Barrapunto

Una duda que me ha entrado al leer esta parte "para una mejor protección de virus y gusanos", pero yo siempre habia escuchado, que GNU/Linux es muy dificil que le afecte los virus y los gusanos. Entonces para que podra ser de utilidad ese parche??

Es como las meigas los de los virus en GNU/Linux, haberlos hailos.
Lo que pasa es que no se desarrollan virus, supongo que no es tan divertido tumbar miles de máquinas con GNU/Linux como tumbar cientos de miles con Windowzes, pero es bien posible desarrollarlos, de hecho hay varios antivirus para la plataforma del pingüino.

Los virus tradicionales son trozos de código que se insertan en los programas. Cuando ejecutas el programa, el virus se carga en memoria, y ese código se inserta en todos los programas que ejecutes (muy parecido a los virus normales).

Este modelo de virus es prácticamente imposible que haga daño a un sistema GNU/Linux, o UNIX en general. En realidad es difícil que dañe a un sistema que no sea de Hasecorp ;)

Esto se debe a que cuando en Linux el usuario manolete ejecuta un archivo con un virus, ese virus se ejecuta con los permisos del usuario manolete, por lo que solamente podría afectar a los ejecutables de manolete (habitualmente muy poco) y no podría dañar al sistema (únicamente podría borrar los documentos de manolete).

Los gusanos son diferentes. Estos programas se ejecutan en un ordenador a través de agujeros de seguridad. Un ordenador contagiado busca a otros y usa esos agujeros para meterse en ellos.

Desgraciadamente, aunque no nos guste admitirlo, de eso sí tenemos. Busca actualizaciones de seguridad de tus programas y verás que muchas veces dicen (provocaba un error $%$%, lo que permitía obtener privilegios de usuario).

Lo bueno es que por ahora no hay muchos gusanos de esos (no conozco ninguno), lo cual nos da tiempo para buscar protecciones antes de que lleguen.

Pero ADVIERTO: en realidad tengo poca idea de temas de seguridad, así que puedo haber metido la gamba en alguna parte.

Un saludo linuxero.

En x86 para fijar donde se puede ejecutar código y donde no, se define en los permisos de segmento. El problema está en que nadie usa segmentación hoy en día (windows, linux y demás usan un único segmento paginado) y que la mmu de x86 solo permitía fijar páginas con permiso de escritura o de lectura (escritura implica permiso de ejecución también).

Eso ha sido la cabeza de puente para muchos exploits que insertaban código maligno en páginas del stack. Hay parches para linux que lo que hacen es usar dos segmentos (codigo+datos y stack) para asegurarse que se puede escribir en la stack pero no se puede ejecutar, esos parches reducen el espacio direccionamiento virtual.

Lo que ahora traen el x86 es el bit de ejecución a nivel de página (como el 99% de las arquitecturas que rondan por ahí, dicho sea de paso) con lo que ahora ahora lo tienen más fácil los sistemas operativos que no usan segmentos.

Algunas aplicaciones mal escritas tendrán que reescribirse. La más reseñable es la máquina virtual de Java, que pide páginas sin permiso de ejecución aunque luego ejecuta código en ellas. windows y linux tienen ese flag como un vestigio de multiplataforma y de coherencia pero hasta ahora en x86 era "opcional" porque el hardware no lo soportaba y Sun ha pasado de usarlo.

La gente de Sun, que ya tuvo que cambiar la máquina virtual cuando se actualizó glibc a la versión 2.0 (accedían a símbolos privados que la documentación especificaba que cambiarían en próximas versiones) la ha vuelto a cagar ahora. A esos se les llama programadores profesionales, sí señor...