Se habla de virus, troyanos, spyware, malware. Sin embargo estos conceptos están centrados en "herramientas" que se ejecutan como programas normales aunque con malévolos resultados, y se ocultan en los mismos lugares que podemos descubrir o que un técnico o que otro programa puede ver con relativa facilidad.

Por desgracia los verdaderos atacantes están ocultos y pueden ser mucho más incisivos. Cuando un hacker posee conocimientos profundos de la arquitectura de un sistema operativo, la completa violación de la integridad del sistema puede ser una operación bastante trivial.

El presente artículo viene a colación de los últimos gusanos que han inundado e inundad Internet: Blaster y Sasser, Debido a una vulnerabilidad del sistema operativo, se podía tomar control de nuestra máquina desde cualquier otra máquina de Internet de una manera manual con sólo saber nuestra IP. Realmente tampoco era necesario saberla, ya que se hacían grandes barridos de direcciones IP para pillar a los incautos.

Hay que resaltar que estas vulnerabilidades y los propios gusanos en sí, salieron más tarde, o mejor dicho, a continuación de que Microsoft distribuyera los parches de seguridad. Los hackers suelen usar técnicas de ingeniería inversa para analizar lo parches y saber a través de su análisis en qué era vulnerable el sistema operativo. Sabiendo lo anterior ya sólo les queda el hacer un programa que explote dicha vulnerabilidad, y a continuación, otro submundo de ellos crean gusanos como los anteriores para infectar la red.
Debemos resaltar que esto sólo es posible en aquellas máquinas en las que el usuario es lo bastante temerario como para incumplir dos premisas: usar cortafuegos y usar los mecanismos de actualizaciones automáticas de los sistemas operativos. Por desgracia y frente a los ataques e infecciones masivas, podemos comprobar que los usuarios, en general, incumplen estas dos premisas.

Pero vayamos un poco más allá: ¿y si los atacantes mezclan el conocimiento de explotar una vulnerabilidad de este estilo, junto con un conocimiento profundo del sistema operativo? Esto no es en absoluto descabellado, máxime cuando dichos atacantes son capaces, mediante ingeniería inversa de un parche, de obtener la explotación de una vulnerabilidad en solamente unos días. ¿Qué ocurriría si a través de una de estas vulnerabilidades nos introdujesen un rootkit?

¿Qué puede llegar a ocurrir si incluso el código del sistema operativo cae bajo el control del atacante?

Esta es una vieja idea que viene desde la época en que las plataformas unix-linux permiten que el propio usuario puede compilar (y normalmente "debe" hacerlo) el núcleo del sistema operativo para generar una imagen óptima para su sistema.

Se asigna el nombre de "rootkit" a los paquetes de software que sustituyen a los troyanos por binarios utilizados frecuentemente por el propio sistema operativo porque implican el peor compromiso posible de los privilegios de la máquina atacada.

Los rootkits de unix-linux se pueden agrupar en cuatro categorías:

1) Troyanos de versiones modificadas de comandos básicos como: login, netstat y ps, por ejemplo.
2) Puertas traseras tales como las inserciones inetd.
3) Herramientas de escucha de las interfaces de red (sniffers).
4) Limpiadores de los registros del sistema (limpiadores de logs).

Los rootkits de unix-linux son abundantes y podemos verificarlo dándonos un simple paseo por: http://packetstorm.widexs.nl/UNIX/penetration/rootkits/
También en /UNIX/misc, en este mismo sitio, podremos encontrar algunos paquetes "interesantes".

La versión 5 de Linux Rootkit (LRK5) es una de las más notables, alardeándose de haber generado versiones de puertas traseras de algunas de las utilidades mas críticas de la shell (entre las que se incluyen el comando "su", un ssh troyanizado y varios sniffers).

