Kaspersky Lab realizó un estudio sobre el malware más allá de la omnipresencia Windows: Linux, UNIX y OS X no están exentos de ataques maliciosos y lo comprenderán en este informe.
Aunque Windows sea omnipresente, existe una amplia variedad de sistemas operativos alternativos para uso corporativo y particular. Sin embargo, estas alternativas no están libres de riesgos, como algunos pueden pensar.
Tan pronto como se informa en foros o en publicaciones online sobre un nuevo troyano, aparecen innumerables comentarios como “¡Eso nunca ocurriría en Linux!”. Y seamos honestos: esto es cierto al menos el 99 por ciento de las veces. El hecho es que la mayoría de los programas maliciosos identificados hasta la fecha (más de dos millones) apuntan a Windows. Por otra parte, Linux, con apenas 1.898 programas maliciosos desarrollados para vulnerar este sistema operativo, parece gozar de relativa seguridad. Y hasta la fecha, sólo se han identificado 48 programas maliciosos para el sistema operativo Apple OS X.
Inicios turbulentos
A principios de la década de los 70, mucho antes de la aparición de Microsoft, el virus Creeper infectaba los equipos DEC con sistema operativo TENEX. Este programa malicioso puede ser considerarse como muy avanzado para su tiempo, ya que usaba ARPANET para propagarse. Después de Creeper vino Pervade, en 1975. Pervade estaba codificado para sistemas UNIVAC y fue creado para distribuir un juego llamado “Animal”. Por último, en 1982, fue el turno de Apple: los usuarios tuvieron el dudoso placer de vérselas con Elk Cloner, un virus creado por Rich Skrenta que se propagaba a través de disquetes y que a menudo colapsaba los sistemas.
Fig.1
Mensaje mostrado por el virus BHP
Cuatro años más tarde, los usuarios de C64 se unieron al grupo de víctimas gracias al virus BHP (se sospecha que fue creado por el grupo alemán “Bayerische Hacker Post”) que hacía que la pantalla parpadeara en intervalos regulares, y saludara a la desafortunada víctima con el mensaje “HALLO DICKERCHEN, DIES IST EIN ECHTER VIRUS!” ( “¡HOLA GORDITO, ESTE ES UN VIRUS DE VERDAD!”). A continuación, aparecía un número de serie que se incrementaba en una unidad con cada nueva infección. Este virus era capaz de sobrevivir a una restauración del sistema interceptando una serie de interrupciones de hardware.
No fue sino hasta 1986 que apareció el primer programa malicioso compatible con MS-DOS. “Brain” era un virus para el sector de arranque; de modo muy conveniente, el código malicioso incluía los nombres, direcciones y números de teléfono de sus autores. Amjad y Basit Farooq Alvi eran los hermanos que aseguraban haber creado Brain como un intento para determinar el alcance de la piratería informática en India. Sin embargo, después tuvieron que admitir que perdieron el control de su experimento.
Fig. 2: Código de Backdoor.UNIX.Galore.11
En los años siguientes, el panorama de los virus experimentó un verdadero auge, y de pronto aparecieron virus para cada sistema operativo. Se identificaron más de 190 programas maliciosos para el sistema operativo Commodore Amiga, y un par de docenas para el Atari ST. Estos códigos maliciosos incluían el virus “C’t” [http://www.stcarch.de/am88/06_viren.php] que se publicó en 1988, en la publicación gemela iX, como una lista ensambladora que los lectores podían reproducir (prueba de la actitud despreocupada hacia los programas maliciosos que prevalecía en la época).
El indeseable monopolio de los programas maliciosos
Virus, gusanos y otros programas maliciosos empezaron a florecer en el momento en que los usuarios particulares, desde sus casas, obtuvieron acceso a la World Wide Web. Antes, los códigos maliciosos sólo se propagaban lentamente de un disquete a otro, pero ahora programas maliciosos como Melissa o ILOVEYOU son capaces de propagarse por todo el mundo en cuestión de minutos. Una creciente variedad de plataformas tuvieron mucho que ver en ello. Los programas maliciosos que se propagaban por correo electrónico alcanzaron su pleno potencial (y representaban una amenaza para la mayoría de los usuarios de Internet) una vez que Windows y Outlook tuvieron una significativa presencia en el mercado. El panorama tan heterogéneo de sistemas operativos, típico del sector privado durante los años 80, cedió ante MS-DOS y Windows. Y algo más cambió con la llegada de Internet: por primera vez, fue posible que los programas maliciosos pudieran comunicarse con sus creadores.
Mientras que la propagación de virus y gusanos había sido antes una cuestión de suerte, y algo fuera de control, ahora se podía acceder a la información almacenada en un equipo o se podía enviar órdenes a un agente en un disco duro remoto. Se crearon las condiciones ideales para ataques tipo DDoS y envíos masivos de correo, y a la vez, surgió la espectacular oportunidad de lucrarse con la distribución de programas maliciosos. Es obvio que una persona que se lucra de esta manera va a lanzar un ataque contra la mayor cantidad posible de objetivos. Es por esta razón que cada día se envían millones de troyanos a los usuarios de Windows, lo que no valdría la pena hacer con usuarios de BeOS o Plan 9. El que estos sistemas sean o no más seguros que Windows XP es debatible; incluso si existiera un sistema operativo blindado contra hackers, siempre habría aplicaciones vulnerables instaladas en el disco duro que tarde o temprano serían atacadas.
El “statu quo”
Debido a su gran dominio en el mercado, Microsoft Windows se ha convertido en el estándar para los programas maliciosos. No sólo la cantidad de programas maliciosos que apuntan a Windows es mucho mayor a la de los desarrollados para otros sistemas operativos, también hay una diferencia en el tipo de programas maliciosos diseñados para cada plataforma. En consecuencia, se han establecido dos mundos distintos.
| Sistema operativo | Total | Backdoors, Hacktools, Exploits & Rootkits |
Virus y Gusanos | Troyanos |
| Linux | 1898 | 942 (50%) | 136 (7%) | 88 (5%) |
| FreeBSD | 43 | 33 (77%) | 10 (23%) | 0 (0%) |
| Sun Solaris | 119 | 99 (83%) | 17 (15%) | 3 (2%) |
| Unix | 212 | 76 (36%) | 118 (56%) | 3 (1%) |
| OSX | 48 | 14 (29%) | 9 (19%) | 11 (23%) |
| Windows | 2247659 | 501515 (22%) | 40188 (2%) | 1232798 (55%) |
Fig. 3: Mientras que los usuarios de Windows suelen ser atacados mayoritariamente por troyanos,
otros sistemas operativos sufren más ataques de gusanos y rootkits.
En el caso de los programas maliciosos para Windows, el objetivo en la mayoría de los casos es capturar un equipo y lanzar ataques DDoS, enviar spam, y si se dan las condiciones, usar un gusano para capturar tantos otros equipos como sea posible. Incluso, si el usuario se da cuenta de que su equipo está infectado, esto no constituye un problema para los ciberdelincuentes: las redes de ordenadores zombis, o botnets, son tan extensas (por ejemplo, se estima que la botnet Kido/Conficker tenía varios millones de equipos zombis) que la pérdida de un equipo es insignificante.
Por el contrario, en el caso de los ataques dirigidos a los sistemas de la familia Unix, el objetivo es permanecer desapercibido para obtener detalles de tarjetas de crédito (mediante las tiendas online) o las contraseñas de los usuarios. En su mayoría, los ataques no se realizan mediante troyanos, sino vulnerando conocidas fallas de seguridad en servidores.
Nuevos camaradas de OS X
Hasta octubre de 2007, el escenario de los programas maliciosos para el sistema operativo Apple OS X había sido bastante discreto.
Dos vulnerabilidades, cuatro gusanos, un virus y un rootkit, estaban diseñados como pruebas de concepto sin ningún lucro evidente para sus creadores. Sin embargo, esto cambió con la aparición, en otoño, del primer troyano para OS X: OSX.RSPluga.A. Como hemos mencionado anteriormente, no tiene mucho sentido enviar vía spam troyanos a sistemas alternativos. Y los creadores de este singular programa malicioso aparentemente pensaban lo mismo, pues eligieron publicitar lo que parecía ser un sitio de pornografía en varios foros de usuarios de Mac. Entonces, a quien activaba uno de los videos le aparecía un mensaje indicando que faltaba un codec.
Por supuesto que al usuario también se le ofrecía la opción de descargar el codec. Los usuarios tenían que introducir la contraseña de su cuenta de administrador para instalar el “codec”, pero distraídos en su entusiasmo, algunos usuarios de Mac demostraron ser tan ingenuos como los usuarios de Windows en situaciones similares. OSX.RSPluga.A manipula entradas de DNS de tal manera que numerosas direcciones, incluyendo las de eBay, PayPal y las de varios bancos, ya no se resuelven correctamente. En consecuencia, se desvía a las víctimas a sitios phishing.
A mediados de enero, la compañía finlandesa antivirus F-Secure informó sobre la primera solución antivirus falsa. Este programa gratuito “detectaba” varios programas maliciosos en equipos que estaban completamente limpios, y para eliminar la supuesta amenaza, el usuario tenía que adquirir el producto. Este tipo de estafa no es nueva para los usuarios de Windows, pero a los creadores de estos programas les interesaba averiguar cuál sería la reacción de los usuarios de Mac.
Que no cunda el pánico
Vistas las cifras, algunos se preguntarán cuál es el problema. Después de todo, cualquier otro sistema es un paraíso de seguridad comparado con Windows. Pero hay que tener en cuenta este pequeño gran detalle: los troyanos no necesitan privilegios en la raíz para acceder y espiar la información o para llamar a casa a través del puerto 80. Y en un mundo en el que incluso se oye decir a los novatos en informática “¿No es Ubuntu?”, los usuarios de Linux tienen que estar preparados para cuando los ciberdelincuentes que tienen en la mira a los usuarios inexpertos irrumpan en sus equipos.
Y, al final, lo que representa el mayor de los riesgos es la creencia de que un sistema sea impermeable. Hoy, incluso los ordenadores a la venta en tiendas de rebajas vienen con una solución antivirus preinstalada, pero, a la vez, muchos usuarios de Linux son reacios a instalar hasta los análisis gratuitos como ClamAV, creyendo que simplemente no es necesario. En particular, la comunidad ofrece una variedad de soluciones de alto rendimiento, con tecnologías como SELinux, AppArmor, y una serie de sistemas de detección de intrusiones. Quienes omitan el uso de estas soluciones, ya sea porque consideran que les toma mucho tiempo o esfuerzo, o porque piensan que no son necesarias, quizás no se den cuenta cuando su equipo caiga en manos de un pirata en busca de presas fáciles.
Protección para las empresas
Una empresa, por razones obvias, no puede darse el lujo de aferrarse a los mitos de seguridad. No hay margen de discusión sobre la imperiosa necesidad de que cada servidor cuente con una protección antivirus, incluso para proteger sólo a los numerosos usuarios de Windows en la red.
Para neutralizar los ataques maliciosos en la pasarela vale la pena instalar cortafuegos y sistemas de detección y prevención de intrusiones. Ya sean servidores de uso específico o dedicados, los sistemas Linux o similares a Linux a menudo actúan como la primera línea de defensa de la red interna en el caso de instalaciones en la pasarela. Además de definir los servicios disponibles y proporcionar la primera línea de defensa contra los ataques de hackers, también puede instalarse un cortafuegos debidamente configurado para evitar que los programas maliciosos de autopropagación (gusanos) se multipliquen a través de las conexiones de red. Por ejemplo, es posible proteger una red contra “Lovesan.a” con sólo bloquear los puertos TCP 135 y 4444.
Sin embargo, un cortafuegos también puede servir para mitigar los daños. Si la red tiene clientes infectados, el bloqueo de puertos específicos puede evitar que se realicen conexiones, evitando así la vulneración del sistema afectado. Para minimizar los riesgos generales, se deben considerar varios escenarios al configurar el cortafuegos, y se deben definir claramente los servicios y puertos autorizados.
Sin embargo, los programadores hábiles han encontrado formas de burlar este sencillo tipo de seguridad, filtrando paquetes mediante conexiones de túnel y servicios autorizados, como DNS y HTTP. Es por esta razón que módulos inteligentes agregados, tales como los sistemas de detección y prevención de intrusiones y los cortafuegos para aplicaciones son un valioso complemento para los cortafuegos clásicos.
