Seguridad en Sistemas Operativos

Aunque Windows sea omnipresente, existe una amplia variedad de sistemas operativos alternativos para uso
corporativo y particular. Sin embargo, estas alternativas no están libres de riesgos, como se pudiera pensar, o lo que
comúnmente se dice “¡Eso nunca ocurriría en Linux!”. Aunque esto pueda ser cierto, al menos el 99 por ciento de las
veces. El hecho es que la mayoría de los programas maliciosos identificados hasta el la fecha (más de dos millones)
apuntan a Windows. Por otra parte, Linux, con apenas 1.898 programas maliciosos desarrollados para vulnerar este
sistema operativo, parece gozar de relativa seguridad. Y hasta el 2009, sólo se habían identificado 48 programas
maliciosos para el sistema operativo Apple OS X.

Inicios turbulentos

A principios de la década de los 70, mucho antes de la aparición

de Microsoft, el virus Creeper infectaba los equipos DEC con
sistema operativo TENEX. Este programa malicioso puede ser
considerarse como muy avanzado para su tiempo, ya que usaba
ARPANET para propagarse. Después de Creeper vino Pervade,
en 1975. Pervade estaba codificado para sistemas UNIVAC y fue
creado para distribuir un juego llamado “Animal”. Por último, en
1982, fue el turno de Apple: los usuarios tuvieron el dudoso placer
de vérselas con Elk Cloner, un virus creado por Rich Skrenta que
se propagaba a través de disquetes y que a menudo colapsaba
los sistemas.

Fig.1 Mensaje mostrado por el virus BHP

Cuatro años más tarde, los usuarios de C64 se unieron al grupo de víctimas gracias al virus BHP (se sospecha que fue
creado por el grupo alemán “Bayerische Hacker Post”) que hacía que la pantalla parpadeara en intervalos regulares, y
saludara a la desafortunada víctima con el mensaje "HALLO DICKERCHEN, DIES IST EIN ECHTER VIRUS!” ( “¡HOLA
GORDITO, ESTE ES UN VIRUS DE VERDAD!”). A continuación, aparecía un número de serie que se incrementaba en
una unidad con cada nueva infección. Este virus era capaz de sobrevivir a una restauración del sistema interceptando
una serie de interrupciones de hardware.

No fue sino hasta 1986 que apareció el primer

programa malicioso compatible con MS-DOS.
"Brain" era un virus para el sector de arranque; de
modo muy conveniente, el código malicioso incluía
los nombres, direcciones y números de teléfono de
sus autores. Amjad y Basit Farooq Alvi eran los
hermanos que aseguraban haber creado Brain
como un intento para determinar el alcance de la
piratería informática en India. Sin embargo, después
tuvieron que admitir que perdieron el control de su
experimento.

Fig. 2: Código de Backdoor.UNIX.Galore.11

En los años siguientes, el panorama de los virus

experimentó un verdadero auge, y de pronto
aparecieron virus para cada sistema operativo. Se identificaron más de 190 programas maliciosos para el sistema
operativo Commodore Amiga, y un par de docenas para el Atari ST. Estos códigos maliciosos incluían el virus “C’t”
[http://www.stcarch.de/am88/06_viren.php] que se publicó en 1988, en la publicación gemela iX, como una lista
ensambladora que los lectores podían reproducir (prueba de la actitud despreocupada hacia los programas maliciosos
que prevalecía en la época).
El indeseable monopolio de los programas maliciosos

Virus, gusanos y otros programas maliciosos empezaron a florecer en el momento en que los usuarios particulares,
desde sus casas, obtuvieron acceso a la World Wide Web. Antes, los códigos maliciosos sólo se propagaban lentamente
de un disquete a otro, pero ahora programas maliciosos como Melissa o ILOVEYOU son capaces de propagarse por
todo el mundo en cuestión de minutos. Una creciente variedad de plataformas tuvieron mucho que ver en ello. Los
programas maliciosos que se propagaban por correo electrónico alcanzaron su pleno potencial (y representaban una
amenaza para la mayoría de los usuarios de Internet) una vez que Windows y Outlook tuvieron una significativa
presencia en el mercado. El panorama tan heterogéneo de sistemas operativos, típico del sector privado durante los
años 80, cedió ante MS-DOS y Windows. Y algo más cambió con la llegada de Internet: por primera vez, fue posible que
los programas maliciosos pudieran comunicarse con sus creadores.

Mientras que la propagación de virus y gusanos había sido antes una cuestión de suerte, y algo fuera de control, ahora
se podía acceder a la información almacenada en un equipo o se podía enviar órdenes a un agente en un disco duro
remoto. Se crearon las condiciones ideales para ataques tipo DDoS y envíos masivos de correo, y a la vez, surgió la
espectacular oportunidad de lucrarse con la distribución de programas maliciosos. Es obvio que una persona que se
lucra de esta manera va a lanzar un ataque contra la mayor cantidad posible de objetivos. Es por esta razón que cada
día se envían millones de troyanos a los usuarios de Windows, lo que no valdría la pena hacer con usuarios de BeOS o
Plan 9. El que estos sistemas sean o no más seguros que Windows XP es debatible; incluso si existiera un sistema
operativo blindado contra hackers, siempre habría aplicaciones vulnerables instaladas en el disco duro que tarde o
temprano serían atacadas.

El "statu quo”

Debido a su gran dominio en el mercado, Microsoft Windows se ha convertido en el estándar para los programas
maliciosos. No sólo la cantidad de programas maliciosos que apuntan a Windows es mucho mayor a la de los
desarrollados para otros sistemas operativos, también hay una diferencia en el tipo de programas maliciosos diseñados
para cada plataforma. En consecuencia, se han establecido dos mundos distintos.

Backdoors,
Hacktools,
Sistema operativo Total Virus y Gusanos Troyanos
Exploits &
Rootkits

Linux 1898 942 (50%) 136 (7%) 88 (5%)

FreeBSD 43 33 (77%) 10 (23%) 0 (0%)
Sun Solaris 119 99 (83%) 17 (15%) 3 (2%)
Unix 212 76 (36%) 118 (56%) 3 (1%)
OSX 48 14 (29%) 9 (19%) 11 (23%)
Windows 2247659 501515 (22%) 40188 (2%) 1232798 (55%)

Fig. 3: Mientras que los usuarios de Windows suelen ser atacados mayoritariamente por troyanos,
otros sistemas operativos sufren más ataques de gusanos y rootkits.

En el caso de los programas maliciosos para Windows, el objetivo en la mayoría de los casos es capturar un equipo y
lanzar ataques DDoS, enviar spam, y si se dan las condiciones, usar un gusano para capturar tantos otros equipos como
sea posible. Incluso, si el usuario se da cuenta de que su equipo está infectado, esto no constituye un problema para los
ciberdelincuentes: las redes de ordenadores zombis, o botnets, son tan extensas (por ejemplo, se estima que la botnet
Kido/Conficker tenía varios millones de equipos zombis) que la pérdida de un equipo es insignificante.

Por el contrario, en el caso de los ataques dirigidos a los sistemas de la familia Unix, el objetivo es permanecer
desapercibido para obtener detalles de tarjetas de crédito (mediante las tiendas online) o las contraseñas de los
usuarios. En su mayoría, los ataques no se realizan mediante troyanos, sino vulnerando conocidas fallas de seguridad
en servidores.

Nuevos camaradas de OS X
Hasta octubre de 2007, el escenario de los programas maliciosos para el sistema operativo Apple OS X había sido
bastante discreto. Dos vulnerabilidades, cuatro gusanos, un virus y un rootkit, estaban diseñados como pruebas de
concepto sin ningún lucro evidente para sus creadores. Sin embargo, esto cambió con la aparición, en otoño, del primer
troyano para OS X: OSX.RSPluga.A. Como hemos mencionado anteriormente, no tiene mucho sentido enviar vía spam
troyanos a sistemas alternativos. Y los creadores de este singular programa malicioso aparentemente pensaban lo
mismo, pues eligieron publicitar lo que parecía ser un sitio de pornografía en varios foros de usuarios de Mac. Entonces,
a quien activaba uno de los videos le aparecía un mensaje indicando que faltaba un codec.

Por supuesto que al usuario también se le ofrecía la opción de descargar el codec. Los usuarios tenían que introducir la
contraseña de su cuenta de administrador para instalar el “codec”, pero distraídos en su entusiasmo, algunos usuarios
de Mac demostraron ser tan ingenuos como los usuarios de Windows en situaciones similares. OSX.RSPluga.A
manipula entradas de DNS de tal manera que numerosas direcciones, incluyendo las de eBay, PayPal y las de varios
bancos, ya no se resuelven correctamente. En consecuencia, se desvía a las víctimas a sitios phishing.

A mediados de enero, la compañía finlandesa antivirus F-Secure informó sobre la primera solución antivirus falsa. Este
programa gratuito “detectaba” varios programas maliciosos en equipos que estaban completamente limpios, y para
eliminar la supuesta amenaza, el usuario tenía que adquirir el producto. Este tipo de estafa no es nueva para los
usuarios de Windows, pero a los creadores de estos programas les interesaba averiguar cuál sería la reacción de los
usuarios de Mac.

Que no cunda el pánico

Vistas las cifras, algunos se preguntarán cuál es el problema. Después de todo, cualquier otro sistema es un paraíso de
seguridad comparado con Windows. Pero hay que tener en cuenta este pequeño gran detalle: los troyanos no necesitan
privilegios en la raíz para acceder y espiar la información o para llamar a casa a través del puerto 80. Y en un mundo en
el que incluso se oye decir a los novatos en informática "¿No es Ubuntu?", los usuarios de Linux tienen que estar
preparados para cuando los ciberdelincuentes que tienen en la mira a los usuarios inexpertos irrumpan en sus equipos.

Y, al final, lo que representa el mayor de los riesgos es la creencia de que un sistema sea impermeable. Hoy, incluso los
ordenadores a la venta en tiendas de rebajas vienen con una solución antivirus preinstalada, pero, a la vez, muchos
usuarios de Linux son reacios a instalar hasta los análisis gratuitos como ClamAV, creyendo que simplemente no es
necesario. En particular, la comunidad ofrece una variedad de soluciones de alto rendimiento, con tecnologías como
SELinux, AppArmor, y una serie de sistemas de detección de intrusiones. Quienes omitan el uso de estas soluciones, ya
sea porque consideran que les toma mucho tiempo o esfuerzo, o porque piensan que no son necesarias, quizás no se
den cuenta cuando su equipo caiga en manos de un pirata en busca de presas fáciles.

Protección para las empresas

Una empresa, por razones obvias, no puede darse el lujo de aferrarse a los mitos de seguridad. No hay margen de
discusión sobre la imperiosa necesidad de que cada servidor cuente con una protección antivirus, incluso para proteger
sólo a los numerosos usuarios de Windows en la red.

Para neutralizar los ataques maliciosos en la pasarela vale la pena instalar cortafuegos y sistemas de detección y
prevención de intrusiones. Ya sean servidores de uso específico o dedicados, los sistemas Linux o similares a Linux a
menudo actúan como la primera línea de defensa de la red interna en el caso de instalaciones en la pasarela. Además
de definir los servicios disponibles y proporcionar la primera línea de defensa contra los ataques de hackers, también
puede instalarse un cortafuegos debidamente configurado para evitar que los programas maliciosos de autopropagación
(gusanos) se multipliquen a través de las conexiones de red. Por ejemplo, es posible proteger una red contra
"Lovesan.a" con sólo bloquear los puertos TCP 135 y 4444.

Sin embargo, un cortafuegos también puede servir para mitigar los daños. Si la red tiene clientes infectados, el bloqueo
de puertos específicos puede evitar que se realicen conexiones, evitando así la vulneración del sistema afectado. Para
minimizar los riesgos generales, se deben considerar varios escenarios al configurar el cortafuegos, y se deben definir
claramente los servicios y puertos autorizados. Aunque, los programadores hábiles han encontrado formas de burlar este
sencillo tipo de seguridad, filtrando paquetes mediante conexiones de túnel y servicios autorizados, como DNS y HTTP.
Es por esta razón que módulos inteligentes agregados, tales como los sistemas de detección y prevención de intrusiones
y los cortafuegos para aplicaciones son un valioso complemento para los cortafuegos clásicos.

¡Gracias, Proxy!
También es posible instalar un proxy en lugar de dejar que los empleados de una empresa accedan directamente a
Internet. Esto no sólo reduce el tráfico, sino que también aumenta la seguridad, puesto que una significativa cantidad de
programas maliciosos se diseminan a través de sitios Web maliciosos.

En instalaciones Linux/Unix, probablemente Squid es el proxy de mayor uso. También ofrece su propia interfaz dedicada:
“ICAP” o Protocolo de adaptación de contenidos en Internet (RFC 3507). Aquí, las peticiones de los usuarios se
procesan mediante RESPMOD (modificación de respuesta), que analiza los objetos solicitados por los servidores Web, y
REQMOD (modificación de la petición), que analiza los objetos enviados a los servidores Web. Proxys madre como
HAVP (http://www.server-side.de) suelen instalarse para analizar el tráfico HTTP y el tráfico nativo FTP.

Los llamados “proxys transparentes” también son muy comunes, por su facilidad de integración. Son flujos ascendentes
de la pasarela (cortafuegos o similar) conectados y no necesitan configuración del cliente (configuración de los
parámetros del navegador). Su instalación puede consistir en un servidor en modo puente, desde el cual un proxy
conmuta las peticiones al filtro de contenidos. El proxy, de forma alternativa, recibe peticiones HTTP que se han
redireccionado desde el cortafuegos como un servidor dedicado, y en pequeñas redes puede integrarse con el mismo
cortafuegos (TransProxy http://transproxy.sourceforge.net).

Por supuesto, los proxys tampoco pueden garantizar una completa protección. Incluso el mejor escáner antivirus es
incapaz de descifrar los archivos protegidos por contraseña, y las limitaciones de las tecnologías proxy también
sobresalen cuando se trata de conexiones VPN.

Protección del tráfico de correo

El tráfico de correo sigue siendo uno de los métodos principales utilizados para la propagación de los programas
maliciosos. Dependiendo del tamaño de la red (número de usuarios), se instala un sistema de pasarela de correo para el
flujo ascendente para, por ejemplo, Exchange, Lotus Domino o soluciones alternativas de software cooperativo
(groupware).

También suelen instalarse Linux o Unix (Solaris) o derivados (*BSD) con MTAs (Agentes de transferencia de correo),
como postfix, exi, qmail o sendmail. Estos ofrecen sus propias interfaces de filtros para escáneres antivirus y filtros
antispam. El método más común es el que se conoce como MTA dual. Esto significa que cada mensaje de correo se
entrega dos veces al MTA. Primero, se recibe un mensaje de correo desde el host remoto. Luego, se transmite al filtro de
contenidos para su verificación, y de ahí se lo devuelve al MTA. Sendmail también ofrece una interfaz API (Milter API).

Junto a estos sistemas de flujo ascendente, también se instalan las soluciones de filtros vinculados que consisten en
múltiples escáneres antivirus y filtros antispam (por ejemplo, 2-3 escáneres antivirus y 2 filtros antispam). La ventaja es
que el escáner también puede ejecutarse en un sistema dedicado, lo que claramente reduce la carga en la pasarela de
correo. De esta manera, también se pueden integrar con facilidad soluciones de amplia disponibilidad como un
agrupamiento de pasarela de correo (MTA) y un agrupamiento (cluster) de filtro de contenidos. Sin embargo, también
son de uso muy común los agrupamientos completamente integrados y las soluciones de amplia disponibilidad (MTA y
filtro en un solo sistema).

Los servidores de correo Internet también se benefician de los sistemas de filtros para flujos ascendentes gracias al
menor uso de recursos para el análisis y almacenamiento de programas maliciosos y mensajes spam. También se
necesitan menos recursos para el procesamiento en caso de un significativo volumen de tráfico de correo. Es por esto
que las pequeñas empresas deberían considerar la solución del servidor conmutador. Algunos fabricantes también
ofrecen soluciones integradas predeterminadas para simplificar su administración.

Protección de los servidores de ficheros

La información guardada electrónicamente sin duda constituye un activo importante para una compañía, ya sea que se
refiera a planes de producción, inventarios de almacenes, u otro tipo de datos. En particular, la información personal, o la
confidencial como listas de empleados, cuentas y CVs, a menudo se guardan en los servidores de archivos. Estos
depósitos centrales de la red siempre deben estar protegidos para evitar el robo o la manipulación de datos y el
espionaje.

