Linux se ha ganado un buen nombre por ser lo suficientemente seguro y resistente a muchos malwares que existen. Algunos de los sistemas operativos populares basados en Linux son Ubuntu, Mint, Fedora, Redhat, Debian, Arch. Sin embargo, ninguno de estos sistemas operativos utiliza por defecto un protector antivirus adecuado. Entonces, este artículo toma esta creencia bajo escrutinio y ve si un sistema operativo basado en Linux realmente requiere un protector antivirus o no.
¿Qué es un sistema Linux?
Aunque en la cultura popular todos los sistemas operativos Linux están agrupados y considerados como uno solo, la realidad es Linux es solo un kernel , que es la base de muchos sistemas operativos que utilizan el kernel mencionado anteriormente. Algunos de los sistemas operativos populares basados en Linux, también conocidos como sabores, son Ubuntu, Mint, Fedora, Redhat, Debian, Arch. Cada uno tiene un propósito y tiene una gran comunidad fiel dedicada a su alrededor, también algunos sistemas operativos Linux como Ubuntu tienen varios tipos como Escritorio, Servidor para atender a ciertos grupos.
Dicho esto, independientemente del tipo, la versión de escritorio generalmente se adapta a los usuarios habituales y, por lo tanto, tiene una interfaz gráfica de usuario, mientras que el tipo de servidor está diseñado para atender al personal de TI que generalmente domina los comandos de shell; por lo tanto, por defecto, carecen de una interfaz gráfica de usuario.
Estructura del sistema operativo Linux
Cualquier sistema operativo Linux, independientemente de su versión, tiene varias cuentas de usuario. De forma predeterminada, el usuario supremo en Linux es raíz , que no se recomienda su uso para fines generales debido a los riesgos asociados con él y, por lo tanto, cuando se instala el sistema operativo, solicita la creación de una nueva cuenta de usuario con privilegios limitados. Estos privilegios limitan la jurisdicción de la cuenta de usuario en particular; por lo tanto, es menos probable que todo el sistema se vea afectado en caso de que la seguridad del sistema operativo se vea comprometida.
Todos los procesos se ejecutan de forma predeterminada bajo la cuenta de usuario actualmente conectada en lugar de como usuario root. Todos los usuarios reciben una carpeta separada en la ubicación base del sistema de archivos, que se conoce como Inicio, y si se viola la cuenta de usuario que ha iniciado sesión actualmente, solo esta carpeta se verá afectada.
Malware y tipos
Un protector antivirus típico proporciona protección no solo contra virus, sino también contra gama de malwares existiendo por ahí. Algunos de los tipos de malware populares son adware, spyware, virus, gusanos, troyanos, rootkit, puertas traseras, registradores de claves, ransomware, secuestradores del navegador. Dicho esto, el público en general a menudo se refiere a todos estos programas maliciosos como virus, aunque un Virus de computadora es un fragmento de código adjunto a una aplicación independiente y se ejecuta cuando se ejecuta su host. Linux parece inmune a ciertos tipos de malware, pero no significa necesariamente que sea inmune a los ataques de todos los tipos de malware, por ejemplo, un software espía sirve para espiar a los usuarios. Dado que es bastante fácil ejecutar cualquier aplicación a nivel de usuario, un software espía puede penetrar fácilmente en el sistema y seguir espiando al usuario, lo mismo ocurre con el adware, gusanos, troyanos, puertas traseras, registradores de claves y también ransomware. Entonces, esta idea errónea de no tener amenazas en Linux es obviamente una falacia. El riesgo sigue ahí, pero es mucho menor en comparación con la familia de sistemas operativos Windows.
¿Qué hace un Antivirus Guard?
Guardia antivirus Las aplicaciones realizan varias acciones, desde escanear archivos hasta poner en cuarentena las amenazas encontradas. Por lo general, cualquier guardia antivirus mantiene una base de datos que consta de firmas de los virus conocidos . Cuando el antivirus escanea un archivo en busca de amenazas, aplica un hash al archivo y lo compara con los valores existentes en su base de datos; si ambos coinciden, el archivo se pone en cuarentena. Esta base de datos de firmas a menudo se actualiza de forma predeterminada a menos que se desactive manualmente para brindar una protección constante.
¿Por qué Linux necesita un protector antivirus?
Algunos sistemas constan de retransmisión de correo, servidor web, demonio SSH o servidor ftp, que es muy probable que requieran más protección que un sistema operativo de escritorio promedio que difícilmente es compartido por varias personas. Existen otros sistemas de servidor más allá del firewall para los cálculos y pocas personas acceden a ellos, o cambian a nuevas aplicaciones y tienen un riesgo bajo de infectarse.
