10 ago 2013

Hand of Thief "Troyano para Linux"

El titulo original de la nota, tomada de otro blog, porque la verdad me parece bien redactada y con buena informacion, ademas conozco el blog de hace años y me parece serio, es -"Hand of Thief" o por qué Linux no está listo para usuarios finales-. Les recomiendo leer el resto del articulo, sobre todo si venis de muylinux o lugares donde no se aclara el vector de ataque.


Bueno, realmente si está listo, ¡pero para las personas normales no!, la cosa es que hoy me he enterado de un “troyano” para Estaciones de trabajo (usuarios finales) y que “afecta” a diversas distribuciones GNU/Linux, según lo informa la RSA.
Bien, “Hand of Thief” es un trojan-banking, se supone que está diseñado para “robar información” como cookies, inicios de sesión, claves y demás, de diversos navegadores en Linux (firefox, chrome, iceweasel), aunque ciertamente podría ser “de cualquiera”, ya que su método de ataque es comprometer la resolución DNS del equipo, permitiendo, por ejemplo, re-dirigir el tráfico de navegación a proxy-socks externos y allí filtrar-robar tu información.
Los rusos detrás de Hand of Thief lo venden a “ladrones de información” por un monto que oscila entre 1500 y 3000 US$, me imagino que mucha gente comenzará a correr en pánico y a gritar “ya hay virus para Linux, ya hay virus para Linux”, como aquellos que afirman que SELinux es un parche troyano de la NSA, #FAIL.

¿Qué cosa es “Hand Of Thief”?

Conociendo el “origen” de la noticia (la RSA, que han estado en contra de cualquier migración Windows>Linux basándose en seguridad), es posible que sea un “HOAX” muy exhacerbado, sin embargo, todas las “funcionalidades” que pregona el Troyano son alcanzables en cualquier distribución GNU/Linux básicamente instalada:
  • Grabber HTTP-Sessions
  • Re-directing HTTP sessions to external proxies
  • host-list based blocking
  • poison DNS queries
  • Backdoor, Back-connect and Socks5-proxy
Así, que hay que tener mucho cuidado.

… ¿Y qué cosa no es?

Por mucho que pregonen en RSA, “Hand of Thief” no es un virus, ni siquiera es un troyano (en su acepción básica), esto es debido a que “Hand Of Thief” no puede ni instalarse por si mismo, ni afectar alguna “vulnerabilidad” o “puerta abierta” existente (ejemplo: el FBI logra comprometer sistemas e instalar troyanos explotando una vulnerabilidad zero-day en Android, ESO si es un troyano), tampoco se “replica” a sí mismo ni nada, “exige” que el atacante “convenza” a la víctima de “debe instalarlo” y además “debe instalarlo con privilegios de root”, entonces ¿cómo algo que exige que deba ser instalado por el usuario puede considerarse un verdadero troyano?, esto suena como si le solicito a una persona que me entregue “por las buenas” su cartera y las claves de su tarjeta de débito.

y entonces ¿por qué digo que Linux no está listo?

Porque ciertamente hay mucho “ingenuo” allá afuera, Windows está lleno de troyanos y virus no solamente porque tenga muchos agujeros, muchas vulnerabilidades y fallos “zero-day” cada día; sino, que hay demasiada gente estúpida que si recibe un tweet “hey!, a funny pic of you” en un navegador donde tienen su twitter conectado y la cookie de autenticación almacenada, le hacen click sin más y se convierten en otro spammer más del Twitter.
GNU/Linux, en su instalación más básica en la mayoría de las distribuciones (por aquello de “facilitar” al usuario final, su “necesidad” de seguir siendo pendejo) no instalan herramientas básicas de seguridad, ni un solo firewall, ni tcp wrappers, ni un denyhosts ni un MAC (Mandatory Access Control) serio y que evite zero-day flaws (ej: Tomoyo), le dicen “instala este escritorio muy bonito con chicas semi-desnudas y boobies” y “hazle click a todos los “funny pic of you” que quieras porque no te va a pasar nada”, y esto realmente es falso.
Hay herramientas extremadamente sencillas para asegurar nuestros sistemas, por ejemplo:
  • shorewall o ufw (uncomplicated firewall) permiten tener un firewall sencillo en minutos
  • denyhosts permite “bloquear” hosts maliciosos, igual que psad y fwsnort (firewall-snort convierte reglas de SNORT a reglas de firewall linux, de hecho, ya SNORT+BASE detectan actividad de “Hand Of Thief”)
  • Tomoyo es un MAC (Mandatory Access-Control) que prohíbe a nivel de kernel, accesos externos inherentes
Sin embargo, pocas de ellas vienen “por defecto” configuradas en GNU/Linux ya que, todos se preocupan más por “poner bonito su Elementary OS” que en protegerse de accesos externos.
Si por ingeniería social (forma bonita de decir “te vieron la cara de pendejo”) pueden lograr que instales un troyano de tipo “Hand Of Thief”, en definitiva, estás en GNU/Linux por las razones equivocadas.
Si deseas seguir siendo un usuario final despreocupado, para ello, debes invertir un poquito más de tiempo y protegerte.
… y dejar de ser tan “usuario final” …

Fuente

7 comentarios:

rudra dijo...

