Outlaw Country permite redirigir todo el tráfico saliente de un ordenador objetivo a ordenadores controlados por la CIA con el objetivo de poder robar archivos del ordenador infectado, o también para enviar archivos a ese ordenador. El malware consiste en un módulo de kernel que crea tablas netfilter invisibles en el ordenador objetivo con Linux, con lo cual se pueden manipular paquetes de red. Un operador puede crear reglas que tengan preferencia sobre las que existen en las iptables,
Comentarios
A mi no me afecta, yo uso windows
#2 !Y yo Android!
#10 Android es kernel de linux ejecutando java.
#19 y el comentario de #10 es ironia.
#19 El comentario de #10 es porque dependiendo del día Android es Linux o no lo es.
#23 Todos los Android funcionan sobre el kernel Linux, pero no todo lo que usa el kernel Linux es Android.
Tampoco es tan difícil.
#59 eso está claro. Díselo a los bipolares que hoy dicen que Android es Linux y mañana no.
#19 Un dispositivo móvil es un PC, pero lo normal es tener que explicárselo, por ejemplo a quienes siguen creyendo que Windows es el SO mas usado
En todo caso, las diferencias de hardware de un sobremesa a un dispositivo móvil debería complicar la "compatibilidad" del malware, es decir, que necesite mucho trabajo para que haga lo mismo en un android que en un servidor con linux.
#2, es que para puertas abiertas no es necesario usar ganzúas
#2 A ti no te afecta, porque tanta mierda de Microsoft te ha hecho inmune.
Del artículo.
Para poder hacer uso de este malware, un operador de la CIA tiene que hacer primero uso de otros exploits o puertas traseras para inyectar el módulo del kernel en el sistema operativo objetivo.
El módulo sólo funciona con los kernel por defecto, y además, la versión 1.0 del malware sólo soporta DNAT (Destination NAT) a través de la cadena PREROUTING.
Si esto es todo lo que puede conseguir la CIA y la NSA, Linux sigue siendo más seguro que Windows.
Además hace la tira de años que wn Linux existen cosas como module source checksum que está diseñadas entre otras cosas para evitar la inyección de módulos extraños en el kernel.
Como es posible, yo había leído en Menéame que Linux no tiene malware y que eso sólo pasaba con Windows
#3 Mentira. Y creo que muy poca gente ha defendido exactamente eso y sera gente que no tiene mucha idea. La mayoría hemos explicado POR QUE es mas complejo pillar malware en Linux.
#6 Muy poca gente, pero que hace mucho ruido en redes sociales. Si los linuxeros se caracterizan por algo, es por lo cansinos que son.
#21 Son como los veganos, que no pueden aguantarse sin decirlo.
#53 Yo uso Linux y Telegram y estoy en contra de Windows y Whatsapp! Ale, ya lo he dicho
#53 yo más bien veo a los windowseros como aquellos que todavía siguen pensando que fumar a ellos no les afecta, que su abuelo fumaba 3 paquetes diarios y con 124 años sigue saltando entre las peñas.
Y que se alegran cuando un linuxero pilla un catarro.
#21 como los mac-eros.
#6 Y dale, depende: si el malware entra por uno o varios exploits, técnicamente hablando, es igual de fácil o difícil pillarlo en Linux o en Windows. Sí, están las mitigaciones como tecnologías de protección de memoria, ASLR, etc. Pero una vez ejecutada la shellcode de turno, es prácticamente igual donde este. Lo único que se me ocurre son cosas que hacen más farragoso moverse en la máquina ya comprometida, pero vamos... poca diferencia.
#58 Si es por exploits es así, pero en ese caso protocolos como el SMB... se llevan la palma, yo diria que los linux tienen por lo general servicios mas seguros y con mejores defaults, pero eso es otra discursion.
#3 Te remito a mi comentario anterior que me canso de escribirlo de nuevo:
Análisis de Erebus, un ransomware para Linux/c17#c-17
No se para que me molesto, al proximo exploit, vulnerabilidad o troyano que saquen para linux, volveran los cuñados blandiendo su palillo en la boca.
#9 A ver, te paso una lista rápida de cuñaditos de palillo en boca, habla con ellos
Presidente de Microsoft: Lecciones aprendidas del ciberataque de la semana pasada (ENG)/c50#c-50
Microsoft devuelve el golpe: ¿Qué tengo que hacer para estar protegido?/c2#c-2
El peor día en la vida de Chema Alonso/c18#c-18
#12 no parece, que los cuñados usan windows es algo de sobra conocido.
#29 Al contrario, los cuñados usan linux y te dan la tabarra con lo super seguro que es en la cena de navidad, y en Menéame también.
#30 tanto hasefroch te ha dejado frito el cerebelo
#33 positivo por lo de hasefroch.
#12 Gracias por la selección de comentarios que no te dan la razón.
Ninguno de esos cuñados pro-linux está diciendo que en Linux no haya ningún problema.
#9 Lección 0: No usar windows -> me parece un buen consejo de seguridad, sinceramente, otra cosa es que la seguridad plena no te la garantiza ningun SO, te la garantiza mas bien seguir unas normas basicas, como todo.
Gaveta 13/05 23:34
No usar windows. -> Lo mismo. Pero entiendo que mucha gente necesita Windows para desarrollar su trabajo.
Da igual, esto pasa por usar windows. Cuando usas un sistema cerrado, no tienes ni la posibilidad de comprobar qué es lo que estás ejecutando. -> Es un argumento a favor de la seguridad de Linux, pero muy muy debil, por que la realidad es que los que tienen el tiempo y el conocimiento para detectar fallos de seguridad en el SO son 5.
PD: Nadie dice "Linux no tiene malware", mas bien insinuan que en mas seguro, cosa que es cierta, aunque bueno, puede estar sujeto a interpretacion.
#15 "Cuando usas un sistema cerrado, no tienes ni la posibilidad de comprobar qué es lo que estás ejecutando" Ya me da arcadas el pensar en revisar el código que escribo yo como para revisar en mi tiempo libre el código que escriben los demás
#15 Es un muy buen consejo de seguridad.
Toda mi escasa experiencia apunta a eso.
Mi hermano y mis padres son analfabestias de los ordenadores. Tras más de una década usando ordenadores para jugar, navegar (noticias y anuncios sobretodo), hacer facturas y ver cosas online, siguen llamándome para cualquier tipo de problema. Ejemplos:
- "No me va Internet": el cable ethernet se ha aflojado al barrer, hay que reiniciar el router.
- "No me arranca el PC": el cable de la luz se ha aflojado al barrer.
- "Ha salido una venta con cosas raras y no sé qué hacer": la ventana dice "ha salido una nueva actualización de adobe flash player".
Etc.
Vamos, son usuarios que se bloquean ante el simple hecho de tener que leer un mensaje de advertencia en pantalla, y que no tienen proactividad para probar nada (esto es bueno si lo anterior también se cumple).
Pues el gran caballo de batalla era el asunto de los virus, troyanos, malware, etc. Al principio con Windows tenía que reinstalarles el sistema cada cierto tiempo por toda la mierda que se les colaba al entrar en páginas de descargas ilegales o pinchar en anuncios fraudulentos.
Luego los instruí para que no entrasen en páginas desconocidas y no pinchasen en nada que no conociesen ya. Resultado: se acojonaron y apenas podían usar el PC para nada, enseguida pensaban que la estaban cagando y me llamaban.
Solución definitiva: les puse Ubuntu, les expliqué donde está el iconito del firefox, les enseñé a tener una contraseña compleja pero muy fácil de recordar (con las excusa han pillado algo de destreza tecleando), y ale, arreando.
Desde hace cinco años sólo tengo que hacer de técnico por averías de hardware reales, o por el puñetero cable que a veces se sale, o (cuando me olvido durante mucho tiempo del tema) porque les sale una ventana de hace mucho que no actualizan el sistema (tengo que hacerlo yo porque sus usuarios no tienen permisos de nada).
Hace un año se rompió el PC de mi madre y el que conseguí para reemplazarlo tenía algún problema de gráficos con los drivers de linux (pantalla en negro tras cargar sistema), así que le dejé un Windows 7 temporalmente. Ella muy contenta de poder volver a navegar después de unos días sin PC, pero no deja de recordarme cuando la veo que a ver si arreglo el PC y le vuelvo a poner "lo que tenía antes, que me gustaba mucho más" (se refiere al Ubuntu).
#40 Para navegar puede valer, pero ponte a hacer hojas de cálculo, instalar programas, configurar una red, etc.
#44 Tu comentario no tiene desperdicio, pero lo mejor es lo de instalar programas.
#40 "Ha salido una venta con cosas raras y no sé qué hacer": la ventana dice "ha salido una nueva actualización de adobe flash player".
