Mark Lucas
0 
599
107
Los teléfonos Android y los escritorios y servidores de Linux comparten una ascendencia común. Todos están basados en un núcleo común y comparten utilidades y componentes comunes. Cada vez que se encuentra una vulnerabilidad de seguridad en estas áreas, el contagio es masivo y cientos de millones de computadoras y dispositivos móviles se verán inevitablemente afectados..
Una vulnerabilidad recientemente descubierta (CVE-2016-0728) en el kernel de Linux es un ejemplo sorprendente de esto. Aprovecha una falla en el conjunto de claves del sistema operativo y permitiría a cualquier atacante o usuario no privilegiado obtener acceso root al sistema en cuestión. Así es como funciona, y de lo que debes tener cuidado.
Entendiendo esta vulnerabilidad
Esta vulnerabilidad fue descubierta por Perception Point, una importante consultora de seguridad de la información con sede en Tel Aviv. La falla se introdujo por primera vez hace unos tres años, con el lanzamiento del kernel de Linux. El kernel de Linux: una explicación en términos simples. El kernel de Linux: una explicación en términos simples. Hay solo una cosa de facto que las distribuciones de Linux tienen en común: Kernel de Linux. Pero aunque a menudo se habla de eso, mucha gente no sabe exactamente qué hace. versión 3.8. Perception Point estima que alrededor de dos tercios de los dispositivos Android y una cantidad desconocida de escritorios y servidores Linux (probablemente decenas de millones) son vulnerables.
Como se mencionó anteriormente, esta falla se encuentra en el conjunto de claves del sistema operativo. Este es el componente utilizado en Linux que permite a los controladores almacenar en caché los datos de seguridad, como las claves de cifrado y los tokens de autenticación. Por diseño, los datos contenidos en el conjunto de claves del sistema operativo no deberían ser accesibles para otras aplicaciones.
El exploit en sí aprovecha una falla con la forma en que se gestiona la memoria en el OS Keyring. Al ejecutar un desbordamiento de búfer, los atacantes pueden activar el sistema operativo para ejecutar algún código de shell arbitrario, que se ejecutaría como root.
Se espera que la mayoría de las distribuciones de Linux emitan correcciones a principios de la próxima semana. Pero si tiene un procesador Intel moderno (Broadwell o posterior), SMAP (Prevención de acceso al modo de supervisión) y SMEP (Prevención de ejecución del modo de supervisión) deben estar habilitados y limitarán el daño que esta vulnerabilidad puede infligir..
Mientras tanto, si estás en Android, SELinux también debería hacer el truco. Vale la pena señalar que Google ha minimizado vehementemente los riesgos presentados por esta vulnerabilidad. En una declaración, dijeron que todos los dispositivos con Android 5.0 Lollipop y posteriores están protegidos por SELinux, y la mayoría de los dispositivos más antiguos (con Android 4.4 KitKat y versiones anteriores) no contienen el código vulnerable que se introdujo en la versión 3.8 del kernel de Linux.
El equipo de seguridad de Android también se quejó de que no se les dio aviso para emitir un parche. Esencialmente, dijeron que el Punto de Percepción no realizó una divulgación responsable Divulgación completa o responsable: cómo se divulgan las vulnerabilidades de seguridad Divulgación completa o responsable: cómo se divulgan las vulnerabilidades de seguridad Las vulnerabilidades de seguridad en paquetes de software populares se descubren todo el tiempo, pero cómo se descubren informado a los desarrolladores, y cómo los hackers se enteran de las vulnerabilidades que pueden explotar? .
Esencialmente, no dicen que no haya un problema, sino que afecta a una proporción mucho menor de dispositivos Android, como afirmó anteriormente Perception Point. A pesar de eso, están emitiendo una solución, que cuando se publique, debería cerrar esta vulnerabilidad de una vez por todas.
Comprobando su privilegio
Uno de los principios más fundamentales de la seguridad informática puede resumirse sucintamente como: no todos los usuarios deberían poder hacer todas las cosas en todo momento.
Si un usuario iniciara sesión permanentemente como root o administrador, sería mucho más fácil que una pieza de malware o un atacante remoto causara un daño significativo. Es por esta razón que la mayoría de los usuarios y aplicaciones existen en un modo restringido con permisos limitados. Cuando quieren hacer algo que podría dañar la computadora, como instalar un nuevo programa o cambiar un archivo de configuración importante, primero deben elevar sus privilegios. Este concepto es universal y se puede encontrar en prácticamente todos los sistemas operativos..
Supongamos que alguien ha iniciado sesión en una computadora Linux o Mac con una cuenta de administrador, y desea editar sus hosts Cómo editar el archivo de hosts de Mac OS X (y por qué es posible que desee) Cómo editar el archivo de hosts de Mac OS X (y Por qué es posible que desee) El equipo utiliza el archivo de hosts para asignar nombres de host a direcciones IP. Al agregar o eliminar líneas a su archivo de hosts, puede cambiar la ubicación de ciertos dominios cuando acceda a ellos ... archivo para reasignar un nombre de host a una dirección IP local. Si solo intentan abrirlo inmediatamente con un editor de texto, el sistema operativo regresará con un mensaje de error que dice algo como “acceso denegado”.
Para que funcione, tendrían que elevar sus privilegios. Pueden ingresar al modo de superusuario indefinidamente ¿Qué es SU y por qué es importante usar Linux de manera efectiva? ¿Qué es SU y por qué es importante usar Linux de manera efectiva? La cuenta de usuario de Linux SU o root es una herramienta poderosa que puede ser útil cuando se usa correctamente o devastadora si se usa imprudentemente. Veamos por qué deberías ser responsable al usar SU. mediante la ejecución “sudo su”. Esto es útil si van a ejecutar una serie de acciones restringidas, durante un período de tiempo no especificado. Para salir de este modo y volver a la cuenta de usuario normal, simplemente use el “salida” mando.
Para ejecutar solo un comando como superusuario, solo prefacio ese comando con “sudo”. Usando el ejemplo del archivo hosts, puede editarlo con “sudo vim etc / hosts”. Luego se le pedirá su contraseña. Si la cuenta no tiene privilegios de administrador (es decir, es una cuenta de usuario estándar), el comando no funcionará.
En Android, tienen un modelo de permisos fundamentalmente diferente, donde las aplicaciones se atomizan y protegen, y los usuarios pueden hacer cambios limitados bajo el capó. Se desaconseja activamente a los usuarios que obtengan acceso a la raíz. Es por esta razón que la mayoría de los operadores y fabricantes (con HTC entre las excepciones). Cómo rootear su HTC One de primera generación. Cómo rootear su HTC One de primera generación. Inusualmente, no hay utilidades especiales que lo permitan. En su lugar, debe usar el rooteo aprobado por HTC. método.) disuade activamente a los usuarios de rootear sus teléfonos, y por qué se ha convertido en un poco “Arte Oscuro”.
Windows también tiene su propio sistema de privilegios elevados. Cada vez que un programa realiza un cambio en el sistema que requiere permisos mejorados, Windows le indicará al usuario una ventana UAC (Control de acceso de usuario). Esto muestra el programa que solicita permisos elevados. Si el código ha recibido una firma criptográfica, mostrará quién lo firmó, lo que le permitirá detectar programas impostores. El usuario puede elegir otorgar al programa los permisos solicitados o rechazar.
Si bien este proceso no está exento de fallas (las ventanas UAC se consideran bastante molestas Detener molestos mensajes UAC: cómo crear una lista blanca de control de cuentas de usuario [Windows] Detener molestos mensajes UAC: cómo crear una lista blanca de control de cuentas de usuario [Windows] desde entonces Vista, nosotros, los usuarios de Windows, hemos sido molestados, molestados, molestos y cansados del aviso de Control de cuentas de usuario (UAC) que nos dice que se está iniciando un programa que lanzamos intencionalmente. Claro, ha mejorado ... y generalmente solo se hace clic lejos, por ejemplo), es uno que generalmente funciona. Sin embargo, puede ser fácilmente eludido por fallas en el sistema operativo, muy similar al identificado por Perception Point.
Amenazas crecientes para dispositivos Linux
En los últimos años, hemos visto una avalancha de ataques dirigidos a los sistemas operativos basados en Linux, ya que consolida su dominio en el mercado de servidores y aumenta su cuota de mercado en el escritorio.
Recientemente, un investigador en Rusia descubrió un troyano de acceso remoto Cómo tratar de manera simple y efectiva los troyanos de acceso remoto Cómo tratar de manera simple y efectiva los troyanos de acceso remoto ¿Huele una RAT? Si cree que ha sido infectado con un troyano de acceso remoto, puede deshacerse de él fácilmente siguiendo estos sencillos pasos. que fue diseñado para ayudar a un atacante a espiar a los usuarios. Llamado Linux.Ekoms.1, el troyano toma una captura de pantalla cada 30 segundos y la guarda en una carpeta temporal como un JPEG disfrazado con una extensión de archivo diferente. Un análisis más detallado del troyano reveló que los desarrolladores estaban trabajando en características que le permitirían grabar audio. Estos archivos se enviarían a un servidor remoto. Los atacantes también podrían emitir comandos a través de un servidor de comando y control.
Otro rootkit para Linux, llamado Snakso-A, apuntó a servidores web Linux de 64 bits y secuestró silenciosamente las páginas web que se estaban sirviendo, para inyectar un iFrame que sirve malware.
Luego, por supuesto, están las vulnerabilidades que fueron tan graves que se convirtieron en noticias internacionales. Estoy hablando de los gustos de Shellshock ¿Peor que Heartbleed? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux ¿Peor que Heartbleed? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux, la vulnerabilidad GHOST La falla de Ghost de Linux: todo lo que necesita saber La falla de Ghost de Linux: todo lo que necesita saber La vulnerabilidad de GHOST es una falla en una parte vital de todos los principales Linux distro. En teoría, podría permitir a los hackers tomar el control de las computadoras sin la necesidad de un nombre de usuario o contraseña. y Heartbleed Heartbleed: ¿qué puede hacer para mantenerse a salvo? Heartbleed: ¿qué puede hacer para mantenerse a salvo?? .
Estas amenazas generalmente se resuelven de manera oportuna por parte de los encargados de mantenimiento y los desarrolladores de los componentes de Linux que afectan. Sin embargo, en los últimos meses, su capacidad para hacerlo ha sido cuestionada, como resultado de la escasez de fondos y personal, lo que ha llevado a algunos a preguntarse si Linux ha sido víctima de su propio éxito ¿Linux ha sido una víctima de su propio éxito? ¿Linux ha sido víctima de su propio éxito? ¿Por qué el director de la Fundación Linux, Jim Zemlin, dijo recientemente que la "edad de oro de Linux" podría llegar a su fin pronto? ¿Ha fallado la misión de "promover, proteger y avanzar Linux"?? .
Buscar actualizaciones
En los próximos días, la mayoría de las distribuciones de Linux emitirán parches, al igual que Google para Android. Le recomendamos que consulte regularmente su administrador de paquetes para obtener actualizaciones.
¿Esta vulnerabilidad te ha hecho preguntarte si deberías seguir usando Linux? Cuéntame sobre esto en los comentarios a continuación.
Créditos de las fotos: Cripta (Christian Ditaputratama), PasswordFile (Christiaan Colen)