En versiones populares de Linux como Mint y Ubuntu, hay un paquete incorporado que está conectado con el repositorio de software oficial desde donde se pueden descargar las aplicaciones para instalar. Desde esto repositorio está bajo el escrutinio de miles de voluntarios y desarrolladores, es menos probable que contenga software malicioso.
Sin embargo, existe un riesgo si el software se descarga a través de una fuente diferente, por ejemplo, además de descargar el software a través del repositorio oficial, muchas distribuciones de Linux permiten a los usuarios descargar software a través de varios PPA (archivos de paquetes personales), Si un software se descarga a través de una fuente de este tipo, y si contiene algún contenido dañino, existe el riesgo de que la computadora se vea comprometida dependiendo de cómo esté codificado el malware y para qué propósito esté diseñado. Por lo tanto, si se utilizan con frecuencia PPA de terceros, es una buena decisión instalar un protector antivirus para mantener el sistema seguro.
Un protector antivirus gratuito popular para proteger un sistema Linux es Comodo Antivirus para Linux . No solo protege el sistema de archivos, sino también la puerta de enlace de correo de accesos no autorizados. Esto está diseñado específicamente para usuarios de escritorio habituales para mantener el sistema seguro y protegido.
Como se indicó anteriormente, aunque un malware no puede obtener acceso completo a todo el sistema operativo, aún puede obtener acceso a nivel de usuario. Tener acceso a nivel de usuario sigue siendo peligroso, por ejemplo, usar este comando rm -rf $ INICIO puede borrar por completo el directorio de inicio del usuario y hacer que su día sea miserable. Si no hubiera una copia de seguridad del directorio de inicio, el daño puede ser tremendo. Además, hoy en día una amenaza generalizada popular es Secuestro de datos , que cifra todo el disco duro y exige un pago mediante bitcoins para poder descifrar los archivos. En tales casos, aunque no pueda penetrar en el sistema, aún puede cifrar el directorio de inicio y dejar al usuario completamente indefenso. El directorio de inicio almacena imágenes, documentos, música, videos, y cifrar estas carpetas significa una gran pérdida para el usuario. Dado que los delincuentes a menudo exigen un gran pago a las víctimas, a menos que el usuario sea rico, es muy poco probable que se desbloqueen los archivos. Por lo tanto, es mejor instalar un protector antivirus para mantener el sistema seguro que ser víctima de un delincuente menor.
Otras amenazas para los sistemas Linux de escritorio son los secuestradores de navegadores, adware . Estas aplicaciones a menudo se instalan a través del navegador web, por lo que incluso si el sistema operativo es seguro, el navegador web es vulnerable a tales amenazas. Esto lleva al contraseñas que se filtrarán y anuncios constantes que aparecen aleatoriamente en sitios web. Por eso es importante que el navegador web utilice un contraseña maestra para asegurar las contraseñas escritas a través de él. La siguiente captura de pantalla demuestra la opción para administrar las contraseñas ingresadas a través de Google Chrome. Cuando no hay una contraseña maestra para proteger estas contraseñas, una extensión / complemento malicioso instalado en el navegador puede extraerlas fácilmente. Esto es más peligroso en Firefox que en Chrome, ya que Firefox no tiene una contraseña maestra por defecto, Chrome, por otro lado, solicita escribir la contraseña de la cuenta de usuario del sistema operativo para poder mostrarlas.
Además, los servidores Linux requieren una mejor protección para mantener seguros sus principales servicios. Algunos de estos servicios son retransmisión de correo, servidor web, demonio SSH, servidor ftp. Dado que un servidor utiliza tantos servicios que interactúan con el público, el resultado puede ser catastrófico.
Un buen ejemplo de esto es un servidor público que aloja software de Windows se infecta con un malware y difunde contenidos dañinos a varias computadoras . Dado que el malware está escrito para computadoras con Windows, el servidor Linux no sufre ningún daño, pero ayuda a dañar las computadoras con Windows de forma inadvertida. Esto daña gravemente la reputación de la empresa que aloja el software.
Asimismo, otros servicios también necesitan algún tipo de salvaguarda. Los retransmisores de correo a menudo son penetrados por malware para difundir spam a través de Internet. Una buena solución para este problema es utilizando un relé de correo de terceros en lugar de mantener uno interno. Algunos de los retransmisores de correo más populares son Mailgun, SendPluse, MailJet, Pepipost. Estos servicios brindan una mejor protección contra el correo no deseado y la propagación de malware a través de retransmisiones de correo.