Cómo me conozco esta. "Me ha salido una ventana rara y no sé qué hacer" "¿Qué pone?" "No sé, no lo he leído".
#61 - ¿Me puedes leer lo que pone?
- Es que ya he pulsado en un botón y se ha ido
-
#40 No se que tiene que ver el comentario con la noticia. Entiendo a la vez que tus familiares usarían un Windows vista , XP o 7. Por que con Windows 10 esos problemas que mencionas se suelen arreglar solitos si vuelves a conectar los cables. Esos problemas saldrían también con Linux. No creo que con Linux funcione internet si se desconecta el cable al barrer. Sobre virus y troyanos, Windows 10 ya viene con antivirus y que se actualiza todos los días. No se necesita comprar el de otra marca. Y sobre todo no tienen ningún problema de drivers. El único trabajo de mantenimiento de Windows 10 es darle a las pantallas que salgan aceptar o cancelar.
#74 No sé de qué hablas. En linux también se arreglan solitos, una vez que conectas el cable. Windows 10 también es objetivo de infecciones de todo tipo. En Linux no uso ningún antivirus, no hace falta. Lo dejo aquí.
#77 A partir de la noticia lo necesitarás si no al tiempo.
#78 Lo único que necesito es actualizar el kernel (como dice la noticia).
#40 A mi me pasó algo parecido.Mi madre no paraba de llamarme para "incidencias" del ordenador. Una pesadilla hasta que hace unos años le puse un Linux Mint. Le enseñé 4 cosas y no me volvió a dar la brasa.
#15 Respecto al segundo argumento añadiría que el poder ver el código de algo, te permite hacer a ti algo similar que se ajuste adecuadamente a tus necesidades y descarte la fucionalidad sobrante, ahorrando así muchas líneas, y por lo tanto posibles bugs dentro de una funcionalidad que no necesitas.
#9 En el punto B igual no tienes razón. Para el ransonware es más lucrativo atacar servidores de empresa. Pagan más y mejor por sus datos. Aunque si están bien administrados, tendrán el backup al día.
#66 Es otro tema, si, estaba pensando mas bien en atacar "usuarios de PC".
#3 y que era la única manera de estar seguro de espionaje y de sentirse más listo que los demás
#3 Es que Linux es un sistema perfecto e incorruptible.
#3 Falta explicar como se instala el módulo. Hacer un módulo para el kernel que haga lo que te de la gana es trivial.
#3 Tomando en cuenta que este malware sólo afecta a sistemas del 2011 o anteriores... puede que no te hayan mentido mucho...
#51 ¿que nadie lo diga? Ya lo dijo todo el mundo. P ej, #50 dice que este malware "sólo afecta a sistemas del 2011 o anteriores"... windows 7 es de 2009, entonces lo de wannacry que afectó mayormente a windows 7 debe de ser irrelevante.
A parte de que la gente debe de creer que la CIA abandonó el desarrollo del malware y no lo actualizó para afectar a versiones recientes.
#55 Es que tener el sistema sin soporte de actualizaciones no es precisamente lo más inteligente si tienes datos importantes. Si sólo usas el PC para echar unas partidas al último juego que te salga en el caralibro, pues ten el SO que te dé la gana mientras tire el juego.
#71 Windows 7 tiene soporte hasta 2020 y la versión del kernel por lo que comentaron, tenía soporte hasta 2016. El malware ya existía en 2015, dentro del período de soporte del kernel.
Una cosa es actualizar a la última versión del SO/kernel y otra es actualizar la misma versión del SO/kernel aplicándole los parches de seguridad. Si una versión sigue teniendo soporte no tienes por qué actualizarte a la última versión. Eso sí, los parches de seguridad sí hay que aplicarlos.
#54 Suele ser lo más habitual pero no siempre es así, por eso estaría bien conocer cómo fue exactamente.
Según el artículo: El módulo sólo funciona con los kernel por defecto, la versión 1.0 del malware sólo soporta DNAT a través de la cadena PREROUTING. Tenía (en el 2015) como requisito utilizar la versión de CentOS 6.x o anterior, y como versión de kernel 2.6.32 (del año 2011) o inferior.
Teniendo en cuenta que su objetivo eran servidores; los vulnerables serían los que peor mantenimiento y actualización tuviesen.
#4 Cierto, pero esa es la primera versión del malware, a saber las que tendrán y lo que harán. Esto es una prueba de que hacen malware para linux.
