(OT) Sistema comprometido: "derribar y reconstruir"

17/05/2004 - 15:09 por EvilAngel | Informe spam
VSantivirus No. 1411 Año 8, lunes 17 de mayo de 2004

Sistema comprometido: "derribar y reconstruir"
http://www.vsantivirus.com/derribar...struir.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy

"La única manera de limpiar un sistema comprometido es derribarlo y
reconstruirlo. Eso es lo correcto. Si usted tiene un sistema que ha
sido comprometido completamente, la única cosa que usted puede hacer
es derribarlo (formatear el disco), y reconstruirlo (reinstalar
Windows y sus aplicaciones)."

En esta frase se resume el artículo firmado por Jesper M. Johansson,
Director del Programa de Seguridad de Microsoft, en su columna de mayo
de 2004 en "Security Management" (ver "Más información").

Por otra parte, en el "Handler's Diary May 16th 2004" (ver "Más
información"), Patrick Nolan del SANS Institute (SANS son las siglas
de SysAdmin, Audit, Network y Security), insiste en que la experiencia
ha demostrado largamente que reconstruir de cero (formatear y
reinstalar), un sistema que ha sido comprometido por cualquier clase
de intrusión, es la mejor práctica. A pesar de ello, todavía existen
algunas personas responsables de la seguridad que prefieren ignorarlo.

Tal vez no sorprenda cuando las quejas de tener que formatear y
reinstalar vengan de usuarios domésticos, ya que es muy común que
éstos se dejen llevar por toda clase de consejos, muchas veces bien
intencionados, pero otros no tanto. Su falta de experiencia, y la
enorme cantidad de información que pueden recibir de la red, puede
fácilmente confundir su sentido común con la comodidad. Incluso el
rechazo puede deberse a su falta de conocimientos para emprender por
si mismos una reinstalación completa del sistema.

Sin embargo, no hay excusas cuando estas quejas vienen de responsables
de sistemas informáticos, tal vez porque admitirlo, también sería una
vergonzosa manera de reconocer que la intrusión ocurrió por su propia
falta de previsión a la hora de instalar parches y/o actualizar los
programas a su cargo.

Pero veamos los puntos fundamentales del artículo de Johansson:

- Usted no limpia un sistema comprometido instalando los parches (si
no lo hizo antes del ataque). Instalar los parches solo quita la
vulnerabilidad. Una vez que un atacante estuvo en su sistema,
probablemente se aseguró de probar o crear otras maneras de volver a
entrar en él.

- Usted no limpia un sistema comprometido eliminando algunas puertas
traseras. Nunca podrá estar seguro de quitar todas las puertas
traseras que el atacante pudo dejar.

- Usted nunca limpiará correctamente un sistema comprometido
utilizando algunos "removedores de la vulnerabilidad". Varios
vendedores, incluido Microsoft, publicaron herramientas para remover
el Blaster (y el Sasser). ¿Puede confiar en un sistema que tuvo el
Blaster, después de ejecutar esa herramienta? Si el sistema era
vulnerable al Blaster, era también vulnerable a muchos otros ataques.
¿Puede garantizar que ninguno de ésos ataques se ha producido?

- Si usted puede garantizar que lo único que comprometió al sistema
fue determinado virus o gusano y usted sabe que este virus no tiene
puertas traseras, y además la vulnerabilidad utilizada por el virus no
estaba disponible en forma remota, entonces el escaneo con un
antivirus puede ser empleado para limpiar el sistema. Por ejemplo,
esto puede ocurrir cuando el gusano se ejecuta por la acción directa o
indirecta del usuario (abrir un mensaje y/o un adjunto, hacer doble
clic sobre un archivo). Sin embargo, si la vulnerabilidad utilizada
por el gusano estaba disponible en forma remota sin acción alguna de
parte del usuario (cómo ocurre con el Blaster y el Sasser), entonces
usted no puede tener ninguna garantía de que ese gusano fue la única
cosa que utilizó dicha vulnerabilidad.

- Usted no puede limpiar un sistema comprometido reinstalándolo sobre
el actual. El atacante puede haber dejado archivos que engañen al
instalador. Si ello sucede la simple reinstalación no quitará los
elementos comprometidos. Además, el atacante pudo dejar puertas
traseras en componentes que no son del sistema operativo.

- Usted no puede confiar en ninguno de los datos copiados desde un
sistema comprometido. Una vez que un atacante entra al sistema, todos
los datos corren el riesgo de ser modificados. En el mejor de los
casos, copiando estos datos en un sistema limpio, obtendrá información
potencialmente no confiable. En el peor de los casos, puede estar
copiando una puerta trasera escondida en los datos.

- Usted no puede confiar en los registros de un sistema comprometido.
Al obtener el acceso completo a un sistema, es sencillo para un
atacante modificar los registros para cubrir cualquier rastro. Si
depende de los logs de eventos para saber que le han hecho a su
sistema, usted puede estar leyendo lo que el atacante quiere que usted
lea.

