Ayer se extendía la noticia del descubrimiento de una botnet Linux con capacidad para lanzar ataques de denegación de servicio de hasta 150Gbps. Se apuntaba el método de infección de las máquinas y una supuesta razón del porqué de este suceso: “al igual que el número de entornos Linux crece, las potenciales oportunidades y recompensas para los criminales también crecen“.
Para quien no esté puesto en estas historias, una botnet es como su nombre indica una red de bots, es decir, una red de ordenadores infectados y controlados de manera remota que en su variante ilegal se traduce en un ejército de zombis con el que ejecutar diferentes actividades perniciosas: por ejemplo, lanzar los mencionados ataques DDoS para tumbar sitios web. En este caso sería el troyano XOR.DDoS el encargado de infectar los sistemas Linux a través de dispositivos embebidos como routers mediante ataques de fuerza bruta contra las credenciales SSH.
Así las cosas, la noticia ha variado según el medio que la publicó desde “se ha descubierto una botnet Linux” a “Linux también es vulnerable, fear the walking dead…”, etc. Y no. No, no, no. Razones de por qué no:
Primero, no existe software invulnerable. El cien por cien de seguridad no existe en ningún caso, dicho lo cual la explicación de que conforme Linux crece las amenazas lo hacen exponencialmente es una patraña. La presunción es cierta, pero este ataque se ceba casi en exclusiva con servidores mal administrados. Por lo tanto, se podía haber producido hace mucho, ya que Linux en servidores hace mucho que triunfa.
Segundo, el usuario corriente de Linux no está en peligro, siempre que no toque lo que no debe. Dustin Kirkland de Canonical da parte de los pormenores y no solo Ubuntu y todas sus derivadas están a salvo por su configuración por defecto, las principales distribuciones -y por consiguiente, sus derivadas- también lo están. Los consejos avanzados que ofrece son de obligada aplicación.
Tercero, hablamos de un troyano, XOR.DDoS, que es conocido y neutralizado por un antivirus como ClamAV. Si al alguien le apatece probarlo, solo tiene que instalarlo desde los repositorios y:
Actualizar la base de datos (como superusuario):
freshclam
Y realizar un análisis (también como superusuario):
clamscan -r /
Atención, porque el anterior comando analizará recursivamente todo el disco duro y tardará lo suyo.
Y eso es todo. Vale la pena repetir que no hay software invulnerable y que los fallos humanos tampoco van a desaparecer. Pero hasta ahí. Al menos, en este caso.
Akamai anunció el día de ayer que ha descubierto un botnet masivo para Linux, capaz de tumbar sitios web a través de ataques DDoS utilizando un torrente de tráfico que puede alcanzar los 150Gbps.
Este botnet se expande a través de una variante del troyano llamado XOR DDoS, e infecta sistemas Linux a través de dispositivos embebidos como routers, intentando acceder realizando un ataque de fuerza bruta (probar una a una todas las combinaciones de usuario y contraseña hasta acertar) sobre SSH. Una vez conseguidos las credenciales de SSH, descarga e instala el botnet, conectando este ordenador con los otros ya infectados.
Los investigadores sabían de la existencia de XOR DDoS, sin embargo ha sido recientemente cuando han conocido los efectos del botnet en sí. Según Akamai, este malware actúa 20 veces al día, siendo 90% de los sitios web afectados de Asia y principalmente relacionados con la educación y los juegos.
Lo más preocupante de este asunto no es tanto el alcance de los ataques como su potencia, ya que este botnet es capaz de lanzarlos a velocidades que pueden ir desde los 2Mbps a los 150Gbps, siendo este último número superior a lo que muchas multinacionales pueden manejar.
Según palabras de Akamai a PCWorld, “al igual que el número de entornos Linux crece, las potenciales oportunidades y recompensas para los criminales también han crecido. Los atacantes seguirán mejorando sus tácticas y herramientas, por lo que en consecuencia los profesionales en seguridad tendrían que endurecer sus sistemas basados en Linux”.