Charla GNU/Linux Virus en GNU/Linux (Reflexión)

[Shiba87 38,620]

Ésta es una de esas pocas veces que copio y pego algo tal cual, pero es que el post que nos ha dejado mcun es uno de esos casos en los que hay que hacer una excepción

Esta discusión es una de las mas sui generis en la historia de GNU/Linux.

Como sabrán un virus informático pertenece a la familia de los malwares y se define como tal a un programa informático que tiene la función de infectar con código malicioso en ficheros y binarios de un sistema.

El termino virus se toma por la analogía con los virus que afectan a los humanos, esto es que infecte todo lo que se cruza en su camino,Las personas tienden a denominar virus a todo el software malicioso, malware, en parte por ignorancia y en parte por que así fueron clasificados desde un principio.

¿ Pero que hace un virus ?

Un virus infecta, osea introduce código malicioso en un fichero, sin importar que tipo de fichero, esto es que infecta tanto un archivo de música mp3 por ejemplo o un binario del sistema. con la intención de propagarse a si mismo o a una porción de si mismo.

¿ Con que intención ?

Obtener privilegios en el sistema, acceder a datos reservados, destruir el sistema o los datos, robar datos sensibles como password, etc,etc,etc

¿ Como funciona un virus ?

Un virus puede funcionar básicamente de la siguiente forma:

• Se ejecuta y se queda residente en memoria RAM para infectar todo tipo de fichero/binario/proceso que se ejecute en el sistema,
• Se agrega a la lista de programas de inicio de sesión para asegurarse la ejecución de si mismo a futuro.

Para poder entrar en memoria RAM e infectar otros procesos debe saltarse la segmentación de memoria, aquí un gran problema para el virus, la segmentación de memoria del kernel Linux.
A diferencia de los sistemas de Microsoft en GNU/Linux el acceso a la memoria está fuertemente controlado por el kernel y a ella sólo tiene acceso el root. Dicho esto, ningún proceso puede acceder al espacio de memoria de otro proceso, si lo hace se produce una excepción conocida como violación de segmento y se interrumpe su ejecución.

Éste, entonces, es el primer obstáculo de un virus, su imposibilidad de infectar otros ficheros aun estando en memoria, mucho más aquellos que son de propiedad del root, lo que reduce todos los riesgos a los procesos del usuario.
Aquí vale aclarar que esto no es menor, ya que los procesos del usuario son, ni mas ni menos, sus datos.


Para agregarse a la lista de programas al inicio del sistema, es precisa la autorización de root, por lo que sin la interacción del root esto no es posible.

Éste, entonces, es el segundo obstáculo para la funcionalidad del virus, ya que es muy difícil escalar privilegios en GNU/Linux.

Hasta aquí he descrito de forma muy resumida lo que es un virus y para no dejar el tema en un eufemismo voy a zanjar la discusión de forma temprana, NO existen virus en GNU/Linux SÍ existen malwares.


¿ Que hace un malware ?

Un malware es una clasificación general que engloba a todo tipo de programa desarrollado con fines maliciosos. Su funcionalidad es muy amplia y sobrepasa la intención de este post. por lo que voy a abordar el tema de forma resumida.

Un claro ejemplo (Ni se les ocurra ejecutarlo)

rm -rf ~/*

El anterior código borrará todo lo que esté en el Home del usuario y para ejecutarlo no se precisan permiso especiales, osea tenemos un código que podría usarse como un malware muy destructivo.

¿Pero cómo logra ese malware llegar a ejecutarse?

Por lo general todo malware viene escondido en un fichero lícito, ejemplo un fichero de música mp3, el usuario lo descarga de la web y al ejecutarlo, junto al fichero lícito se ejecuta el malware, ¿Qué sucede aquí ? Técnicamente hablando, el malware se carga en memoria RAM e intenta ejecutar su código, el problema para el malware es que para poder ejecutar el "rm -rf ~/*" debe salir del espacio de memoria asignado por el kernel a la aplicación encargada de reproducir música. Es ahí donde se topa con el "muro" que representa la segmentación de memoria.

Entonces los des-arrolladores de malware se enfrentan a un desafió muy grande al no poder ocultar simplemente el código en ficheros de alta demanda, por lo que tiene que recurrir a la ingeniería social para poder engañar al usuario y lograr que éste ejecute el script.

Esto significa que es muy difícil automatizar un proceso de infección de un sistema GNU/Linux, pero no imposible. De echo hubieron en los mas de 20 años de existencias de GNU/Linux una docena de malwares de relativa peligrosidad.

---

Algunos mitos sobre GNU/Linux y los virus:


Aquí uno de los mas grandes mitos:

"Al ser GNU/Linux muy poco usado nadie se preocupa de hacer virus para GNU/Linux"

Falso como moneda de dos caras, GNU/Linux es el sistema más usado en servidores, por lo que los datos mas sensibles como Bases de Datos, Sistemas e-commerce, Cuentas Bancarias, Datos de seguridad social, torres de control de aeropuertos y un largo etc, funcionan bajo la plataforma GNU/Linux o *nix por lo que seria mucho mas sabroso para un cracker asaltar un servidor de estos que miles de PC de usuarios comunes.

Otro mito es que en GNU/Linux no hay virus porque no se usa software pirata, si bien desde el punto de vista técnico no es posible la ejecución de un virus como tal y
que el software está disponible normalmente en repositorios oficiales, es posible la ejecución de un malware, en honor a la verdad y para no crear una falsa sensación de seguridad, es mejor tomar recaudo, ya que hay muchos usuarios, sobre todo los que recién empiezan que en su afán de solucionar algo de forma rápida acuden a seguir ciegamente tutoriales o tips de cualquier sitio sin verificar lo que realmente están haciendo y es cuando instalan repositorios de vaya a saber quién y ejecutan comando a diestra y siniestra sin saber realmente qué es lo que hacen.

Entonces a saber que superman no es invencible, la kriptonita lo mata, no instalen repos que no estén oficialmente soportados y no ejecuten ningún comando no sepan que hace.

Bueno espero no haber dicho grandes burradas y si es así espero me lo hagan notar

[eMix 10,809]

Bueno es saberlo, me ha aclarado bastantes cosas que de vez en cuando me vuelven a la mente al haber usado tanto tiempo Windows, habia leido info parecida, no tan bien explicada como esta esta, los manuales que sigo ahora "creo" que son de confianza, aunque he de reconocer como bien dice el post que en los comienzos hacia cualquier tuto que veia por ver si podia solucionar el problema en cuestion.

 

Gracias por la info

[dharma 1,574]

¡Muy ilustrativo! Y, como de costumbre, lo archivo para echárselo a los pesados de turno cuando me sueltan los falsos mitos sobre GNU/Linux. Ahora en lugar de enfadarme ante sus "inshidiash", diré lée, cultívate y déjame tranquilo

[southside54 499]

Muy bien explicado, me aprenderé al deillo algunas cosas para cuando mis compis me pregunten que porque no tengo antivirus

Edited March 7, 2013 by southside54

[artiza 2,272]

También, mal acostumbrado, empecé a bajarme cosillas hasta que leí con atención la función de los repositorios y el plus de confianza y estabilidad del sistema que da usar los oficiales (sean libres o menos libres). Ahora desconfío hasta de las propuestas vía ppa sin contrastar. Tomo nota del contenido del artículo porque el malware nos puede afectar a todos: véase los últimos casos para android. Con lo que volvemos al paradigma de que no hay mejor antivirus que el usuario.

 

PS: Me ha quedado un poco solemne, ¿no?

[eMix 10,809]

Te ha quedado de lujo