No se debe dejar pasar por alto que los precursores de los sistemas actuales (XP / W2003) proviene de NT/W2000 y adquirieron su propio rookit en 1999, "cortesía" del equipo de Greg Hoglund en http://www.rootkit.com o bien en http://www.phrack.org

Greg dejó boquiabierta a la comunidad Windows al mostrar un prototipo de trabajo de un rootkit de Windows que podía ocultar claves de registro y efectuar redirecciones de programas .EXE. Opciones que se pueden utilizar sin más, para convertir en troyanos a archivos ejecutables normales sin modificar su contenido. Todos los trucos realizados por el rootkit estaban basados en la técnica de "función enganchada" -establecer un "hook"-. El sistema era trivial parcheando un núcleo de NT / W2000 / XP de tal forma que se usurpen las llamadas al sistema: por tanto, el rootkit podrá ocultar un proceso, clave de registro o archivo o podrá redirigir las llamadas a las funciones troyanas. El resultado es mucho más peligroso que el provocado por un rootkit del estilo troyano: el usuario ya *nunca* podrá estar seguro de la integridad del código que está ejecutando.

¿Podemos hacer algo?

Si no podemos confiar en ninguno de los comando o programas, ni tan siquiera en un simple "dir" (o "ls" en linux), nos ha llegado la hora de arrojar la toalla: realice una copia de seguridad de sus archivos de datos críticos (nunca de ejecutables !), limpie completamente su sistema, y reinstálelo de soportes originales. No confiar en las copias de seguridad ni de las imágenes realizadas ya que nunca sabrá en que momento el atacante ha podido conseguir el control del sistema.

La comprobación mediante sumas de código (MD5) pueden tomar huella digital de los archivos y hacernos saber si uno de los archivos originales ha sido modificado. Sin embargo, la redirección de ejecutables realizada por ciertos rootkits en el entorno Windows puede anular esta táctica porque el código en cuestión no se modifica, sino que sólo se engancha y canaliza hacia otro ejecutable.

La imaginación queda libre entonces para saber todo lo que pueden hacer a un usuario doméstico y lo que es peor, a redes corporativas, bancos, instituciones, etc.

Lo más peligroso de cara a una corporación son los ataques de escucha en una red comprometida.

¿Qué nos queda? Pues, además de la propia seguridad en nuestra máquina, ser también cuidadosos con la seguridad en la red en todos los sentidos: usar herramientas de cifrado de comunicaciones, tales como Secure Shell (SSH), Secure Socket Layer (SSL), correo electrónico seguro mediante Pretty Good Privacy (PGP) o un sistema de cifrado de la capa IP como los que proporcionan los servicios VPN. Esta es la única forma realmente válida de rechazar los ataques de escucha en las comunicaciones.

La única solución, en resumen, y frente a la gravedad y envergadura de estos programas maliciosos, indetectables tanto ahora como en el futuro al tener el control completo o poderlo tener de nuestra máquina y por tanto ser capaces de engañar a cualquier otro proceso, es usar el sentido común: cortafuegos, sistemas operativos rigurosamente al día, protección completa de la red y comunicaciones.

A nivel doméstico, creo que sobra decir que hay dos herramientas básicas: firewall (cortafuegos) y sistema operativo al día son totalmente indispensables. Y herramientas del estilo de antivirus y Ad-aware que se deben ejecutar, pero... ¿estos últimos nos garantizan algo?: nada en absoluto ya que, efectivamente, nos pararán los virus conocidos; pero, por desgracia, para llegar a ser conocidos, antes habrán infectado millones de máquinas.
Por tanto, siempre, y como primera herramienta debemos tener el "sentido común": no ejecutar nada que no sea en soporte original o bajado de webs oficiales (entrañan también un pequeño riesgo). No ejecutar por tanto ningún adjunto del correo. En principio, yo particularmente, elimino todos los correos con adjuntos, y si se puede establecer una regla en el lector de correo para ello, es lo mejor. Nunca bajarse nada de las redes P2P. Existen multitud de gusanos en estas redes, y el instalar simplemente un programa P2P en nuestra máquina ya nos hace vulnerables. Y sobre todo "sentido común": recordemos que nadie en la calle nos regala nada por nada. En la red..... tampoco. Pagaremos un precio por ello.

Fuente: http://www.multingles.net/jmt.htm
José Manuel Tella Llop