[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: virus en linux

On Thu, Nov 25, 2004 at 05:10:53PM +0100, txipi@sindominio.net wrote:
> Hola,
> 
> nmag@softhome.net dijo:
> > Ahora he leido el artículo de virus que pasaron y ciertamente tiene
> > muchas deficiencias. Evidente desconocimiento y desinformación o
> > simplemente será poca experiencia.
> 
> Soy el autor del artículo y creo que no tengo desconocimiento ni
> desinformación, así que me gustaría hablar del tema :-)
> 
> > borda... Primero partir de la idea que Virus es un programa autónomo
> > que de forma automática inserta su código en otros para reproducirse,
> > es poco probable que un programa que no tenga características de
> > demonio en GNU/Linux pueda convertirse en virus, así que eso de los
> > shell scripts y perl que hacen cat para insertar su código no es
> > un ejemplo válido...
> 
> Esto sí que no tiene sentido... ¿Qué tiene que ver ser un demonio de UNIX
> con ser un virus? Un virus informático es un programa que introduce copias
> de sí mismo en otros programas, nada más ni nada menos (consulta la
> definición de Fred Cohen). ¿Eso no se puede hacer desde un script?

No es tan solo hacer copias de si mismo, un virus tiene que ser
autónomo y debe permanecer ejecutandose, sino no tiene sentido
el nombre virus salió exactamente de la definición de los virus
biológicos... por algo se le puso el nombre de virus... En DOS
se le conocia como programa residente, en GNU/Linux lo más
similar es un Demonio... La idea es que el un virus tiene la
capacidad de por si sólo multiplicarse... y reproducirse en tanto
medio tenga posibilidad... Una vez que es ejecutado, este
permanece vivo y ejecutandose sin necesidad de estar ejecutando
cada vez un script infectado (como el en caso de su ejemplo).

> > persona que use GNU/Linux sabe cuidar su sistema, siempre usando
> > paquetes provenientes de los sitios oficiales de descarga y cuando
> > no lo son se hacen en un usuario sin privilegios...
> 
> Exacto, el ejemplo de infección de paquetes binarios necesita eso mismo:
> bajarse un paquete de un sitio oficial, desde un usuario sin privilegios,
> pero previamente infectado. Lee con detenimiento.

No seamos exagerados, si el paquete ha sido descargado de un sitio
oficial, se tienen que pasar muchas barreras, primero se tendría
que haber vulnerado los servidores del sitio oficial de la distro
que estemos usando, luego se tendría que haber cambiado el paquete
y también los cambios en las firmas de verificación... en realidad
lo creo poco probable... Este caso se da por lo general cuando
se descargan paquetes de sitios de origen dudoso...

> > ejemplo absurdo del autor de dicho árticulo dice que uno puede pasar
> > a root para ejecutar una actualización y por tanto correr el reisgo
> > de ser infectado en esos intervalos de tiempo, pues es solo para
> > tontos, a quien en su sano juicio se le ocurriría ejecutar uno de
> > esos scripts desconocidos que estan en su usuario sin privilegios
> > por
> 
> Me refiero a que un virus que sólo afecte a un usuario no puede subir a
> root por sí solo, se queda con los privilegios de ese usuario, correcto.
> Pero podría lanzar un proceso en segundo plano que estuviera vigilando
> constantemente si bajamos un .deb a mano desde un navegador, abrirlo,
> modificarlo y cuando hacemos "su" para instalarlo con dpkg -i, aprovechar
> su modificación del .deb para saltar a root. Si no lo entiendes, te lo
> intento explicar con otro ejemplo.

Igualmente exagerado, un programa que este ejecutandose constantemente
puede lanzar aplicaciones en segundo plano tantas veces quiera... pero
estas siempre con sus mismos privilegios... Y ahora todo depende de los
hábitos, si uno descarga una aplicación dudosa la ejecuta en una cuenta
hecha para ello y después para descargar paquetes que voy a
instalar y que provienen de un sitio oficial de confianza pues ni
loco que estubiera en descargarlos usando la misma cuenta...
Ahora si soy un poquitin descuidado, y descargue el paquete usando
el mismo usuario pues cuando escale a root antes de hacer el dpkg
pues verifico la SUMA MD5 del paquete la cual habra cambiado por
el cambio inducido que menciona en su ejemplo, ahora la pregunta es
alguien en su sano juicio instalaría un paquete que difiera de la MD5
provista... ¿?

Y tampoco caigamos en la exageración por lo general cuando uno actualiza
su sistema lo hace directamente en root usando herramietnas como apt
y estas escribiran los .deb descargados con los privilegios
correspondientes para los cuales no tendrá permiso la aplicación
que menciona ejecutando cosas en segundo plano. 

> Si te refieres a Windows 9x, de acuerdo, pero el resto de versiones sí
> tiene un sistema de protección y multiproceso bastante similar a GNU/Linux

Pues es mentira no lo hacen... Solo trabaje con timeout con procesos
de entrada y salida y vera que las señales siguien siendo las mismas
que usaban en DOS y el multiprocesamiento, es solo un artificio,
solo funciona dentro del mismo bloque de sentencias... Eso en los
win2k, y verdaderamente es muy desagradable programar en esos SO's.

Saludos!
-- 
# nmag only
# gnupg 0x978B82FF [pgp.mit.edu] && GNU/Linux Registered User 312624
sub boo{$q=pack q;N;,join q++,reverse split q--,shift;$q=~s;\s+$;\n;
;$q} do {printf /%s/,boo($_)} for(9112662581, 676371445, 2158412302)
Reply to: