Portada
mis comunidades
otras secciones
#21:
Sensacionalista:
The malware may have sat unnoticed on at least one victim computer for years, although Kaspersky Lab researchers still have not confirmed that suspicion.
Claro, yo también puedo instalarme un virus hasta en la lavadora, si tengo cuenta de administrador y le doy acceso.
Además, dice que cualquier usuario puede monitorizar la red y así sacar la información... pero para poder hacerlo necesita permisos de administrador. Sensacionalista hasta que haya datos que confirmen lo contrario (si es que los hay).
Cada cierto tiempo, las empresas de virus sacan la noticia de que Linux ha sido víctima de algo para poder abrirse mercado en un SO que cada vez les quita más ventas. No seamos tan ingenuos de caer en la trampa. Claro que puede haber virus en Linux, nadie dice lo contrario. Pero no caigamos en el pánico por una noticia tan sensacionalista como esta, que lo que quiere es sembrar el pánico y vender antivirus.
The malware may have sat unnoticed on at least one victim computer for years, although Kaspersky Lab researchers still have not confirmed that suspicion.
Claro, yo también puedo instalarme un virus hasta en la lavadora, si tengo cuenta de administrador y le doy acceso.
Además, dice que cualquier usuario puede monitorizar la red y así sacar la información... pero para poder hacerlo necesita permisos de administrador. Sensacionalista hasta que haya datos que confirmen lo contrario (si es que los hay).
Cada cierto tiempo, las empresas de virus sacan la noticia de que Linux ha sido víctima de algo para poder abrirse mercado en un SO que cada vez les quita más ventas. No seamos tan ingenuos de caer en la trampa. Claro que puede haber virus en Linux, nadie dice lo contrario. Pero no caigamos en el pánico por una noticia tan sensacionalista como esta, que lo que quiere es sembrar el pánico y vender antivirus.
#2:
@ikipol lo está celebrando con confeti y penes.
#27:
#22 eso sólo se puede hacer si al binario se le han aplicado ciertas capabilities, en este caso CAP_NET_RAW y CAP_NET_ADMIN, y no es una operación trivial. Se debe hacer a propósito (como root) y el sistema de archivos lo debe soportar y tener activado.
El único vector de entrada que tiene esto, más allá de la prueba de concepto que expone el artículo (que si te fijas, se ve que la está ejecutando como root), es que el administrador ejecute algún tipo de instalador o software propietario que lo despliegue. Normalmente ese tipo de instalaciones sólo se hacen con software de fabricantes fiables (se me ocurren Oracle, Skype, VMWare...) Está claro que si el administrador se ha bajado algún instalador de softonic y lo ha ejecutado como root, es sólo su responsabilidad.
El problema es que alguno de estos fabricantes fiables estuviera comprometido, pero al menos se les podría exigir responsabilidad.
cc/ #25
El único vector de entrada que tiene esto, más allá de la prueba de concepto que expone el artículo (que si te fijas, se ve que la está ejecutando como root), es que el administrador ejecute algún tipo de instalador o software propietario que lo despliegue. Normalmente ese tipo de instalaciones sólo se hacen con software de fabricantes fiables (se me ocurren Oracle, Skype, VMWare...) Está claro que si el administrador se ha bajado algún instalador de softonic y lo ha ejecutado como root, es sólo su responsabilidad.
El problema es que alguno de estos fabricantes fiables estuviera comprometido, pero al menos se les podría exigir responsabilidad.
cc/ #25
#23:
¿Veis? Los que usamos XP os lo avisamos hace años, que LINUX no era seguro
#22:
https://securelist.com/blog/research/67962/the-penquin-turla-2 #21 Pues aquí dice que de elevación nada.
"It uses techniques that don't require root access, which allows it to be more freely run on more victim hosts. Even if a regular user with limited privileges launches it, it can continue to intercept incoming packets and run incoming commands on the system."
"It uses techniques that don't require root access, which allows it to be more freely run on more victim hosts. Even if a regular user with limited privileges launches it, it can continue to intercept incoming packets and run incoming commands on the system."
Comentarios
Sensacionalista:
The malware may have sat unnoticed on at least one victim computer for years, although Kaspersky Lab researchers still have not confirmed that suspicion.
Claro, yo también puedo instalarme un virus hasta en la lavadora, si tengo cuenta de administrador y le doy acceso.
Además, dice que cualquier usuario puede monitorizar la red y así sacar la información... pero para poder hacerlo necesita permisos de administrador. Sensacionalista hasta que haya datos que confirmen lo contrario (si es que los hay).
Cada cierto tiempo, las empresas de virus sacan la noticia de que Linux ha sido víctima de algo para poder abrirse mercado en un SO que cada vez les quita más ventas. No seamos tan ingenuos de caer en la trampa. Claro que puede haber virus en Linux, nadie dice lo contrario. Pero no caigamos en el pánico por una noticia tan sensacionalista como esta, que lo que quiere es sembrar el pánico y vender antivirus.
https://securelist.com/blog/research/67962/the-penquin-turla-2 #21 Pues aquí dice que de elevación nada.
"It uses techniques that don't require root access, which allows it to be more freely run on more victim hosts. Even if a regular user with limited privileges launches it, it can continue to intercept incoming packets and run incoming commands on the system."
#22 Puede que tengas razón y mi fuente estuviera equivocada. En cualquier caso, lo han encontrado en un ordenador, Kaspersky no lo ha confirmado y parece ser que para instalarlo sí hacen falta permisos de administrador.
Vamos, que parece más una prueba de concepto que un virus real que se propague fácilmente.
#22 eso sólo se puede hacer si al binario se le han aplicado ciertas capabilities, en este caso CAP_NET_RAW y CAP_NET_ADMIN, y no es una operación trivial. Se debe hacer a propósito (como root) y el sistema de archivos lo debe soportar y tener activado.
El único vector de entrada que tiene esto, más allá de la prueba de concepto que expone el artículo (que si te fijas, se ve que la está ejecutando como root), es que el administrador ejecute algún tipo de instalador o software propietario que lo despliegue. Normalmente ese tipo de instalaciones sólo se hacen con software de fabricantes fiables (se me ocurren Oracle, Skype, VMWare...) Está claro que si el administrador se ha bajado algún instalador de softonic y lo ha ejecutado como root, es sólo su responsabilidad.
El problema es que alguno de estos fabricantes fiables estuviera comprometido, pero al menos se les podría exigir responsabilidad.
cc/ #25
#22 "it can continue to intercept incoming packets and run incoming commands on the system"
Podrá ejecutar comandos con los privilegios del usuario infectado, es decir, no podrá modificar la configuración del sistema y muchas otras cosas. Digo yo.
Y lo de los paquetes supongo que será lo mismo, no croe que pueda poner el interfaz de red en modo promiscuo sin permisos de root.
#21 Jajaja cómo cambiáis el rasero los freetards dependiendo de si se trata de un "gigantesco agujero de seguridad en windows" o "una nimiedad sin importancia derivada de un administrador tonto".
#37 Gracias por el insulto gratuito. Y por supuesto que es muy diferente un agujero de seguridad a un administrador inútil. Sea en la plataforma que sea.
#38 #39 el asunto es que en esta noticia, el rasero que estáis aplicando es:
Vulnerabilidad de un S.O. --> La culpa es del administrador
#40 Creo que te vendría bien leer los enlaces que se han puesto en los comentarios.
El problema aquí no es una vulnerabilidad del SO. El problema aquí es que previamente se ha instalado con permisos de administrador un código que, al ejecutarse con permisos de administrador, tiene acceso a cosas que un usuario normal no debería ver.
Luego el problema no es una vulnerabilidad del sistema, es una vulnerabilidad en el administrador.
Es importante hacer esta distinción. Primero porque es importante que la gente sepa la importancia de instalar cosas desconocidas en su ordenador. Y segundo porque es importante que se sepa que, salvo que el administrador meta la pata, esta no es una vulnerabilidad real.
Es como si me dices que te dejas las llaves de tu coche puestas, que te entra un mendigo a dormir en el asiento de atrás, y que eso es un problema del fabricante. Yo no lo veo.
