domingo, mayo 20, 2007

¡Vista falla! o ¡Me falla la “Vista”!

Han pasado más de 100 días y se sigue buscando ese fallo. Se han descubierto vulnerabilidades del tipo: “Si tienes conectado el altavoz de tu ordenador y está corriendo el reconocedor de voz, alguien te podía pasar un mp3 o ponerlo como archivo de audio en una página web como fondo, y podría dar todas las órdenes en ese archivo que fueran necesarias para gestionar tu sistema”. Sí, es cierto, sólo que además tiene que estar en el mismo idioma el atacante y el sistema operativo… además de hablar más o menos parecido, si no, sería como un milagro no tener que enseñarle al reconocedor. Otro vector de ataque sería que alguien te grabe con un magnetofón al más puro estilo “Mortadelo y Filemón” y luego componga con tu voz un montaje para gobernar el sistema. Yo, por si acaso he decidido dejar de utilizar la palabra ACEPTAR en público por si alguien me la graba, no vaya a ser que tengamos un disgusto. Se confirma también que una denegación de servicio puede darse también si trabajas en verano con la ventana de tu habitación abierta y algún chaval, jugando al fútbol en la calle, le grita a su amigo Formatear que le pase el balón a su colega Sistema, algo así como “¡Formatear a Sistema!” y zas, la fastidiamos. El expediente de seguridad para este fallo está disponible bajo el siguiente bugtraq id: 22359

El último bug que ha afectado a la plataforma Windows ha sido el del fallo del famoso ANI, en las plataformas que estuvieran sin parchear. Microsoft rompió el ciclo para arreglar este fallo debido a la facilidad de explotarlo, la criticidad y el amplio espectro de malware que se estaba generando. Pero no a todas afectaba igual; mientras que en Windows XP se podían ejecutar archivos descargados, en Windows Vista no se podía ejecutar nada, ya que los mecanismos de defensa funcionaban en profundidad. Eso sí, se podría hacer una Denegación de Servicio sobre Explorer, cosa poco interesante para un atacante cuyo objetivo sea troyanizar la máquina y hacer de ella un zombie o robar credenciales bancarias.

A principios de Abril, coincidiendo (casi) con el día de los Santos Inocentes en Estados Unidos, se planteó para el día 2 “La Semana de los Fallos de Windows Vista”. El objetivo era similar al que se consiguió con “El Mes de los Fallos de Apple”, aunque para los técnicoless, esa raza que vive de percepciones y de modas, todas estas tecnologías sigan siendo mejores que ninguna otra sólo porque sí, o “El Mes de los Fallos de PHP” o “El Mes de los Fallos de los Navegadores” o “El Mes de los Fallos del Kernel” o “El Mes de los Fallos de Myspace” o “La Semana de los Fallos de Oracle Database” (esta última cancelada por “presiones de responsabilidad” – según su organizador).

La iniciativa comenzó con un supuesto fallo en el Firewall de Windows Vista que fue presentado con un montón de capturas y pruebas que no tenían ni pies ni cabeza. Muchos de nosotros llegamos a pensar que podía ser posible, incluido yo, pero manteníamos una prudencia tensa por lo que pudiera suponer. “¿Ejecución remota?... pero… ¿y el DEP? y ¿ASLR?”. Para más suspense no publicaron el exploit, aunque supuestamente lo tenían y lo iban a publicar el sábado de esa misma semana. Esto rompía todas las reglas del juego marcadas por estas iniciativas, cuyo objetivo es sacar un exploit de Zero-days cada día.

Ese mismo día confesaron que era una broma, un hoax. Su objetivo, según ellos era hacer un ataque “social” a la gente y ver la repercusión. Muchos de nosotros estuvimos alertados y preocupados, aunque la utilización de M$ en la web no hacía presagiar investigadores “serios” de seguridad a priori.

