Consecuencias del ataque a Linux Mint

Hacking poco ético

Cualquiera diría que un servidor es gafe. Ha sido abrazar a Linux Mint como distribución de cabecera y no ha dado lugar a que pase ni un mes para que la desgracia se cebe con una de los sistemas más utilizados del mundo GNU/Linux, si no el que más. A pesar de que la información sobre lo ocurrido ha sido clara y concisa desde un primer momento, sin que Clem Lefebvre se haya escondido lo más mínimo, dando ejemplo de responsabilidad a la hora de dar la cara, encuentro en varios sitios de la red cierta confusión, no sé si creada a propósito o fruto del desconocimiento de la envergadura real de lo acaecido el pasado 20 de Febrero. Sea por una razón o por otra, aquí estamos para tratar de explicarlo.

El incidente principal

Según informaba Lefebvre el domingo en el blog de Linux Mint, una breve incursión por parte de un atacante había causado un gran daño. Esta persona había aprovechado un fallo de seguridad en un “plugin” de WordPress para ganar control sobre el directorio del servidor que contenía la web de la distribución, así como los enlaces a las imágenes del sistema operativo que se distribuyen a todo aquel que desea instalarla o probarla. El intruso se encargó de redirigir los enlaces a una web externa, al parecer en Bulgaria, donde se alojaba una imagen alternativa de Linux Mint 17.3 Rosa Cinnamon en cinco de sus variantes: 32 y 64 bits, con y sin “códecs”, más la versión para fabricantes (“OEM”) de 64 bits. Casi nada. Dichas imágenes habían sido modificadas y contenían una puerta trasera en forma de “malware”, de nombre “Tsunami” que permitirían tomar el control de los equipos de modo remoto. Algo que, la mayoría de las veces, se hace con intención de convertir la máquina en parte de una “botnet” y emplearla para infectar equipos o realizar ataques de denegación de servicio.

La respuesta del equipo de Linux Mint nada más conocer la noticia consistió en apagar el servidor principal y comenzar a investigar el asunto, el cual imagino habrán puesto en conocimiento de las autoridades. En principio no parece que haya habido mucha gente afectada. Si te preguntas si eres uno de ellos, la respuesta es fácil: ¿descargaste la imagen de Linux Mint Rosa Cinnamon el día 20? Comprueba la suma “md5” de tu “iso” y compárala con las que aparecen en el anuncio de Linux Mint. Si la de tu versión no concuerda, se trata de una de las imágenes comprometidas, o bien está corrupta. En definitiva, olvídate de tu instalación de Linux Mint, descarga el sistema limpio e instala desde cero.

Todos aquellos que únicamente hayan actualizado sus sistemas el sábado a través del gestor de actualizaciones no están en peligro. Repito, porque es importante: el problema afecta, solo y exclusivamente, a instalaciones desde cero con la “iso” descargada el mismo día 20. No estás afectado si actualizaste el sábado o si instalaste el sábado desde una “iso” descargada otro día. ¿Aclarado? Bien, vamos con la segunda parte de esta historia.

El otro incidente, quizás el más grave

Alabo más arriba la gestión de la crisis que ha venido realizando el líder del proyecto Linux Mint. Transparencia y rápida respuesta, poco más se puede pedir. El problema es que eso no fue exactamente así… Según cuentan en este enlace, se tuvo conocimiento de un primer episodio, una primera brecha de seguridad, que los atacantes aprovecharon para hacer una copia de la base de datos de los foros de Linux Mint. En dicho artículo, un usuario informa vía Twitter, con fecha 16 de Enero de 2016, de que se está vendiendo esta información en la red. 16 de Enero, eso es más de un mes antes del ataque principal.

¿Qué significa esto? Pues que todos los que tenemos – o teníamos, pues los foros siguen caídos a esta hora – una cuenta en dichos foros hemos pasado a formar parte de la lista de algún desaprensivo, quien ahora posee nuestro usuario, nuestra clave de acceso e incluso los mensajes privados que enviásemos a otro miembro de la comunidad. Me diréis que las claves están cifradas y es cierto, lo están. Pero usando una librería (phpass) que fue tachada de poco segura hace algún tiempo, para la cual existen programas capaces de romper el encriptado.

De manera que si tenéis la poco saludable costumbre de usar la misma combinación de correo electrónico y contraseña en más de un sitio de la red… mal asunto. Hace más de 1 mes que dicho par anda suelto por la red y puede ser solo cuestión de tiempo que los “hackers nada éticos” den con un servicio de los que utilizáis en el que puedan entrar y suplantar vuestra identidad o robar vuestra propiedad.

En negrita y subrayado: usuarios de los foros de Linux Mint, ya estáis tardando en cambiar vuestra contraseña de los principales sitios en los que sepáis que usáis la misma combinación de usuario/e-mail y clave.

Desconozco los motivos por los que Lefebvre no dio a conocer este otro ataque. Quiero creer que no miran el Twitter, pero no tengo ni idea. Lo que está claro es que, así como en el primer caso su actitud es digna de elogio, en este segundo resulta poco menos que irresponsable. Por decirlo suavemente.

A los oportunistas del Windows vs Linux

Florecen por doquier ante cualquier incidente de este estilo, como bien sabemos los que llevamos un tiempo usando GNU/Linux y escribiendo sobre él. Pasó con “Heartbleed” (que no tuvo que ver con el pingüino directamente, sino más bien con un proyecto de código abierto), y se repite cada vez que alguien descubre algún troyano o “malware” con GNU/Linux como objetivo.

Este problema que nos ocupa no se debe a una vulnerabilidad de GNU/Linux, sino a una relacionada con un “plugin” de WordPress. De modo que utilizarlo para lanzar “FUD” sobre la presunta inseguridad del sistema es poco elegante. Yo más bien lo interpreto como una prueba de la creciente popularidad de Linux Mint, aderezada con la intención de aprovechar la creencia de presunta inviolabilidad de GNU/Linux que puedan tener ciertos usuarios. Hablando claro: el 99 por ciento de los usuarios no tenemos antivirus, cosa que en Windows sería calificada como temeridad galopante, por lo que, de no haberse descubierto el pastel, había altas probabilidades de que los “botnets” perdurasen en el tiempo sin ser detectados.

El quid de la cuestión: ¿demuestra esto que GNU/Linux está igual de expuesto a amenazas que Windows? En mi opinión, todavía no al mismo nivel. Pero si sigue aumentado su uso, tanto en la empresa como en los hogares, cada vez más delincuentes tratarán de aprovechar la bien ganada fama del sistema del pingüino, aunque sea con “modus operandi” tan retorcidos y complicados como aprovechar un fallo en un “plugin” para ganar control de una web, que a su vez redirige a una “iso” infectada, que luego se emplea para contagiar equipos sin antivirus… Tiene narices la cosa.

Sigo muy contento con Linux Mint, pese a lo ocurrido. Considero que no se debe empañar una labor de muchos años por un descuido, aunque sí debe servir de aviso al equipo de Clem. Linux Mint es un sistema que utiliza muchísima gente. Administrarlo y desarrollarlo supone un gran poder, que como todos sabéis – y Peter Parker el primero – conlleva una gran responsabilidad.

 

Sobre el poder y la responsabilidad
Peter lo aprendió a las malas… el equipo de Linux Mint, también

 

Espero haber arrojado algo de luz sobre el tema. No profundizo en juzgar la actuación del equipo de Linux Mint respecto al incidente de la base de datos del foro porque me faltan evidencias sobre el motivo de su lentitud de reacción. Pero insisto: cambiad las contraseñas cuanto antes. Para los que utilicéis DuckDuckGo, os dejo un “tip”: si escribís en la barra de búsqueda “Password n strong”, donde “n” es un número de caracteres entre 8 y 64, obtendréis una contraseña de alta seguridad. De nada.

Salud

 

Generar una contraseña con DuckDuckGo
Como siempre, DuckDuckGo nos hace la vida más fácil: generador de contraseñas

 

La imagen de cabecera es cortesía de Shutterstock.

Fuentes de información:

http://www.zdnet.com/article/has-your-linux-mint-desktop-been-hacked/

http://news.softpedia.com/news/linux-mint-forum-database-compromised-for-at-least-a-month-before-announcement-500901.shtml

http://blog.linuxmint.com/?p=2994

Anuncios

32 comentarios en “Consecuencias del ataque a Linux Mint”

    1. Gracias, David. Aprovecho que pasas por aquí para comentarte que siento no haberme dado cuenta antes de que usabas este tema de WordPress en tu excelente blog… De haberlo hecho hubiera seguido buscando. La verdad es que cuesta tanto encontrar un buen tema gratuito… 😦

      Me gusta

  1. Hola Ernesto,
    sigo pensando que el problema fue un fallo grave de Linux mint aunque sea claro que el ataque se realizó utilizando un agujero de seguridad en WordPress.
    Y lo digo porque es a Linux Mint como proyecto a quien le corresponde velar por su seguridad y la seguridad de usuarios.
    Si hay problemas en WordPress, entonces Linux mint con lo importante que se ha vuelto, no debería de estar usandolo. Me parece un poco ingenuo de su parte.
    De hecho en el articulo que voy a enlazar mencionan algo como lo que digo y dice que ha llegado el momento de pensar cual es la seguridad que nos brindan a los usuarios aquellos proyectos que tienen caracteristicas de ser un hobby más que un proyecto con visión a futuro. Sera que lo mejor es usar las distribuciones ofrecidas por grandes empresas? esa es la pregunta que me hago hoy.
    Aqui dejo el articulo,
    Saludos
    http://www.techrepublic.com/article/why-the-linux-mint-hack-is-an-indicator-of-a-larger-problem/

    Me gusta

    1. Es una reflexión interesante. En el artículo poco menos que se refieren a Linux Mint como una distribución de amateurs, que se vio beneficiada por el auge de Cinnamon frente a propuestas que se lanzaron en beta, como Unity, Plasma 5 o Gnome 3. No estoy muy de acuerdo, pero considero que hay que reflexionar sobre la conveniencia de confiar en ciertas distribuciones.

      Por cierto, ¿quién es Ernesto? XD

      Me gusta

      1. Jajaja que pena Ernesto, es que corriendo durante la pausa no me di cuenta de lo que escribi no pero ya en serio Enrique, muy interesante tu analisis de los hechos y sobre todo las preguntas a futuro que plantea este problema.

        Me gusta

  2. Un gusto como siempre leerte.

    Gracias a ti me dio por instalar Linux Mint KDE 17.2, ayer lo actualice al 17.3 sin problemas (aparentes porque esto va con el uso). Y acuerdo que es un deleite de distribución.

    Sobre el tema de la seguridad nunca hay nada infalible. Los argumentos de porque GNU/Linux es más seguro no tienen que ver con su bajo uso (que igualmente es un factor que suma, poco, pero suma), sino con su sistema o filosofía UNIX (digo esto sin tener mucha idea del tema, sigo por lo tanto una falacia de autoridad que sostiene que las filosofías UNIX son menos vulnerables a los ataques -y parece ser cierto dada la confianza de los administradores (servidores) a Linux-), y lo más importante su transparencia y con ello su rapidez en arreglar problemas (aquí ya hay propiedad). Siento ser drástico con la analogía, pero peor que tener un cáncer, es tenerlo y no saber que lo tienes. O peor que estar perdido es creer que estás donde no estás.

    De hecho estas noticias me hacen sentir seguridad, porque habiendo habido vulnerabilidad y daños, se ha atajado pronto el problema y se le ha dado transparencia (y supuestamente pondrá en marcha el proceso de asegurar más los procedimientos).

    Lo que expongo es por complejo de culpa por parecer alarmista o criticón con la menta, hacia tiempo que no entraba en tu medio informativo (formativo) y buscaba informes para saber si merecía la pena actualizarlo y como no encontré ninguna apelación al tema del ataque (¿sabotaje?) pues lo comenté, posiblemente a destiempo .

    Gracias por el trabajo ameno y de gran utilidad que haces en este medio que sigo desde hace tiempo.

    No me enrollo más.

    Me gusta

    1. Como siempre digo: gracias a vosotros por vuestros comentarios. Son los que me animan a seguir escribiendo. Llevaba un par de días barruntando si escribir el artículo, por si pudiera malinterpretarse. Pero qué narices, a estas alturas me da igual, y barrer la suciedad debajo de la alfombra en nada beneficia. Ha dado la casualidad que tu pregunta me ha pillado justo redactando el artículo.

      Me gusta

  3. Segun lei usaban http en vez de https…. También creo que al ser una distribución con mucha fama se debería de mejorar la seguridad, llamame raro pero yo soy de los que voy cambiando las contraseñas cada x tiempo y si puede ser cada vez más complejas.

    Pues también tiene delito la cosa una vez que me mantengo en una distro quieto (LMDE2) aparece esto y aunque dicen que no afecta quién puede asegurar que no hay backdoors o algo peor???

    La verdad cinnamon me encanta, ya no se si ir hechandole el ojo a otra distro… ( Estoy algo cansado de ir probando distros a cascoporro pero la inseguridad me gana…)

    Me gusta

    1. Yo, en principio, no estoy preocupado. Digo en principio, porque cada vez leo más comentarios sembrando la duda… Me pasa lo que a ti, me he acostumbrado a Cinnamon y a las herramientas de Mint. Tiene narices que ahora no me quiera mover de aquí, después de tanto saltar de distribución.

      Me gusta

  4. Los foros funcionan de nuevo.

    Por lo menos, mi usuario funcionó sin problemas.

    He cambiado la contraseña (era única, eso si) por si acaso y todo normal.

    Si tenéis un usuario en los foros igual os interesa ver si funciona y, por supuesto, cambiar vuestra contraseña.

    Saludos.

    Me gusta

      1. A mí no me ha pedido el cambio forzoso de contraseña, supongo que porque nunca cierro la sesión (en mi casa, claro). Naturalmente, cambié la contraseña igualmente, que parece lo más sensato.

        Saludos.

        Me gusta

    1. Editado, no se permiten términos despectivos. Puede tener la opinión que le plazca sobre GNU/Linux, por supuesto, pero el calificativo escatológico sobra.

      Me gusta

      1. Con opiniones tan bien fundamentadas y mejor expresadas como la de nuestro amigo Alejandro, vamos derechitos a la ruina, no hacen falta ni ataques a la web de Linux Mint.

        No sé a quien hace más daño, si a Linux o al idioma español.

        Me gusta

  5. todas y cada una de las distros linux no son mas que una broma un insulto a la inteligencia humana se puede unir toda la comunidad y defender linux pero eso no cambiara el hecho de que linux es un disparate sin mas si estoy en futuro para que volver a la prehistoria

    Me gusta

  6. Excelente explicación, sobre todo porque desde el lado de los fanboys de Windows, pero también desde el lado de usuarios hardcore de Linux procedieron con rapidez a denostar al proyecto de Linux Mint.

    Me gusta

  7. Vaya si que fue un gran escandalo ese asunto de linux mint , lo bueno es que todo ya regreso a la normalidad. Supongo que uno aprende de los errores , y ahora después de ese incidente , el equipo de linux mint ya debe estar trabajando mas en sus procedimientos de seguridad para evitar que esto vuelva a ocurrir o al menos que no vuelva a comprometer a los usuarios de la distro y al foro. Bien por Clem , linux mint y sus usuarios.

    Me gusta

    1. Pues sí, han empezado por añadir certificado de seguridad a su sitio web, algo que todavía no tenía, aunque en realidad el ataque no tuvo nada que ver con eso. Por algo se empieza.

      Me gusta

      1. Pues que bueno que esten tomando sus medidas de seguridad para evitar o al menos hacerles la vida difícil a los hackers para que no hagan con facilidad sus fechorias xd. Cambiando de tema amigo Enrique a pesar de que soy usuario de linux mint rosa , estoy encantado con esa versión , tengo lo necesario y más , en mi viejo pc reina ubuntu , la nostalgia de mi primera distro , pero no puedo evitar serle infiel a las distros de paqueteria deb . Manjaro me encanta , estoy usando su edición KDE y me gusta , paquetes actualizados , bonita interfaz y todo funcionando sin sorpresar además del famoso AUR. Bueno es difícil serle fiel a una sola camiseta por así decirlo. Ademas de que la comunidad de manjaro saco una versión propia de su edición con el escritorio que usa la distro china linux deepin y sinceramente cada vez mas me gusta manjaro , aca el link : https://manjaro.github.io/Manjaro-Deepin-16.03-released/ y la gente dira , bueno quizá algunas ,¡que , otro escritorio , pero para qué! …. bueno. Y pues si no estuviera ocupado con los estudios (laravel 5.1) , me atrevería a probar Artengos , o rayos cuanta infidelidad de mi parte. Las distros basadas en arch linux si que seducen a los caminantes de a pie que siguen en este mundillo de gnu linux.

        Me gusta

      2. ¿Manjaro con Deepin? Vaya mezcla rara 😉

        Antergos es usar Arch Linux con un instalador y bonitos iconos, nada más y nada menos. Veo que tu “distro hopping” sigue en forma 🙂

        Me gusta

      3. Ya he superado el distro hopping de las distros basadas en debian , quedandome solo con dos : ubuntu y linux mint , pero nadie dijo nada del distro hopping que involucran a las hijas de archlinux que seducen por el cuidado que la comunidad hace en presentar a la distro elegancia y facilidad de uso xd. Y pues manjaro con deepin si es una mezcla rara y con encanto propio.

        Me gusta

  8. Hay un post reciente en el blog de Linux Mint, en el que explican las medidas que van a tomar a partir de ahora para mejorar la seguridad de su infraestructura.

    Diferente algoritmo para las sumas de verificación, firmadas por gpg para aquel que quiera comprobarlas, https; e incluso cambios a nivel de la distro al incluir el firefwal gufw.

    Dejo link:

    http://blog.linuxmint.com/?p=3007

    Un saludo!!

    Me gusta

  9. Pues menos mal que he leído tu artículo porque justamente llevaba como un mes con Linux Mint como sistema principal en mi portátil de pruebas… Y justamente ayer me dio por meterle Debian por probar. He de decir que no es que pudiera usarlo mucho ya que no es mi ordenador principal pero aún así el riesgo está ahí… Mil gracias por explicarlo todo tan claro, procederé a tomar las medidas pertinentes!
    Un saludo!

    Me gusta

    1. De nada, es un tema sobre el que es importante alertar a la comunidad. Pero tampoco pasarse: si llevabas un mes con tu sistema no has corrido peligro alguno.

      Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s