¡Gracias, Proxy!
También es posible instalar un proxy en lugar de dejar que los empleados de una empresa accedan directamente a Internet. Esto no sólo reduce el tráfico, sino que también aumenta la seguridad, puesto que una significativa cantidad de programas maliciosos se diseminan a través de sitios Web maliciosos.
En instalaciones Linux/Unix, probablemente Squid es el proxy de mayor uso. También ofrece su propia interfaz dedicada: “ICAP” o Protocolo de adaptación de contenidos en Internet (RFC 3507). Aquí, las peticiones de los usuarios se procesan mediante RESPMOD (modificación de respuesta), que analiza los objetos solicitados por los servidores Web, y REQMOD (modificación de la petición), que analiza los objetos enviados a los servidores Web. Proxys madre como HAVP (http://www.server-side.de) suelen instalarse para analizar el tráfico HTTP y el tráfico nativo FTP.
Los llamados “proxys transparentes” también son muy comunes, por su facilidad de integración. Son flujos ascendentes de la pasarela (cortafuegos o similar) conectados y no necesitan configuración del cliente (configuración de los parámetros del navegador). Su instalación puede consistir en un servidor en modo puente, desde el cual un proxy conmuta las peticiones al filtro de contenidos. El proxy, de forma alternativa, recibe peticiones HTTP que se han redireccionado desde el cortafuegos como un servidor dedicado, y en pequeñas redes puede integrarse con el mismo cortafuegos (TransProxy http://transproxy.sourceforge.net).
Por supuesto, los proxys tampoco pueden garantizar una completa protección. Incluso el mejor escáner antivirus es incapaz de descifrar los archivos protegidos por contraseña, y las limitaciones de las tecnologías proxy también sobresalen cuando se trata de conexiones VPN.
Protección del tráfico de correo
El tráfico de correo sigue siendo uno de los métodos principales utilizados para la propagación de los programas maliciosos. Dependiendo del tamaño de la red (número de usuarios), se instala un sistema de pasarela de correo para el flujo ascendente para, por ejemplo, Exchange, Lotus Domino o soluciones alternativas de software cooperativo (groupware).
También suelen instalarse Linux o Unix (Solaris) o derivados (*BSD) con MTAs (Agentes de transferencia de correo), como postfix, exi, qmail o sendmail. Estos ofrecen sus propias interfaces de filtros para escáneres antivirus y filtros antispam. El método más común es el que se conoce como MTA dual. Esto significa que cada mensaje de correo se entrega dos veces al MTA. Primero, se recibe un mensaje de correo desde el host remoto. Luego, se transmite al filtro de contenidos para su verificación, y de ahí se lo devuelve al MTA. Sendmail también ofrece una interfaz API (Milter API).
Junto a estos sistemas de flujo ascendente, también se instalan las soluciones de filtros vinculados que consisten en múltiples escáneres antivirus y filtros antispam (por ejemplo, 2-3 escáneres antivirus y 2 filtros antispam). La ventaja es que el escáner también puede ejecutarse en un sistema dedicado, lo que claramente reduce la carga en la pasarela de correo. De esta manera, también se pueden integrar con facilidad soluciones de amplia disponibilidad como un agrupamiento de pasarela de correo (MTA) y un agrupamiento (cluster) de filtro de contenidos. Sin embargo, también son de uso muy común los agrupamientos completamente integrados y las soluciones de amplia disponibilidad (MTA y filtro en un solo sistema).
Los servidores de correo Internet también se benefician de los sistemas de filtros para flujos ascendentes gracias al menor uso de recursos para el análisis y almacenamiento de programas maliciosos y mensajes spam. También se necesitan menos recursos para el procesamiento en caso de un significativo volumen de tráfico de correo. Es por esto que las pequeñas empresas deberían considerar la solución del servidor conmutador. Algunos fabricantes también ofrecen soluciones integradas predeterminadas para simplificar su administración.
Protección de los servidores de ficheros
La información guardada electrónicamente sin duda constituye un activo importante para una compañía, ya sea que se refiera a planes de producción, inventarios de almacenes, u otro tipo de datos. En particular, la información personal, o la confidencial como listas de empleados, cuentas y CVs, a menudo se guardan en los servidores de archivos. Estos depósitos centrales de la red siempre deben estar protegidos para evitar el robo o la manipulación de datos y el espionaje.
