El Computer Emergency Ready Team avisó que la cantidad de ataques a ordenadores corriendo el sistema operativo del pingüino ha aumentado considerablemente. Aparentemente se comprometen los ordenadores con claves SSH robadas y luego se usa el sistema comprometido para conseguir más claves.
Si alguien alguna vez te dijo que Mac OS o Linux eran invulnerables te mintió descaradamente. La verdad es que (en general) son sistemas operativos más complicados de comprometer, a lo que ayuda su relativamente pequeña cantidad de usuarios. Pero no hay que olvidar que estos sistemas son los preferidos para algunas tareas, como ser el hospedaje de sitios Web. La noticia se supo por una advertencia realizada por el Computer Emergency Ready Team (CERT).
Aprovechándose de que estos sistemas se usan como cara visible de muchas redes, los ataques usarían certificados SSH robados. Este tipo de certificados, generalmente se usan para acceder a terminales remotas. Luego de comprometido el sistema se planta una suerte de troyano, llamado Phalanx2 que se usa para robar más certificados y enviarlos a los atacantes. De esta manera la historia se repite comprometiendo cada vez más sistemas.
El objetivo que tendrían los atacantes al hacer esto, suponemos, es comprometer muchos sistemas importantes. El objetivo solo podemos suponerlo, imaginamos que los sistemas y redes comprometidos se usarían para ataques o convertir los mismos en botnets para otros usos.
El error, a través del cual escalarían permisos una vez ganado acceso con las llaves SSH, sería uno relacionado al generador de números al azar de la distribución Debian. Las recomendaciones son las de siempre, asegurarse que los sistemas expuestos a Internet estén debidamente configurados y parcheados. Lo que también se puede hacer pero es tedioso es chequear las claves SSH y todos los procesos que usen las mismas de manera automatizada.
