Linux y rootkits, malware, ramsonware... Herramientas de seguridad

Como usuario de Linux he estado bien tranquilo estos días de WannaCry. Sin embargo, ciertas informaciones sesgadas (véase aquí) pueden haber intranquilizado a algunos usuarios. Ese artículo es tendencioso, aporta datos extraídos de forma sesgada y da la sensación de haber sido creado solo como carga de profundidad contra otros sistemas operativos diferentes a Windows. A pesar de eso, sí es cierto de que ningún software es completamente seguro. La pregunta que nos debemos hacer es si es más seguro un sistema cerrado, véase Windows como paradigma, que no ve nadie salvo sus programadores (y la CIA, la NSA, El FBI, el presidente de USA, sus hijas, el portero de la Casa Blanca...) o un sistema libre y gratuito y, por lo tanto, transparente y legible por todo el mundo (para lo que nos interesa ahora mismo, Linux, pero no solo él). Cada uno que se dé una respuesta y según ella actúe en consecuencia. Personalmente tomé en 2007 una respuesta y he cambiado mi forma de trabajar con las máquinas, pero no soy un profeta; cada uno que decida por que camino quiere ir.
Para los que hemos tomado el camino de lo abierto, tenemos que tener en cuenta que sí es cierto que no existe nada perfectamente seguro. No tengo un sistema antivirus en mi sistema, y cuando he utilizado ClamAv ha sido más por evitar la presencia de virus que afectaran a terceros (Windows users) en los adjuntos que enviaba por correo electrónico. Sea como sea, por muy seguro que pensemos que sea Linux, debemos seguir unas actitudes de seguridad básicas, como no "jugar" con correos de origen desconocida (o incluso con aquellos de origen conocido pero con enlaces "sospechosos", sobre todo ficheros rar con contraseña), no pinchar enlaces extraños en páginas web "raras", tener bien configurado el cortafuegos, para lo cual agradezco mucho la máscara gráfica de configuración que nos ofrece Fedora

y disponer de herramientas que detecten la presencia de rootkits y malware. Veamos algunas
1. RKHUNTER - A lo largo de muchos años he utilizado rkhunter. Esta herramienta, además de detectar malware, también detecta las variaciones en ficheros importantes del sistema, así que es recomendable instalarla tras la instalación del sistema, cuando aun está limpio, y luego valorar si las alteraciones de los ficheros han sido provocadas por nosotros o por acciones "no conocidas". Los comandos fundamentales son
su -c 'dnf install rkhunter' # instalación
su -c 'rkhunter --update' # actualización
su -c 'rkhunter -c' # o --check ejecución
su -c 'rkhunter --check --logfile /var/log/rkhunter.log' # si queremos guardar los resultados en un log para luego analizar

2. LYNIS - Desarrollado por el mismo programador que rkhunter, es nuevo para mi y no tengo experiencia. La versión en repositorios no es la última y no me gusta realizar la instalación desde git, así que no puedo actualizarlo adecuadamente. Los comandos son
su -c 'dnf install lynis' # instalación
su -c 'lynis update info' #actualización
su -c 'lynis audit system' # ejecución

3. CHKROOTKIT - una herramienta simple que detecta señales de rootkits
su -c 'dnf install chkrootkit'  # instalación
su -c 'chkrootkit -x' # ejecución. La opción -q solo nos da el informe final

Aunque he utilizado rkhunter y chkrootkit durante años, nunca he detectado malware en mi sistema, ni con ubuntu, ni debian ni fedora; aun así es recomendable tener  estas herramientas instaladas como un punto más de seguridad (o paranoia, pero ya sabemos que en seguridad, nunca se es suficientemente paranoico)

Leyendas urbanas. Un "experto" dice que no es necesario desmontar dispositivos USB...

Expliquemos el problema. Dos personas desesperadas se acercan con cara de angustia por que el fichero del trabajo que llevan varios días realizando es ilegible en su pendrive.
A la pregunta de si disponen de otra versión en el ordenador dicen que las dos han trabajado solo e la unidad USB. Primera reprimenda, solo se debe trabajar como única versión de un documento en una unidad USB externa si estamos e condiciones "especiales" —ordenadores ajenos, cibers, o en ordenadores sin disco duro, como un RaspberryPi o dispositivos antiguos de reciclaje—.
Al inspeccionar la unidad e intentar abrir el fichero —fichero de word docx— aparecen todos los síntomas de corrupción de tabla de partición por desmontado incorrecto o haber extraído la unidad mientras estaba grabando. Examinamos con gparted y discos la unidad y esta formateada con FAT16, es decir, sistema de fichero sin journaling.
Esto se suele solucionar aplicando photorec, utilidad incluida en testdisk. Photorec es capaz de recuperar los bloques de información identificando los ficheros borrados o "perdidos" a través de la firma identificativa inicial que lleva cada fichero en su inicio, en los metadatos.

Normalmente logramos recuperar lo necesario con est aplicación, siempre que no se haya escrito sobre ella. Si con photorec no lo logramos, acudimos a foremost; en este caso no fue necesario.
Listo. Se recuperó el trabajo, y se recomendó un formato nuevo de la unidad, ya qe la tabla de partición estaba corrupta.
Lo mejor vino después; ante la acusación de no haber desmontado correctamente ambas personas afirmaron que nunca desmontaban por que un "EXPERTO" les había dicho que no era necesario, que desmontar era una pérdida de tempo y que nunca les había sido necesario.
Si bienes cierto de que si no has cambiado nada en la unidad es posible que te salves saliendo sin desmontar, si has realizado algún cambio y no cierras correctamente antes de salir, tarde o temprano, más bien temprano, tendrás un problema en la unidad, y adiós trabajo. Este es un caso claro de una leyenda urbana; alguien, un "experto", claro, no ha cerrado y se ha librado; corre el rumor que lo de desmontar no es necesario y de manera viral se lo acaba creyendo todo el mundo. Resultado final, trabajo para los técnicos. ¡BIEN!... o quizás no tan bien.

Recomendaciones:
1. Trabajen en el ordenador y no se fíen de un dispositivo USB (no sirve como copia de seguridad). Es solo un método de transporte de información, y no el más seguro.
2. Desmonten/maten correctamente las unidades antes de extraerlas.
3. Si es posible (a veces no podemos por problemas con la compatibilidad con cámaras y otros artilugios), formateen con un sistema con journaling. Aunque soy usuario de Linux, tengo que utilizar ordenadores del lado oscuro frecuentemente, así que formateo en NTFS. Sí, no es un perfecto journaling, pero es un compromiso entre seguridad, tamaño de ficheros y productividad.
4. Identifique al "experto", antes de hacerle caso. No es necesariamente el que te lo cuenta en facebook, ni el amigo del cuñado del primo segundo del vecino del apartamento de verano.

Si no ha hecho caso a estos consejos gratuitos, no se olvide, photorec o técnico cualificado.