“Hand of Thief” o por qué Linux no está listo para usuarios finales

Bueno, realmente si está listo, ¡pero para las personas normales no!, la cosa es que hoy me he enterado de un “troyano” para Estaciones de trabajo (usuarios finales) y que “afecta” a diversas distribuciones GNU/Linux, según lo informa la RSA.

Bien, “Hand of Thief” es un trojan-banking, se supone que está diseñado para “robar información” como cookies, inicios de sesión, claves y demás, de diversos navegadores en Linux (firefox, chrome, iceweasel), aunque ciertamente podría ser “de cualquiera”, ya que su método de ataque es comprometer la resolución DNS del equipo, permitiendo, por ejemplo, re-dirigir el tráfico de navegación a proxy-socks externos y allí filtrar-robar tu información.

Los rusos detrás de Hand of Thief lo venden a “ladrones de información” por un monto que oscila entre 1500 y 3000 US$, me imagino que mucha gente comenzará a correr en pánico y a gritar “ya hay virus para Linux, ya hay virus para Linux”, como aquellos que afirman que SELinux es un parche troyano de la NSA, #FAIL.

¿Qué cosa es “Hand Of Thief”?

Conociendo el “origen” de la noticia (la RSA, que han estado en contra de cualquier migración Windows>Linux basándose en seguridad), es posible que sea un “HOAX” muy exhacerbado, sin embargo, todas las “funcionalidades” que pregona el Troyano son alcanzables en cualquier distribución GNU/Linux básicamente instalada:

  • Grabber HTTP-Sessions
  • Re-directing HTTP sessions to external proxies
  • host-list based blocking
  • poison DNS queries
  • Backdoor, Back-connect and Socks5-proxy

Así, que hay que tener mucho cuidado.

… ¿Y qué cosa no es?

Por mucho que pregonen en RSA, “Hand of Thief” no es un virus, ni siquiera es un troyano (en su acepción básica), esto es debido a que “Hand Of Thief” no puede ni instalarse por si mismo, ni afectar alguna “vulnerabilidad” o “puerta abierta” existente (ejemplo: el FBI logra comprometer sistemas e instalar troyanos explotando una vulnerabilidad zero-day en Android, ESO si es un troyano), tampoco se “replica” a sí mismo ni nada, “exige” que el atacante “convenza” a la víctima de “debe instalarlo” y además “debe instalarlo con privilegios de root”, entonces ¿cómo algo que exige que deba ser instalado por el usuario puede considerarse un verdadero troyano?, esto suena como si le solicito a una persona que me entregue “por las buenas” su cartera y las claves de su tarjeta de débito.

y entonces ¿por qué digo que Linux no está listo?

Porque ciertamente hay mucho “ingenuo” allá afuera, Windows está lleno de troyanos y virus no solamente porque tenga muchos agujeros, muchas vulnerabilidades y fallos “zero-day” cada día; sino, que hay demasiada gente estúpida que si recibe un tweet “hey!, a funny pic of you” en un navegador donde tienen su twitter conectado y la cookie de autenticación almacenada, le hacen click sin más y se convierten en otro spammer más del Twitter.

GNU/Linux, en su instalación más básica en la mayoría de las distribuciones (por aquello de “facilitar” al usuario final, su “necesidad” de seguir siendo pendejo) no instalan herramientas básicas de seguridad, ni un solo firewall, ni tcp wrappers, ni un denyhosts ni un MAC (Mandatory Access Control) serio y que evite zero-day flaws (ej: Tomoyo), le dicen “instala este escritorio muy bonito con chicas semi-desnudas y boobies” y “hazle click a todos los “funny pic of you” que quieras porque no te va a pasar nada”, y esto realmente es falso.

Hay herramientas extremadamente sencillas para asegurar nuestros sistemas, por ejemplo:

  • shorewall o ufw (uncomplicated firewall) permiten tener un firewall sencillo en minutos
  • denyhosts permite “bloquear” hosts maliciosos, igual que psad y fwsnort (firewall-snort convierte reglas de SNORT a reglas de firewall linux, de hecho, ya SNORT+BASE detectan actividad de “Hand Of Thief”)
  • Tomoyo es un MAC (Mandatory Access-Control) que prohíbe a nivel de kernel, accesos externos inherentes

Sin embargo, pocas de ellas vienen “por defecto” configuradas en GNU/Linux ya que, todos se preocupan más por “poner bonito su Elementary OS” que en protegerse de accesos externos.

Si por ingeniería social (forma bonita de decir “te vieron la cara de pendejo”) pueden lograr que instales un troyano de tipo “Hand Of Thief”, en definitiva, estás en GNU/Linux por las razones equivocadas.

Si deseas seguir siendo un usuario final despreocupado, para ello, debes invertir un poquito más de tiempo y protegerte.

… y dejar de ser tan “usuario final” …

Acerca de phenobarbital

http://about.me/phenobarbital

Publicado el 9 agosto 2013 en Blogeando!, Cultura Libre, La nota del día, PlanetaLinux, Software Libre. Añade a favoritos el enlace permanente. 5 comentarios.

  1. Muy buen comentario.
    En todos lados hay esa clase de ususarios.

  2. Excelente post… buenas observaciones y analisis sobre el programa… estos post bien detallados son los que hacen falta para que algunos puedan salir de la ignorancia…. si no le molesta lo copiare en mi blog siempre dando la fuente original… en este blog http://www.dbillyx.blogspot.com

  3. Hola, me parece excelente el articulo y desmitifica un poco el tema, por ahora, hasta que se sepa mas de este “””trojan”””.
    Si no te molesta, podria copiar el post citando la fuente en mi blog?.
    No se cual es la licencia de tu blog, el mio aclara CC 3, si te parece bien, dame el OK, mientras lo posteo, si te parece mal, lo elimino. Gracias.

  4. Primera vez que visito tu sitio, me encanto este articulo, seré un asiduo visitante.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: