7 de junio de 2009

RootKit Hunter

Lo reconozco, me resulta muy cómodo trabajar desde Windows, tanto es así que tengo que obligarme cada cierto tiempo a hacer cositas en Linux para no olvidar "la otra forma" de hacer las cosas, mucho más cercana al Sistema Operativo y que nos recuerda conceptos que con los años van quedando semi-enterrados.

A raíz de unos informes sobre configuración segura de Red Hat con los que tuve que colaborar recientemente me volvió la eterna pregunta, ¿qué hacemos con el malware en Linux?, la creencia popular es que en Linux no hay virus, aunque si hay algo de lo que no podemos vivir los Consultores es de la "vox populi", todavía recuerdo el artículo de Kriptopolis donde hablaban de la creación de un virus en 5 pasos... , asi que decidí indagar herramientas antimalware que puedan ser interesantes.

Con todo este previo me encontré el Rootkit Hunter, repasemos, ¿qué es un rootkit?, tirando de wikipedia os diré que: "Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible, a menudo con fines maliciosos o destructivos" en palabras más llanas aún, es un, vamos a entrar en tu caja fuerte y encima nos vamos a asegurar que sigamos entrando cuando querramos sin que te enteres.

Hmmm, de esto si que tenemos en Linux, y mucho, pues bien este programita de sencilla utilización nos ayudará a detectarlos y asegurarnos que el sistema no ha sido comprometido, no tiene una backdoor oculta y no hay ninguna herramienta en la penumbra con intenciones de aparecer cuando no hay nadie mirando, ¿interesante, verdad?

Rootkit Hunter ya corre por su versión 1.3.4 puede descargarse desde aquí aunque si sois más comodos podeis acudir al legendario: apt-get install rkhunter con lo que se descargará e instalará con las opciones por defecto, otra forma es hacerlo así:

Lo normal es que tras la descarga dispongamos de la versión actualizada aunque con un "rkhunter --update" nos aseguramos, después solo basta un "rkhunter --check" para comprobar nuestro sistema (todo ello como root, claro):

En este caso salvando varios warnings parece que me he escapado de los más de 100 rootkits que detecta (entre otras cosas), aunque es normal, arranco desde Ubuntu una vez cada 15 dias, sobretodo ahora que le estoy dando caña a la RC de Windows 7, de la cual espero que hablemos otro día.

Buena semana a todos y, buena caza :)

6 comentarios:

eduardo abril dijo...

También puedes echarle un ojo a chkrootkit, que es el otro en discordia ...

De todas formas, nosotros usamos ossec (http://ossec.net), que es un HIDS que realmente te recomiendo que veas. Es muy bueno.

Saludos,
Eduardo.

GigA ~~ dijo...

Buen corolario Eduardo, chrootkit tiene pinta de sersimilar al rootkit hunter, aunque no lo he probado (el siguiente Linux-day tocará).

Ossec al ser HIDS proporciona más funcionalidades que ambos y puede dar para otra entrada :)

Lo que está claro es que no podemos descartar el malware en ninguna plataforma, ¿verdad?

Salu2

eduardo abril dijo...

Sí, eso es ... la gente se piensa que con decir varias veces al día eso de "linux es más seguro" ya están a salvo, y sin embargo hay muchas más formas ahora mismo de reventar un linux que un windows.

Sí, un linux puede hacerse más seguro, pero por defecto no es así, y se necesitan sistemas de protección (HIDS, antivirus, etc).

Por cierto, en el curro me ha tocado que instalar todo el sistema IDS/IPS para linux/windows con ossec+snort y es MUY BUENO. De verdad que lo recomiendo.
El único problema es que no es un firewall de aplicación para http, pero eso es otra historia.

Por cierto, ¿irás al asegur@IT? Yo no lo tengo claro, creo que me tocará ir a un cliente ...

Un saludo,
Eduardo.

Mithdraug dijo...

A mí me ocurre lo mismo, GigA, al final trabajo tanto con sistemas Windows que tengo a Linux un poco olvidado, y eso que personalmente me gusta mucho más.

Tomo nota de las herramientas comentadas, tanto por ti como por Eduardo. A ver si con el verano, los días más largos y el horario reducido no tengo excusas para dedicarle un poco más de tiempo a estas materias :D

¡Saludos!

GigA ~~ dijo...

Ossec + Snort tiene que ser una muy buena combinación a la fuerza. El cerdito rosa si lo conozco más y es como una chaqueta de cuero negra, pega con todo :-p

Lo del firewall app ya es seguridad en una capa distinta, como dices no aplica mucho.

Ya me gustaría escaparme al asegur@IT, pero creo que no me van a dejar :-p de todas formas la charla más chula parece la ultima (MSRC), el resto más o menos te puedes imaginar de que van.

@Myth La verdad es que al final te acostumbras a lo que haces :-p por cierto, a ver cuando nos hablas un poquito de VS2010, que me consta que lo tienes ya en mira :)

Gracias a los 2 por vuestros comentarios, salu2!

eduardo abril dijo...

A mí la charla que más me gusta, a priori, es la de xml-path injection. Pero igual es un poquito "densa". De toas formas, no creo que pueda ir.

Respecto de lo de usar windows en el curro, a mí me pasa lo contrario: estoy saturado de linux. Tenemos más o menos mitad y mitad, aparte de Solaris, etc, y llevo una empanada mental bastante seria ... jeje ... Pero sí, linux me gusta más. Es "otra cosa".


Saludos!