• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Creacion de un virus en Linux CentOS
 

Creacion de un virus en Linux CentOS

on

  • 624 views

Mediante la detencion del demonio Haldaemon en los runlevels, se inabilitara el acceso al SO

Mediante la detencion del demonio Haldaemon en los runlevels, se inabilitara el acceso al SO

Statistics

Views

Total Views
624
Views on SlideShare
624
Embed Views
0

Actions

Likes
0
Downloads
15
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Creacion de un virus en Linux CentOS Creacion de un virus en Linux CentOS Document Transcript

    • Proyecto de Investigación  Bowen Reyes Mónica Andreina  Sornoza Vásquez Carlos Javier  Ing. Elvis Cárdenas  Seguridad InformáticaSeguridad Informática 1
    • Proyecto de Investigación UNIVERSIDAD TÉCNICA DE MANABÍMISIÓNFormar académicos, científicos y profesionales responsables, humanistas,éticos y solidarios, comprometidos con los objetivos del desarrollonacional, que contribuyan a la solución de los problemas del país comouniversidad de docencia con investigación, capaces de generar y aplicarnuevos conocimientos, fomentando la promoción y difusión de lossaberes y las culturas, previstos en la Constitución de la República delEcuador.VISIÓNSer institución universitaria, líder y referente de la educación superior enel Ecuador, promoviendo la creación, desarrollo, transmisión y difusiónde la ciencia, la técnica y la cultura, con reconocimiento social yproyección regional y mundial.Seguridad Informática 2
    • Proyecto de Investigación FACULTAD DE CIENCIAS INFORMÁTICASMISIÓNSer una unidad con alto prestigio académico, con eficiencia,transparencia y calidad en la educación, organizada en sus actividades,protagonistas del progreso regional y nacional.VISIÓNFormar profesionales eficientes e innovadores en el campo de las cienciasinformáticas, que con honestidad, equidad y solidaridad, den respuestasa las necesidades de la sociedad elevando su nivel de vida.Seguridad Informática 3
    • Proyecto de Investigación TEMA:Comandos y codificadores de CentOS para creación virus para ladetención del demonio Haldaemon y su consecuencia al sistemaoperativo.Seguridad Informática 4
    • Proyecto de Investigación INTRODUCCIÓNComo bien se ha escuchado mencionar, los malware o comúnmentellamados virus informáticos tienen como objetivo inestabilizar elfuncionamiento normal de un computador, sin que el propietario hayaotorgado el permiso o tenga el conocimiento de su ejecución.Se los pueden contraer de diversas maneras, comúnmente por infeccióna través de dispositivos de almacenamiento, empotrados en otrosarchivos invisibles a primera vista, y a través del internet.Habitualmente, se alojan en directorios donde se encuentren los archivosdel sistema, muchas veces tienen nombres similares a los archivosnecesarios para el arranque del sistema, lo que hace que el usuario nolos identifique tan fácil.Comúnmente los virus están diseñados para el sistema de archivos con elque se maneja Windows y no para los GNU/Linux ya que en este ultimono existen los ficheros ejecutables (.exe) por lo que es imposible que unvirus se te ejecute sin consentimiento del usuario. Se necesita indicarloexpresamente para ejecutar un archivo de comandos.La realidad indica que actualmente existe muy pocos VXers (escritores devirus) trabajando en el otros sistemas operativos como Linux, UNIX, BSD yMAC OS, pero en todos ellos existen códigos dañinos que explotanciertas características y facilitando una probable infección.Pero, actualmente el malware busca rédito económico y es lógico quese ataquen los sistemas más distribuidos por lo que no sería erradopensar que la situación de “sólo infectar Microsoft” puede mantenerse untiempo más, pero que las organizaciones delictivas no dudarán encambiar sus objetivos al variar el mercado.Seguridad Informática 5
