Seguridad Foros » Redes » Seguridad

9 respuestas
37 mensajes

Este tema lleva más de 6 meses inactivo. Es recomendable que abras un nuevo tema para retomar la conversación.

  • Favorito #1656992

    Configuracion hipersegura: si lo violan avisenme que le invito una cerveza

    He estado experimentando algunas configuraciones para mis clientes y la siguiente me ha resultado de maravilla.
    Si a alguno se le ocurre alguna forma de lograr la instalacion de un malware bajo la siguiente configuracion me avisan:

    1) Dos particiones
    2) Disco C "freezado" con DeepFreeze, Disco D sin "freezar"
    3) Antivirus de Eset, "NOD32 Smart Security 4" instalado en disco D, por lo que se mantiene al dia aunque este freezado el C
    4) Update de Windows hasta el ultimo parche al dia
    5) Foxit en lugar de Adobe Reader y ultima version de Java instalado.
    6) Chrome/Firefox browsers por defecto. Internet Explorer solo para sitios de confianza que solo usan asp y activex (sitios del gobierno).
    7) El usuario por defecto tiene privilegios de Usuario unicamente, no tiene acceso a cuentas de Power User o Admin.
    8) El bios permite unicamente el Boot del disco duro, no permite el boot de usb o el cdrom. El bios tiene contraseña de acceso.

    Para la comodidad del usuario, la carpeta de Mis Documentos y el Escritorio es remapeado hacia una carpeta del disco D, para que pueda guardar sus archivos.

    A alguien se le ocurre alguna forma de infectar esta computadora y que la infección quede residente?
    En la primera linea de defensa tenemos al antivirus que esta actualizado y tiene una heuristica buena para detectar malware. Si el malware llegara a pasar desapercibido, le joderia la restriccion de privilegios, y si los privilegios son explotados de alguna forma, el deepfreeze se encargaria de sacarlo de encima al rebootear la computadora. La unica forma de cagar al deepfreeze es mediante la instalacion de un kernel rootkit, pero eso seria imposible si el usuario tiene privilegios de usuario.

    Digamos que me parece que esta configuracion se mantendrá incorrupta para siempre... a alguien se le ocurre una manera de joderla bajo esta configuración?

    Saludos,
    Daniel

    • Favorito #1836887

      El malware te entra cada vez que ejecutas windows update xDD…

      El malware te entra cada vez que ejecutas windows update xDD En serio, hace una semana arregle el pc de un cliente al que el equipo le habia actualizado automaticamente con el sp3 de windows xp y ZASCA! se habia cargado la propia actualizacion el arranque... Encima no podiamos recuperar ninguna snapshot del sistema pq no habia manera de arrancar windows (hasta windows vista no se les ocurrio crear un gestor para recuperar una snapshot que no necesitara el arranque de windows). Finalmente tuvimos que recuperar los ficheros de la snapshot a mano desde la consola de recuperacion... Vaya cristo.

      Suerte con tu config!

      • Favorito #1837068

        Jaja, es verdad a mi me tiembla la mano cada vez que tengo…

        Jaja, es verdad a mi me tiembla la mano cada vez que tengo que hacer un upgrade.
        Por eso no le dejo nada liberado al azar y el azar por lo general es el cliente.

        Explicandole las limitaciones y ventajas de esta configuración, les propongo una "garantía de por vida": si se les llega a cagar la pc por malware (sin incluir fallas de hardware por supuesto) bajo esta configuración. Pero, claro, les cobro un módico precio por instalar cada capricho que tengan.

        Creo que es una situación win-win.

    • Favorito #1836956

      La "hiperseguridad" en informática no existe. El fallo que…

      La "hiperseguridad" en informática no existe.
      El fallo que veo es la unidad D y el antivirus:
      Si se encuentra un fallo de seguridad explotable localmente en windows (o en cualquier otro programa que se ejecute con privilegios superiores) es posible sustitur el fichero de arranque del antivirus (que no está congelado) por uno personalizado que lance el malware que puede residir perfectamente en la partición D. De esta forma te cargas por una parte el antivirus y por otra consigues que siempre se ejecute el malware al arrancar. Encima si la partitción de windows está congelada no le llegarán las posibles actualizaciones.

      Saludos

      • Favorito #1837065

        Claro, excelente idea!, me habia olvidado de esa…

        Claro, excelente idea!, me habia olvidado de esa posibilidad...
        Peeeero, justamente me hiciste acordar que en algunas configuraciones anteriores para que tarde o temprano nada corrompiera los ejecutables del antivirus habia decidido poner el antivirus en realidad en el C y que unicamente los signatures de los antivirus estuvieran en el D.

        En NOD32 se puede hacer de dos formas:

        1. Simplemente configurandolo para que cuando actualice guarde las definiciones en otra carpeta
        2. O escogiendo un servidor de actualización diferente al oficial, en este caso incluso se puede elegir una carpeta. En mi caso mi "servidor de actualizaciones" era una carpeta del disco D.

        Las definiciones lo puedo hacer bajar con un "bajador de definiciones" por un viejo amigo conocido como UlisesSoft, mato dos pájaros de un tiro, mantengo el antivirus libre de corrupciones y no me tengo que preocupar por las contraseñas del nod32.
        De esta forma sospecho que esa variante de explotación queda cubierta...

        • Favorito #1851345

          Algo similar a tu método empleaba yo en un centro. Conseguí…

          Algo similar a tu método empleaba yo en un centro. Conseguí que los sistemas (C) permaneciesen "limpios". Eso sí, la unidad D era un auténtico vivero xD El usuario, cuanto más neófito, más peligroso

          A término de curiosidad, comentar que tenía preparados los equipos con mismo hardware (no al 100%, lógicamente, pero suficiente para mi propósito), de tal modo que cuando eran necesarias reinstalaciones, se hacía la matriz con todo el soft y se clonaba con norton ghost vía red (una gozada en tiempo necesario para reconstruir un aula de 20 equipos en pocas horas ) Comento ésto porque precisamente tuve problemas con Deep Freeze en el clonado. Al iniciar Win en el equipo clonado, me daba un BSOD brutal insalvable, que luego comprobé era provocado por deep freeze (que estaba instalado, pero lógicamente desactivado durante el clonado para permitir adecuar algún que otro driver). La solución radicó en crear la matriz sin deep freeze e instalarlo después en cada equipo. Comento ésto por si a alguien le pasa, esté sobreaviso y no se vuelva loco tanto tiempo como me pasé yo la primera vez entonces xD

          En referencia a la "hiperseguridad" que comentas, igual te interesa ésto:

          www.securiteam.com/windowsntfocus/5XP0H1FG0S.html

          La verdad que no lo he probado. Algún día quizás Me ha picado la curiosidad y simplemente he 'googleado' un poco obteniendo interesantes resultados.

          P.D. Por cierto, muy bueno y muy cierto tu otro comentario más abajo

          • Favorito #1852467

            Por cierto, yo nunca cloné discos, pero estaba al tanto de…

            Por cierto, yo nunca cloné discos, pero estaba al tanto de que Deep Freeze te complicaba la vida al crear imágenes... por lo que el procedimiento ideal era debías clonarlo primero y LUEGO instalarle el deep freeze...

            Si mal no recuerdo, el Deep Freeze te puede seguir causando problemas incluso si lo desinstalas y creas la imagen :S

            Pero la ventaja de que se te quede el D: lleno de porquerías es que no tienes nada residente, así que pasarle el antivirus es coser y cantar...

            Ahora en una de las computadoras de la oficina tengo también el Escritorio remapeado al disco D (masivo cambio del registro... afortunadamente funciona bien).

            Ah, y sobre el Unfreezer, lo creó un Argentino Pero no funciona en las últimas versiones del Deep Freeze. Yo uso versiones del 6 en adelante

      • Favorito #1837069

        Prejuicios sin juicio.... Me despido dejandote una trivia:…

        Prejuicios sin juicio....

        Me despido dejandote una trivia: hubo una época en donde hackear unix era más mucho más sencillo que windows. E incluso tener exploits de windows era cosa de über elites.

        Saludos,

          • Favorito #1837452

            heh, es que aunque suene fanático mi postura, es en realidad…

            heh, es que aunque suene fanático mi postura, es en realidad neutral. Para la gente que ha vivido en época pre windows debería coincidir conmigo. En los comienzos de los servidores NT hackearlos era complicado... lo único que lo hacía más complicado de ser explotado es porque era código cerrado, por lo que gozaba de esa seguridad temporal que te provee la "seguridad por oscuridad", mientras que los Unix al ser código abierto estaban repletos de exploits tanto públicos como privados y era la época en que el sendmail era el chiste del día, tenia la misma reputación que servicios de Windows de hoy en día.

            Hoy en día lo único que ha cambiado es la exposición y proliferación de Microsoft, lo que es más visible. Unix sigue igual de vulnerable que antes, la única diferencia con antes es que han perdido exposición y con eso atractividad ante un sistema más fácil de atacar. Ahora es más fácil y rentable atacar sistemas de microsoft (considerando además la gran ventaja de la dominación del mercado de Microsoft) es más rentable invertir tiempo para infectar computadoras con sistemas de Microsoft que cualquier otro.
            Es por eso que esta diferencia relativa nos haga percibir que otros sistemas (Linux, Unix, Leopard) son más seguros en comparación a cualquier sistema de Microsoft.

            Es una cuestión de tiempo hasta que los sistemas de Apple empiecen a tener los mismos problemas de Microsoft en cuestión de seguridad... es más lo podemos ver con cada versión nueva de los Jailbreaks de los Iphones. Cuando Apple llegue a superar el 30% del marketshare seguramente vamos a terminar viendo gusanos al estilo de Conficker infectando sistemas de Apple.

            La seguridad informática no es tan diferente de la seguridad cotidiana de la calle. La seguridad siempre es relativa, jamás es absoluta: Es relativa a cuán ineficiente el costo invertido con respecto al premio.
            Es decir, mi casa es segura no por que la cerradura nueva que le puse sea inviolable: cualquier ladrón experimentado o cerrajero puede abrirte una cerradura con ganzúa. Mi casa es segura porque TENGO VECINOS QUE NO TIENEN CERRADURAS, ante una alternativa más simple, los ladrones prefieren obtener la misma ganancia a un costo menor.

            Eso mismo está sucediendo con Microsoft. Si consideramos que el objetivo de un programador de botnets es tener la mayor cantidad de computadoras bajo control, el costo del tiempo invertido en analizar código y generar un exploit no difiere enormemente de un sistema a otro, sin embargo el impacto de tener sistemas unix infectados es mucho menor que tener sistemas windows infectados.

            Sin embargo si mi objetivo es infectar un sistema Unix en especial porque, digamos, tiene secretos comerciales, la recompensa de golpe hace que el esfuerzo valga la pena. Si el incentivo es suficientemente grande, nada es imposible.

            Saludos,

            PD: Sobre la seguridad física, en mi caso no es necesario porque sé que nadie tiene el conocimiento suficiente como para hacer un reset del bios o cambiar el disco duro. Por otra parte este ordenador no tiene nada que haga valer la pena semejante esfuerzo extra. Por lo que en mi caso, relativamente es bastante seguro incluso sin candado.

            • Favorito #1844131

              verdades verdaderas y los que hemos usado cosa pre unix ya ni…

              verdades verdaderas

              y los que hemos usado cosa pre unix ya ni te cuento

              el punto más debil de cualquier sistema informatico es la persona

              y da igual que el sistema sea windox linux 7 solaris vista olo que sea que mientras lo use una persona ¡peligro!

    • Favorito #1846312

      Usando Deep Freeze tienes mucho camino andado. Yo ejecuto…

      Usando Deep Freeze tienes mucho camino andado.

      Yo ejecuto muchos malwares a diario y mi configuración es Sandboxie + Deep Freeze.

      La sabiduría me persigue... ¡pero yo soy más rápido!

      6
      Responder
      Buster

      • Favorito #1852810

        Antes que nada, los programas se lo instalo todo de antemano.…

        Antes que nada, los programas se lo instalo todo de antemano. En una oficina no te van a pedir muchas cosas, en especial, cuando los mando a cagar ^^
        La idea de esto es que NADIE pueda dejar nada residente, ni aunque tengan la contraseña del administrador.

        Por otra parte, las actualizacione se pueden programar o hacerlo a mano (Deep Freeze tiene una función específica para eso). En mi caso, lo hago manualmente.

        Como habrás visto, el Disco D no está "congelado" por lo que puedes mantener los archivos ahí. EN mi caso fui un poco más allá remapeando el escritorio (todo a pulmón, metiendo mano en el registro de windows) hacia el disco D.

          • Favorito #1854403

            En un mundo ideal, existiria la inversión en seguridad...…

            En un mundo ideal, existiria la inversión en seguridad...

            Pero lamentablemente la gente prefiere practicidad y ahorrar antes de la seguridad, aunque a largo plazo termine echando humos...