Otro servicio que es susceptible a ataques es el Demonio SSH . Demonio SSH se utiliza para conectarse a un servidor a través de una red no segura y se puede utilizar para obtener acceso completo a todo el servidor, incluida la raíz. La siguiente captura de pantalla muestra un ataque al demonio SSH a través de Internet procedente de un pirata informático.
Este tipo de ataques son bastante frecuentes en los servidores públicos y, por lo tanto, es extremadamente importante proteger el servidor de este tipo de ataques. El propósito de las solicitudes no autorizadas al demonio SSH es obtener acceso al servidor para propagar malware, usarlo como un nodo para lanzar un ataque DDOS contra un servidor diferente o propagar contenido ilegal.
Para proteger el demonio SSH LCR (Servidor de seguridad configurado) se puede instalar junto con LFD (demonio de error de inicio de sesión). Esto limita la cantidad de intentos para el demonio SSH, una vez que el límite termina, el remitente se coloca en la lista negra de forma permanente y su información se envía al administrador del servidor si está configurado correctamente.
Además, CSF rastrea las modificaciones de los archivos e informa al administrador como se ve en la siguiente captura de pantalla. Esto es bastante útil si un paquete instalado a través de un PPA de terceros es sospechoso. Luego, si el paquete se actualiza por sí mismo o si cambia algún archivo sin el permiso del usuario, CSF notifica automáticamente al administrador del servidor sobre los cambios.
Los siguientes comandos de shell instalan CSF junto con LFD en Ubuntu / Debian Systems.
|_+_|Otra gran amenaza para las versiones de servidor y de escritorio es desbloquear los puertos internamente. O un troyano o una puerta trasera realiza estas operaciones. Con un firewall adecuado, los puertos se pueden abrir y cerrar, por lo que si de alguna manera se instala una puerta trasera en el sistema, los puertos cerrados se pueden abrir internamente para hacer que el servidor sea vulnerable a ataques externos.
¿Por qué Linux no necesita un protector antivirus?
Linux no necesita necesariamente un protector antivirus si se mantiene correctamente y el software se descarga a través de canales seguros. Muchas versiones populares de Linux, como Mint y Ubuntu, tienen sus propios repositorios. Estos repositorios están bajo un estricto escrutinio y, por lo tanto, es menos probable que exista un malware en los paquetes descargados a través de ellos.
También Ubuntu por defecto tiene AppArmor que limita las acciones del software para asegurarse de que solo se realicen lo que se les asignó. Otro módulo de seguridad de nivel de kernel popular es SELinux que hace el mismo trabajo pero en un nivel mucho más bajo.
Linux no es popular entre los usuarios habituales, y los usuarios habituales suelen ser el objetivo del malware debido a que son más fáciles de manipular y engañar. Por lo tanto, los creadores de malware se ven obligados a migrar a la plataforma Windows en lugar de perder el tiempo en Linux, que tiene una demografía más baja que se puede engañar. Entonces, esto hace que Linux tenga un entorno seguro, por lo que, incluso si se utilizan canales no seguros para descargar software, la posibilidad de tener un malware es mínima o baja.
Conclusión
La seguridad es importante para cualquier sistema informático; esto es lo mismo para Linux. Aunque la creencia popular es que Linux está completamente a salvo de los ataques de malware, la cantidad de escenarios señalados anteriormente demuestra lo contrario. El riesgo aumenta cuando la computadora se comparte entre varias personas o si es un servidor al que el público puede acceder a través de Internet. Por eso, es importante tomar las precauciones de seguridad adecuadas para evitar incidentes catastróficos. Esto incluye instalar un protector antivirus adecuado, un firewall, usar una contraseña maestra para el navegador para asegurar las contraseñas ingresadas a través de él, usar un módulo de nivel de kernel para limitar las acciones de las aplicaciones si la seguridad es muy importante, descargar software solo a través de canales confiables y seguros como repositorios oficiales en lugar de descargarlos a través de canales no seguros o de terceros, manteniendo el sistema operativo actualizado y siempre prestando atención a las últimas noticias y tendencias publicadas en varias redes de noticias de Linux. Entonces, en pocas palabras, Linux no necesita una protección antivirus, pero es mejor tener una protección antivirus para asegurarse de que la seguridad no se vea comprometida.