Linux consta de una gran cantidad de código y parches, por lo que es relativamente fácil incorporarlo a un malware bien escrito.
empresa de investigacion de seguridad entretejer reportado Principales vectores de ataque en máquinas Linux Esto permite que personas malintencionadas obtengan el control de la máquina y las redes conectadas a ella. Lo que hace que esto sea inusual es que el hallazgo fue “salvaje”. Por favor, déjame explicarte…
La mayoría de las empresas como Intezer tienen una forma aceptable de buscar intencionalmente fallas de seguridad en su tecnología, informar la falla a la empresa que produce la tecnología defectuosa y ofrecer repararla a cambio de una tarifa. Los investigadores les dicen a las empresas potenciales que publicarán sus hallazgos si no están de acuerdo. Es como hacer generación de ventas y marketing al mismo tiempo. Estoy constantemente inundado con comunicados de prensa sobre estos hallazgos, informando solo lo peor. En la mayoría de los casos, nadie sabe si se aprovechó la falla en cuestión. No esta vez.
Por “en vivo” queremos decir que la falla de seguridad ya ha sido explotada y es posible que el usuario o el fabricante del producto no puedan hacer nada al respecto después del hecho.
No tengo pruebas contundentes de esto, pero sospecho que la cantidad de vectores de ataque “reales” es mayor que la cantidad de fallas no descubiertas. Una pista es cómo varias empresas de ciberseguridad describen la escala del problema. Algunos afirman poder identificar menos de 50 tipos de ataques, mientras que otros afirman poder identificar más de 500. Otra pista es la confianza que tiene en la protección que ofrece en función de cuánto ralentiza su red. Por ejemplo, supongamos que una empresa reduce la velocidad de la red de 10 Gb/s a 5 Gb/s y califica la protección en un 97 %. Las pruebas muestran que detiene más ataques potenciales. En otras palabras, cuanto más se acerca una red a su velocidad nominal, menos segura es.
Pero yo divago. Volvamos a la falla de Linux que Intezer denominó “HiddenWasp”. Es un nombre bastante bueno. Los vectores de ataque se centran en dispositivos que ya han sido comprometidos. Cuando se neutraliza el vector original, el usuario puede tener una falsa sensación de logro de que ha resuelto el problema. En este momento, HiddenWasp se puede activar para controlar el dispositivo y la red en la que reside. El comunicado de prensa de Intezer dice: Este es un troyano que se usa solo para el control remoto dirigido. ”
(Fuente: pixabay.com)
Los sistemas Linux puros no son las únicas máquinas afectadas. Cualquier sistema operativo con un kernel de Linux es potencialmente vulnerable. Para verificar si su sistema está infectado, busque el archivo “ld.so”. La cadena ” /etc /ld.so.preload” (un espacio agregado para evitar problemas en el sistema) puede significar que su máquina está comprometida. Según Intezer, el implante troyano intenta parchear instancias de ld.so para ejecutar el mecanismo LD_PRELOAD desde ubicaciones arbitrarias.
El control remoto dirigido se está convirtiendo en un ataque más común en el mundo de IoT, especialmente en los sistemas Linux. Si puede controlar los dispositivos asociados con alguien que tiene acceso a información confidencial, puede causar mucho daño. Como tal, es probable que este esfuerzo en particular sea el producto de un estado-nación para el espionaje tanto gubernamental como industrial. Es posible que pueda adivinar quién está detrás de esto. (Una búsqueda rápida arrojó algunos sitios de pornografía S&M alojados allí, así que avergüénzate si has sido infectado).
Centrémonos por un momento en por qué las máquinas Linux fueron atacadas. Linux es famoso por ser de código abierto, pero se supone que el “código abierto” es más seguro porque puede mirar el código fuente y encontrar código malicioso. Pero según Axel Kloth, CTO y fundador de la empresa de procesadores de seguridad Axiado Corporation, el éxito de Linux lo ha vuelto más vulnerable.
“Linux es una colección tan grande de código y parches que es relativamente fácil de incorporar en malware bien escrito”, dijo. “Los analistas de seguridad pueden haberlo visto de primera mano a lo largo de los años, pero nunca lo ven”.
Aquí es donde la inteligencia artificial juega un papel muy importante en la seguridad digital ahora y en el futuro cercano. Incluso si la IA no puede encontrar malware como HiddenWasp, aún puede liberar la inteligencia humana para buscar anomalías. En última instancia, AI marca el código sospechoso y lo aísla para su evaluación. Según Kloth, esta tecnología basada en IA está a punto de salir al mercado pronto, pero pasarán años antes de que esté disponible de forma general.