            Lo de instalar Deep Freeze es algo que lo hice solo por mi propia conveniencia, porque luego se muy bien de que van a estar rompiendo los huevos diciendo que la "computadora anda lenta".
            Ahora que tengo instalado el Deep Freeze se quejan de que "no me permite cambiar el reloj de windows"... haciendo un balance de las quejas, prefiero andar corrigiendo cosas puntuales que andar haciendo cirugia mayor cada mes... en especial si me pagan siempre la misma mierda sin importar que carajo haga.

            Abrazo!

    • Favorito #1853549

      En mi epoca de estudiante me cargue la seguridad del…

      En mi epoca de estudiante me cargue la seguridad del DeepFreeze de mi PC de clase. Por tanto, los cambios realizados permanecian.

      Si fui capaz, un virus también lo puede ser y por tanto cascarte el sistema por mucho DeepFreeze.

      Recuerdo que era algo de tocar algun archivo SYS en la raiz. Buff, hace muchos años.

      • Favorito #1854405

        Generalmente joder con los archivos del deep freeze termina…

        Generalmente joder con los archivos del deep freeze termina cagandote la vida, al menos que sepas exactamente lo que haces.

        No se que version estaras hablando, pero me late que era la version 3 o inferior.

    • Favorito #1860701

      Te falta un detalle, no se los dejes usar a nadie, entonces…

      Te falta un detalle, no se los dejes usar a nadie, entonces seran seguros, en cuanto le pongan las manos encima se acabó la seguridad, todo a tomar por saco, lo mas inseguro es el que va a teclear,

      PD.- "se procederá a formatear el HD, desea continuar, y/n ......., no le hice nada al PC,yo solo le dí a todo que "yes",no creo que fuera culpa mia..."

          • Favorito #1867545

            No pero resturar la copia( el efecto es el mismo), tal cual…

            No pero resturar la copia( el efecto es el mismo), tal cual se compro si se puede, y despues quien vuelve a instalar todo, configurar red,etc,etc,

          • Favorito #1871581

            Pero si la BIOS tiene contraseña y ni la disquetera ni el CD…

            Pero si la BIOS tiene contraseña y ni la disquetera ni el CD están puestos para arrancar desde ellos, y sin poder abrir el ordenador...

            ¿Que harías?

          • Favorito #1871823

            Muy sencillo, en el caso que plantea el chico del inicio…

            Muy sencillo, en el caso que plantea el chico del inicio tiene la unidad D: sin Freezear, por lo que el virus si se coloca en el D: se queda vivito y coleando todo el tiempo que quiera.

            La diferencia es que si el registro se mantiene intacto cada vez que reinicia, el virus estaria en D: pero sin iniciarse. Quien dice virus, dice software malintencionado que no detecta en ese momento el antivirus.

            Ademas, no recuerdo ahora muy bien como trabajaba, pero creo que por ejemplo como te cargues un .SYS temporal que crea en C: (ahora no recuerdo), el OS ya no arranca. Quizás en vesriones anteriores, que hace años que no lo uso.

            • Favorito #1872080

              Mirando por internet dice que eso era en versiones…

              Mirando por internet dice que eso era en versiones anteriores, que en teoría la versión 6 solo se puede hacer arrancado desde un CD o DVD.

              Pero si pones password a la BIOS para que no se puedan cambiar las opciones de arranque, creo que ya sería imposible (sin acceso físico).

              • Favorito #1881570

                El único talón de aquiles es la función F12 de algunos BIOS…

                El único talón de aquiles es la función F12 de algunos BIOS que te permite elegir el orden de booteo... en algunos sólo está limitado según la restricción del SETUP... en otros lo ignora olímpicamente y puedes elegir a gusto.

                En el caso que el orden de booteo es restringible, creo que no hay forma de jugar con el DeepFreeze.

                En el caso de que el malware esté en el D, el antivirus debería detectarlo, incluso si es un rootkit.
                El propósito de esta configuración es principalmente evitar que algún software no deseado quede residente en el sistema.

              • Favorito #1894753

                El otro talon de aquiles es lo que menciono en el post…

                El otro talon de aquiles es lo que menciono en el post principal: BIOS y KERNEL ROOTKITS.

                Esos son los mas peligrosos y quedan residentes incluso con el DeepFreeze corriendo ya que bypassean el HOOK masivo que hace el programa en el disco duro.
                Pero justamente este peligro lo puedes eliminar restringiendo el acceso a la cuenta del Administrador, le creas una cuenta con menor privilegios y le cambias la contraseña del Administrador.

                Saludos,