Entre ayer y hoy fueron varios los sitios dedicados a GNU/Linux y a tecnología en general que se hicieron eco de esta noticia. El sitio GNOME Look, un gran catálogo de recursos gráficos y aplicaciones para el popular escritorio GNOME, estaba distribuyendo un salvapantallas que contenía malware. El código malicioso se escondía detrás un aparentemente inocuo salvapantallas, empaquetado en un contenedor .deb (los paquetes que utiliza Debian y todas sus distribuciones derivadas, incluida la archimencionada hasta el cansancio Ubuntu) con la intención de pasar desapercibido ante los usuarios. Una vez instalado el paquete, el script adicional trataba de obtener privilegios de administrador (root) para realizar ataques de denegación de servicio (DDoS) desde la máquina comprometida. Otra curiosidad es que el propio malware, una vez instalado, trataba de mantenerse actualizado a sí mismo.A pesar de que desde GNOME Look se tomaron las acciones necesarias para eliminar los paquetes comprometidos, hubo reportes de que el mismo código fue incorporado a otros paquetes, sobre los cuáles también se tomaron las medidas necesarias para minimizar las descargas. Se calcula que la incidencia fue menor, pero no deja de ser un antecedente a tener en cuenta.
La historia puso en el tapete, como ya ha ocurrido en otras ocasiones, el hecho de descargar paquetes y software adicional de repositorios y sitios que no sean los oficiales de cada distribución. Los usuarios se sienten mucho más seguros instalando nuevo software y actualizando sus sistemas desde los repositorios oficiales, estando cada paquete firmado digitalmente para corroborar su autenticidad. A pesar de que los sitios y repositorios de terceros ofrecen, en la mayoría de los casos, firmas digitales y verificación por sumas de integridad para verificar todo el contenido descargado es mucho más fácil que se filtre contenido malicioso.
Por suerte esto es software libre y el código "extraño" fue detectado apenas publicados los paquetes comprometidos.
Actualización 11/12/2009: a raíz de varios comentarios constructivos recibidos corregí el título del post. Es cierto que por el comportamiento del malware no estamos hablando de un virus sino de un troyano. Gracias!
