Cómo proteger aún más mi Linux frente a WannaCry

WannaCry, pantalla de bloqueo

En los últimos días las noticias sobre WannaCry, el “famoso virus de Telefónica”, están copando las webs tecnológicas más importantes a nivel mundial. Y es que Windows, lo queramos o no, sigue estando entre nosotros. Hace tiempo os contamos qué hubiera pasado si Telefónica hubiera utilizado Linux en lugar de Windows.

Hoy, de poco sentido tiene eso, pero si que podemos mirar y cambiar cosas para que WannaCry no afecte a nuestras redes personales o al menos no seamos un transmisor del ransomware.

WannaCry no puede ejecutarse en Gnu/Linux pero si puede propagarse

Cualquier distribución de Gnu/Linux es inmune a WannaCry (al menor por el momento), puesto que no puede ejecutarse, pero puede ser un elemento que contagie a otros equipos con Windows a través de una misma red. Para evitar esto, la primera recomendación es cortar toda conexión con redes con Windows. Actualmente, gracias al cloud, existen muchas maneras de conectar equipos y archivos sin tener que estar en la misma red. Una buena herramienta para ello sería TeamViewer o cualquier otra aplicación de Escritorio remoto.

En esencia hay que bloquear Samba, pues a través del protocolo que utiliza este programa es por donde WannaCry actúa y se comunica. Para detener el servicio de Samba, el cual lo podemos hacer escribiendo lo siguiente en la terminal:

service samba stop

Con esto podemos parar el contagio entre ordenadores de una misma red y si somos administradores de sistema o utilizamos un servidor, lo mejor es aislar los equipos con Windows de la red.

Esto no significa que no puedan funcionar sino que la comunicación de ellos con el resto de equipos con Linux será diferente, o bien a través del cloud con aplicaciones como Dropbox o NextCloud, o bien de manera remota o bien a través del navegador web. El resultado es el mismo pero más lento y más seguro.


19 comentarios

  1.   Jousseph dijo

    Yo desarrolle un programa que cifra archivos en Gnu/Linux llamado cripto-((jou)) claro no para extorsionar sino mas bien para la seguridad de los mismos, esta desarrollado bajo Gambas Linux.

    Este programa manipula el programa escrito en c llamado GPG que encripta los archivos por consola en formato gpg con contraseña y en cifrado aes.

    1.    Pues mira que bien dijo

      ¿Y que diferencias posee sobre gpg, encfs, luks, cryptkeeper, etc? GNU/Linux tiene muchos programas para cifrar archivos.

  2.   Y dale dijo

    A ver si te lo explico para que lo entiendas… EN LINUX NO TIENES QUE HACER NADA YA QUE EL EJECUTABLE DEL RAMSONWARE NO SE EJECUTA EN LINUX. NO SE PUEDE EJECUTAR, NO LO PUEDE PROPAGAR. ¿COMO VA A PROPAGAR UN VIRUS LINUX POR SAMBA SI NO SE ACTIVA EN LINUX?. A menos que cojas el ejecutable y lo copies manualmente a una carpeta de un sistema windows a trevés de la red y lo ejecutes desde alli a propósito no hay otra forma de pasarlo de linux a windows. El codigo del virus al ser incompatible con linux no se activa automaticamente. En todo caso lo que tienes que hacer es evitar que los windows de la red se lo pasen unos a otros. DESCONECTAR DE LA RED A LOS WINDOWS, LEÑE.

    1.    Sergio Perea dijo

      Si y no. Entiendo que si tienes Samba activado , es porque tienes carpetas compartidas entre varios PCS, de modo que esas carpetas compartidas, pese a estar en Linux, si pueden servir para que el virus se propague por los ordenadores Windows que acceden a ellas.

      De todos modos, la solución planteada en el artículo es una barbaridad, al menos si lo planteas como método de prevención. ¿dejar de compartir ficheros en una empresa? ¿y ya está? ¿eso es loq ue propones? Hombre, un poco obvio, hay cosas menos agresivas como forzar a que el servicio SAMBA utilice el protocolo SMB2 y deshabilitar SMB1 que era el que contenía la vulnerabilidad:

      min protocol = SMB2 en smb.conf

      1.    Lo que tú quieras dijo

        Compruébalo.

        1.    SergioP. dijo

          claro que lo he hecho, si te lo montas en una máquina virtual no vas a hacer explotar tu casa, hombre. xDD

      2.    Empiezo a sentir miedo dijo

        Yo entiendo que si tienes carpetas compartidas en Linux estás usando Linux como servidor Samba. Tambien entiendo que si los archivos contenidos en esas carpetas compartidas se ejecutan si accedes desde windows es porque le tienes atribuidos permisos totales a los usuarios que acceden a ellas. Osea que le has dado permisos totales a los usuarios, incluidos invitados, que accedan a esas carpetas desde la red… permisos de lectura, escritura, … ejecución… caramba… seguramente hasta sin pedir contraseña. ¿Trabajas en Telefónica?. Pones una puerta de seguridad, repartes las llaves a tus vecinos y además les avisas cuando vas a estar en casa y cuando no. Curioso. Me consuela pensar que podría ser peor.

        1.    Sergio Perea dijo

          “¿Trabajas en Telefónica?”

