Los teléfonos Android y los escritorios y servidores Linux todos comparten un ancestro común. Todos están basados en un núcleo común y comparten utilidades y componentes comunes. Cada vez que se encuentra una vulnerabilidad de seguridad en estas áreas, el contagio es masivo y cientos de millones de computadoras y dispositivos móviles inevitablemente se verán afectados.
Una vulnerabilidad recientemente descubierta (CVE-2016-0728) en el kernel de Linux es un ejemplo asombroso de esto. Aprovecha una falla en el conjunto de llaves del sistema operativo y permitiría que cualquier atacante o usuario sin privilegios obtuviera acceso raíz al sistema en cuestión. Así es como funciona, y de lo que debe tener cuidado.
Entender esta vulnerabilidad
Esta vulnerabilidad fue descubierta por Perception Point, una importante empresa consultora de seguridad de la información con sede en Tel Aviv. La falla se introdujo por primera vez hace unos tres años, con el lanzamiento del núcleo de Linux. El núcleo de Linux: una explicación en términos de Layman. El núcleo de Linux: una explicación en términos de Layman. Hay solo una cosa de facto que las distribuciones de Linux tienen en común: Kernel de Linux. Pero a pesar de que a menudo se habla, muchas personas realmente no saben exactamente lo que hace. Leer más la versión 3.8. Perception Point estima que alrededor de dos tercios de los dispositivos con Android y una cantidad incognoscible de escritorios y servidores Linux (probablemente en decenas de millones) son vulnerables.
Como se mencionó anteriormente, esta falla se encuentra en el llavero del sistema operativo. Este es el componente utilizado en Linux que permite a los controladores almacenar en caché los datos de seguridad, como las claves de cifrado y los tokens de autenticación. Por diseño, los datos contenidos en el llavero OS no deberían ser accesibles para otras aplicaciones.
El exploit en sí aprovecha una falla con la forma en que se gestiona la memoria en el Keyring del sistema operativo. Al ejecutar un desbordamiento de búfer, los atacantes pueden activar el sistema operativo para ejecutar algún shellcode arbitrario, que se ejecutará como root.
Se espera que la mayoría de las distribuciones de Linux emitan correcciones para el inicio de la próxima semana. Pero si tiene un procesador Intel moderno (Broadwell o posterior), SMAP (Prevención de acceso al modo de supervisión) y SMEP (Prevención de ejecución de modo supervisor) debe estar habilitado y limitará el daño que esta vulnerabilidad puede ocasionar.
Mientras tanto, si estás en Android, SELinux también debería hacer el truco. Vale la pena señalar que Google ha minimizado con vehemencia los riesgos que presenta esta vulnerabilidad. En una declaración, dijeron que todos los dispositivos con Android 5.0 Lollipop y más tarde están protegidos por SELinux, y la mayoría de los dispositivos más antiguos (que ejecutan Android 4.4 KitKat y versiones anteriores) no contienen el código vulnerable que se introdujo en la versión 3.8 del kernel de Linux .
El Equipo de seguridad de Android también se quejó de que no se les dio aviso para emitir un parche. Esencialmente, dijeron que el Punto de Percepción no realizó una divulgación responsable Divulgación completa o responsable: cómo se divulgan las vulnerabilidades de seguridad o divulgación responsable: cómo se revelan las vulnerabilidades de seguridad Las vulnerabilidades de seguridad en los paquetes de software populares se descubren todo el tiempo, pero ¿cómo son? informado a los desarrolladores, y ¿cómo los hackers aprenden sobre las vulnerabilidades que pueden explotar? Lee mas .
Básicamente, no están diciendo que no haya un problema, sino que afecta a una proporción mucho menor de dispositivos Android como lo afirmó anteriormente Perception Point. A pesar de eso, están emitiendo una solución, que cuando se lance, debería cerrar esta enorme vulnerabilidad de una vez por todas.