Muchas redes presentan sistemas alternativos con servicios Samba en combinación con servidores Windows. En estos
casos, la integración sólo será posible mediante un módulo VFS (sistema virtual de archivos) que redireccione el tráfico
de datos a través del escáner antivirus. Esto permite ejecutar un análisis de datos al acceso (lectura y/o escritura).
Los módulos kernel (Linux, FreeBSD) también están disponibles para algunos sistemas alternativos. Estos módulos no
sólo protegen el propio servicio Samba, sino que también revisan todos los objetos en el sistema, y están disponibles
para NFS, FTP y servidores Web. La desventaja de esta solución es que debe verificarse la compatibilidad para el nuevo
kernel y el módulo tendrá que recompilarse para ajustarse a las actualizaciones del kernel.

Los servidores con plataformas alternativas son muy comunes. Desde AS/400 a Solaris, HP-US, IRIX y AIX, sólo por
citar algunos, estos sistemas ofrecen de todo, desde sistemas de archivos a sistemas de bases de datos, aplicaciones
especificadas por la industria y soporte para cuentas. En este caso, la dificultad en encontrar soluciones de seguridad
adecuadas reside no sólo en los sistemas operativos, sino también en las diversas arquitecturas del CPU (SPARC, PPC,
Itanium, Alpha, MIPS, PA-RISC, etc., además de Intel). Si no se encuentra disponible una solución para un determinado
sistema operativo, estos sistemas deberían permanecer aislados del resto de la red a fin de disminuir al máximo los
riesgos. Las opciones incluyen redes separadas con cortafuegos dedicados, restricciones de acceso, IDS o IPS.

Mosaico de clientes

Un 99 por ciento de las instalaciones cliente están formadas por equipos con plataformas Windows; sin embargo, las
estaciones de trabajo con sistemas operativos Linux, BSD y MAC OS X también necesitan protección, puesto que nunca
deben descartarse ataques maliciosos. Dispositivos como CD-ROMs y DVDs representan un vector de ataques, y los
disquetes y zip en algunos casos aún constituyen una amenaza. Los dispositivos USB flash y los discos duros externos
USB/Fire Wire tienden a pasar de un sistema a otro, dando a los programas maliciosos una oportunidad para
extenderse.

Además de las estaciones de trabajo y los ordenadores portátiles, el creciente número de smartphones y dispositivos
móviles que existen en la actualidad también necesitan estar protegidos. En las configuraciones estándar de redes, el
vector de ataque era uno: Internet. Hoy, los administradores de sistemas y los consultores de seguridad informática
tienen que considerar el tema de la seguridad de los nodos internos. Esta tarea se complica cada vez más por el hecho
de que el rango de plataformas continúa en expansión. Además de las diferentes versiones de Windows Mobile, también
son comunes sistemas como Symbian, Linux y los sistemas propietarios. La tarea de encontrar soluciones de seguridad
para estos sistemas es una tarea no sólo difícil, sino a veces imposible.

Conclusión

El uso de tecnologías alternativas ofrece algunas ventajas de seguridad, pero de ninguna manera la garantiza: por
ejemplo, mientras que el sistema para estaciones de trabajo Solaris puede ser considerado como no convencional, el
servidor puede ser un sistema estándar expuesto a ataques, como cualquier otro servidor.

Quienes se preocupan por la seguridad de su información deberían, en consecuencia, asegurarse de que sus equipos
estén protegidos, cualquiera que sea su sistema operativo. Lo ideal es que esto se logre mediante una combinación de
tecnologías que se complementen mutuamente. E incluso entonces, se han de tomar precauciones, dado que el uso de
aplicaciones Web se incrementa en detrimento de las aplicaciones instaladas en el equipo local. Un ejemplo típico son
los foros y sitios de debates, a menudo inseguros: se pueden inyectar códigos HTML para posibilitar los ataques tipo
cross-site scripting (inyección de códigos en páginas Web visitadas por otros usuarios) cualquiera que sea el sistema
operativo. En conclusión, el mensaje sigue siendo el mismo: ¡Ten cuidado, Tux, ten cuidado!

Fuente:
Kaspersky Lab