    • Proyecto de Investigación JUSTIFICACIONEl presente trabajo investigativo tiene como finalidad irrumpir el mito deque “solo existen virus para Windows”, cuando la realidad es otra, ya quese puede simular a los archivos ejecutables y ocasionar un desequilibrioen la funcionalidad del sistema operativo.Como segunda finalidad dar a conocer a quien le interese, de quémanera vulnerar la estabilidad de un sistema operativo variante de Linux,como lo es CentOS, simplemente con detener el inicio de uno de susdemonios.Nosotros como estudiantes de la Facultad de Ciencias Informáticas de laUniversidad Técnica de Manabí, hemos planteado realizar este procesode investigación contando con la motivación, interés, tiempo, recursos,bibliografía, web grafía pertinente y con el Software indicado pararealizar prácticas y para tener dicha información como una referencia,para luego dar a conocer todo lo relacionado a los virus en Linux.Siendo este un nuevo tema de investigación es de aporte potencialintelectual para la educación y es una forma de contribuir con launiversidad y sobre todo en el área de la informática.Seguridad Informática 6
    • Proyecto de Investigación OBJETIVOSOBJETIVO GENERAL Determinar los comandos y codificadores de CentOS para creación virus para la detención del demonio Haldaemon.OBJETIVOS ESPECIFICOS  Usar el programador de tareas Crontab para indicar la ejecución del virus  Elaborar un antivirus que resuelva el problema ocasionado por la ejecución del virusSeguridad Informática 7
    • Proyecto de Investigación MARCO TEORICOUn virus es simplemente un programa, elaborado accidental ointencionadamente para instalarse en la computadora de un usuario sinel conocimiento o el permiso de éste. Se puede decir que es unasecuencia de instrucciones y rutinas creadas con el único objetivo dealterar el correcto funcionamiento del sistema y, en la inmensa mayoríade los casos, corromper o destruir parte o la totalidad de los datosalmacenados en el disco.Todos estos programas tienen en común la creación de efectosperjudiciales; sin embargo, no todos pueden ser considerados comovirus propiamente dichos. Además que es un programa parásito porqueel programa ataca a los archivos o sector de booteo o arranque y sereproduce a sí mismo para continuar su esparcimiento.Algunos se limitan solamente a multiplicarse, mientras que otros puedenproducir serios daños que pueden afectar a los sistemas. Nunca se puedeasumir que un virus es inofensivo y dejarlo flotando en el sistema.Existen ciertas semejanzas entre los virus biológicos y los informáticos.Mientras los primeros son agentes externos que invaden células paraalterar su información genética y reproducirse, los segundos sonprogramas-rutinas, en un sentido más estricto, capaces de infectararchivos de computadoras.Reproduciéndose una y otra vez cuando se accede a dichos archivos,dañando la información existente en la memoria o alguno de losdispositivos de almacenamiento del ordenador.También tienen diferentes finalidades. Algunos sólo infectan, otrosalteran datos, otros los eliminan y algunos sólo muestran mensajes. Peroel fin de todos ellos es el mismo: Propagarse. Es importante destacar queSeguridad Informática 8
    • Proyecto de Investigaciónel potencial de daño de un virus informático no depende de sucomplejidad sino del entorno donde actúa.Dentro del mundo de los virus hay que diferenciar algunos términos,como podrían ser:Caballo de Troya o CamaleonesEstos son comúnmente conocidos como Troyanos, son programas quepermanecen en el ordenador infectado para dejar una puerta traseraabierta para quien quiera entrar por ella (normalmente es quien infectadicho ordenador), estos programas lo que hacen es conseguir ciertainformación como por ejemplo, password, archivos importantes...etc.La diferencia entre un troyano (Caballo de Troya) y los Camaleones sonque los troyanos poseen el código maligno en el programa benigno, ysin embargo, los camaleones crean un nuevo programa y añaden elcódigo maligno.Spywares y adwareEstos son programas que se instalan en su computadora, generalmentesin su conocimiento, y „observan‟ o controlan el uso de la misma. Elprograma puede abrir ventanas de publicidad, redireccionar su pedidohacia un sitio Web no solicitado cuando está navegando en Internet,controlar su actividad mientras navega o grabar las pulsaciones sobre elteclado mientras está en línea.Backdoor (puerta trasera)Es un programa de administración remota, es decir que administra yopera la pc a distancia de la misma forma que lo haría cualquier personafrente a su computadora. Este programa se implanta en el ordenadorvíctima y abre una puerta trasera para que el delincuente pueda teneracceso remoto al mismo. El backdoor es desarrollado por unSeguridad Informática 9
    • Proyecto de Investigaciónprogramador y normalmente el código sólo es conocido por dichoprogramador. Un backdoor es un riesgo potencial para la seguridad delun equipo, un programa o un servicio en línea.Gusano o WormLos gusanos o Worm son de los más frecuentes en la actualidad; notienen como misión hacer daño a los ordenadores infectados (aunqueexisten excepciones), sino que tienen como misión reproducirserápidamente y colapsar el ancho de Banda o Sistema propagándose enredes corporativas o pequeñas. Su Capacidad de Propagación losconvierte en amenazas frecuentes sobre todo a los usuarios deAplicaciones Peer to Peer como el Kazaa, Morpheus, etc. o los Chats deIRC (Internet Relay Chat).HoaxLos hoax (mistificación, broma o engaño), son mensajes con falsasadvertencias de virus, o de cualquier otro tipo de alerta o de cadena(incluso solidaria, o que involucra a nuestra propia salud), o de algún tipode denuncia, distribuida por correo electrónico.Su común denominador, es pedirle los distribuya "a la mayor cantidadposible de conocidos". Jamás reenvíe un mensaje de este tipo que lleguea su casilla.Esta clase de alarmas, suelen ser TOTALMENTE FALSAS, o basadas enhechos erróneos, pero lo que es peor activan un tipo de "contaminación"muy diferente, propagar cientos y hasta miles de mensajes deadvertencia sobre los mismos. Y aún en el caso de denuncias basadas enhecho reales, esta forma de hacerlo desvirtúa totalmente su verdaderoobjetivo.Seguridad Informática 10
    • Proyecto de InvestigaciónJoke ProgramSuelen ser programas que tienen como misión destruir datos.Bombas Lógicas o de TiempoSon programas que se activan dependiendo de una condición, estacondición suele ser una fecha, una combinación de teclas u otrascondiciones. Hasta que no se produzca esa condición por el usuario, elprograma permanecerá en el ordenador infectado pero estará inactivo,esperando esa condición. Cuando es una condición de tipo fecha se lesuele llamar Bomba de tiempo.Retro VirusEste término de virus afecta a los antivirus, lo que hace es buscaragujeros de seguridad (bugs) dentro del antivirus y normalmente lo quehace es destruirlo.Seguridad Informática 11
    • Proyecto de InvestigaciónServicio Cron de LinuxEl nombre cron viene del griego chronos que significa “tiempo”. En elsistema operativo Unix, cron es un administrador regular de procesos ensegundo plano (demonio) que ejecuta procesos o guiones a intervalosregulares (por ejemplo, cada minuto, día, semana o mes). Cron se podríadefinir como el “equivalente” a Tareas Programadas de Windows.El demonio cron inicia de /etc/rc.d/ o /etc/init.d dependiendo de ladistribución. Cron se ejecuta en el background, revisa cada minuto latabla de tareas crontab /etc/crontab o en /var/spool/cron en búsquedade tareas que se deban cumplir. Como usuario podemos agregarcomandos o scripts con tareas a cron para automatizar algunosprocesos. Esto es útil por ejemplo para automatizar la actualización de unsistema o un buen sistema de respaldosLos procesos que deben ejecutarse y la hora en la que deben hacerlo seespecifican en el fichero Crontab, un simple archivo de texto que guardauna lista de comandos a ejecutar en un tiempo especificado por elusuario. Crontab verificara la fecha y hora en que se debe ejecutar elscript o el comando, los permisos de ejecución y lo realizara en elbackground. Cada usuario puede tener su propio archivo crontab, dehecho el /etc/crontab se asume que es el archivo crontab del usuarioroot, cuando los usuarios normales (e incluso root) desean generar supropio archivo de crontab, entonces utilizaremos el comando crontab. Esla manera más sencilla de administrar tareas de cron en sistemasmultiusuario, ya sea como simple usuario de sistema o usuario root.Al ejecutar la edición del crontab con crontab -e, en algunasdistribuciones (como ubuntu) da la opción de elegir el editor de textosque se desee,, el archivo crontab lucirá algo así.Seguridad Informática 12
    • Proyecto de Investigación # m h dom mon dow user commandDónde: - “m” corresponde al minuto en que se va a ejecutar el script, el valor va de 0 a 59 - “h” la hora exacta, se maneja el formato de 24 horas, los valores van de 0 a 23, siendo 0 las 12:00 de la medianoche. - “dom” Hace referencia al día del mes, por ejemplo se puede especificar 15 si se quiere ejecutar cada día 15 - “dow” Significa el día de la semana, puede ser numérico (0 a 7, donde 0 y 7 son domingo) o las 3 primeras letras del día en inglés: mon, tue, wed, thu, fri, sat, sun. - “user” Define el usuario que va a ejecutar el comando, puede ser root, u otro usuario diferente siempre y cuando tenga permisos de ejecución del script. - “command” refiere al comando o a la ruta absoluta del script a ejecutar, ejemplo: /home/usuario/scripts/actualizar.sh, si acaso llama a un script este debe ser ejecutableDemonio HaldaemonEl servicio o demonio Haldaemon es un aplicativo de GNU/Linux quehace que funcionen los dispositivos de entrada y salida dentro de unnivel de ejecución gráfico. Si este servicio no iniciara en el arranque delsistema, el sistema operativo quedará inutilizable en ese nivel deejecucion.Por lo general es un servicio que arranca desde momento que carga elkernel del sistema operativo.Seguridad Informática 13
    • Proyecto de Investigación PRACTICA: EJECUCION DEL VIRUS 1. Constatamos que el demonio CRON se esté ejecutando. Si el servicio no estuviera configurado para arrancar desde un principio, bastaría con agregarlo con el comando chkconfig: chkconfig --level 5 crond on 2. Crear un archivo .sh con el gedit que se llamará virus.sh y editar el contenido Indica que apartir del siguiente inicio, el demonio HALDAEMON no va estarEl run-level 6 es activoreiniciar. Se indica el nivel de ejecución que se encuentra el CentOS, el nivel 5, es de entorno grafico Seguridad Informática 14
    • Proyecto de Investigación 3. Crear el antivirus haciendo exactamente lo opuesto del bash anterior. 4. Configurar la tarea dentro del Cron, para que el archivo que se creó se ejecute automáticamente. Según lo planteado, el archivo llamado “virus.sh” se ejecutará todos los lunes del mes de noviembre a las 9:30 de la mañana. Actividad registrada por el superusuario.Seguridad Informática 15
    • Proyecto de Investigación 5. Al cumplirse la hora, día, mes establecidos dentro del Crontab, el sistema hará las líneas que tenga el virus, una ellas, la última, reiniciará el sistema El sistema comenzará reiniciar. 6. Se puede constatar que de que el sistema no responde, ni al teclado, ni al mouse. El virus desestabilizó al sistema.Seguridad Informática 16
    • Proyecto de Investigación PRACTICA: EJECUCION DEL ANTIVIRUS 7. Forzar el apagado del sistema e iniciarlo nuevamente. En la cuenta regresiva presionar cualquier tecla. 8. Aparecerá esta pantalla en donde se presiona la tecla “e” que es para editar comandos antes de bootear. 9. Se escoge la segunda opción que es para el modo de arranque, y para editarlo se presiona la letra “e”Seguridad Informática 17
    • Proyecto de Investigación 10. Dar un espacio y para iniciar en modo texto se presiona “s” o “1” 11. Presionar la letra “b” para botear y arrancará el sistema operativo pero en su run-level 1 o modo texto. 12. El comando chkconfig - - list haldaemon, mostrará el estado de este demonio en todos los servicios, y como se puede observar en el nivel 5 (entorno gráfico) está desactivado debido al virus.Seguridad Informática 18
    • Proyecto de Investigación 13. Ir al directorio donde se había guardado el antivirus.sh y ejecutarlo. Al iniciar nuevamente el sistema, se puede observar que ya se encuentra habilitado el modo gráfico y ya hay respuesta de teclado y del mouse.Seguridad Informática 19
    • Proyecto de Investigación CONCLUSIONES Y RECOMENDACIONESCONCLUSIONES:  Los virus de un sistema operativo Windows, no afectan a los sistemas Linux.  Los “virus” de Linux no se pueden ejecutar por si solos, se necesitan comandos de usuario para proceder o programar su ejecución.  Se considera virus hasta el detenimiento de un servicio que irrumpa en la estabilidad del sistema.RECOMENDACIONES:  Al no afectar los virus de Windows a Linux, estos pueden ser objetos de estudio en los estudiantes de la Facultad de Ciencias Informáticas.  La creación de un virus para Linux no debe ir contra la ética profesional.  Los estudiantes de la Facultad de Ciencias Informáticas, deberían inmiscuirse más en los sistemas operativos Linux ya que ofrece muchas herramientas para el desarrollo de pequeños archivos con gran funcionalidad.Seguridad Informática 20
    • Proyecto de Investigación WEBGRAFIA  http://www.canal-ayuda.org/a-virus/sonvirus.htm  http://www.taringa.net/posts/linux/7152247/Una-guia-de- crontab.html  http://www.linuxtotal.com.mx/index.php?cont=info_admon_006  http://www.hscripts.com/tutorials/linux-services/haldaemon.html  http://www.linuxparatodos.net/portal/forum/print.php?id=5658Seguridad Informática 21