Comprobando su privilegio
Uno de los principios más fundamentales de la seguridad informática se puede resumir sucintamente, ya que: no todos los usuarios deberían poder hacer todas las cosas en todo momento .
Si un usuario ha iniciado sesión perpetuamente como administrador raíz o raíz, sería mucho más fácil que un componente de malware o un atacante remoto causara un daño significativo. Es por esta razón que la mayoría de los usuarios y aplicaciones existen en un modo restringido con permisos limitados. Cuando quieren hacer algo que podría dañar la computadora, como instalar un nuevo programa o cambiar un archivo de configuración importante, primero deben elevar sus privilegios. Este concepto es universal y se puede encontrar en prácticamente todos los sistemas operativos.
Supongamos que alguien ha iniciado sesión en una computadora Linux o Mac con una cuenta de administrador y desea editar sus hosts. Cómo editar el archivo de hosts de Mac OS X (y por qué podría querer hacerlo) Cómo editar el archivo de hosts de Mac OS X (y Por qué es posible que desee) Su computadora utiliza el archivo hosts para asignar nombres de host a direcciones IP. Al agregar o eliminar líneas en su archivo de hosts, puede cambiar el lugar al que apuntarán ciertos dominios cuando acceda a ellos ... Leer más archivo para reasignar un nombre de host a una dirección IP local. Si solo intentan abrirlo de inmediato con un editor de texto, el sistema operativo volverá con un mensaje de error que dice algo así como "acceso denegado".
Para que funcione, tendrían que elevar sus privilegios. Pueden ingresar al modo superusuario indefinidamente ¿Qué es SU y por qué es importante utilizar Linux de manera efectiva? ¿Qué es SU y por qué es importante utilizar Linux de manera efectiva? El SU de Linux o la cuenta de usuario raíz es una poderosa herramienta que puede ser útil cuando se usa de forma correcta o devastadora si se usa imprudentemente. Veamos por qué debería ser responsable cuando usa SU. Lea más ejecutando "sudo su". Esto es útil si van a ejecutar una serie de acciones restringidas durante un período de tiempo no especificado. Para salir de este modo y regresar a la cuenta de usuario normal, simplemente use el comando "salir".
Para ejecutar solo un comando como superusuario, simplemente preceda ese comando con "sudo". Usando el ejemplo del archivo hosts, puede editarlo con "sudo vim etc / hosts". Luego se le pedirá su contraseña. Si la cuenta no tiene privilegios de administrador (es decir, es una cuenta de usuario estándar), el comando no funcionará.
En Android, tienen un modelo de permisos fundamentalmente diferente, donde las aplicaciones están atomizadas y en espacios aislados, y los usuarios pueden hacer cambios limitados bajo el capó. Se desaconseja activamente a los usuarios obtener acceso a la raíz. Es por esta razón que la mayoría de los operadores y fabricantes (con HTC, entre las excepciones Cómo rootear su HTC One de primera generación Cómo rootear su HTC One First Generation inusualmente, no hay utilidades especiales que lo permitan; en su lugar, debe usar el enraizamiento aprobado por HTC). método. Más información) desaniman activamente a los usuarios a enraizar sus teléfonos, y por qué se ha convertido en una especie de "arte oscuro".
Windows también tiene su propio sistema de privilegios elevados. Cada vez que un programa realiza un cambio en el sistema que requiere permisos mejorados, Windows solicitará al usuario una ventana de UAC (Control de acceso de usuario). Esto muestra el programa que está solicitando permisos elevados. Si al código se le ha otorgado una firma criptográfica, se mostrará quién lo firmó, lo que le permite detectar programas de impostores. El usuario puede elegir darle al programa los permisos solicitados o rechazarlos.
Si bien este proceso no está exento de fallas (las ventanas de UAC son consideradas bastante molestas. Detener molestas solicitudes de UAC - Cómo crear una lista blanca de control de cuentas de usuario [Windows] Detener las molestas indicaciones de UAC - Cómo crear una lista blanca de control de cuentas de usuario [Windows] Desde entonces Vista, los usuarios de Windows hemos sido molestados, molestados, molestos y cansados del aviso de Control de cuentas de usuario (UAC) que nos indica que un programa se está iniciando y que lanzamos intencionalmente. Claro, ha mejorado, ... Leer más y son en general, simplemente 'clickeado', por ejemplo), es uno que generalmente funciona. Sin embargo, puede ser evitado fácilmente por fallas en el sistema operativo, muy similar al identificado por Perception Point.
Amenazas crecientes para dispositivos Linux
En los últimos años, hemos visto una avalancha de ataques dirigidos a los sistemas operativos basados en Linux, ya que consolida su control en el mercado de los servidores y aumenta su cuota de mercado en el escritorio.
Recientemente, un investigador en Rusia descubrió un troyano de acceso remoto Cómo lidiar de manera simple y efectiva con los troyanos de acceso remoto Cómo lidiar simple y efectivamente con los troyanos de acceso remoto ¿Huele una RAT? Si crees que has sido infectado con un troyano de acceso remoto, puedes deshacerte de él fácilmente siguiendo estos simples pasos. Leer más fue diseñado para ayudar a un atacante a espiar a los usuarios. Llamado Linux.Ekoms.1, el troyano toma una captura de pantalla cada 30 segundos y la guarda en una carpeta temporal como JPEG disfrazada con una extensión de archivo diferente. El análisis adicional del troyano reveló que los desarrolladores estaban trabajando en funciones que le permitieran grabar audio. Estos archivos luego serían enviados a un servidor remoto. Los atacantes también podrían emitir comandos a través de un servidor de comando y control.
Otro rootkit para Linux, llamado Snakso-A, apuntaba a los servidores web Linux de 64 bits y secuestraba silenciosamente las páginas web que se estaban sirviendo, con el fin de inyectar un iFrame servidor de malware.
Luego, por supuesto, están las vulnerabilidades que eran tan graves, que se convirtieron en noticias internacionales. Estoy hablando de cosas como Shellshock Worse Than Heartbleed. Conozca ShellShock: ¿una nueva amenaza de seguridad para OS X y Linux Peor que Heartbleed? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux Lea más, la vulnerabilidad de GHOST El fallo de Linux Ghost: Todo lo que necesita saber El fallo de Linux Ghost: Todo lo que necesita saber La vulnerabilidad de GHOST es un defecto en una parte vital de cada gran distribución de Linux. Podría, en teoría, permitir que los hackers tomen el control de las computadoras sin la necesidad de un nombre de usuario o contraseña. Lea más y Heartbleed Heartbleed - ¿Qué puede hacer para mantenerse seguro? Heartbleed: ¿qué puedes hacer para mantenerte seguro? Lee mas .
Estas amenazas generalmente se resuelven de manera conveniente por los responsables del mantenimiento y los desarrolladores de los componentes de Linux que producen. Sin embargo, en los últimos meses, su capacidad para hacerlo ha sido cuestionada, como resultado de la escasez de fondos y personal, lo que lleva a algunos a preguntarse si Linux ha sido víctima de su propio éxito ¿Ha sido Linux víctima de su propio éxito? ¿Ha sido Linux una víctima de su propio éxito? ¿Por qué el director de la Fundación Linux, Jim Zemlin, dijo recientemente que la "edad de oro de Linux" pronto podría llegar a su fin? ¿Ha fallado la misión de "promover, proteger y avanzar Linux"? Lee mas .
Buscar actualizaciones
En los próximos días, la mayoría de las distribuciones de Linux emitirán parches, al igual que Google para Android. Se le aconseja que consulte regularmente a su administrador de paquetes para las actualizaciones.
¿Esta vulnerabilidad te hizo cuestionar si debes continuar usando Linux? Cuéntame sobre esto en los comentarios a continuación.
Créditos de las fotos: Cripta (Christian Ditaputratama), PasswordFile (Christiaan Colen)