Previo al comienzo de la semana, estuvieron pidiendo exploits de Windows Vista y no sabemos si recibieron alguno o no. ¿Era realmente éste su objetivo, ser un hoax? ¿No pudo pasar que no encontraran nada? Ya que vas a hacer un hoax, ¿por qué no publicar un mes como con Apple, los Kernels o PHP, en lugar de una semana? ¿Quizás fue una elección a posteriori? ¿Por qué pedir colaboración si no la vas a usar?
Lo más sorprendente es que con la explicación que apareció en la web del supuesto proyecto de investigación alguien lo dio de alta como un expediente de seguridad en Security Focus, una de las bases de datos de expedientes de seguridad más importantes en Internet. A día de hoy el bug aparece en dicho almacén como RETIRED[23255], pero lo preocupante sigue siendo que se dio de alta. Lo cual hace pensar lo peligroso que es el uso de una única fuente de expedientes de seguridad.


Mientras siguen “buscándole los tres valores al bit”, Windows Vista lleva una considerable buena marcha en seguridad con unos resultados, toquemos madera, hasta ahora, muy esperanzadores.

*************************************************************************
Artículo Publicado en Windows TI Magazine número 120 en Mayo de 2007
*************************************************************************

15 comentarios:

  1. Gracias por ofrecer los feed completos, Maligno. Ja era hora ;-)

    ResponderEliminar
  2. Si, pero ahora podríamos perdernos perlas como Maguila Gorila por no tener que entrar en la página...

    ResponderEliminar
  3. Calla, calla Pedro, que es la práctica de una asignatura de la universidad y tenía que darla de alta en google o.... la linko y aire!

    ResponderEliminar
  4. Cuenta como fallo que no haya manera de poder ejecutar "VS 2005 Team Edition for Software Architects" en
    Vista x64 Ultimate?? (Ni con el SP para Vista, ese SP es para x86) Ah! claro, sera como los drives, que los demás no hacen nada, no MS, pero es que en este caso...

    ResponderEliminar
  5. pues si hombre, ojala que Vista le siga los pasos a MSSQL en cuestiones de seguridad

    salu2

    ResponderEliminar
  6. ah, y a mi tambien me parece excelente que tengas los feeds completos

    ResponderEliminar
  7. Hola Spur,

    tranquilo, tus preocupaciones pasarán ;)

    Blacktigerx,

    me lio el señor penyaskito, también he puesto los comentarios.

    Saludos!

    ResponderEliminar
  8. MS demuestra que es una empresa lider. Gracias a Vista tenemos un gran sistema operativo y seguro. A ver si los talibanes del linux dejan de atacarnos.
    De cara al futuro lo que me preocupa son los impacto que pueden tener cosas como vbootkit o la posivilidad mostrada por Alex Ionesco de tocar los procesos protejidos y protejer/desprotejer a voluntad. Aunque se ve que son gente honrada y no han publicado el fuente para que los hackers no puedan hacer ataques con ese codigo.

    ResponderEliminar
  9. Hola anónimo,

    buena reflexión. Casi diría que te conozco.

    Saludos.

    ResponderEliminar
  10. Como se ha devaluado esto del hacking, ahora te mandan una coleccion de mp3 con nombres de canciones del fary y ya controlan tu pc!

    ResponderEliminar
  11. maligno, seguro que no te será complicado reconocer a alguien que escribe posibilidad con V y proteger, desproteger y protegidos con J. por mas que firme como anonimo, poca jente escrivirá tan vien como el...

    ResponderEliminar
  12. maligno, que sabes de un virus que esta arrasando por el msn como la espuma

    ResponderEliminar
  13. @macmarc: ¿El de me he hecho unas fotos? xDD
    La gente pica con cualquier cosa.

    ResponderEliminar
  14. Ostras, ¿qué es eso de Maguila Gorila? Que me da un ataqueeeeeeeeeeeeeeeeee... X''''''''''DDDDDDDDDDDDDDDDDDDDDDDDD ¿Forma parte de un nuevo reto hacking? :-PPPP

    Alex Ionescu no habrá publicado el código fuente de su prueba de concepto sobre la (des)protección de procesos, pero no veo complicado aplicarle ingeniería inversa para observar lo que hace: cuando entras al kernel, ya no hay stop. (No rima, pero digo yo que está claro por dónde va la cosa.) Por supuesto, en Vista x64, a menos que el driver esté firmado digitalmente u obligas a deshabilitar la comprobación de firmas con F8 en el arranque, te fastidias como Herodes.

    ResponderEliminar
  15. La gente debe ir bastante quemailla.

    ResponderEliminar