Ayer se extendía la noticia del descubrimiento de una botnet Linux con capacidad para lanzar ataques de denegación de servicio de hasta 150Gbps. Se apuntaba el método de infección de las máquinas y una supuesta razón del porqué de este suceso: «al igual que el número de entornos Linux crece, las potenciales oportunidades y recompensas para los criminales también crecen«.
Para quien no esté puesto en estas historias, una botnet es como su nombre indica una red de bots, es decir, una red de ordenadores infectados y controlados de manera remota que en su variante ilegal se traduce en un ejército de zombis con el que ejecutar diferentes actividades perniciosas: por ejemplo, lanzar los mencionados ataques DDoS para tumbar sitios web. En este caso sería el troyano XOR.DDoS el encargado de infectar los sistemas Linux a través de dispositivos embebidos como routers mediante ataques de fuerza bruta contra las credenciales SSH.
Así las cosas, la noticia ha variado según el medio que la publicó desde «se ha descubierto una botnet Linux» a «Linux también es vulnerable, fear the walking dead…», etc. Y no. No, no, no. Razones de por qué no:
Primero, no existe software invulnerable. El cien por cien de seguridad no existe en ningún caso, dicho lo cual la explicación de que conforme Linux crece las amenazas lo hacen exponencialmente es una patraña. La presunción es cierta, pero este ataque se ceba casi en exclusiva con servidores mal administrados. Por lo tanto, se podía haber producido hace mucho, ya que Linux en servidores hace mucho que triunfa.
Segundo, el usuario corriente de Linux no está en peligro, siempre que no toque lo que no debe. Dustin Kirkland de Canonical da parte de los pormenores y no solo Ubuntu y todas sus derivadas están a salvo por su configuración por defecto, las principales distribuciones -y por consiguiente, sus derivadas- también lo están. Los consejos avanzados que ofrece son de obligada aplicación.
Tercero, hablamos de un troyano, XOR.DDoS, que es conocido y neutralizado por un antivirus como ClamAV. Si al alguien le apatece probarlo, solo tiene que instalarlo desde los repositorios y:
Actualizar la base de datos (como superusuario):
freshclam
Y realizar un análisis (también como superusuario):
clamscan -r /
Atención, porque el anterior comando analizará recursivamente todo el disco duro y tardará lo suyo.
Y eso es todo. Vale la pena repetir que no hay software invulnerable y que los fallos humanos tampoco van a desaparecer. Pero hasta ahí. Al menos, en este caso.