Cualquiera diría que un servidor es gafe. Ha sido abrazar a Linux Mint como distribución de cabecera y no ha dado lugar a que pase ni un mes para que la desgracia se cebe con una de los sistemas más utilizados del mundo GNU/Linux, si no el que más. A pesar de que la información sobre lo ocurrido ha sido clara y concisa desde un primer momento, sin que Clem Lefebvre se haya escondido lo más mínimo, dando ejemplo de responsabilidad a la hora de dar la cara, encuentro en varios sitios de la red cierta confusión, no sé si creada a propósito o fruto del desconocimiento de la envergadura real de lo acaecido el pasado 20 de Febrero. Sea por una razón o por otra, aquí estamos para tratar de explicarlo.
El incidente principal
Según informaba Lefebvre el domingo en el blog de Linux Mint, una breve incursión por parte de un atacante había causado un gran daño. Esta persona había aprovechado un fallo de seguridad en un «plugin» de WordPress para ganar control sobre el directorio del servidor que contenía la web de la distribución, así como los enlaces a las imágenes del sistema operativo que se distribuyen a todo aquel que desea instalarla o probarla. El intruso se encargó de redirigir los enlaces a una web externa, al parecer en Bulgaria, donde se alojaba una imagen alternativa de Linux Mint 17.3 Rosa Cinnamon en cinco de sus variantes: 32 y 64 bits, con y sin «códecs», más la versión para fabricantes («OEM») de 64 bits. Casi nada. Dichas imágenes habían sido modificadas y contenían una puerta trasera en forma de «malware», de nombre «Tsunami» que permitirían tomar el control de los equipos de modo remoto. Algo que, la mayoría de las veces, se hace con intención de convertir la máquina en parte de una «botnet» y emplearla para infectar equipos o realizar ataques de denegación de servicio.
La respuesta del equipo de Linux Mint nada más conocer la noticia consistió en apagar el servidor principal y comenzar a investigar el asunto, el cual imagino habrán puesto en conocimiento de las autoridades. En principio no parece que haya habido mucha gente afectada. Si te preguntas si eres uno de ellos, la respuesta es fácil: ¿descargaste la imagen de Linux Mint Rosa Cinnamon el día 20? Comprueba la suma «md5» de tu «iso» y compárala con las que aparecen en el anuncio de Linux Mint. Si la de tu versión no concuerda, se trata de una de las imágenes comprometidas, o bien está corrupta. En definitiva, olvídate de tu instalación de Linux Mint, descarga el sistema limpio e instala desde cero.
Todos aquellos que únicamente hayan actualizado sus sistemas el sábado a través del gestor de actualizaciones no están en peligro. Repito, porque es importante: el problema afecta, solo y exclusivamente, a instalaciones desde cero con la «iso» descargada el mismo día 20. No estás afectado si actualizaste el sábado o si instalaste el sábado desde una «iso» descargada otro día. ¿Aclarado? Bien, vamos con la segunda parte de esta historia.
El otro incidente, quizás el más grave
Alabo más arriba la gestión de la crisis que ha venido realizando el líder del proyecto Linux Mint. Transparencia y rápida respuesta, poco más se puede pedir. El problema es que eso no fue exactamente así… Según cuentan en este enlace, se tuvo conocimiento de un primer episodio, una primera brecha de seguridad, que los atacantes aprovecharon para hacer una copia de la base de datos de los foros de Linux Mint. En dicho artículo, un usuario informa vía Twitter, con fecha 16 de Enero de 2016, de que se está vendiendo esta información en la red. 16 de Enero, eso es más de un mes antes del ataque principal.
¿Qué significa esto? Pues que todos los que tenemos – o teníamos, pues los foros siguen caídos a esta hora – una cuenta en dichos foros hemos pasado a formar parte de la lista de algún desaprensivo, quien ahora posee nuestro usuario, nuestra clave de acceso e incluso los mensajes privados que enviásemos a otro miembro de la comunidad. Me diréis que las claves están cifradas y es cierto, lo están. Pero usando una librería (phpass) que fue tachada de poco segura hace algún tiempo, para la cual existen programas capaces de romper el encriptado.
De manera que si tenéis la poco saludable costumbre de usar la misma combinación de correo electrónico y contraseña en más de un sitio de la red… mal asunto. Hace más de 1 mes que dicho par anda suelto por la red y puede ser solo cuestión de tiempo que los «hackers nada éticos» den con un servicio de los que utilizáis en el que puedan entrar y suplantar vuestra identidad o robar vuestra propiedad.
En negrita y subrayado: usuarios de los foros de Linux Mint, ya estáis tardando en cambiar vuestra contraseña de los principales sitios en los que sepáis que usáis la misma combinación de usuario/e-mail y clave.
Desconozco los motivos por los que Lefebvre no dio a conocer este otro ataque. Quiero creer que no miran el Twitter, pero no tengo ni idea. Lo que está claro es que, así como en el primer caso su actitud es digna de elogio, en este segundo resulta poco menos que irresponsable. Por decirlo suavemente.
A los oportunistas del Windows vs Linux
Florecen por doquier ante cualquier incidente de este estilo, como bien sabemos los que llevamos un tiempo usando GNU/Linux y escribiendo sobre él. Pasó con «Heartbleed» (que no tuvo que ver con el pingüino directamente, sino más bien con un proyecto de código abierto), y se repite cada vez que alguien descubre algún troyano o «malware» con GNU/Linux como objetivo.
Este problema que nos ocupa no se debe a una vulnerabilidad de GNU/Linux, sino a una relacionada con un «plugin» de WordPress. De modo que utilizarlo para lanzar «FUD» sobre la presunta inseguridad del sistema es poco elegante. Yo más bien lo interpreto como una prueba de la creciente popularidad de Linux Mint, aderezada con la intención de aprovechar la creencia de presunta inviolabilidad de GNU/Linux que puedan tener ciertos usuarios. Hablando claro: el 99 por ciento de los usuarios no tenemos antivirus, cosa que en Windows sería calificada como temeridad galopante, por lo que, de no haberse descubierto el pastel, había altas probabilidades de que los «botnets» perdurasen en el tiempo sin ser detectados.
El quid de la cuestión: ¿demuestra esto que GNU/Linux está igual de expuesto a amenazas que Windows? En mi opinión, todavía no al mismo nivel. Pero si sigue aumentado su uso, tanto en la empresa como en los hogares, cada vez más delincuentes tratarán de aprovechar la bien ganada fama del sistema del pingüino, aunque sea con «modus operandi» tan retorcidos y complicados como aprovechar un fallo en un «plugin» para ganar control de una web, que a su vez redirige a una «iso» infectada, que luego se emplea para contagiar equipos sin antivirus… Tiene narices la cosa.
Sigo muy contento con Linux Mint, pese a lo ocurrido. Considero que no se debe empañar una labor de muchos años por un descuido, aunque sí debe servir de aviso al equipo de Clem. Linux Mint es un sistema que utiliza muchísima gente. Administrarlo y desarrollarlo supone un gran poder, que como todos sabéis – y Peter Parker el primero – conlleva una gran responsabilidad.
Espero haber arrojado algo de luz sobre el tema. No profundizo en juzgar la actuación del equipo de Linux Mint respecto al incidente de la base de datos del foro porque me faltan evidencias sobre el motivo de su lentitud de reacción. Pero insisto: cambiad las contraseñas cuanto antes. Para los que utilicéis DuckDuckGo, os dejo un «tip»: si escribís en la barra de búsqueda «Password n strong», donde «n» es un número de caracteres entre 8 y 64, obtendréis una contraseña de alta seguridad. De nada.
Salud
La imagen de cabecera es cortesía de Shutterstock.
Fuentes de información:
http://www.zdnet.com/article/has-your-linux-mint-desktop-been-hacked/
Archivo de La sombra del helicóptero 