Muchas redes presentan sistemas alternativos con servicios Samba en combinación con servidores Windows. En estos casos, la integración sólo será posible mediante un módulo VFS (sistema virtual de archivos) que redireccione el tráfico de datos a través del escáner antivirus. Esto permite ejecutar un análisis de datos al acceso (lectura y/o escritura).
Los módulos kernel (Linux, FreeBSD) también están disponibles para algunos sistemas alternativos. Estos módulos no sólo protegen el propio servicio Samba, sino que también revisan todos los objetos en el sistema, y están disponibles para NFS, FTP y servidores Web. La desventaja de esta solución es que debe verificarse la compatibilidad para el nuevo kernel y el módulo tendrá que recompilarse para ajustarse a las actualizaciones del kernel.
Los servidores con plataformas alternativas son muy comunes. Desde AS/400 a Solaris, HP-US, IRIX y AIX, sólo por citar algunos, estos sistemas ofrecen de todo, desde sistemas de archivos a sistemas de bases de datos, aplicaciones especificadas por la industria y soporte para cuentas. En este caso, la dificultad en encontrar soluciones de seguridad adecuadas reside no sólo en los sistemas operativos, sino también en las diversas arquitecturas del CPU (SPARC, PPC, Itanium, Alpha, MIPS, PA-RISC, etc., además de Intel). Si no se encuentra disponible una solución para un determinado sistema operativo, estos sistemas deberían permanecer aislados del resto de la red a fin de disminuir al máximo los riesgos. Las opciones incluyen redes separadas con cortafuegos dedicados, restricciones de acceso, IDS o IPS.
Mosaico de clientes
Un 99 por ciento de las instalaciones cliente están formadas por equipos con plataformas Windows; sin embargo, las estaciones de trabajo con sistemas operativos Linux, BSD y MAC OS X también necesitan protección, puesto que nunca deben descartarse ataques maliciosos. Dispositivos como CD-ROMs y DVDs representan un vector de ataques, y los disquetes y zip en algunos casos aún constituyen una amenaza. Los dispositivos USB flash y los discos duros externos USB/Fire Wire tienden a pasar de un sistema a otro, dando a los programas maliciosos una oportunidad para extenderse.
Además de las estaciones de trabajo y los ordenadores portátiles, el creciente número de smartphones y dispositivos móviles que existen en la actualidad también necesitan estar protegidos. En las configuraciones estándar de redes, el vector de ataque era uno: Internet. Hoy, los administradores de sistemas y los consultores de seguridad informática tienen que considerar el tema de la seguridad de los nodos internos. Esta tarea se complica cada vez más por el hecho de que el rango de plataformas continúa en expansión. Además de las diferentes versiones de Windows Mobile, también son comunes sistemas como Symbian, Linux y los sistemas propietarios. La tarea de encontrar soluciones de seguridad para estos sistemas es una tarea no sólo difícil, sino a veces imposible.
Conclusión
El uso de tecnologías alternativas ofrece algunas ventajas de seguridad, pero de ninguna manera la garantiza: por ejemplo, mientras que el sistema para estaciones de trabajo Solaris puede ser considerado como no convencional, el servidor puede ser un sistema estándar expuesto a ataques, como cualquier otro servidor.
Quienes se preocupan por la seguridad de su información deberían, en consecuencia, asegurarse de que sus equipos estén protegidos, cualquiera que sea su sistema operativo. Lo ideal es que esto se logre mediante una combinación de tecnologías que se complementen mutuamente. E incluso entonces, se han de tomar precauciones, dado que el uso de aplicaciones Web se incrementa en detrimento de las aplicaciones instaladas en el equipo local. Un ejemplo típico son los foros y sitios de debates, a menudo inseguros: se pueden inyectar códigos HTML para posibilitar los ataques tipo cross-site scripting (inyección de códigos en páginas Web visitadas por otros usuarios) cualquiera que sea el sistema operativo. En conclusión, el mensaje sigue siendo el mismo: ¡Ten cuidado, Tux, ten cuidado!
Magnus Kalkuhl
Marco Preuss
Kaspersky Labs