#5 Por supuesto que hacen malware para linux, piensa en todos los servidores o los ~1500 millones de android.
#5 La única forma de que sea efectivo para todos los equipos es que compilen el módulo en el propio pc y que el código fuente del módulo sea compatible con todas las versiones del kernel de linux. No se puede cargar un módulo del kernel compilado con una versión de gcc o libc diferente a la del propio kernel, y entre versiones del kernel a veces se cambian estructuras que lo hacen incompatible con versiones anteriores. No es imposible, pero es difícil.
Además, para poder usarlo primero tienen que conseguir utilizar un exploit, y si tienes un exploit que puede cargar un modulo del kernel, significa que tienes acceso de root y por tanto que puedes hacer cualquier cosa en el servidor sin necesidad de cargar ese módulo.
#5 Los modulos del kernel tienen que estar compilados específicamente para el kernel concreto. Y en Linux hay cientos o miles de versiones y variantes del kernel..
#34 Si existe este malware es porque ese problema ya lo han resuelto, así como el problema de instalarlo que comenta #28 . El malware no se creó para nada, se creó para usarlo y esta es su primera versión.
Vamos que si la CIA quiere, les costará más o menos pero linux no les representa un impedimento.
#36 Si ya tienen el nivel de acceso suficiente, ese "malware" es el menor de los problemas...
#39 Y si ya tienen el acceso suficiente, es porque hay un fallo que les permite tener tal acceso.
Aquí como en wannacry falta saber cómo se logra el primer acceso. Se sabe que wannacry se propagó por un fallo en SMB1 pero ¿cómo fue la primera infección?
#41 Adjunto de correo electrónico o pendrive infectado. Nada nuevo
#45 Eso es una suposición y realmente no contesta a la pregunta. Por ejemplo ¿fue por un adjunto .exe que el usuario abrió y ejecutó otorgándole privilegios de administrador pese a todas las advertencias, o fue por un pdf adjunto que con solo la vista previa escaló privilegios e infectó el sistema aprovechándose de un 0 day?
Un vector de infección de Petya parece ser que fue a través de las actualizaciones comprometidas de un software de contabilidad que usaban las empresas. El programa se actualizaba de forma normal y las actualizaciones contenían el malware. Aquí no hubo ni correo electrónico, ni pendrive ni 0 day, fueron unas actualizaciones "normales".
#48 Eso es un poco una suposición. Si supiéramos el vector de entrada real podríamos judgar el problema correctamente y tratar de mitigarlo.
#54 Te hablo de mi experiencia personal. A nosotros nos entró el cryptolocker porque la secretaria abrió una factura en un word que no era factura ni word. Todo en un rar de un mail.
#41 En realidad el fallo más común suele ser el elemento humano. Se soborna a alguien para que introduzca el malware en el sistema y una vez comprometido es muy difícil saber donde puede estar.
#41 Conseguir la cuenta de uno de tus contactos y mimetizarla, para que te creas que es algo seguro lo que te manda por correo adjunto y ejecutarlo.
El que quiera meterle un virus o malware a mi GNU/Linux se va a tener que pelear con el cristo que tengo montado con las dependencias de librerías y paquetes. Si consigue compilar el virus se merece un premio, jejeje.
Normal que si el malware es un modulo del kernel pueda hacer lo que quiera, lo difícil es instalar un modulo del kernel en un sistema donde no tienes permisos de administrador. Según el articulo para eso tienen que hacer uso de otros fallos de seguridad (que en Linux se suelen corregir bastante rápido) o de puertas traseras (que al ser software libre llevado por comunidades son difíciles de colar), por lo que no parece un malware demasiado preocupante...
Por si alguien está preocupado por esto... el artículo dice que afecta sólo a kernels 2.6.32 o anteriores. Dado que ya hace mucho que estamos utilizando kernels 4.x diría que la gran mayoría de los linux no están en peligro.
#47
¿Para Linux 2.6.32? Eso tiene más años que matusalén.
#49 Si, se usó hasta 2011 creo.
#47 Solo eso. Las dos ultimas olas de ataques a Windows se tranquilizaba antes diciendo que no pasa nada solo hay que ter el sistema actualizado. Al parecer nadie actualiza si algo le funciona.
