Linux y los virus

Los gusanos informáticos son considerados como una de las mejores armas en el arsenal de un atacante ordenador. A través de estos gusanos, los malhechores se entrometen en los sistemas informáticos para destruir archivos, otros sistemas informáticos de ataque, robar datos, etc. El concepto de un gusano informático no es nuevo, los atacantes han estado utilizando gusanos atacar los sistemas informáticos desde hace décadas. Si uno mira hacia atrás en la historia de los gusanos informáticos, verás que los gusanos informáticos que causaron el mayor daño se dirigieron hacia el sistema operativo Microsoft Windows. ¿Se debe a que el número de vulnerabilidades de Windows, o es simplemente debido a la cantidad de usuarios de Windows? La pregunta sigue sin respuesta. Mientras tanto, aparte de la gusano de Morris, muy pocos gusanos se han dirigido hacia Linux.

Una introducción a los gusanos informáticos

Un gusano informático es un programa que tiene intención maliciosa (es decir, que puede causar daños a un sistema informático). Puede replicarse y propagarse por la red para infectar a otros sistemas informáticos vulnerables. También se puede pensar en un gusano informático como un virus informático que no requiere la acción humana para empezar y que tiene la capacidad de auto-replicarse y recorrer por la red.

Un gusano puede llegar a un sistema a través de diversos medios, como un archivo adjunto de correo electrónico, un archivo descargado de Internet, un archivo a través de una conexión TCP / UDP desde un host vecino de confianza o en medios extraíbles como CDs, pendrives, etc. Una vez que se ha llegado en un sistema, tiene tres tareas a realizar:

Ocultar desde cualquier software de supervisión del sistema, como el software antivirus.

Inicie el daño real para los cuales es que está diseñado.

Enviar una copia de sí mismo a otras máquinas de la red para infectar a ellos también.

Un gusano que es capaz de hacer todas estas tareas con eficacia puede ser una amenaza real para un host o una red. El desarrollo de un gusano eficaz requiere mucho conocimiento system-/network-related, y esta es la razón por la que no todos los virus informático es un éxito.

Diseño de un gusano informático, desgasta el sombrero de un atacante

De un atacante de prospectiva, tres cosas deben ser considerados en el diseño de un gusano informático.

1) La explotación de vulnerabilidades del sistema:

La idea detrás de desarrollar un gusano es causar el máximo daño, y esto puede ser posible sólo si el gusano explota una o varias vulnerabilidades del sistema. Exploits no son más que las lagunas de las utilidades estándar o en el núcleo del sistema operativo que los gusanos pueden utilizar para obtener el poder o privilegios necesarios para comprometer un sistema informático.

Si el gusano no se aprovecha de una vulnerabilidad del sistema, la única forma de un gusano para comprometer un sistema es esperar a que el usuario haga un error. Sin embargo, esto requiere escribir un montón de código, por lo que no se considera un buen diseño para el desarrollo de un gusano. Además, esta estrategia de diseño no garantiza que un gusano siempre tendrá éxito en comprometer y dañar el sistema.

Por otro lado, si un gusano explota alguna vulnerabilidad, tales como la vulnerabilidad de "día cero" , es muy fácil para un gusano de poner en peligro un sistema y causar el máximo daño.

Nota: algunos gusanos no tienen la intención de causar daños en el huésped infectado (ver siguiente punto para más detalles).

2) Stealth-la capacidad de permanecer sin ser detectados:

Esto también es uno de los principales aspectos del diseño de tornillo sin fin.Incluso un gusano con las intenciones mortales no puede hacer mucho daño si un administrador del sistema o el software de monitoreo que se ejecuta en un host puede detectar fácilmente. Por lo tanto, la capacidad de permanecer sin ser detectados en un sistema es un factor más importante que los autores consideran gusano. Innumerables gusanos se desarrollan cada mes, pero sólo unos pocos se convierten en potenciales amenazas a causa de la capacidad de sigilo inferior mayoría de los gusanos.

La mejor manera para que un gusano para permanecer sin ser detectados es llevar a cuestas a sí mismo en un proceso de confianza para comprometerlo. Un proceso de confianza es un proceso que se ejecuta en un sistema informático que se considera digno de confianza por el propio sistema, y ​​por lo tanto, se enfrenta a un mínimo de interferencia a partir de servidores de seguridad y el software antivirus que se ejecuta en el sistema. Un proceso puede llegar a ser de confianza si se sigue las normas pertinentes establecidas por el Departamento de Defensa de EE.UU..

Los gusanos tienen otras formas de esconderse en un sistema. Por ejemplo, mi artículo en la edición de enero 2012 de la LJ trata de un pequeño y no tan destructiva ejemplo de una pieza de código que puede explotar ejecutables ELF en un sistema Linux. El diseño de esta pieza de código malicioso permite comprometer los ejecutables en un sistema Linux, y cada vez que un archivo ejecutable que se ejecuta en peligro, muchos otros ejecutables están en peligro. Aquí, el código malicioso permanece en el sistema hasta que se limpian todos los ejecutables afectadas.

Algunos gusanos están diseñados para ocultar para un período muy largo de tiempo en un huésped infectado. Estos gusanos no tienen la intención de causar daños en el host en el que residen. Más bien, el único propósito de estos gusanos es proporcionar una puerta trasera (a cada host en el que residen) al autor del gusano, que controla entonces el host de forma remota y activa el núcleo del tornillo sin fin en cualquier punto dado de tiempo en el futuro para lanzar ataques DDoS a un servidor en particular. Este tipo de ataques hacen que sea prácticamente imposible de atrapar a los atacantes reales (autores del gusano) y generalmente se utilizan para orientar las organizaciones gubernamentales y grandes corporaciones.

3) Velocidad y método de propagación:

Cada gusano tiene una vida propia antes de ser clavado. Esa es la velocidad de propagación de la razón es una de las principales prioridades para los autores del gusano. Velocidad de propagación depende directamente en el método de propagación.

Un método de propagación de gusanos de uso es a través de correo electrónico, donde los parásitos se transmiten en forma de archivos adjuntos de correo electrónico. Si nos fijamos en los entresijos de este método, usted encontrará que la velocidad de propagación no es muy alto, ya que todos los mensajes tienen que ir a través de servidores de correo electrónico. Esto añade un retardo adicional de un gusano para llegar a su destino.

Otro método de propagación del gusano es establecer directamente las conexiones TCP. Una conexión TCP puede ser entre un huésped infectado y no infectado, o podría ser entre un huésped no infectado y un servidor en el que se puede descargar una copia fresca de un gusano. Porque TCP es un protocolo orientado a la conexión, el de tres vías apretón de manos , o el concepto de reconocimiento, puede causar retrasos innecesarios y obstaculizar la velocidad de propagación del gusano.Sin embargo, este método de propagación es todavía más rápido que la propagación a través de correo electrónico.

El más rápido de todos los métodos de propagación es a través de conexiones UDP.Debido a que UDP no es orientado a conexión y no se ve afectada por la congestión de la red, que ofrece la propagación rápida para los gusanos. El único inconveniente de utilizar UDP es que la entrega en el destino no es fiable, pero eso no es un problema real en el caso de los gusanos que se envía más de una copia de un gusano a un host.

Usted puede preguntarse por qué e-mail sigue siendo utilizado como un método de propagación si tiene la velocidad más baja. E-mail proporciona una forma para que los gusanos para llegar a una gran cantidad de sistemas a través de contactos, mientras que UDP se asegura de que la propagación es rápida. Por lo tanto, no hay mejor manera de impacto utilizando ya sea de correo electrónico o UDP. Pero, si se tiene en cuenta un método donde el gusano se envía a través de correo electrónico a través de UDP, el gusano puede propagarse a una gran audiencia en poco tiempo.