todas maneras normalmente no te conectas a otro equipo como administrador, sino como usuario regular y luego cambias de usuario, aunque si el equipo remoto también es vulnerable a esas vulnerabilidades pues es un problema.
En general las vulnerabilidades se corrigen bastante rápido. Otra cosa es lo que tarde la gente en aplicar los parches. En tu PC parches cuando te viene bien a ti. En un servidor de una gran organización por ejemplo tengo que presentar la petición del cambio antes del miércoles a medio día para que me dejen presentarlo al comité de los jueves donde pierdo una hora de mi vida para hablar 60 segundos para instalar parches la noche del sábado al domingo a partir de las doce.
O también le puedo decir al esbirro que instale como un ninja, pare un par de servicios y nueva los brazos mientras grita "avería hardware, avaria hardware" y reiniciamos tras el parche y listo.
Ahora en Windows también es complicado. Que ejecuten algo como administrador, que no necesite estar escondido dentro del binario de otro programa sino que manipulando el administrador de tareas de Windows lo escondan para que no se vea es más sencillo.
El equivalente en Linux también es relativamente sencillo. Es decir, ejecutar algo como administrador y que eso que se ejecuta se esconda y no se vea.
La cuestión es como llegar a conseguir ejecutar algo como administrador. La manera más fácil es engañar a un usuario usando un troyano. En Windows se ha vuelto relativamente complicado en los últimos tiempos, porque los usuarios ya no logea como administradores sino que cambian de permisos para ciertas tareas y solo para esas. Vamos como se lleva haciendo en Linux y en otros sistemas tipo Unix desde el neolítico informático.
Como hay muchos chicos malos y los chicos buenos cada vez son menos pardillos y no van a ejecutar algo como administradores intentan usar alguna vulnerabilidad para que ejecutado como usuario no privilegiado se ejecute como usuario privilegiado. En el caso que nos ocupa usan dos vulnerabilidades, una descubierta en 2013 y otra en 2016. No lo he mirado en detalle pero estoy casi segura que están corregidas.
Para más risas miran tu fichero hosts (donde el administrador de sistemas pone las direcciones de otros equipos para poder conectarse por nombre en lugar de recordar la dirección IP) e intenta atacar también esos equipos.
Puede ser que exista una cosa que se llama relación de confianza, que sirve para que un usuario se conecte en otro equipo sin usar la contraseña. Esta relación de confianza permite lanzar comandos automatizados desde un equipo a otros equipos o copiar ficheros y cosas así. En principio no funciona con comandos interactivos de manera automática sin usar algunos trucos tales como "expect".
De todas maneras normalmente no te conectas a otro equipo como administrador, sino como usuario regular y luego cambias de usuario, aunque si el equipo remoto también es vulnerable a esas vulnerabilidades pues es un problema.
En general las vulnerabilidades se corrigen bastante rápido. Otra cosa es lo que tarde la gente en aplicar los parches. En tu PC parches cuando te viene bien a ti. En un servidor de una gran organización por ejemplo tengo que presentar la petición del cambio antes del miércoles a medio día para que me dejen presentarlo al comité de los jueves donde pierdo una hora de mi vida para hablar 60 segundos para instalar parches la noche del sábado al domingo a partir de las doce.
O también le puedo decir al esbirro que instale como un ninja, pare un par de servicios y nueva los brazos mientras grita "avería hardware, avaria hardware" y reiniciamos tras el parche y listo.
#1:
Creía que a Linux no le afectaban esas cosas.
Comentarios
#2 Es lo que había leído por aquí.
