Es posible, pero requiere una forma indirecta, y se necesitarían circunstancias excepcionales para hacerlo útil.
Cuando Linux arranca, trata el área de intercambio como espacio no asignado. No va a leer lo que ya estaba allí, solo lo que escribió. Entonces, si bien podría poner software malicioso allí, nunca se cargará en la memoria, y mucho menos se ejecutará.
La única excepción se está recuperando de la hibernación. Cuando se inicia el kernel de Linux, se le puede indicar que trate una partición de intercambio como una posible imagen de hibernación. Si la partición de intercambio tiene una firma válida (no criptográfica), entonces Linux carga los datos de la partición de intercambio en la memoria, incluidos los datos y el código del kernel. Esto podría incluir malware o, en general, una puerta trasera (por ejemplo, una imagen de proceso de un shell que se ejecuta como root y escucha en un puerto de red).
Como otros ya han comentado, la pregunta en este caso es: si el atacante pudiera escribir en la imagen de hibernación, ¿qué les impidió escribir en la partición raíz o en la partición de inicio? En la mayoría de las configuraciones, están en el mismo dispositivo físico, y solo pueden acceder a ellas directamente alguien que ya tiene control total (root) sobre el sistema en primer lugar.
En el escenario de reinstalación, donde un sistema comprometido fue eliminado al volver a instalarlo, el intercambio es un vector de reinfección potencial. Sin embargo, todos los instaladores que recuerdo han visto reformatear el área de intercambio durante la instalación, por lo que si realiza una instalación normal, esto no es un problema. (Puede que haya otras formas de que el malware persista, al infectar un componente de hardware que tiene su propia memoria flash, pero eso es otra pregunta .) Por otro lado, si recupera la partición del sistema de una partición completa copia de seguridad, entonces el malware podría quedarse atrás. Si tiene un procedimiento de recuperación del sistema, asegúrese de que más allá de la recuperación de los archivos y datos del sistema, incluya pasos para volver a instalar el cargador de arranque y reformatee el intercambio (es decir, ejecute mkswap
).
Otro escenario donde el intercambio podría ser un vector de infección es un ataque de la criada malvada . Una protección contra este ataque es firmar el gestor de arranque y el sistema (kernel y todos los archivos del sistema relevantes para la seguridad), con una cadena de verificación en el arranque que se inicia en el hardware (por ejemplo, en una PC, con un TPM ). Pero si el kernel y el gestor de arranque están configurados para admitir la hibernación, y la imagen de intercambio no está firmada, el intercambio se convierte en un posible vector de ataque. (Tenga en cuenta que la propiedad relevante es que está firmada , no cifrada , aunque incluso un cifrado no autenticado puede dificultar que el atacante inyecte malware que hace algo útil). Ser una mala configuración. Si desea integridad del sistema, debe asegurarse de haber protegido todos los componentes sensibles a la seguridad.