Como siempre clarificador. Mis conocimientos como simple usuario no me da para más que configurar ufw o directamente iptables con las reglas básicas denegando toda entrada y permitiendo sólo algún programa de torrent ademas de pasar una vez a la semana rkhunter. Y coincido contigo en que hay una obsesión estética en detrimento de cuestiones más importantes como una configuración de seguridad aunque sólo sea básica. Es incomprensible que distros como debian no traiga de serie algún mac ni cortafuegos cuando presume tanto de seguridad y estabilidad. Instalar apparmor o tomoyo es muy difícil para un usuario sin conocimientos.

SynFlag dijo...

Totalmente y coincido con vos, con todo lo que critican a Fedora o Ubuntu, al menos el primero trae por defecto SELinux y sandbox y el segundo AppArmor, y el firewall viene activo en ambos. Sucede que en teoria es porque Debian viene semi virgen y es como un semi framework para que vos hagas y elijas, bueno la realidad es que en Fedora tambien se puede instalar tomoyo, AppArmor o Grsecurity.

Un firewall facil de usar, grafico y bueno era Firestarter, es una pena que desde upstream hayan dejado de desarrollarlo.

Puedes usar GUFW para grafica de UWF, y el rkhunter es una buena opcion, tambien averigua sobre tripwire.

Saludos

rudra dijo...

Gracias por la info.
También opensuse creo que trae apparmor y tiene una serie de perfiles de seguridad que si funcionan son muy interesantes.
Una vez leí que hay desarrolladores en debian contrarios a los mac ya que (resumiendo a tope) era jugárselo todo a un programa que también puede tener agujeros y vulnerabilidades.
Creo que me voy defendiendo con ufw ya que hay bastante información. El firestarter está todavía en los repositorios de debian.
Por lo veo el tripwire es un detector de intrusiones. Yo sólo tengo un ordenador con un sólo usuario y unicamente conectado por ethernet, ¿me valdrá la pena o será un poco paranoico?

SynFlag dijo...

openSUSE trae AppArmor, asi es. Algunos developer de Debian piensan eso?, wow, ya entiendo porque la falla de ssh.... son algo miopes. Todo puede fallar, pero mejor algo fallado a algo nulo. Al menos lo intentaste, asi pensaria yo pero en fin.

Firestarter esta pero Ubuntu lo dio de baja por falta de movimiento en upstream asi que, podrias usarlo si, usando los .deb de otro ubuntu o Debian, y no creo que sacarlo por ese motivo sea valido ya que la funcion basica, que es firewall, ya la hacia por el 2007 cuando lo conoci, asi que tras estos años de desarrollo debe haber mejorado no empeorado.

No se si vale la pena, creo que si, yo por mi lado, creo que con firewall + grsec alcanza, pon en Google grsecurity (si, debes recompilar el kernel).

rudra dijo...

Firestarter está en el repositorio oficial de debian wheezy, ¿tiene alguna ventaja sobre ufw? lo digo porque como te decía ufw ya lo tengo más o menos controlado.
Digo si vale la pena tripwire porque por el uso que le doy a la computadora (sin wifi, creo que una navegación responsable, nada de escritorio remotos ni samba, creo que la única utilidad sería ante un ataque dedicado
El parche grsecurity lo investigué hace tiempo pero le vi casi la misma dificultad de configuración que tomoyo o selinux y mis conocimientos no dan para ello. Ahí es cuando piensas que en vez de perder el tiempo en tanto icono, cubo de escritorios shell de escritorio, que si kde, que si gnome, se podría incluir un hardened kernel opcional con un programa de configuración básica para noobs como el que trae opensuse. La seguridad cada vez es más importante y es uno de los elementos de los que presume linux. Pero bueno esto es software libre

SynFlag dijo...

No, ambos son front-end para iptables, ventajas?, la facilidad de firestarter sobre ufw, pero si tenes ufw dominado... listo, olvidate de firestarter.
Grsecurity tiene un modo automatico en el kernel, la configuracion del userland (espacio de usuario) es innecesaria, solo para dar permisos a binarios especificos inseguros como firefox, virtualbox, etc.
Lo ideal, es usar hardened gentoo, pero ... que carajos... no soy la NSA y vos?

rudra dijo...

Si, tampoco hay que obsesionarse. En los casi 4 años que llevo usando linux no he tenido ningún problema. No hay que confiarse pero tampoco llegar a la paranoia.