#40 El código fuente de los "sistemas linux" es público, esos expertos podrían señalar directamente la porción de código vulnerable y cómo repararla. Pero no lo van a hacer, porque no es el caso.
#40 Si ejecutas algo maliciosamenmte e intecionadamente como admin en Windows, OSX o Linux, te la cargas. Pero abjo cualquier SO.
No es una vulnerabilidad, es como darte un trago de lejía y beberlo sin mirar.
#37 Lo que tu llamas doble rasero es simple coherencia. Cuando surge un problema de seguridad de este tipo:
Es debido a una vulnerabilidad de un S.O. --> Gigantesco agujero de seguridad, hay que modificar el S.O.
Es debido a un administrador tonto --> Nimiedad sin importancia, solo hay que cambiar de administrador.
#21 No te molestes intentando explicar esas cosas porque aquí el 90% de los meneantes son windoseros crónicos. No merece perder el tiempo con perdedores.
#49 Uh Uh, uno que se define por el SO que usa.
Si usas linux eres un ganador.
Si usas windows eres un perdedor.
Y yo que creía haberlo visto todo aquí en menéame.
#2 al mismo tiempo que se fapea a una mano.
#2 Mentira.
ikipol no gasta dinero en confeti.
#7 lo recogió de las fiestas de la Mato
Ni puto caso. https://www.reddit.com/r/linux/comments/2oojuw/powerful_highly_stealthy_linux_trojan_may_have/
#9 Claro, claro, en Arstechnica no tienen ni idea de lo que publican...
#26 el nivel técnico de ars tecnica deja bastante que desear... Aúnque lo de este artículo es de traca.
Un buen articulo sobre el tema:https://securelist.com/blog/research/67962/the-penquin-turla-2/
#26 #29 El nivel de ars no es que deje que desear, es que lleva tiempo siendo lamentable. Sigue teniendo algún colaborador bueno pero la mayoría de los artículos se los corrigen en los comentarios. Es una página que intenta tocar todos los temas y al final no domina ninguno. Lleva mucho tiempo viviendo de rentas.
No soy ningún talibán linuxero pero cuando cuando nombran a ars como fuente y hay polémica suele ser que ars la ha metido a base de bien.
¿Veis? Los que usamos XP os lo avisamos hace años, que LINUX no era seguro
Mucha espuma, pocos datos reales y concretos.
...En sistemas Linux... En el kernel Linux?? en OS que usan kernel Linux?? en ese caso en cuales sistemas Linux??
#10 "Sistema linux" quiere decir distribución con kernel Linux.
Por lo que leo no es en el kernel. Es un ejecutable independiente que no requiere permiso de root, que actúa como servicio interceptando paquetes y ejecutando órdenes en remoto aunque sin privilegios de root (como un backdoor), y que se esconde muy bien.
#35 Dice que tocando una serie de puertos sin necesidad de permisos se te abre la puerta al paraíso. Lo que no dice es que antes hay que instalar la puerta; el verdadero rootkit se instala porque alguien lo deja entrar, ahí si necesitas permisos específicos del sistema que solo root suele tener. Como ponen más arriba, parece más una prueba de concepto que otra cosa y/o la instalación de un software extraño fuera de los repositorios oficiales (que ya va a riesgo del que instala).
#35 Las preguntas eran retóricas
Buscaba una respuesta al estilo de la que te ofrece #36
Es decir, no es posible que en un OS *Linux bien configurado un ejecutable que se esconde bien pueda ejecutar ciertas acciones si no tiene privilegios. Y como esta gente (fabricantes de antivirus reconvertidos en agencias de seguridad informática...) repiten varias veces que "puede ejecutar comandos arbitrarios a pesar de que no requiere privilegios de sistema elevados"; pero antes han dicho que era un "rootkit", se hace necesario que alguien explique esto: Lo que no dice es que antes hay que instalar la puerta; el verdadero rootkit se instala porque alguien lo deja entrar, ahí si necesitas permisos específicos del sistema que solo root suele tener.
