miércoles, 24 de mayo de 2017

Linux y rootkits, malware, ramsonware... Herramientas de seguridad

Como usuario de Linux he estado bien tranquilo estos días de WannaCry. Sin embargo, ciertas informaciones sesgadas (véase aquí) pueden haber intranquilizado a algunos usuarios. Ese artículo es tendencioso, aporta datos extraídos de forma sesgada y da la sensación de haber sido creado solo como carga de profundidad contra otros sistemas operativos diferentes a Windows. A pesar de eso, sí es cierto de que ningún software es completamente seguro. La pregunta que nos debemos hacer es si es más seguro un sistema cerrado, véase Windows como paradigma, que no ve nadie salvo sus programadores (y la CIA, la NSA, El FBI, el presidente de USA, sus hijas, el portero de la Casa Blanca...) o un sistema libre y gratuito y, por lo tanto, transparente y legible por todo el mundo (para lo que nos interesa ahora mismo, Linux, pero no solo él). Cada uno que se dé una respuesta y según ella actúe en consecuencia. Personalmente tomé en 2007 una respuesta y he cambiado mi forma de trabajar con las máquinas, pero no soy un profeta; cada uno que decida por que camino quiere ir.
Para los que hemos tomado el camino de lo abierto, tenemos que tener en cuenta que sí es cierto que no existe nada perfectamente seguro. No tengo un sistema antivirus en mi sistema, y cuando he utilizado ClamAv ha sido más por evitar la presencia de virus que afectaran a terceros (Windows users) en los adjuntos que enviaba por correo electrónico. Sea como sea, por muy seguro que pensemos que sea Linux, debemos seguir unas actitudes de seguridad básicas, como no "jugar" con correos de origen desconocida (o incluso con aquellos de origen conocido pero con enlaces "sospechosos", sobre todo ficheros rar con contraseña), no pinchar enlaces extraños en páginas web "raras", tener bien configurado el cortafuegos, para lo cual agradezco mucho la máscara gráfica de configuración que nos ofrece Fedora


y disponer de herramientas que detecten la presencia de rootkits y malware. Veamos algunas
1. RKHUNTER - A lo largo de muchos años he utilizado rkhunter. Esta herramienta, además de detectar malware, también detecta las variaciones en ficheros importantes del sistema, así que es recomendable instalarla tras la instalación del sistema, cuando aun está limpio, y luego valorar si las alteraciones de los ficheros han sido provocadas por nosotros o por acciones "no conocidas". Los comandos fundamentales son
su -c 'dnf install rkhunter' # instalación
su -c 'rkhunter --update' # actualización
su -c 'rkhunter -c' # o --check ejecución
su -c 'rkhunter --check --logfile /var/log/rkhunter.log' # si queremos guardar los resultados en un log para luego analizar

2. LYNIS - Desarrollado por el mismo programador que rkhunter, es nuevo para mi y no tengo experiencia. La versión en repositorios no es la última y no me gusta realizar la instalación desde git, así que no puedo actualizarlo adecuadamente. Los comandos son
su -c 'dnf install lynis' # instalación
su -c 'lynis update info' #actualización
su -c 'lynis audit system' # ejecución

3. CHKROOTKIT - una herramienta simple que detecta señales de rootkits
su -c 'dnf install chkrootkit'  # instalación
su -c 'chkrootkit -x' # ejecución. La opción -q solo nos da el informe final

Aunque he utilizado rkhunter y chkrootkit durante años, nunca he detectado malware en mi sistema, ni con ubuntu, ni debian ni fedora; aun así es recomendable tener  estas herramientas instaladas como un punto más de seguridad (o paranoia, pero ya sabemos que en seguridad, nunca se es suficientemente paranoico)





No hay comentarios:

Publicar un comentario