#4 veo que del tema ni idea. Si es que ya comentáis por comentar
#5 "veo que del tema ni idea. Si es que ya comentáis por comentar"
resulta que soy doctorando ingeniero informático y en el mundillo (sobre todo hace años) siempre se ha considerado mucho más robusto y "reliable" a GNU/Linux, antes que otras plataformas propietarias; y eso se ha transmitido al mundo general a través de innumerables publicaciones y periodistas, y por eso lo ha dicho@JavierB
cc: #4 no pasa nada@JavierB solamente has dado con un listillo que no tiene ni puta idea de nada, este maxxcan tendrá un cursillo de informática de fin de semana, si es que tiene tanto, un titulito
#34 Aha...
CVE-2016-5195 - Afecta a Kernels 2.6.22 - 3.9 (de 2016)
CVE-2013-2094 - Afecta a Kernel 3.2.0 - 3.5.0 (de 2014)
Mucho doctorado, pero de actualizar sistemas no sabemos, o qué.
#42 tendré que suponer que no sabes leer y no entiendes lo que he puesto, en parvulitos si eso te dan comprensión lectora, he explicado por qué JavierB ha creído eso, no he dicho otra cosa, ni he afirmado, ni he negado, ¿tampoco has visto las fechas de lo qué señalas? ¿conoces lo que es el tiempo? hala hasta nunca ameba, sigue pelando cables
#4. Digamos que no es la norma en sistemas Gnu/Linux. En mi caso jamás he experimentado un virus con Lubuntu. No salir mucho de los repositorios oficiales de las distribuciones Gnu/Linux para instalar aplicaciones y programas es de la zona más segura informáticamente hablando, encuentras en ellos practicamente todo lo que se necesita. Y con el navegador Firefox los plugins 'noscript' y 'adblock plus' hacen el resto en cuanto a seguridad en la web.
#21 "En mi caso jamás he experimentado un virus con Lubuntu"
Deberías más bien decir "que yo sepa".
Es cierto que el mayor vector de ataque suele ser la credulidad de la gente (ej: email phising,...) y la instalación de software no confiable, Nunca puedes saber si en algún momento alguien ha aprovechado algun exploit remoto, y se te ha colado hasta la cocina e instalado un rootkit LKM.
Desgraciadamente, la seguridad absoluta no existe.
#30 Tal y como ha dicho #21 la mayoría del software se obtiene a través de los repositorios oficiales. Esa práctica ya lo hace mas seguro que Windows al tener que buscar .exe dudosos dónde el típico manazas se baja algo de softonic.
Las macros de excel y Word también son un vector de ataque en campañas de ransomware por email. Todas la veces que lo he visto han sido por un email con adjunto tipo invoice.doc que le llega a la secretaria a parte de otros miles con lo mismo pero legítmos. También se aprovecha mucho el inteprete de javascript en pdf.
En linux también se descargan los paquetes sin compilar y antes de hacer un make puedes ver el código fuente y saber que no te la están colando o directamente son scripts en python o lo que sea, lo importante es que puedes abrirlo y ver el código fuente.
Por estas razones considero a Linux mas seguro que Windows pero no exento de malware.
#4 tienes razón se lleva machacando en muchos ámbitos con eso desde hace mucho años
Creía que a Linux no le afectaban esas cosas.
#1 y por qué no le iba a afectar?
#1 2019 será por fin el año de Linux en las listas de afectados por virus.
#3 Al final lo han popularizado y era de esperar. Habrá que pasarse a FreeBsd..
#3 Señal de que está llegando a una gran masa de usuarios.
Estoy con #14
#16 o no tanto.. Para minado monero interesa afectar a servidores con cpu potente.
#14 OpenBSD, que el Free se está haciendo demasiado mainstream
#17 Habrá que volver al Xenix para estar realmente seguro...
#1 La única forma de infectarse con esto es tener un servidor con el puerto 22 abierto , con un password escrito en una noche de borrachera, sin actualizar desde hace mil años y sin usar selinux. Si cumples aunque sea sólo una de esas condiciones lo normal es que te despidan del trabajo y te de igual que te hayan infectado el servidor.
#7 Precisamente la organización cliente tiene servidores vulnerables, pero no están conectados a Internet y sería necesario subir el fichero a uno de ellos inicialmente.
Por una parte los desktop están siempre bastante actualizados. Quedan los servidores que no se pueden actualizar porque tienes que correr un producto en ello que no se pueden ejecutar en versiones más nuevas. Y como tengo Linux con kernel 2.4 tengo máquinas con HP-UX 11. 11 o incluso Windows 2000.
Paso uno. Eliminar las relaciones de confianza de root a root, o de lonque sea a root. Paso dos, sin acceso desde Internet, excepto que sea imprescindible, y obviamente no SSH desde Internet. Obviamente lonque este expuesto a Internet al menos que esté a la última o la penúltima en parches, pero no más atrás.
Y por supuesto no suborns un servidor nada que no sea estrictamente necesario.
#7 Sobre todo tener un password seguro
El mío es "JamesBrownEsCojonudo1234$" y no creo que haya bicho viviente que lo crackee
#13 JamesBro ... Esto ... ¿Puedes repetirlo un poco más despacito, por favor?
#13 Sobre todo acceder con key
#13 Me vengo fijando hace tiempo lo poco seguir que es añadir un carácter especial a la contraseña.
Si me diese por escribir scripts de bruteforce me quitaría cientos de millones combinaciones con solo hacer combinaciones de caracteres especiales en el último carácter de la contraseña.
Además las probabilidades de que el carácter especial sea uno de estos 4 ".*$@" creo que es altísimo. No veo a mucha gente usando la vírgula, acento circunflejo, o similar.
Pero vamos, que yo tampoco me escapo.
#25 Yo en muchas ocasiones uso palabras en euskera. Todavía no he encontrado un diccionario que las tenga. Lo mejos es poner una passphrase del tipo: "Ya me estoy cansando de este orgamos" o "Cuando las barbas de tu vecino veas cortar pon las tuyas a remojar".
Facil de recordar, dificil de crackear. No obstante, lo mejor es autenticarse sólo por certificado.
#7 No, eso no es suficiente, también hace falta tener un kernel de hace más de dos años.
#7 Incluso tener acceso ssh habilitado con contraseña es motivo de despido. SSH siempre con certificado y un fail2ban para tres intentos y baneo de por vida. Si vieses mi iptables de mi servidor de amazon.
¿Y si tienes un servidor infectado con certificados para ssh de otros servidores porque todos los días impares se ejecuta un cron para conectarse por ssh a estos y hacer tareas?
#1, si le afecta, pero es más difícil colarse.
#1 El qué? el ejecutar programas?
#1 Lo que no le afectan son los virus de Windows. Los binarios ELF de Windows se pueden infectar, al menos en los Linux antiguos. Sobre eso aunque nunca ha supuesto un problema al existir la posibilidad han añadido mejoras para evitarlo, por lo que te infecten un binario es complicado.
Ahora en Windows también es complicado. Que ejecuten algo como administrador, que no necesite estar escondido dentro del binario de otro programa sino que manipulando el administrador de tareas de Windows lo escondan para que no se vea es más sencillo.
El equivalente en Linux también es relativamente sencillo. Es decir, ejecutar algo como administrador y que eso que se ejecuta se esconda y no se vea.
La cuestión es como llegar a conseguir ejecutar algo como administrador. La manera más fácil es engañar a un usuario usando un troyano. En Windows se ha vuelto relativamente complicado en los últimos tiempos, porque los usuarios ya no logea como administradores sino que cambian de permisos para ciertas tareas y solo para esas. Vamos como se lleva haciendo en Linux y en otros sistemas tipo Unix desde el neolítico informático.
Como hay muchos chicos malos y los chicos buenos cada vez son menos pardillos y no van a ejecutar algo como administradores intentan usar alguna vulnerabilidad para que ejecutado como usuario no privilegiado se ejecute como usuario privilegiado. En el caso que nos ocupa usan dos vulnerabilidades, una descubierta en 2013 y otra en 2016. No lo he mirado en detalle pero estoy casi segura que están corregidas.
Para más risas miran tu fichero hosts (donde el administrador de sistemas pone las direcciones de otros equipos para poder conectarse por nombre en lugar de recordar la dirección IP) e intenta atacar también esos equipos.
Puede ser que exista una cosa que se llama relación de confianza, que sirve para que un usuario se conecte en otro equipo sin usar la contraseña. Esta relación de confianza permite lanzar comandos automatizados desde un equipo a otros equipos o copiar ficheros y cosas así. En principio no funciona con comandos interactivos de manera automática sin usar algunos trucos tales como "expect".
De todas maneras normalmente no te conectas a otro equipo como administrador, sino como usuario regular y luego cambias de usuario, aunque si el equipo remoto también es vulnerable a esas vulnerabilidades pues es un problema.
En general las vulnerabilidades se corrigen bastante rápido. Otra cosa es lo que tarde la gente en aplicar los parches. En tu PC parches cuando te viene bien a ti. En un servidor de una gran organización por ejemplo tengo que presentar la petición del cambio antes del miércoles a medio día para que me dejen presentarlo al comité de los jueves donde pierdo una hora de mi vida para hablar 60 segundos para instalar parches la noche del sábado al domingo a partir de las doce.
O también le puedo decir al esbirro que instale como un ninja, pare un par de servicios y nueva los brazos mientras grita "avería hardware, avaria hardware" y reiniciamos tras el parche y listo.
#12 En Windows cualquier archivo que se descargue es ejecutable dependiendo de la extensión.
Y hace unos años a Microsoft no se le ocurrió otra cosa que esconder por defecto las extensiones.
Así que basta con poner un ejecutable con el mismo icono de un jpg y listo. De esa forma para un usuario medio un exe y una foto son indistinguibles
En Linux nada es ejecutable cuando te lo descargas, necesitas tú ponerle los permisos de ejecución. Y veo complicado convencer a un usuario de Linux medio de que un pdf o una imagen necesitan permisos de ejecución.
La mayor parte de las "mejoras" de seguridad en Windows han venido de la mano de preguntarle más al usuario para que autorice acciones. De forma que después de un tiempo la mayoría de usuarios dan a aceptar a cada ventana que el SO les presenta.
He visto multitud de veces en el trabajo como le dan a aceptar a ventanas que no deberían y cuando les preguntas ni siquiera son conscientes de que lo han hecho.
#28 de eso nada.
En windows ningun programa es ejecutable cuando lo bajas.
Lo de preguntar si quieres ejecutarlo tambien ocurre en linux y cuando quieras te lo demuestro.
Ocultar las extensiones es irrelevante porque para quien desconoce lo que significa, da igual y quien si dabe lo que significa puede descubrirlas cuando quiera. A parte de que un exe bajado no se ejecuta asi porque si.
#33 ¿Ningún programa es ejecutable en Windows cuando lo descargas?
Te falta concretar universo, en este desde luego que no es así.
#38 cualquier programa que bajas, si intentas abrirlo te sale una advertencia y no se ejecuta. Has de aceptar la advertencia para que se ejecute.
Tambien puedes bloquear los ejecutables para que simplemente no se ejecuten pero eso tienes que configurarlo.
#39 ¿Y eso es que no es ejecutable?
Pues eso digo que Microsoft en vez de arreglar los problemas los está pasando al usuario para hacerle responsable.
No creo que encuentres un solo usuario que después de descargar algo cuando el SO le pregunte si quiere ejecutarlo no lo haga.
Eso no es seguridad.
#40 Si no se ejecutan ¿cómo lo llamarías?
Cuando descargas y abres p. ej. este programa para linux y te sale una ventana con un botón que pone "instalar" y si le das, se instala ¿cuál es la diferencia con la ventana y el botón "ejecutar" de windows para instalar el programa"?
Y a mayores tenemos el smart screen
No puedes impedirle al usuario ejecutar lo que quiera, entonces habrá que preguntarle si quiere. Ojalá Microsoft pudiera bloquear todos los ejecutables y que todo el mundo tuviese que pasar por su tienda.
#41 Para empezar con el .deb tienes que poner la contraseña de root. No puedes ejecutarlo como usuario.
#45 Sí, siempre y cuando afecte al sistema. Si es a nivel de usuario, me temo que no. Igual que windows te pide aceptar el UAC o, si tu cuenta es de simple usuario, la contraseña de administrador.
Pero te pondré otro ejemplo en donde no necesitas poner la contraseña de root. El QuickSupport no necesita contraseña de root. Tú lo descomprimes, lo abres y te salta una ventana que te pregunta si quieres "ejecutar", "ejecutar en terminal" o "cancelar". Una ventana con un botón "ejecutar" igual que en windows y si le das, te abre un programa con el que te pueden controlar de forma remota, que en este caso es benigno pero podría no serlo.
#48 Entonces está claro que el problema de seguridad de Windows son los usuarios.
Por que lo que no puede ser es que ni sea el SO ni los usuarios. O uno u otro.
#49 Sí, creo que en gran medida el problema son los usuarios, cuántas veces habré leído que hay que desactivar el antivirus para parchear un programa.
#50 Es el propio Microsoft el que propicia tener los usuarios que tiene.
Es Microsoft el que vende la idea de que un ordenador lo puede usar hasta tu abuela y que no hace falta tener conocimientos técnicos. Luego carga la responsabilidad de la seguridad en el usuario.
No se puede estar en misa y repicando.
#51 Es decir, salvo venta especializada, como todas las compañías que quieren vender algo. Todas las compañías que quieren vender algo al gran público intentan hacer sus productos lo más accesibles posible.
Tú deberías dar gracias por ello, porque gracias a que la informática llegó al gran público un ordenador normal no cuesta cinco mil euros.
La responsabilidad es siempre del usuario, en linux también, por eso tú puedes ser root en linux y hacer lo que quieras. Pero por desgracia los usuarios a veces hacen mal y por ello hay que buscar un equilibrio entre seguridad y libertad, entre dejar al usuario hacer lo que quiera y aguantar las críticas por obligar a actualizar. Microsoft yo creo que desearía que toda la seguridad recayese en él para obligar a los usuarios a actualizar y también a no salirse de su tienda.
Dime ¿qué me impide a mi agregar cualquier repositorio de malware en linux o ejecutar un comando sacado de cualquier foro "con buenas intenciones" tipo "oh, ese problema con los drivers se arreglan restaurando la caché con sudo rm –rf / --no-preserve-root ?
Pues eso pasa en windows. La responsabilidad es del usuario, de no saltarse las advertencias y no activar unas macros "para ver bien el documento" , pero van y las activan.
#52 "La responsabilidad es siempre del usuario"
Se ve que estás muy puesto en seguridad.
#53 Se ve que estás muy poco puesto en argumentar.
Explícate y déjate de frases hechas porque se ve, se ve... engaña tanto la vista ... no hay nada destinado al usuario cuya responsabilidad no sea del usuario. Un coche tiene cientos de medidas de seguridad pero si te estrellas por ir a 300 es tu culpa.
#54 "no hay nada destinado al usuario cuya responsabilidad no sea del usuario."
En fin, otra afirmación vacía de evidencias que muestra el tremendo desconocimiento que tienes en seguridad.
#55 Habló de putas.. A ver cuando te dignas tú a decir algo.
#56 Cuando el sabio señala a la luna...
Te pegan todas las frases. Es el problema de no decires nada, que se te contesta con cualquier cosa.
Repositorios de malware los tienes aquí y http://thezoo.morirt.com/
#58 "Repositorios de malware los tienes aquí y aquí"
Pero es un puto museo de malware, no un repositorio que trate de hacer pasar malware por software legitimo.
#59 ostia, ¿De verdad? Si es que las pillas al vuelo.
Ni una broma se puede gastar. A ver, sigue leyendo que eso ya lo dije yo.
#52 Dime ¿qué me impide a mi agregar cualquier repositorio de malware en linux o ejecutar un comando sacado de cualquier foro "con buenas intenciones" tipo "oh, ese problema con los drivers se arreglan restaurando la caché con sudo rm –rf / --no-preserve-root ?
¿Repositorio de malware?
No te acabas de enterar que eso no tiene sentido en Linux.
¿Cuantos repositorios conoces de malware?
Simplemente estás aplicando la lógica del funcionamiento (mayormente pirata) de Windows y tratando de trasladarla tal cual a Linux.
Y claro no cuadra por ningún lado.
#12 En el próximo comite de los jueves te montas un perfomance de esto y ya:
Y aunque en el artículo no lo explica mucho, solo hace referencia a las vulnerabilidades, la primera CVE-2016-5195 (1) hace referencia a un fallo raro en mm/gup.c desde los núcleos 2.x hasta el 4.8.3; la segunda CVE-2013-2094 (2) a un fallo en perf_swevent_init function del kernel/events/core.c en los núcleos previos al 3.8.9, en la lista pone como configuraciones vulnerables los núcleos: 3.8.8, 3.8.4, 3.8.2, 3.8.1 y 3.8.0 por lo que entiendo que estas son los únicas vulnerables.
(1) http://cve.circl.lu/cve/CVE-2016-5195
(2) http://cve.circl.lu/cve/CVE-2013-2094
#15 Creo que no llego a tiempo:
Router: Linux tesla 4.18.0-2-amd64
Escritorio: Linux Faraday 4.18.0-11-lowlatency
No explica cual es el vector de ejecución del código.
Lo mismo Torvalds tiene que sacar un parche par que funcione. No sería la primera vez.
También me parece raro como a #22 que no expliquen el vector de contagio.
4.19.2-1por aquí. Así que también llego tarde.
#27 Me he tirado unos 15 años usando kernel personalizado de la útima release disponible en kernel.org.
Me hago viejo.
Por curiosidad: ¿Qué distro usas?
Ese kernel no me suena que venga de serie todavía con ninguna de las grandes distros.
#29 Manjaro que es un derivado de Arch.
#31 Sí, la conozco.
¿Qué rama?
#32 Lo desconozco.
Si uso Manjaro es porque está mucho más actualizado que las distribuciones grandes pero no es tan tedioso como Arch. Después de haber probado Debian, Ubuntu, Mint y demás fauna estoy más que contento.
#32 Si te refieres al entorno de escritorio es KDE. Siempre he tenido debilidad por él.
#32 4.19.4-1-MANJARO
Eso sí es robar y no como los bancos.
#24 Pues no veo la diferencia. Los bancos te hacen pagar comisiones, este minador te hace pagar más por la factura de la luz.
Aunque en realidad... si te infecta un servidor dedicado, la factura de la luz suele ir incluida en el precio mensual lo uses cuanto lo uses, así que hasta puede no costarte nada.
Se trata de un script de shell de más de mil líneas de código
Siempre dije que autotools ocultaba algo muy chungo en ese monstruo spaghetti script shell
#6 Como cada una de las líneas sea como mi one-liner que me descargaba mapas de openstreetmaps y me los convertía al formato de Garnin aplicando los estilos de un fichero XML que tenía preparado prepárate para dos veces el quijote.
Jaque mate linuxeros
Es un minador para GNU que aprovecha una vulnerabilidad del núcleo Linux. Es como si explotase vulnerabilidades de Mach y no por eso decimos un minador en Mach sino en macOS, Darwin o GNU.
¿Cómo se puede pretender informar a la gente si al mismo tiempo la estás desinformando?