Algo de seguridad extra: Rootkits

Hola a todos.

Esta vez dejo otro pequeño post sobre seguridad informática, en días anteriores estuve hablando de una conversación que tuve con un experto en seguridad, he estado trabajando sobre este tema y pues también he estado aprendiendo cosas sobre este grandioso tema, incluso estoy pensando en hacer una especialización o una maestría sobre seguridad informática. también he dejado un manual sobre como configurar nuestro firewall con iptables en nuestro Archlinux, aunque la configuración del script aplica para cualquier distro :), la idea era explicar como funcionaba iptables. 

Como ven el tema del post, mi idea es no hablar sobre los rootkits, si desean saber que son, para que sirve, cuales son sus objetivos, etc. Les recomiendo este articulo que encontré en infospyware, lo que realmente quiero hacer en este articulo es conscientizar a la gente de la importancia que debe ser para nosotros la seguridad informática, es verdad que en los computadores caseros podemos estar mucho mas relajados que en los ordenadores de los bancos por ejemplo, pero eso no quiere decir que debemos dormirnos y descuidar esta parte. Por ejemplo, nosotros los Linuxeros cuando salimos de Windows creemos que somos invulnerables porque Gnu/Linux es mucho mas seguro que Windows, pero muchos no saben que los Juankers se desempeñan mucho mejor en un equipo con Linux que con Windows cuando este es atacado, tampoco saben que los rootkits en Linux son mucho mas peligrosos en Linux que en Windows. 

En Archlinux, por ejemplo, los usuarios normalmente suelen tener mas conocimiento de lo que se hace, pero muchos descuidan la parte de seguridad, en Archlinux los paquetes que instalamos desde los repositorios NO vienen firmados, por lo cual ahí corremos un riesgo en la parte de seguridad, entonces mientras los paquetes no vengan firmados y mientras solucionan ese "problema" en un futuro (Que lo harán), debemos de usar herramientas como chkrootkit que nos ayude a identificar este tipo de troyano en nuestro sistema.

Para instalar chkrootkit en Archlinux solo nos basta con usar nuestro gran amigo pacman o yaourt:

yaourt -S chkrootkit

Para hacer un pequeño escaneo, simplemente ejecutamos ckrootkit como usuario administrador desde la consola: 

#chkrootkit

Si ejecutamos el comando anterior, muy probablemente tendremos una salida como esta: 

[root@chucho ~]# chkrootkit

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not found
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not found
Checking `sendmail'... not found
Checking `sshd'... not infected
Checking `syslogd'... not tested
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'...
/dev/shm/pulse-shm-3176219557
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for common ssh-scanners default files... nothing found
Searching for suspect PHP files... nothing found
Searching for anomalies in shell history files... Warning: `//root/.mysql_history' file size is zero
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... wlan0: PF_PACKET(/usr/sbin/wpa_supplicant)
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 2449 tty7 /usr/bin/X :0 vt7 -nolisten tcp -auth /var/run/xauth/A:0-yJWeeb
! chucho 7555 pts/2 /bin/bash
! chucho 7563 pts/2 su -
! root 7566 pts/2 -bash
! root 8918 pts/2 /bin/sh /usr/bin/chkrootkit
! root 14269 pts/2 /usr/bin/chkutmp
! root 14270 pts/2 ps ax -o tty,pid,ruser,args
chkutmp: nothing deleted
Checking `OSX_RSPLUG'... not infected

 

Como ven al parecer no estoy infectado :), de todas maneras sabemos que este tipo de herramientas tienen probabilidad de fallas. En lo que he visto para prevenir los rootkits en nuestras computadoras debemos de: 

- Usar firewall :), es decir, bloquear todos los puertos que nos sea posible y usar los estrictamente necesarios, obviamente esto es recomendable hacerlo cuando recién instalas tu Sistema Operativo.

- Mantenernos actualizados (En Archlinux esto no es un problema ;) ). Siempre que sea posible es recomendable actualizar tu distro, los juankers todo el tiempo están pendientes de las vulnerabilidades para acceder a tu sistema y normalmente las distros (Como Ubuntu, Fedora, etc) hacen actualizaciones menores que son para corregir errores o de seguridad. 

En el caso de que un bicho de estos se cuele en tu sistema la cosa es mas complicada, los rootkits se pueden eliminar, pero necesitaríamos hacer el arranque desde un disco diferente (USB, CD-ROM) al infectado y eliminarlo. 

Otra herramienta importante en GNU/Linux es rkhunter, muchos dicen que es mas completa, en realidad nunca la he usado, pero en el caso de nuestros Desktop chkrootkit puede ser suficiente. 

Bien, solo quería contar una pequeña anectota mas y dejar un pequeño articulo que nunca esta de sobra. Un saludo.