Barrapunto

... cómo hace un gusano para hacerse con un sistema Linux y echarlo abajo sin permisos de administrador.

Te olvidas de un hecho fundamental: no hay un linux, sino tropecientos. Así que aun a pesar de que fuese linux el que se encontrase instalado en el 90% de los ordenadores los virus estarían restringidos a la infección de una determinada versión de una determinada distribución (o de varias). A veces la diversidad es una ventaja.

Este tipo de virus se distribuyen por las redes corporativas de la administración.

Por lo general la conexión a Internet en la Administración está muy limitada (en mi opinión, excesivamente), pero luego hay una conexión corporativa entre todos los centros en la que por lo general los informáticos no pueden meter mano, porque son equipos alquilados y mantenidos por el operador de turno.

En las conexiones intercentros no hay ningún puerto cerrado, y eso hace que cuando alguien pilla un virus de los que se transmite por red (Blaster, Nachi, Sasser, ...) a las pocas horas está toda la red de la Administración de la comunidad autónoma en cuestión podrida.

Hoy en mi centro, todos los firewall se han pasado la mañana pitando por accesos al puerto 445 (afortunadamente nuestros PC's sí estaban protegidos), y todos venían de otras sedes de nuestra red corporativa.

Los errores no son de los administradores, sino que están a más alto nivel.

¿ No será más bien el hecho de que los virus para M$Windows son más fáciles de programar ?
¿ VBS , SHS , MSHTML y demás bondades de APIS , lenguajes para scripts , y un largo etc , facilitan el trabajo para que sean necesarios unos infimos conocimientos a la hora de programar un virus ?

Yo recordaria al Slapper ( http://www.viruslibrary.com/virusinfo/Worm.Linux.S lapper.htm ) de GNU/Linux , que atacaba a Apache con mod_ssl , también habia otros:
http://www.viruslibrary.com/virusinfo/Worm.Linux.R amen.htm
http://www.viruslibrary.com/virusinfo/Worm.Linux.M ighty.htm
http://www.viruslibrary.com/virusinfo/Worm.Linux.A dm.htm
Pero una cosa está clara , 400 lineas en C no son lo mismo que 400 en Visual Basic Script o VBA a secas.

"Lo unico que hace falta para que un virus como sasser funcione es un agujero de seguridad explotable remotamente, solo uno, y en Linux tambien existen. "

¿Como cuál?

Te doy pistas. El mejor candidato, a día de hoy, sería un exploit remoto sobre openssh (ya los ha habido), porque es el servicio perimetral con más facilidades de ser encontrado. Ahora bien, tu ventana (en "exploits" masivos, otra cosa es si eres un "black hat" dedicado al espionaje industrial y cosas parecidas... pero de esos tampoco estamos hablando en el caso de Windows) es casi seguro que será muy breve y, además, a mí no me importan los cienes y cienes de servidores atacados, sino si lo será el mío, y no lo será simplemente con desactivar la directiva 'PermitRootLogin').

Mientras unix sea unix y no exista un monocultivo tan tremendo en los sistemas de tipo unix como lo hay en los sistemas de Microsoft, las probabilidades de un ataque tipo Sasser o tipo el de [como rayos se llamara el gusano de Ms SQL Server] son extremadamente reducidas, independientemente del porcentaje de presencia de esos sistemas tipo unix en Internet (por cierto que, si no estoy mal informado, más de la mitad de los servidores web en Internet tienen algún tipo de sistema unix detrás, pese a lo cual, todavía no ha aparecido ningún virus "in the wild" para estos sistemas, y de los exploits que se han encontrado (como Red Worm) ninguno ha tenido una percolación ni medianamente importante *entre las máquinas potencialmente afectables*).

Beeeppp, error.

Yo te diré con pelos y señales por que se propaga ese virus tan rápidamente.

Así de momento, en Windows 95/98/Me, si no utilizas la red de Windows, puedes desactivarla, y si además desactivas NewBios sobre TCP/IP, no tienes absolutamente ningún puerto abierto.

Es decir, que aunque Windows 9X no sea algo que se pueda decir, muy seguro, estás a salvo contra ese tipo de gusanos. Como mucho, lo más que te podrían hacer es un ataque de denegación de servicio a bajo nivel, pero eso ya es otra historia. Por supuesto, me refiero siempre al supuesto de que no exista un cortafuegos instalado.

En Linux, utilizado como WorkStation, pasa lo mismo, tienes como mínimo el puerto 6000 abierto, pero se puede cerrar.

Esa decir, que tanto con Linux en modo WorkStation, como con los Windows 95/98/Me, puedes permanecer conectado a Internet a salvo de ese tipo de Gusanos. Por supuesto otro cantar es que te envíen un email que trate de explotar un buffer overflow en la cabecera, bug que casi todos los clientes de correo han tenido en alguna versión.

Sin embargo, con Windows NT4, 2000, XP y 2003 es otra historia.

Resulta, que los señores de Microsoft, les han dado por que sus sistemas operativos, deben de tener puertos abiertos que NO se pueden cerrar. fa-bu-lo-so.

Por ejemplo, nada más arrancar la máquina, tienes abierto el puerto 1025 por TCP y una conexión a ese puerto. Al parecer se trata de una especie de IPC local. Si desabilitas el servicio que abre ese puerto te aseguro que Windows NO vuelve a arrancar.

Por otro lado, tenemos el RPC, que se utiliza para DCOM. La inmensa mayoría de los usuarios, sobre todo los domésticos, no van a exportar a otras máquinas servicios DCOM, ni siquiera saben bién que es eso de DCOM, por lo tanto, obligarles a ir con el culo al aire por Internet es algo que puedo calificar con dos palabras: GRAN CAGADA de Microsoft.

Yo tengo una forma de pensar, que siempre me ha ido bién, y siempre he acertado, el tiempo siempre me ha dado la razón y es esta: "un puerto abierto, a la larga es siempre una puerta de entrada".

Es cierto, que cuando usamos Linux o Windows como servidor, a la larga hay vulnerabilidades, pero no es menos cierto que hay administradores de sistema que se encargan de actualizar sus servicios, y si alguno no lo hace, pues mal asunto.

Pero, en las máquinas que nosotros usamos para redactar documentos, o navegar por internet, o leer el correo electrónico, NO deberían existir puertos abiertos.

Desde mi punto de vista, el principal culpable de la extensión de virus como Sasser es Microsoft, y no por el hecho de que el servicio RPC tenga una vulnerabilidad, pues cometer errores de programación o diseño, es perfectamente comprensible, si no por su irresponsabilidad al obligar que todos los usuarios tengan el servicio RPC funcionando, sin ni siquiera proporcionar una opción para deshabilitarlo. Eso, no es un error de diseño, es una decisión que probablemente ha tomado algún jefazo.

Y si, ya se que se pueden instalar cortafuegos, como también se puede hacer en Linux, o en Windows 95/98/me, pero ya es un añadido que hay que buscar e instalar aparte, al menos en Windows.

Otra gran cagada de Microsoft, fué el añadir soporte de ActiveX en el propio navegador y lector de correo/news, pero eso ya es una historia solventable, basta con usar otro navegador y otro lector de correo/new