Desastre en la comunidad Linux, después de que se haya anunciado que Linux Mint ha sido hackeado y el sistema que se han descargado los usuarios está comprometido.

Las malas noticias han sido anunciadas hoy en la página oficial del proyecto; aparentemente los hackers consiguieron control de sus servidores durante un tiempo limitado, en el que pudieron sustituir las imágenes ISO para instalar Linux Mint con sus propias versiones con puertas traseras.

Linux Mint es una de las distros Linux más populares; nacida inicialmente en respuesta al camino que estaba tomando Ubuntu, se ha convertido en la opción preferida para muchos usuarios.

Linux Mint ha sido hackeado

Linux Mint se ha convertido en la opción perfecta para los que quieren seguir usando el sistema base de Ubuntu, como sus paquetes y repositorios, pero no están contentos con el escritorio Unity. Linux Mint está disponible con dos escritorios, Cinnamon, más moderno y polivalente, y MATE, inspirado en el viejo escritorio Gnome 2.

Lamentablemente, se calcula que un pequeño número de usuarios se han descargado una versión de Linux Mint modificada de tal manera que un atacante podría acceder a su sistema sin necesidad de identificarse a través de la red, lo que se conoce como una “puerta trasera”.

linux mint rafaela 2

La única versión que aparentemente se ha visto afectada es Linux Mint 17.3 con el escritorio Cinnamon. Hay que dejar claro que este problema sólo nos afecta si hemos descargado una ISO de esa versión de Linux Mint desde la página oficial del proyecto en las últimas horas, entre el 20 de febrero y el 21 de febrero, y no si la hemos descargado por torrent o por un enlace directo.

Cómo averiguar si nuestra instalación de Linux Mint tiene puertas traseras

Si ya hemos instalado esta versión, una manera rápida de averiguar si está infectada es accediendo al directorio /var/lib/ y buscar un archivo llamado man.cy. Si “/var/lib/man.cy” existe, es que tenemos instalada la puerta trasera.

Si tenemos el archivo, tenemos que seguir los siguientes pasos:

Desconectar el ordenador de la red.

Hacer una copia de seguridad de nuestros archivos personales.

Formatear y reinstalar el sistema operativo con una ISO genuina.

Cambiar las contraseñas de páginas web que es posible que un atacante haya obtenido, como por ejemplo la de nuestro correo electrónico.

Si hemos descargado la ISO y no sabemos si está modificada, tenemos que comparar su firma MD5 con la de las versiones genuinas, que ponemos a continuación:

6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso

e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso

30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso

3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso

df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso

Si tenemos la ISO, lo recomendable es borrarla inmediatamente, si la hemos grabado en un DVD, romperlo para evitar confusiones, y si lo hemos grabado en una memoria USB, es recomendable formatearla.

A la espera de más noticias de los culpables

Si hay algo positivo en todo esto, es que los responsables de Linux Mint han actuado con rapidez para evitar que más gente descargase las ISO modificadas. En estos momentos el servidor de descarga no está accesible mientras que la investigación continúa, por lo que si queremos descargar Linux Mint lo mejor es que lo hagamos por torrent.

La investigación inicial revela que las ISO hackeadas y la puerta trasera apuntan a Sofía, la capital de Bulgaria, y a tres posibles culpables, aunque no se sabe la motivación detrás de este ataque. Linux Mint contactará con las autoridades y con empresas de seguridad si los ataques con el objetivo de dañar el proyecto continúan.

Actualizado: los foros también han sido hackeados

La investigación del ataque ha revelado que los foros de Linux Mint también han sido hackeados, y que la base de datos de usuarios ha sido robada.

Pocas horas después de la incidencia, esta base de datos se puso a la venta por unos 85 dólares en sitios de la deep web. La información que ha sido robada es: el nombre de usuario, la contraseña cifrada, y la dirección de correo electrónico.

Por lo tanto, es recomendable que, si tienes una cuenta en los foros de Linux Mint, cambies la contraseña; además, si usas la misma contraseña en otros servicios o webs (algo no recomendable), también deberías cambiarla en estos.