De lo contrario este párrafo no hay por donde cogerlo:
Incluso un usuario normal con privilegios limitados puede lanzarlo, lo que le permite interceptar los comandos de tráfico y de ejecución en las máquinas infectadas. Las capacidades incluyen la habilidad de comunicarse con los servidores bajo el control de los atacantes y funciones que permiten a los atacantes ejecutar comandos de su elección y llevar a cabo la administración remota.
#51 Rootkit es un software que se hace pasar como parte del sistema para:
1) tener privilegios sobre ese sistema
2) pasar desapercibido para los demás elementos del sistema
3) servir de puente a otro tipo de programas para poder hacer cosas que en principio no deberían poder hacer
Imaginemos un rootkit que sustituye al comando "ls" que lista los ficheros del directorio actual (o "dir", su equivalente en plataformas dos/windows). En principio actuará exactamente igual que el ls del sistema salvo que oculta un fichero llamado "tehepillao.bichochungo.backdoor64". Así, si el usuario sospecha y lista los ficheros en el directorio no lo verá aunque si que esté ahí. Cualquiera podría ejecutar ese fichero maligno, pero solo quien sepa que está ahí realmente sabrá que puede hacerlo.
O sea, por partes: hay una parte "atada al sistema" con privilegios para hacer y deshacer que pasa desapercibida. Ha debido ser instalada de alguna forma (ingeniería social: ¡ejecute este fichero para librarle de sus virus!, ataque con obtención de privilegios necesarios para poder instalarlo y que luego funcione de manera autónoma y permita acceso remoto sin necesidad de éstos -un caballo de troya-, software del sistema o con privilegios de sistema al que le han colado un backdoor, etc.). Luego está la parte de usuario, que sabe el mecanismo para "despertar" la parte oculta del anterior. En este caso consiste en "llamar" a ciertos puertos en cierto orden, o sea, "poner una clave" para tener acceso al sistema.
O sea, no dice mentiras, pero si medias verdades, un usuario cualquiera sin privilegios puede tener acceso al sistema, siempre que previamente se haya conseguido colar la parte que se integra en el sistema.
#53 No conozco Windows.
En OS *Linux depende de que tipo de usuario se trate... por ser breve:
En un OS *Linux "bien configurado", (la mayoría de los que corren en máquinas en producción y son mantenidos por administradores de sistemas que saben lo que hacen) la aplicación (el rootkit o el troyano); tiene que haber sido instalada por un usuario que "utiliza o conoce" una clave de "root" (una clave de administración que permita instalar software); yo doy por hecho que un administrador de sistemas no mete este tipo de software en sus máquinas!! También doy por hecho que conoce otros métodos por los que "alguien podría engañarle para acceder a sus sistemas" y está alerta.
Si hablamos de OS *Linux corriendo en el portátil de un usuario cualquiera (que usa una cuenta sin privilegios siempre pero a veces abre un terminal y se logea como root para actualizar paquetes o configurar un servicio que necesita privilegios); puede que el (el rootkit o el troyano) haya llegado a la máquina por un método más habitual, entre los que están los que menciona #52: (ingeniería social: ¡ejecute este fichero para librarle de sus virus!, ataque con obtención de privilegios necesarios para poder instalarlo...
For at least four years, the campaign targeted government institutions, embassies, military, education, research, and pharmaceutical companies in more than 45 countries
Me ha hecho gracia la entradilla, solo cita gobiernos y farmaceuticas
#3 pero eso cambiará. Es el año de linux en el escritorio.
EEUU siempre será una potencia tecnológica. Solo tiene que espiar los ordenadores de universidades y empresas extranjeros.
para instalar el troyano necesitas root, seguramente seria algún software que se instalaría en alguna dependencia lo que este contaminado. y no en todas las disto
pero es bueno haberla descubierto, eso quiere decir que el parche esta ya de camino.. como mucho en 3 o 4 semanas
otros sistemas operativos privativos como macOs (windows ya tarda menos) puede demorar años para que se implemente una solución
#14 o no. Puede no ser necesario ser root. Existen exploits que pueden darte permisos de root. En los sistemas unix root arranca el proceso init al inicio y todos los demás vienen de el. Un proceso puede ser ejecutado bajo un usuario concreto, pero un bug puede generar que el proceso muera y nos devuelva una shell con el usuario padre. Por ejemplo apache se ejecuta con www-data, pero el proceso padre lo ejecuta root (www-data no puede abrir el puerto 80). Esto es solo un ejemplo. No digo que sea fácil hacerlo.
