jueves, 10 de diciembre de 2009

Una pequeña historia sobre un malware para Linux

Ayer sucedió algo realmente interesante: un screensaver (salva pantallas) para Gnome posteado en http://www.gnome-look.org resultó en un ejemplo práctico de porque virus y similares tienen poco éxito bajo GNU/Linux.

Resultó ser que el archivo .deb (un archivo de instalación de programas con todas las dependencias precalculadas para Debian, Ubuntu y otros derivados) contenía en su interior un script que descargaba dos archivos de un server y los instalaba, asignándoles permisos y ejecutándolos, en lo que parecía un intento de conseguir una red de bots para atacar un sitio. El script se aseguraba de chequear cada cierto tiempo para ver si se había actualizado el archivo, con lo que el contenido podía variar en forma imprevista.

Un usuario de Ubuntu reportó que le parecía que el archivo se comportaba en forma extraña, y allí comenzó a suceder lo espectacular. En lugar de decirle de todo por lo que había hecho, los usuarios comenzaron a averiguar todo lo referente al caso, y a actuar en consecuencia.

En menos de dos horas, ya había en el foro una instrucción para la consola que eliminaba los archivos malignos. Una hora más tarde otro usuario agregó un pequeño script que emite una alarma cada vez que alguien usa ping o wget en una PC, generado así un efectivo y simple detector de actividad del malware.

Mientras esos usuarios hacían eso, varios otros ayudaban a informar que tipo de reportes podían detectar que algunos de los archivos seguían presentes, mientras otros contactaban con los administradores de gnome-look.org y los ISPs del sitio de donde se descargaban los archivos para conseguir que esos archivos fueran sacados de circulación.

El resultado fue que en muchísimo menos de un día, la infección había sido encontrada, rastreada, identificada, eliminada y perseguida por internet. Esto fue posible no solo porque muchos usuarios de Ubuntu son técnicos muy capacitados, sino porque debido a la tremenda escazes de amenazas similares, se pudieron concentrar en eliminar esta de forma urgente.

Por otra parte, hay que destacar que el archivo .deb no provenía de los repositorios oficiales de la distribución Ubuntu, sino que provenía de otro sitio comunitario, que ya se comprometió a revisar todas y cada una de las novedades que ingresen en su sitio. Esto es algo extraño en GNU/Linux, donde casi siempre descargamos cosas de los repositorios oficiales, que nos proveen de una inmensa variedad de programas libres y gratuitos.

Esta es una de las tantas razones por las que GNU/Linux es un sistema operativo con tan buena seguridad, cada usuario está rodeado por una comunidad que sabe que hacer en caso de necesidad. Noten que no todos reaccionaron de la misma forma, ni buscaron el mismo tipo de solución, pero entre todos propusieron y ejecutaron una solución integral al problema llena de ideas que pueden servir para solucionar otros problemas.


No hay comentarios:

Publicar un comentario