Seguridad en Ubuntu (III): Antivirus
Siguiendo con la seguridad, esta vez vamos a ver como defendernos de los virus en Linux.
EHH!?? no que no hay virus para Linux?
Si creías que no hay estás equivocado, existen virus para Linux tal como para Windows, pero, la diferencia radica en la cantidad. Sólo un pequeño porcentaje circula en la web en relación a los existentes para Windows.
Con el correr del tiempo y mientras más usuarios se unan a la filosofía UNIX más programadores tendremos trabajando en la creación de virus y también mientras mas empresas se vuelquen a trabajar en esta plataforma veremos un aumento de gusanos circulantes.
En Marzo del 2003 se conocían unos 100 virus para este sistema operativo y hoy se estiman unos 500. Si bien nadie, al menos nunca he leído ni visto algún comentario sobre infecciones virales ya que para sufrirlo, el proceso de infección, por la arquitectura del sistema debe hacer una ensalada con nuestros archivos y nuestra configuración.
Ahora, cómo infecta un virus a Linux?
Exploits: un exploit es un programa que se aprovecha de un fallo en el sistema para conseguir algo no permitido de él. Lo bueno de esto es que, una vez solucionado el fallo, el virus se extingue porque no puede abusar de algo que ya no existe.
LKM’s: o como mejor lo conocemos y ya nombré algo en el segundo tema de seguridad: integrando cadenas en el kernel. En este caso, si un virus carga un módulo dentro de otro módulo puede pasar inadvertido durante mucho tiempo. Es la mejor opción a ser explotada en un futuro.
Windows/Linux: Si tenemos en la misma máquina conviviendo Windows y Linux, y usamos una herramienta para ver las particiones ext3 desde Win, que creen que pasaría si este último está infectado? si pensaste que infectamos las particiones de Linux estás en lo correcto. Esto se soluciona comprando y teniendo actualizado un buen antivirus para el sistema de Microsoft.
Crack: un virus crea un proceso de muy bajo grado que intenta crackear las contraseñas por fuerza bruta. Un administrador que accede a su servidor cada 4 o 5 días le da tiempo suficiente a un virus de este tipo para hacerse con la cuenta de root.
Existen antivirus para Linux?
Si, entre ellos tenemos Clamav, F-prot, y Sophos, Kaspersky Antivirus for Linux Workstation, McAfee Linux Shield, Panda Security for Linux y AVG Antivirus for Linux.
De todos esos vamos a ver el gratuito, Clamav y junto con él un frontend (GUI) de nombre clamtk que nos facilitará la tarea. Clamav usa la base de datos OpenAntivirus como fuente de actualización. Para instalar sólo debemos abrir una terminal y teclear los paquetes correspondientes ya que se encuentran en los repositorios:
$sudo apt-get install clamav clamtk
Lo ejecutamos desde el menú Aplicaciones > Herramientas del Sistema > Virus Scanner
Fácil y sencillo de uso, en el menú Archivo encontramos los comandos necesarios para scanear un archivo, nuestro /home o todo el sistema.
También por allí encontrarás una herramienta que busca un virus circulante desde hace unos seis años y que sigue infectando computadoras con Linux, el bichito en cuestión se llama Linux /rst-B y si bien el objetivo primordial son los servidores, no me sorprendería que alguno reciba una copia del amiguín. Para instalar haremos lo siguiente:
$ cd /usr/local/sbin
$ sudo wget http://www.sophos.com/support/cleaners/detection_tool.tar.gz
$ sudo tar xvfz detection_tool.tar.gz
$ sudo ln -s detection_tool/pre-compiled/detection_tool rst_detection_tool
Si no tenemos el paquete build-essential lo instalamos:
$ sudo apt-get install build-essential
Construimos el paquete:
$ cd /usr/local/sbin/detection_tool
$ sudo make
$ cd /usr/local/sbin
$ ln -s detection_tool/detection_tool rst_detection_tool
Listo, para usarlo en consola hacemos:
Fuera del directorio /usr/local/sbin: rst_detection_tool [-v]
Dentro del directorio /usr/local/sbin: ./rst_detection_tool [-v]
Así, para escanear los ficheros del sistema hacemos:
Fuera del directorio: $ rst_detection_tool /
En el directorio: $ ./rst_detection_tool /
Lee mas sobre virus
Fuente de detection-tools
Seguridad en Ubuntu (I): Firewall
Seguridad en Ubuntu (II): Rootkits
Completa esta lectura con:
Si te gustó este post, por favor considera dejar un comentario o suscribirte al feed y obtener artículos futuros en tu lector de feeds.
Comentarios (16)
Por dios, ya no existen virus para linux. Los antivirus de este sistema sirven para limpiar el malware de Windows. Recuerden que Linux se usa principalmente como servidor, razón por la que es muy util mantener a los clientes (que en general usan Windows) libres de software malicioso. También he visto redes Win/Linux que corren el antivirus en el pingüino.
Por otro lado, existe cierta utilidad de los Antivirus de linux en sistemas domésticos; se puede usar por ejemplo para auditar los correos que recibimos y luego reenviamos a nuestros contactos, o bien para proteger maquinas con Windows conectadas a una pequeña red Lan.
Saludos.
No se que onda… pero de curioso nomás se me ocurrió instalar el clamav que nombras… me detecta 17 archivos con virus¿? me encantaría saber donde o que detectó, ya que no dice… otra cosa que me llama la atención es que no tengo nada descargado de ningún lado que no sean repositorios oficiales… en fin, no se que pensar
Vale, decir que en Linux no hay virus no es cierto, pero hacer un post en tu blog tan alarmista ni es objetivo ni útil.
Debes recordar que GNU/Linux es un SO bastante seguro. La única forma de ser atacado por Presuntos Virus es la descarga directa y de forma aun no demostrada algún exploit javascript del navegador. NO hay forma de que el Presunto Virus sepa tu contraseña de root, así que sólo podría modificar los archivos del usuario. NUNCA AFECTARÍA AL SISTEMA.
Otra ejemplo: Instales el virus virus.deb; el virus se instala (pero deb es un paquete precompilado, no un ejecutable por sí mismo). Si ejecutas “virus” no tiene permiso de root y estamos en las mismas. Si ejecutas “sudo virus” estás perdido, y te está bien por instalar y ejecutar como root un programa que no conoces, descargado de fuentes sin confianza. Usa los repositorios por tu seguridad.
Todos sabemos que linux es seguro. Puede haber 500 virus, pero no son más que ejecutables sin riesgo, recordemos que en linux hay transparencia. Perdo J te ha mostrado la página de kriptópolis (mira los enlaces relacionados también). Juan, por su parte ha dado en el clavo cuál es la utilidad de un antivirus en linux: Eliminar virus de windows.
oiga, instale el antivirus, y todo perfecto, pero trato de actualizar la base de datos y me pide permisos de root, no se si esto lo puedo hacer con un comando, o forzosamente tengo que habilitar el usuario root, y desde ahi actualizar?.
Muchas gracias por los tutoriales, ya tenia muchas dudas sobre la seguridad ;)
@Rutrus: post alarmista? no sé donde disparé la alarma, pero no recuerdo haber puesto algo como: “Si no usas un antivirus en Linux se te destruirá tu computadora!”, ahora, a lo que sí apunté es a hablar un poco sobre virus en (y de) Linux en el afán de dar a conocer la poca cantidad que EXISTEN (aunque algún exagerado mas arriba diga que NO), que son muy difíciles de propagar y de causar algún daño en la pc.
