jueves, 1 de febrero de 2018

Síndromes conspiranoicos

Una de mis primeras sensaciones, cuando empecé a usar Linux, fue la de que era muy aburrido, porque descubrí que, en Windows, gran parte del tiempo lo ocupaba visitando foros de seguridad y de optimización, instalando y probando programas de ese ámbito, chequeando el PC, etc... y resulta que en Linux estas cosas no preocupaban para nada. Y a ver cómo iba a ocupar mi tiempo…
El caso es que, efectivamente, prescindiendo del Windows, prescindí también de programas antivirus, antimalwares, de firewalls, de optimizadores de disco duro… y nunca he tenido el menor problema en todos estos años. Ni espero tenerlo, claro.
Pero yo no se si es que frecuento foros donde todavía hay mucho windowsero, y todavía están muy sensibilizados a la protección, y hablan de ello, o que, quizás por eso de que Android, que ya está tan extendido, es una variante de Linux, el caso es que parece que se ha puesto de moda, en Linux, tener miedo a vulnerabilidades de seguridad.
Así que parece que me ha sobrevenido un ataque de conspiranoia… y voy a poner aquí mis ‘apuntes tácticos’ al respecto… que considero suficientes para un usuario ‘de a pie’.

Desde luego, y como concepto básico, hay que tener claro que el mejor antídoto es el propio usuario, y debe concienciarse a que no hay que hacer el tonto descargando cosas raras, visitando web sospechosas, etc.
Pero sigo:
1- Sobre virus informáticos ‘clásicos’
Nada que decir: Las distintas capas de seguridad de la estructura de archivos y permisos de Linux lo hace prácticamente inmune. Ser inmune no significa ‘neutralizar’ un virus, así que no pasa nada si tienes instalado el antivirus Clamtk y, en caso de duda (sobre todo si vas a enviar un archivo ‘sospechoso’ a alguien que tenga Windows), no cuesta nada examinarlo, a demanda, con clamtk. 

2- Respecto al uso de Firewalls
No estoy muy metido en ello, pero entiendo que el kernel de Linux ya lo tiene incluido, y la configuración, por defecto, de Iptables, que así es como se llama, es más que suficiente. (Personalizar las reglas de Iptables es para expertos, quizás por eso han surgido algunos como Guwf, el Firestarter (que me parece que está descontinuado) etc, con una interface gráfica. 

3- Rootkits, malware, scripts maliciosos, backdoors y cosas de estas
Ahora parece estar de moda la sensibilidad hacia estas cosas. Bueno, pues en Debian existe una herramienta que se llama rkhunter, que voy a explicar un poco por encima.
Chequear rootkits, troyanos, etc con Rkhunter
Lo primero, instalar esta herramienta. Así que, como siempre…
sudo aptitude install rkhunter
Rkhunter funciona desde consola, y bajo demanda, pero su uso es muy sencillo:
Lo primero, nada más instalarlo, es bueno tomar 'una muestra' de nuestro actual estado, para poder comparar las próximas veces que escaneemos el sistema. Esto se hace con...
sudo rkhunter --propupd
Chequeos periódicos
Cuando queramos chequear con Rkhunter escribimos
sudo rkhunter -c --enable all 
(o, simplemente,
sudo rkhunter --check
y ahí veremos (tarda relativamente poco tiempo) lo que va haciendo. Primero examina los requisitos que deben cumplir los archivos (aquí es posible que indique algún ‘warning’, cuando el archivo es un script, porque lo considera ‘potencialmente’ peligroso), luego busca a ver si encuentra troyanos… bueno, y etc, etc, se va viendo, en la consola lo que hace. 
Lo importante es que, al final, te crea el log /var/log/rkhunter.log donde puedes ver todo lo que ha hecho, y de lo que te informa.
Y si tienes algún problema ¿qué haces…? Pues ni idea pero, de entrada… buscar en Google, que seguro que alguien ha hablado sobre el mensaje exacto del Warning, o del Danger que te preocupa.
Por cierto, para terminar: las bases de datos que utiliza rkhunter para chequear se pueden actualizar (y naturalmente es conveniente hacerlo) con
sudo rkhunter --update
(otra herramienta similar, que también está en los directorios, es 'chkrootkit')
 
4- Detección de intrusos en la Red
Aquí ya no me meto, lo estuve viendo y es muy complicado. Snort es una herramienta bastante buena para montarse un IDS (Intrusion Detection System o Sistema de Detección de Intrusiones), y hay más, si buscas por Google. Pero me parecieron aplicaciones muy complejas de usar, y mi conspiranoia no llega a tanto.

5- La madre de las vulnerabilidades: Spectre y Meltdown
Estas vulnerabilidades del hardware, que permiten acceder a la memoria del sistema, y que han puesto a todo el mundo (sobre todo a los fabricantes de los modernos microprocesadores) con los pelos de punta, porque echa por tierra sus expectativas de desarrollo, al dejarlos expuestos (en cristiano, con el culo al aire) y con una difícil solución ‘sencilla’. 
La cosa parece ser que está, en estos momentos, en decidir cómo solucionarlo, si por software, o por hardware, y al parecer están dando palos de ciego creando parches (algunos, como el que se creó para Ubuntu, parece ser que bloquea la distro otros, los de Intel, acaban de ser desaconsejados por el propio fabricante, Linus Torvalds los está poniendo a parir…) y creo que hay bastante histeria en todo en mundo de la informática.  
En el caso de Debian, su 'staff' ha creado un script simplemente para saber cómo afectan estas vulnerabilidades a nuestro propio ordenador. Se llama 'spectre-meltdown-checker' y actualmente se puede instalar desde testing, desde Sid e incluso desde la Rama Stretch-Backport. Yo instalé el script desde Sid, activando su repositorio, con…
sudo aptitude -t sid install spectre-meltdown-checker
y para que te haga un chequeo, basta escribir, en consola…
spectre-meltdown-checker
o bien, si quieres hacerlo como root (pero casi que da lo mismo)
sudo /usr/bin/spectre-meltdown-checker
(A mi me dió que era VULNERABLE a la Variante 1 del Spectre, y NOT VULNERABLE a las distintas Variantes, y Mitigaciones, y al Meltdown.

Pero bueno, la verdad es que me importa muy poco, ni me considero objetivo de los hackers, ni tampoco iba a saber resolver el problema (ni pienso cambiar de microprocesador, claro).

Lo que si me importa más es que acaba de salir el kernel 4.15, que parece ser que está parcheado y que compensa, con su velocidad de diseño, el freno que suponen los parcheos en los kernels anteriores (yo estoy ahora en el Linux-image 4.9.0-5-amd64) así que a ver si entra pronto, en Stretch, la paquetería para la actualización a ese nuevo kernel, ... y ver, con este 'checker', qué vulnerabilidades puedo tener.

No hay comentarios:

Publicar un comentario