Decir que los bugs de Linux se arreglan en poco tiempo es incierto también. Se arreglan rápido los que se publican, pero hay algunos que no se publican y siguen activos durante mucho tiempo. Son los denominados zero-days y afectan a todos los SO.
No hay SO mas vulnerable que otro. Todos lo son. Además detrás de los bugs hay una industria. Es un juego de intereses (http://blog.trailofbits.com/2009/03/22/no-more-free-bugs/). Hay mucho dinero en medio.
Me pilla mayor lo de los fanboys de SO. Al fin de cuentas son herramientas. No le tengo especial cariño a ninguna. Se me hace raro usar Windows, pero mas que nada porque no lo suelo usar, pero no por nada mas.
#43 No hay SO mas vulnerable que otro.
De acuerdo con todo menos con eso. La experiencia y la lógica nos dicen que a más usado esté un SO y a más gente haya encargada de su mantenimiento, más seguro será.
Nadie (con dos dedos de frente) defiende que Linux no tenga fallos de seguridad o bugs. Pero hay una gran diferencia a la hora de comparar la seguridad de unos y de otros. Es posible estar usando durante meses un mismo exploit para conseguir acceso de administrador en un Windows bien actualizado. Eso no se puede hacer en un Linux ni siquiera durante días.
Ahí está la diferencia principal. Está claro que en un ordenador mal administrado, o abandonado, ahí entra hasta el tato y se hace unos huevos fritos en la cocina. Pero en un SO bien actualizado, es mucho más difícil entrar si es Linux que Windows. No imposible. Pero sí mucho más difícil.
antivirus privativo == virus
Vaya vaya...
¿Y como compruebo si lo tengo?
Si le añadimos esto parece que está todo minado
@1982317
Vale, muy bonita toda esta discusión. Pero para legos como yo podríais concluir si un bicho de estos es igual de fácil que pueda infectar a un usuario de linux que a uno de windows.
Acabo de notar una perturbación en la fuerza....
"All the other stuff we've seen from Turla has been windows based. This piece of the puzzle shows us that they do not limit themselves."
Es la pareja del mismo rootkit ya existente para Windows.
Si no has pagado por un producto, entonces tu eres el producto.
#20 si no pagas por tener sexo, el juguete sexual eres tú. Piénsalo.
#20 excepto en el caso de los comunales, como bien sabes, en los que eres el dueño.
Así que la frase un poco más completa es: si no pagas por un producto, tú eres el producto, o el dueño, o (incluír aquí más posibilidades)
#20 Esa frase no aplica en este caso... y lo sabes (imagináos el Julio meme que no me apetece generarlo).
#20 Ya pagas el producto al colaborar de alguna manera, por ejemplo mismo usando el susodicho, traduciendo, creando documentación, programando, informando de su existencia (y además no todo S.O basado en Linux es gratis, por cierto) Algo que no se puede hacer con el copyright, básicamente porque sus creadores no te dejan.
Y por cierto sobre el copyright, es curioso que las puertas traseras de distintas aplicaciones, por lo general, las instalan empresas que usan copyright sin dar el código. Y por eso no me extraña la medida de Alemania, de tener que entregar el código fuente para revisarlo, por si hay alguna de estas puertas traseras. Por ejemplo Windows 8, es un buen ejemplo.
Salu2
Si esto le pasase a Windows el 70% de los meneantes se reiría y diría que el usuario debería usar linux, el sistema más seguro en el que miles de ojos revisan el código y bwajajajajaja pringaaaaaaaaaos.
#17 Es un rootkit... Te lo tienes que instalar....
#19 como el 95% de los troyanos de Windows. Los tiene que instalar un usuario con privilegios de administrador.
¿Datos? Parece todo muy vago.
"Capabilities include the ability to communicate with servers under the control of attackers and functions allowing attackers to run commands of their choice and perform remote management."