Configuracion hipersegura: si lo violan avisenme que le invito una cerveza

hypnosys 29 octubre 2009 21:07 ✎

⋮

He estado experimentando algunas configuraciones para mis clientes y la siguiente me ha resultado de maravilla.
Si a alguno se le ocurre alguna forma de lograr la instalacion de un malware bajo la siguiente configuracion me avisan:

1) Dos particiones
2) Disco C "freezado" con DeepFreeze, Disco D sin "freezar"
3) Antivirus de Eset, "NOD32 Smart Security 4" instalado en disco D, por lo que se mantiene al dia aunque este freezado el C
4) Update de Windows hasta el ultimo parche al dia
5) Foxit en lugar de Adobe Reader y ultima version de Java instalado.
6) Chrome/Firefox browsers por defecto. Internet Explorer solo para sitios de confianza que solo usan asp y activex (sitios del gobierno).
7) El usuario por defecto tiene privilegios de Usuario unicamente, no tiene acceso a cuentas de Power User o Admin.
8) El bios permite unicamente el Boot del disco duro, no permite el boot de usb o el cdrom. El bios tiene contraseña de acceso.

Para la comodidad del usuario, la carpeta de Mis Documentos y el Escritorio es remapeado hacia una carpeta del disco D, para que pueda guardar sus archivos.

A alguien se le ocurre alguna forma de infectar esta computadora y que la infección quede residente?
En la primera linea de defensa tenemos al antivirus que esta actualizado y tiene una heuristica buena para detectar malware. Si el malware llegara a pasar desapercibido, le joderia la restriccion de privilegios, y si los privilegios son explotados de alguna forma, el deepfreeze se encargaria de sacarlo de encima al rebootear la computadora. La unica forma de cagar al deepfreeze es mediante la instalacion de un kernel rootkit, pero eso seria imposible si el usuario tiene privilegios de usuario.

Digamos que me parece que esta configuracion se mantendrá incorrupta para siempre... a alguien se le ocurre una manera de joderla bajo esta configuración?

Saludos,
Daniel

campi 29 octubre 2009 21:26

⋮

El malware te entra cada vez que ejecutas windows update xDD En serio, hace una semana arregle el pc de un cliente al que el equipo le habia actualizado automaticamente con el sp3 de windows xp y ZASCA! se habia cargado la propia actualizacion el arranque... Encima no podiamos recuperar ninguna snapshot del sistema pq no habia manera de arrancar windows (hasta windows vista no se les ocurrio crear un gestor para recuperar una snapshot que no necesitara el arranque de windows). Finalmente tuvimos que recuperar los ficheros de la snapshot a mano desde la consola de recuperacion... Vaya cristo.

Suerte con tu config! :)

✖

hypnosys 30 octubre 2009 08:14

⋮

Jaja, es verdad a mi me tiembla la mano cada vez que tengo que hacer un upgrade.
Por eso no le dejo nada liberado al azar y el azar por lo general es el cliente.

Explicandole las limitaciones y ventajas de esta configuración, les propongo una "garantía de por vida": si se les llega a cagar la pc por malware (sin incluir fallas de hardware por supuesto) bajo esta configuración. Pero, claro, les cobro un módico precio por instalar cada capricho que tengan.

Creo que es una situación win-win.

lema442 29 octubre 2009 22:16

⋮

Tiene buena pinta.... si.... mmmm voy a probar.

winky1 29 octubre 2009 23:39

⋮

La "hiperseguridad" en informática no existe.
El fallo que veo es la unidad D y el antivirus:
Si se encuentra un fallo de seguridad explotable localmente en windows (o en cualquier otro programa que se ejecute con privilegios superiores) es posible sustitur el fichero de arranque del antivirus (que no está congelado) por uno personalizado que lance el malware que puede residir perfectamente en la partición D. De esta forma te cargas por una parte el antivirus y por otra consigues que siempre se ejecute el malware al arrancar. Encima si la partitción de windows está congelada no le llegarán las posibles actualizaciones.

Saludos

✖

hypnosys 30 octubre 2009 08:05

⋮

Claro, excelente idea!, me habia olvidado de esa posibilidad...
Peeeero, justamente me hiciste acordar que en algunas configuraciones anteriores para que tarde o temprano nada corrompiera los ejecutables del antivirus habia decidido poner el antivirus en realidad en el C y que unicamente los signatures de los antivirus estuvieran en el D.

En NOD32 se puede hacer de dos formas:

Simplemente configurandolo para que cuando actualice guarde las definiciones en otra carpeta
O escogiendo un servidor de actualización diferente al oficial, en este caso incluso se puede elegir una carpeta. En mi caso mi "servidor de actualizaciones" era una carpeta del disco D.

Las definiciones lo puedo hacer bajar con un "bajador de definiciones" por un viejo amigo conocido como UlisesSoft, mato dos pájaros de un tiro, mantengo el antivirus libre de corrupciones y no me tengo que preocupar por las contraseñas del nod32.
De esta forma sospecho que esa variante de explotación queda cubierta...

✖

inar 5 diciembre 2009 14:20

⋮

Algo similar a tu método empleaba yo en un centro. Conseguí que los sistemas (C) permaneciesen "limpios". Eso sí, la unidad D era un auténtico vivero xD El usuario, cuanto más neófito, más peligroso :P

A término de curiosidad, comentar que tenía preparados los equipos con mismo hardware (no al 100%, lógicamente, pero suficiente para mi propósito), de tal modo que cuando eran necesarias reinstalaciones, se hacía la matriz con todo el soft y se clonaba con norton ghost vía red (una gozada en tiempo necesario para reconstruir un aula de 20 equipos en pocas horas :P ) Comento ésto porque precisamente tuve problemas con Deep Freeze en el clonado. Al iniciar Win en el equipo clonado, me daba un BSOD brutal insalvable, que luego comprobé era provocado por deep freeze (que estaba instalado, pero lógicamente desactivado durante el clonado para permitir adecuar algún que otro driver). La solución radicó en crear la matriz sin deep freeze e instalarlo después en cada equipo. Comento ésto por si a alguien le pasa, esté sobreaviso y no se vuelva loco tanto tiempo como me pasé yo la primera vez entonces xD

En referencia a la "hiperseguridad" que comentas, igual te interesa ésto:

securiteam.com/windowsntfocus/5XP0H1FG0S

La verdad que no lo he probado. Algún día quizás :P Me ha picado la curiosidad y simplemente he 'googleado' un poco ;) obteniendo interesantes resultados.

P.D. Por cierto, muy bueno y muy cierto tu otro comentario más abajo ;)

✖

hypnosys 9 diciembre 2009 01:07

⋮

Por cierto, yo nunca cloné discos, pero estaba al tanto de que Deep Freeze te complicaba la vida al crear imágenes... por lo que el procedimiento ideal era debías clonarlo primero y LUEGO instalarle el deep freeze...

Si mal no recuerdo, el Deep Freeze te puede seguir causando problemas incluso si lo desinstalas y creas la imagen :S

Pero la ventaja de que se te quede el D: lleno de porquerías es que no tienes nada residente, así que pasarle el antivirus es coser y cantar...

Ahora en una de las computadoras de la oficina tengo también el Escritorio remapeado al disco D (masivo cambio del registro... afortunadamente funciona bien).

Ah, y sobre el Unfreezer, lo creó un Argentino ;) Pero no funciona en las últimas versiones del Deep Freeze. Yo uso versiones del 6 en adelante ;)

redline2001 29 octubre 2009 23:44

⋮

usando windows .. creo que esa pregunta sobra.

✖

hypnosys 30 octubre 2009 08:23

⋮

Prejuicios sin juicio....

Me despido dejandote una trivia: hubo una época en donde hackear unix era más mucho más sencillo que windows. E incluso tener exploits de windows era cosa de über elites.

Saludos,

✖

redline2001 30 octubre 2009 10:25

⋮

ok windosero :)

BocaDePez 30 octubre 2009 12:36

⋮

:-O :-O :-O Lo que hay que oir :D :D :D no comment

De todas formas..... ¿le has puesto un candado al ordenador? porque si no lo has hecho.........

✖

hypnosys 31 octubre 2009 06:23

⋮

heh, es que aunque suene fanático mi postura, es en realidad neutral. Para la gente que ha vivido en época pre windows debería coincidir conmigo. En los comienzos de los servidores NT hackearlos era complicado... lo único que lo hacía más complicado de ser explotado es porque era código cerrado, por lo que gozaba de esa seguridad temporal que te provee la "seguridad por oscuridad", mientras que los Unix al ser código abierto estaban repletos de exploits tanto públicos como privados y era la época en que el sendmail era el chiste del día, tenia la misma reputación que servicios de Windows de hoy en día.

Hoy en día lo único que ha cambiado es la exposición y proliferación de Microsoft, lo que es más visible. Unix sigue igual de vulnerable que antes, la única diferencia con antes es que han perdido exposición y con eso atractividad ante un sistema más fácil de atacar. Ahora es más fácil y rentable atacar sistemas de microsoft (considerando además la gran ventaja de la dominación del mercado de Microsoft) es más rentable invertir tiempo para infectar computadoras con sistemas de Microsoft que cualquier otro.
Es por eso que esta diferencia relativa nos haga percibir que otros sistemas (Linux, Unix, Leopard) son más seguros en comparación a cualquier sistema de Microsoft.

Es una cuestión de tiempo hasta que los sistemas de Apple empiecen a tener los mismos problemas de Microsoft en cuestión de seguridad... es más lo podemos ver con cada versión nueva de los Jailbreaks de los Iphones. Cuando Apple llegue a superar el 30% del marketshare seguramente vamos a terminar viendo gusanos al estilo de Conficker infectando sistemas de Apple.

La seguridad informática no es tan diferente de la seguridad cotidiana de la calle. La seguridad siempre es relativa, jamás es absoluta: Es relativa a cuán ineficiente el costo invertido con respecto al premio.
Es decir, mi casa es segura no por que la cerradura nueva que le puse sea inviolable: cualquier ladrón experimentado o cerrajero puede abrirte una cerradura con ganzúa. Mi casa es segura porque TENGO VECINOS QUE NO TIENEN CERRADURAS, ante una alternativa más simple, los ladrones prefieren obtener la misma ganancia a un costo menor.

Eso mismo está sucediendo con Microsoft. Si consideramos que el objetivo de un programador de botnets es tener la mayor cantidad de computadoras bajo control, el costo del tiempo invertido en analizar código y generar un exploit no difiere enormemente de un sistema a otro, sin embargo el impacto de tener sistemas unix infectados es mucho menor que tener sistemas windows infectados.

Sin embargo si mi objetivo es infectar un sistema Unix en especial porque, digamos, tiene secretos comerciales, la recompensa de golpe hace que el esfuerzo valga la pena. Si el incentivo es suficientemente grande, nada es imposible.

Saludos,

PD: Sobre la seguridad física, en mi caso no es necesario porque sé que nadie tiene el conocimiento suficiente como para hacer un reset del bios o cambiar el disco duro. Por otra parte este ordenador no tiene nada que haga valer la pena semejante esfuerzo extra. Por lo que en mi caso, relativamente es bastante seguro incluso sin candado. ;)

✖

Calario 17 noviembre 2009 12:18

⋮

vukits 29 octubre 2009 23:45

⋮

dejate de tonterías y empieza a utilizar *NIX . :D

la verdadera "maquina segura" es la maquina virtual, que literalmente le haces snapshots diarios si quieres.

saludos

✖

hypnosys 30 octubre 2009 08:30

⋮

jeje, tampoco tan segura... existen rootkits que quedan residente incluso cuando son ejecutados dentro de máquinas virtuales ;)

Por cierto: (link roto)

Buster 22 noviembre 2009 20:47

⋮

Usando Deep Freeze tienes mucho camino andado.

Yo ejecuto muchos malwares a diario y mi configuración es Sandboxie + Deep Freeze.

Vermu 9 diciembre 2009 11:08

⋮

¿Y no te llaman cada 2 horas para que les instales X programa?

¿Y cómo tienes programadas las copias de seguridad de los datos?

✖

hypnosys 9 diciembre 2009 21:10

⋮

Antes que nada, los programas se lo instalo todo de antemano. En una oficina no te van a pedir muchas cosas, en especial, cuando los mando a cagar ^^
La idea de esto es que NADIE pueda dejar nada residente, ni aunque tengan la contraseña del administrador.

Por otra parte, las actualizacione se pueden programar o hacerlo a mano (Deep Freeze tiene una función específica para eso). En mi caso, lo hago manualmente.