          No trabajo en Telefónica, y no se por qué sacas esa conclusión, porque en mi comentario no he defendido ni he hecho publicidad a Telefónica o al menos no ha sido mi intención. En mi vida he trabajado en muchas empresas de informática, y es difícil no acabar en algún proyecto que tenga que ver con esa empresa, pero al menos hoy y desde hace muchos años ni siquiera tengo remotamente nada que ver con telefónica y menos con temas de seguridad.

          Vamos a ver, porque creo que mezclas algunos conceptos: el ataque del otro día, en realidad es la combinación de dos cosas:

          1. Un ramsonware. Esto es, un ejecutable que cuando ejecutas te cifra todos los documentos. Así, explicado de forma gruesa.
          2. Un gusano: esto es, básicamente un programa que propaga el ramsonware por la red sin que el usuario haga nada ni se de cuenta. Para ello utiliza una vulnerabilidad en el protocolo SMB1, el que utilizaban los antiguos Windows XP y el que se sigue utilizando en muchas redes en las que no se ha actualizado o securizado la red.

          Efectivamente, si tienes unidades de red montadas con carpetas compartidas, el ramsonware puede cifrarte los documentos.

          “Tambien entiendo que si los archivos contenidos en esas carpetas compartidas se ejecutan si accedes desde windows es porque le tienes atribuidos permisos totales a los usuarios que acceden a ellas.” . Supones mucho, no hay por qué hacer eso. Eso , de hecho está mal hecho. Lamentablemente es bastante frecuente.

          En cualquier caso, lo que de verdad generó alarma e hizo que la gente de varias empresas se fuera a casa no es el hecho de que un ramsonware cifrase algunas carpetas compartidas, sino el hecho de que el gusano se propagase por la red libremente a todos los ordenadores usando una vulnerabildiad de Windows, no de Linux, ni siquiera de Samba: de Windows. Como he dicho, la solución no es cargarse el servicio de Samba, eso es una burrada. Que el artículo proponga apagar todos los ordenadores y volver a la Edad Media, ya verás como se acaba con el WannaCry (ironía).

  3.   Tank dijo

    Total desconocimiento del autor de este artículo. No solo que la implementación de smb de Linux no es vulnerable, sino que el problema de los Windows es que ingresa el virus por smb, pero para propagarse debe ejecutarse. No sirve hacer artículos de esta forma.

  4.   swift dijo

    Ya, ¿y si no tienes más remedio que usar SMB para compartir ficheros? ¿qué haces?

  5.   Joselp dijo

    Si no se puede ejecutar, como se va a propagar????

  6.   Windows Adictos dijo

    Un par de cosas o consejos. Los comandos para iniciar servicios varian dependiendo de las distribuciones que uses. Si quieres parar samba en Arch el comando sería “/etc/rc.d/samba stop”, en debian “/etc/init.d/samba stop” y en devuan al no usar systemd pues será otro… pero bueno, esto es lo de menos. Como te veo algo perdido y ardiendo en deseos de que wannacry saque su versión 1.0 para gnu/linux, en paquetes deb o rpm, y la espera de que este disponible en los repositorios no está de más que para luchar contra WannaCry y poner a salvo tus archivos hagas copias de seguridad, ACTUALICES WINDOWS Y DEJES EN PAZ A LINUX. Sin acritud.

  7.   sergio dijo

    Supongamos que corre un ramsoware en una máquina con windows, encuentra una carpeta compartida mediante smb de una pc con GNU/Linux, luego entra otra pc con windows a la misma carpeta y se propaga sin afectar a nadie más que al engendro de Microsoft.

  8.   Elvis dijo

    Ya en el artículo anterior se dijeron una sarta de imprecisiones, serían buenas dos cosas, que el que escribe estos artículos se informe más porque parecen escritos a base de conclusiones que él mismo imaginó y segundo, sería bueno también que si tanto cree en lo que dice nos haga una demostración a todos y nos cierre el hocico.
    Ya se explicó la incompatibilidad de Linux y WannaCry pero no entiende.
    Saludos

  9.   jose_6_2 dijo

    La explicación a esta sarta de despropósitos está en el perfil del autor. Historiador. Es decir, cuenta historias, no artículos técnicos. Meter un CD y dar siguiente – siguiente para instalar distros de linux, no da los conocimientos mínimamente necesarios.

  10.   tobeornot dijo

    ¿Ninguno de los que habéis criticado se le ha ocurrido la posibilidad de que Linux esté corriendo WINE?

    Wannacry afecta a WINE 100% comprobado.

    1.    Y si mi abuela tuviese ruedas sería una bicicleta dijo

      ¿Y has probado con dispararle con una recortada directamente en la CPU? 100% comprado de que funciona.

      1.    tobeornot dijo

        no es nada descabellado que linux tenga corriendo wine, por lo que existe la posibilidad de que al final los archivos manejados por linux se infecten y además se propague igualmente por red.

  11.   Husein Mx dijo

    En verdad no creo en lo que se menciona en este artículo ya que el ransomware se ejecutaba por una vulnerabilidad de Windows que tenía el servicio SMBv1 por lo cual con un parche que corrige esto, sin deshabilitar samba. Se que Linux es mejor opción saludos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *