Ayer noche, después de la paliza Sevilla-Madrid, estuve leyendo algo de noticias, y me encontré con una noticia muy interesante sobre Phishing. En el artículo se hace mención a la nueva «línea de negocio» que los phishers estudian e implantan para cometer estos actos. El artículo en cuestión lo tenéis aquí. Si anteriormente escuchábamos que la gran mayoría de servidores vulnerados eran sistemas Windows, lo cual dudo mucho ya que hay un gran porcentaje de servidores Linux que son catalizadores en ataques vía Phishing, ahora se decantan o están empezando a tomar conciencia de los ataques vía Linux.
Como muchos de nosotros sabemos, en sistemas Linux también hay rootkits, incluso antes de que saliesen para Windows, y bastante sofisticados además. No es de extrañar, que este tipo de negocio vaya mutando hacia otros sistemas operativos.
Las técnicas para el Phishing han mejorado mucho. Han mejorado en el idioma, han mejorado en la forma, han mejorado en el envío de mails, y por qué no, si tienen otra fuente desde la que lanzar el ataque, por qué no hacerlo!
Hace poco teníamos un ataque a gran escala. Hablamos de unas 11.000 páginas que aprovechaban vulnerabilidades conocidas en los principales navegadores, entre los que se encontraban IE, Firefox y Opera. La alerta en cuestión es ésta, y se podía encontrar información detallada en el blog de Hispasec, y en ésta otra entrada.
Un Rootkit en Linux funciona de manera similar que en los de Windows. Tenemos Rootkits en modo usuario y modo Kernel. Los que son para la capa de usuario, normalmente suplantan archivos (los troyanizan) o bien, modifican el comportamiento de alguna aplicación. Ejemplos básicos los podríamos tener en la salida de netstat (ocultando puertos), o bien ocultando procesos que estén corriendo en el sistema (ocultando la salida de un ps por ejemplo). Los que son para modo Kernel, añaden código a la zona de Kernel, bien mediante un driver, o bien mediante un módulo.
En kernels antiguos (menor que el 2.5) si alguien lograba privilegios de root en un sistema previamente comprometido, éste tenía bastante facilidad para inyectar módulos directamente en el kernel. A partir del 2.5 (si mi memoria no me falla) se modifican ciertos aspectos del kernel para dificultar este tipo de intrusiones. No obstante, las técnicas de ocultación se han ido modificando, hasta burlar por completo las técnicas de los desarrolladores del Kernel por mitigar este tipo de acciones, y hoy en día, podemos encontrar muchos rootkits para las últimas versiones del kernel de Linux.
Nadie duda de si un sistema Linux es seguro o no, pero hay una cierta (sobrada) creencia de que Linux es superior y más seguro que sistemas basados en Windows, cuando la realidad es bien diferente.
Actualmente hay una gran variedad de Rootkits para Linux, entre los que se encuentran los siguientes:
Adore .- Rootkit basado en LKM (Loadable Kernel Module). Se oculta a sí mismo, procesos y ficheros.
SuckIt .- Oculta procesos, ficheros y conexiones. Se carga en el dispositivo /dev/kmem. Aquí tenéis un análisis del bichito en cuestión
Knark .- Rootkit basado en Kernel (2.2 y 2.4). Oculta procesos, ficheros y puertos.
Otro friend, amigo de los niños y que se llama Amir Alsbih ha empezado a desarrollar otro juguetito para el kernel 2.6, y que va a denominar Project Override. El proyecto en cuestión lo tenéis aquí. El tío explica el por qué no se debe de estar tranquilo sólo porque se utilice Linux, desmitificando ese pensamiento que parece tener la mayoría de usuarios que utilizan Linux. Su POC esconde los ID de los procesos (también de los procesos hijos) que se necesiten esconder, esconde procesos, asigna privilegios de root a procesos predefinidos, esconde ficheros que empiecen por un determinado prefijo, disfraza puertos de red, etc… Casi nada verdad?
Un rootkit que se instale a nivel de Kernel podrá manipular las llamadas al sistema, y si puede manipular llamadas al sistema, podrá también modificar cualquier aplicación cargada desde la zona de usuario, así que software como Tripwire, aide, Fcheck, etc… no me servirían de NADA en casos como este, ya que podrían estar lanzándome salidas manipuladas previamente por el rootkit.
A partir de aquí edito y añado un poco de flame al asunto, ya que cuando lo iba a publicar, se me ha adelantado la ciudad de los krispis, publicando un artículo que menciona esto mismo, pero restando importancia al asunto sólo porque la charla estaba patrocinada por Microsoft.
Vamos a ver…. Microsoft no patrocinaría jamás una charla en donde se juanquease un equipo suyo no? En esto estamos seguros no?
Joder, pues las BlackHat están patrocinadas por Spectra, y la RutKowska hablando sobre el bluepill (cuando Spectra no tenía decidido qué certificados iba a usar), el último reto forense celebrado por RedIris y la UNAM-CERT también está patrocinado por Spectra, y joder! Se analizaba un 2003 que había sido juanqueado a través del navegador IE!
Pero cuando un informe dice que en Linux también hay línea de negocio para Phishing, rootkits, virus, gusanos, etc… Eso es imposible….
Pero en fin…. Viendo URLS como ésta, o esta otra podríamos decir sin lugar a dudas que Linux es seguro. Y si es inseguro seguramente sea culpa de Spectra. Así que como la ciudad de los Krispis dice que a Linux le corresponde la «jefatura», yo os animo a que toméis el mando de la jefatura y sigáis los dos enlaces anteriores, picando en cada directorio….
Besitos!
El diario de Juanito 
xD Tengo yo un artículo pendiente de OpenBSD versus SELinux. Porque claro, OpenBSD es seguro por defecto y esas cosas… y no necesita NADA (claro..). La lucha entre los dos lados del bien 😀
Buen artículo y se ve que has tenido tu ir y venir con Linux. Me ha gustado la manera en la que has explicado en tan pocas lineas y en cristiano los tipos de rootkits, ya que realmente si a mi me preguntan me quedo en el limbo pensando: «Debería haber sido poeta, seguro es más fácil explicar mis sentimientos que un rootkit del nucleo».
La verdad es que no tengo mucha (o nada) de experiencia con estos en Windows, pero dado que los rootkits existen al menos desde el año ’90 (creo que el primero fue para SunOS4) con un kernel y aplicaciones propietarias, la facilidad de crear rootkits para Linux es obvia dada la naturaleza abierta de las aplicaciones y del mismo kernel, lo cual a la vez permite a más personas diseñar herramientas de detección más efectivas.