También no recuerdo, como muchas veces, haber dicho que DEBEN instalar un antivirus (aunque, si usas Linux compartiendo una red con Windows, ES RECOMENDABLE!, o, como dije allí, si ves desde Windows las particiones de Linux o si crees que tu servidor puede ser víctima de virus)
Haz leído los links que salen en la recomendación de Perdo J? seguro? si miras en el segundo (Virus y linux (y II)) verás las formas de infección en sistemas Linux de los virus, y, contrariamente a tu afirmación de que no pueden lograr una contraseña de root, allí (tal como aquí) figura que con LKMs, fork y cracking PUEDEN LLEGAR A HACERLO. Ah, y antes de que me olvide, si miras el pie del post encontrarás el mismo texto pero en un solo link…
Desconocer los artículos que nombras es peor que afirmar una falta de objetividad de mi parte, siendo que los he leído de “pe a pa” para no hablar sin bases ni fundamentos.
No creo que lleguemos a un acuerdo, y pienso que nuestras opiniones serán muy dispares, pero intento ser parcial en el post sin glorificar a Linux, porque, al fin y al cabo, hay cosas que también no las hace correctamente o en las cuales nos da problemas (y un ejemplo bien claro es la falta de maduréz aún en manejo y proceso de archivos multimedia) y sin embargo optamos por usarlo, tal como otras personas optan por usar otros SO’s mas sencillos, con menos requisitos en conocimiento o por costumbre.
@Soilo: oiga!: $ sudo clamtk ;-)
Saludos! y sean mas objetivos ustedes con las críticas por favor…
@Ariel
No critico los contenidos, que pueden ser precisos. Dentro de lo subjetivo que escribir en un blog resulta, la letra en negrita y el nombrar cientos de virus puede resultar poco coherente con la supuesta seguridad del sistema. Simplemente no conincido con tu enfoque.
»¿Hay virus para linux? Sí, pero no debes preocuparte. Hoy en día no se conocen virus funcionales que infecten el sistema y se propaguen fácilmente. Es suficiente con tener actualizado el sistema y no dar permiso de root a programas desconocidos. Así LKMs, Forks y cracks no son una opción, instalando desde los repositorios (recordemos que usan hash).
Ariel, no desistas, la reconciliación es posible. Un saludo.
@Rutrus: Letra en negrita? solo verás las preguntas hechas en negrita, pero sin ánimo de sonar a Warning. Y no recuerdo haber nombrado cientos de virus, es más, sólo uno y que se sigue propagando por servidores desde hace 6 años xD.
Sin embargo coincido plenamente con tu segundo párrafo y lo apoyo.
Es como te dije antes, son dos campanas que suenan en diferente frecuencia. No importa, ambas suenan bien.
Saludos!
Hola a todos, no entiendo mucho pero después de leer todo, tengo una inquietud. ¿Que ocurre con el phishing? ¿Somos inmunes a esta amenaza los que usamos LINUX?
@Juan: me parece que tienes algún problema de equivocación de conceptos: Phishing es cuando una persona se hace pasar por alguien o por una empresa para sacarte información.
Lee mas sobre Phishing
Virus en linux??? si ya no existen ni en windows. Los virus como tales, como infectadores de programas ya se han extingido. Ahora hay gusano y troyanos.
Hacer un programa que haga algo malo no es dificil en ningun sistema operativo. Darle capacidad de permanecer en memoria, autocargarse en los inicios de sesion y propagacion es mas complicado. Ademas, ahora casi todos usan ingenieria social y se propagan por mails falsos.
Respecto un virus que aprovechando la lectura de una particion de linux desde windows lo infecta…. El unico virus multiplataforma que conozco era en realidad una macro de word que afectaba tanto a word para win como a word para mac.
Si que hay troyanos y rootkits… pero hay que saber que te los tienes que instalar, o que alguien se cuele en tu maquina y te los tiene que instalar. Y dudo que un rootkit lo detecte el clam.
La mayor seguridad es el sentido comun y mantener el sistema actualizado.
Si usas debian puedes bajarte el sistema entero, y justo antes de morir la distro un dvd con todos los updates. En Ubuntu solo puedes hacer mirrors de los repositorios. La politica de debian siempre ha sido mas comprometida con la seguridad. Siempre son los primeros en sacar los parches cuando una amenaza se conoce.
Ningun sistema es perfecto y 100% seguro.
[...] Seguridad en Ubuntu (I): Firewall Seguridad en Ubuntu (III): Antivirus [...]