Feb 21, 2016

Hackeada la web de Linux Mint, ¿cómo te afecta?

Si hoy hablábamos acerca de un problema de seguridad en glibc, en esta ocasión toca hacerlo sobre el hackeo de varias ISOs de Linux Mint, ya que la web de esta distribución ha sido hackeada como explica Clement Lefebvre (líder del proyecto) en su blog.

Como sabéis Linux Mint es una de las distribuciones más populares entre los usuarios desde que Ubuntu se decidió por Unity, ya que muchos de ellos deseaban continuar con el aspecto que ofrecía Gnome2. Ahora mismo ofrece dos opciones de escritorio como son Cinnamon (basado en Gnome Shell) y MATE (inspirado en Gnome 2).

Según relatan en el blog del proyecto, los hackers sustituyeron las imágenes de descarga de la última versión de Linux Mint por otras que contenían puertas traseras para facilitar al posible atacante una forma de acceder a la información del usuario.

¿Qué ISOs han sido modificadas?

Por el momento explican que solamente deberían verse afectadas las imágenes de Linux Mint 17.3 con Cinnamon descargadas durante el 20 de febrero.

Debes tener en cuenta que si has descargado la imagen desde la web del proyecto con anterioridad a la fecha mencionada, o la has descargado mediante un cliente de torrent e incluso descarga directa tu sistema no contendrá dicha puerta trasera.

¿Cómo compruebo si mi imagen está afectada?

Si descargaste la imagen desde la web oficial y la instalaste en tu equipo, puedes comprobar si tu sistema está comprometido buscando dentro del directorio /var/lib/ un archivo con nombre man.cy. En caso de que encuentres dicho archivo significa que estás afectado.

Si has descargado la ISO y tienes dudas sobre su legitimidad, puedes comprobar si contiene el archivo mencionado anteriormente creando un Live USB, arrancando el sistema y buscándolo en el directorio /var/lib/ (antes de arrancarlo desconecta el equipo de la red).

Otra opción para comprobar si la imagen es una de las modificadas por los hackers es comparar la firma MD5 con el comando md5sum imagen_linux_mint.iso (donde imagen_linux_mint.iso es el nombre de la imagen).

A continuación podéis ver cuáles son las firmas de las imágenes de Linux Mint 17.3 con Cinnamon que son válidas.

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

Una ve compruebes que la ISO está afectada, en caso de haberlo grabado en un DVD lo recomendable es que lo destruyas o tires a la basura. Si la has grabado en un USB bastará con formatearlo.

¿Qué hacer si estás afectado?

Si has encontrado el archivo man.cy en tu sistema lo recomendable es que sigas estos pasos:

Desconecta el equipo de la red.
Haz una copia de seguridad de tus datos.
Descarga una imagen limpia e instala nuevamente el sistema, formateando las particiones correspondientes.
Cambia todas las contraseñas de las cuentas a las que hayas accedido usando ese sistema (correo electrónico, banca online, etc.).

Situación actual

Por el momento la web de Linux Mint se encuentra caída, ya que que están tomando las medidas correspondientes para poder eliminar el contenido malicioso y dar solución a todo lo que haya podido generar el ataque.

Si eres un usuario del foro, a través del blog recomiendan que cambies la contraseña de acceso al mismo, ya que la base de datos de éste también se ha visto afectada.

Según comentan el ataque tiene su origen en Sofía (Bulgaria) y hay 3 personas implicadas, por lo que van a tomar medidas con las autoridades y empresas de seguridad correspondientes.