#76 No exactamente. El problema con windows es que muchas veces las actualizaciones provocan fallas en el propio sistema o en aplicaciones instaladas. Los administradores de sistemas windows tienen que lidiar constantemente con este tipo de problemas por eso antes de actualizar lo que se hace es experimentar en un sistema de pruebas. Pero como eso lleva tiempo y no siempre descubre todo lo que puede fallar, es bastante usual aplicar el viejo dicho informático "si funciona no lo toques".
Eso en Linux no suele ocurrir porque las distribuciones no actualizan a versiones superiores sino sólo a releases con correcciones a los errores que se van encontrando así que los administradores de linux actualizan muy seguido y en algunos casos hasta se actualiza automáticamente una vez al día.
El principal agujero de seguridad del sistema siempre está entre el teclado y la silla.
¿Malware? Pero si es la CIA... ellos solo quieren difundir el bien y la democracia.
Para poder hacer uso de este malware, un operador de la CIA tiene que hacer primero uso de otros exploits o puertas traseras para inyectar el módulo del kernel en el sistema operativo objetivo.
Vamos, que con la que tienes que liar para entrar, basicamente entras como root... el nucleo tiene que ser vanilla y de una version concreta.
Mucho complicado y poco target.
Creo que un hacker profesional, currando a diario con buenas herramientas, en un anyo apenas encontrara unas docenas de maquinas susceptibles... pero no esta mal como herramienta para el arsenal por si suena la flauta.
"El malware consiste en un módulo de kernel"
Este será el año del Malware de Linux en el escritorio
Que nadie diga eso de que el 2.6.32 es del siglo pasado.... Sin ir más lejos, ahora mismo, en el servidor VPS que me da el proveedor de internet:
bash$ uname -r
2.6.32-042stab116.customline.xxxxx.xxx
El 2.6.32 es un kernel marcado como LTS y que se usa en multitud de ISP's. Teóricamente el end-of-life estaba marcado para el año pasado, pero....
https://linux.slashdot.org/story/16/01/31/0424221/linux-kernel-2632-lts-reaches-end-of-life-in-february-2016
Pues eso. Que cachondeos los justos
CIA esos seres de luz.
#1 Eso venía a decir. Qué cándida la gente. No sé qué se piensan qué hace un servicio secreto: saltarse la ley.
No puede ser! Si linux es inmune a todo virus! Que me lo ha dicho mi primo que sabe un huevo de informática.
CuñadoZone, sensacionalista al canto.
La CIA ens roba!!!
Pero... Linux no era super seguro?
Ciertamente las mismas cosas que dificultan a veces la gestion de sistemas Linux hacen que sean un objetivo mas duro para los ataques.
En linux lo normal es tirar de modulos que vienen en el nucleo por defecto. Estan compilados con un compilador y librerias determinadas que tienen que coincidir con las que se han usado para compilar el kernel o nucleo.
Si usas drivers de terceros, como por ejemplo los de nvidia, es necesario descargar y compilar el driver, ya que no suele distribuirse de forma binaria. Para estos casos las distribuciones suelen hacer paquetes que automatizan este proceso. En concreto Nvidia usa un blob binario, que distribuyen ellos, pero tiene que usar un interfaz con el nucleo que si se debe compilar. La funcionalidad del driver esta en el blob, y el cómo se comunica con el nucleo es lo que se compila.
Si quieres hacer malware que tenga un target amplio usando un modulo del nucleo tienes dos opciones:
1. Hacer un malware que compile el modulo. Esto en teoria te da acceso a todos Linux. Peero para ello el malware debe de localizar y/o descargar las herramientas para ello (gcc, kernel headers, libtool) en su version correspondiente (aquellas con las que el nucleo del objetivo fue compilado). Hacer esto es complicado y sujeto a muchos condicionantes.
2. Tener el modulo compilado para X versiones del nucleo. El problema aqui es que el nucleo de una distro cambia mucho en la propia vida de la distro. Aun siendo LTS va a tener regulares compilaciones por temas de parches y seguridad.
Hacer todo esto sin tener acceso de administrador la maquina es casi imposible. Puedes compilar modulos sin ser root, pero no cargarlos ni sustituirlos en disco. Para esto habria que aprovechar alguna otra vulnerabilidad.
Este malware es util para espiar o atacar un objetivo en concreto. Es decir, analizo y estudio un objetivo, preparo el modulo,y si encuentro forma de entrar, instalo y cargar el modulo. Nada en plan masivo y autopropagable.
kernel 2.6.32? del milenio pasado.