Como habrás visto, el Disco D no está "congelado" por lo que puedes mantener los archivos ahí. EN mi caso fui un poco más allá remapeando el escritorio (todo a pulmón, metiendo mano en el registro de windows) hacia el disco D.

✖

vukits 11 diciembre 2009 14:24

⋮

¿has dicho oficina? O_o .

mejor congeladores por hardware ¿no?

✖

hypnosys 14 diciembre 2009 01:03

⋮

En un mundo ideal, existiria la inversión en seguridad...

Pero lamentablemente la gente prefiere practicidad y ahorrar antes de la seguridad, aunque a largo plazo termine echando humos...

Lo de instalar Deep Freeze es algo que lo hice solo por mi propia conveniencia, porque luego se muy bien de que van a estar rompiendo los huevos diciendo que la "computadora anda lenta".
Ahora que tengo instalado el Deep Freeze se quejan de que "no me permite cambiar el reloj de windows"... haciendo un balance de las quejas, prefiero andar corrigiendo cosas puntuales que andar haciendo cirugia mayor cada mes... en especial si me pagan siempre la misma mierda sin importar que carajo haga.

Abrazo!

✖

vukits 14 diciembre 2009 08:12

⋮

BocaDePez 11 diciembre 2009 13:40

⋮

En mi epoca de estudiante me cargue la seguridad del DeepFreeze de mi PC de clase. Por tanto, los cambios realizados permanecian.

Si fui capaz, un virus también lo puede ser y por tanto cascarte el sistema por mucho DeepFreeze.

Recuerdo que era algo de tocar algun archivo SYS en la raiz. Buff, hace muchos años.

✖

hypnosys 14 diciembre 2009 01:06

⋮

Generalmente joder con los archivos del deep freeze termina cagandote la vida, al menos que sepas exactamente lo que haces.

No se que version estaras hablando, pero me late que era la version 3 o inferior.

BocaDePez 29 diciembre 2009 19:10

⋮

Te falta un detalle, no se los dejes usar a nadie, entonces seran seguros, en cuanto le pongan las manos encima se acabó la seguridad, todo a tomar por saco, lo mas inseguro es el que va a teclear,

PD.- "se procederá a formatear el HD, desea continuar, y/n ......., no le hice nada al PC,yo solo le dí a todo que "yes",no creo que fuera culpa mia..."

✖

hypnosys 13 enero 2010 03:52

⋮

con el deepfreeze instalado jamas podran formatear el disco de esta forma.

✖

BocaDePez 13 enero 2010 10:15

⋮

Hoy en dia no puedes formatear el C: con el OS en marcha.

Pero a la que ponga un disquete de 3 1/2 y ejecute un FDISK...

✖

BocaDePez 16 enero 2010 02:37

⋮

No pero resturar la copia( el efecto es el mismo), tal cual se compro si se puede, y despues quien vuelve a instalar todo, configurar red,etc,etc,

srg84 26 enero 2010 10:25

⋮

Pero si la BIOS tiene contraseña y ni la disquetera ni el CD están puestos para arrancar desde ellos, y sin poder abrir el ordenador...

¿Que harías?

srg84 25 enero 2010 16:54

⋮

Me interesa bastante el tema del deepfreeze, ¿tiene alguna vulnerabilidad conocida?, hay algún virus que se salte su protección?

✖

BocaDePez 26 enero 2010 18:32

⋮

Muy sencillo, en el caso que plantea el chico del inicio tiene la unidad D: sin Freezear, por lo que el virus si se coloca en el D: se queda vivito y coleando todo el tiempo que quiera.

La diferencia es que si el registro se mantiene intacto cada vez que reinicia, el virus estaria en D: pero sin iniciarse. Quien dice virus, dice software malintencionado que no detecta en ese momento el antivirus.

Ademas, no recuerdo ahora muy bien como trabajaba, pero creo que por ejemplo como te cargues un .SYS temporal que crea en C: (ahora no recuerdo), el OS ya no arranca. Quizás en vesriones anteriores, que hace años que no lo uso.

✖

srg84 27 enero 2010 10:56

⋮

✖

hypnosys 18 febrero 2010 05:30

⋮

hypnosys 21 marzo 2010 18:39

⋮

✖

srg84 22 marzo 2010 10:04

⋮

✖

hypnosys 19 abril 2010 18:05

⋮

✖

srg84 19 abril 2010 18:33

⋮