- Usted no puede confiar en su último respaldo. ¿Cómo puede estar
seguro del momento en que empezó el ataque original? Los registros no
son confiables como para decirlo. Sin esa información, su último
respaldo es inútil. Puede ser un respaldo que incluye todas las
puertas traseras instaladas por el atacante.

- La única manera de limpiar un sistema comprometido por un ataque,
deberá ser formatear y reinstalar. Si usted tiene un sistema que ha
sido comprometido completamente, la única cosa que usted puede hacer
es derribarlo (formatear el disco), y reconstruirlo (reinstalar
Windows y sus aplicaciones).

Los últimos casos concretos sobre este tema, han sido protagonizados
por el ya comentado gusano Blaster (Lovsan), y más recientemente por
el Sasser y la secuela de gusanos que se valen de las mismas
vulnerabilidades que utilizan estos dos. Infecciones de este tipo
obligan a un formateo y reinstalación de Windows.

De todo esto, debería quedarnos como lección, que tal situación podría
haberse evitado si se hubieran instalado de inmediato los parches
necesarios, publicados en ambos casos, varias semanas antes de
cualquier ataque conocido.

Por último, también recomendamos un interesante artículo publicado por
José Manuel Tella Llop, reconocido profesional, betatester y asiduo
participante de los foros de Microsoft, que expone de manera clara
muchos de los aspectos aquí tratados, junto a otros no menos
trascendentes, y enfocados al usuario doméstico (ver "Más
información").


Más información:

Security Management - May 2004
Help: I Got Hacked. Now What Do I Do? (Jesper M. Johansson)
http://www.microsoft.com/technet/co...m0504.mspx

El gusano Sasser, las lecciones no aprendidas
http://www.vsantivirus.com/02-05-04.htm

Preguntas frecuentes sobre el Sasser
http://www.vsantivirus.com/faq-sasser.htm

Preguntas frecuentes sobre el Lovsan (Blaster)
http://www.vsantivirus.com/faq-lovsan.htm

Sobre las nuevas maneras de extraer información de nuestras máquinas
(José Manuel Tella Llop)
http://www.multingles.net/docs/sasser.htm

SANS ISC (once again) and Microsoft - Flatten Compromised Systems
www.incidents.org/diary.php?isc‚773c7c9b37e2183236802b55e4a948

Mailbag: Cleanup Woes (Johannes Ullrich)
www.incidents.org/diary.php?date 04-05-05&isc82773c7c9b37e2183236802b55e4a948





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

Never its mysteries are exposed, to the weak human eye unclosed... E.A.P.
 

Leer las respuestas

#1 JM Tella Llop [MVP Windows]
17/05/2004 - 15:53 | Informe spam
y luego.. lo discutiran encima.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"EvilAngel" wrote in message news:

VSantivirus No. 1411 Año 8, lunes 17 de mayo de 2004

Sistema comprometido: "derribar y reconstruir"
http://www.vsantivirus.com/derribar...struir.htm

Por Jose Luis Lopez


"La única manera de limpiar un sistema comprometido es derribarlo y
reconstruirlo. Eso es lo correcto. Si usted tiene un sistema que ha
sido comprometido completamente, la única cosa que usted puede hacer
es derribarlo (formatear el disco), y reconstruirlo (reinstalar
Windows y sus aplicaciones)."

En esta frase se resume el artículo firmado por Jesper M. Johansson,
Director del Programa de Seguridad de Microsoft, en su columna de mayo
de 2004 en "Security Management" (ver "Más información").

Por otra parte, en el "Handler's Diary May 16th 2004" (ver "Más
información"), Patrick Nolan del SANS Institute (SANS son las siglas
de SysAdmin, Audit, Network y Security), insiste en que la experiencia
ha demostrado largamente que reconstruir de cero (formatear y
reinstalar), un sistema que ha sido comprometido por cualquier clase
de intrusión, es la mejor práctica. A pesar de ello, todavía existen
algunas personas responsables de la seguridad que prefieren ignorarlo.

Tal vez no sorprenda cuando las quejas de tener que formatear y
reinstalar vengan de usuarios domésticos, ya que es muy común que
éstos se dejen llevar por toda clase de consejos, muchas veces bien
intencionados, pero otros no tanto. Su falta de experiencia, y la
enorme cantidad de información que pueden recibir de la red, puede
fácilmente confundir su sentido común con la comodidad. Incluso el
rechazo puede deberse a su falta de conocimientos para emprender por
si mismos una reinstalación completa del sistema.

Sin embargo, no hay excusas cuando estas quejas vienen de responsables
de sistemas informáticos, tal vez porque admitirlo, también sería una
vergonzosa manera de reconocer que la intrusión ocurrió por su propia
falta de previsión a la hora de instalar parches y/o actualizar los
programas a su cargo.

Pero veamos los puntos fundamentales del artículo de Johansson:

- Usted no limpia un sistema comprometido instalando los parches (si
no lo hizo antes del ataque). Instalar los parches solo quita la
vulnerabilidad. Una vez que un atacante estuvo en su sistema,
probablemente se aseguró de probar o crear otras maneras de volver a
entrar en él.

- Usted no limpia un sistema comprometido eliminando algunas puertas
traseras. Nunca podrá estar seguro de quitar todas las puertas
traseras que el atacante pudo dejar.

- Usted nunca limpiará correctamente un sistema comprometido
utilizando algunos "removedores de la vulnerabilidad". Varios
vendedores, incluido Microsoft, publicaron herramientas para remover
el Blaster (y el Sasser). ¿Puede confiar en un sistema que tuvo el
Blaster, después de ejecutar esa herramienta? Si el sistema era
vulnerable al Blaster, era también vulnerable a muchos otros ataques.
¿Puede garantizar que ninguno de ésos ataques se ha producido?

- Si usted puede garantizar que lo único que comprometió al sistema
fue determinado virus o gusano y usted sabe que este virus no tiene
puertas traseras, y además la vulnerabilidad utilizada por el virus no
estaba disponible en forma remota, entonces el escaneo con un
antivirus puede ser empleado para limpiar el sistema. Por ejemplo,
esto puede ocurrir cuando el gusano se ejecuta por la acción directa o
indirecta del usuario (abrir un mensaje y/o un adjunto, hacer doble
clic sobre un archivo). Sin embargo, si la vulnerabilidad utilizada
por el gusano estaba disponible en forma remota sin acción alguna de
parte del usuario (cómo ocurre con el Blaster y el Sasser), entonces
usted no puede tener ninguna garantía de que ese gusano fue la única
cosa que utilizó dicha vulnerabilidad.

- Usted no puede limpiar un sistema comprometido reinstalándolo sobre
el actual. El atacante puede haber dejado archivos que engañen al
instalador. Si ello sucede la simple reinstalación no quitará los
elementos comprometidos. Además, el atacante pudo dejar puertas
traseras en componentes que no son del sistema operativo.

- Usted no puede confiar en ninguno de los datos copiados desde un
sistema comprometido. Una vez que un atacante entra al sistema, todos
los datos corren el riesgo de ser modificados. En el mejor de los
casos, copiando estos datos en un sistema limpio, obtendrá información
potencialmente no confiable. En el peor de los casos, puede estar
copiando una puerta trasera escondida en los datos.

- Usted no puede confiar en los registros de un sistema comprometido.
Al obtener el acceso completo a un sistema, es sencillo para un
atacante modificar los registros para cubrir cualquier rastro. Si
depende de los logs de eventos para saber que le han hecho a su
sistema, usted puede estar leyendo lo que el atacante quiere que usted
lea.

- Usted no puede confiar en su último respaldo. ¿Cómo puede estar
seguro del momento en que empezó el ataque original? Los registros no
son confiables como para decirlo. Sin esa información, su último
respaldo es inútil. Puede ser un respaldo que incluye todas las
puertas traseras instaladas por el atacante.

- La única manera de limpiar un sistema comprometido por un ataque,
deberá ser formatear y reinstalar. Si usted tiene un sistema que ha
sido comprometido completamente, la única cosa que usted puede hacer
es derribarlo (formatear el disco), y reconstruirlo (reinstalar
Windows y sus aplicaciones).

Los últimos casos concretos sobre este tema, han sido protagonizados
por el ya comentado gusano Blaster (Lovsan), y más recientemente por
el Sasser y la secuela de gusanos que se valen de las mismas
vulnerabilidades que utilizan estos dos. Infecciones de este tipo
obligan a un formateo y reinstalación de Windows.

De todo esto, debería quedarnos como lección, que tal situación podría
haberse evitado si se hubieran instalado de inmediato los parches
necesarios, publicados en ambos casos, varias semanas antes de
cualquier ataque conocido.

Por último, también recomendamos un interesante artículo publicado por
José Manuel Tella Llop, reconocido profesional, betatester y asiduo
participante de los foros de Microsoft, que expone de manera clara
muchos de los aspectos aquí tratados, junto a otros no menos
trascendentes, y enfocados al usuario doméstico (ver "Más
información").


Más información:

Security Management - May 2004
Help: I Got Hacked. Now What Do I Do? (Jesper M. Johansson)
http://www.microsoft.com/technet/co...m0504.mspx

El gusano Sasser, las lecciones no aprendidas
http://www.vsantivirus.com/02-05-04.htm

Preguntas frecuentes sobre el Sasser
http://www.vsantivirus.com/faq-sasser.htm

Preguntas frecuentes sobre el Lovsan (Blaster)
http://www.vsantivirus.com/faq-lovsan.htm

Sobre las nuevas maneras de extraer información de nuestras máquinas
(José Manuel Tella Llop)
http://www.multingles.net/docs/sasser.htm

SANS ISC (once again) and Microsoft - Flatten Compromised Systems
www.incidents.org/diary.php?isc‚773c7c9b37e2183236802b55e4a948

Mailbag: Cleanup Woes (Johannes Ullrich)
www.incidents.org/diary.php?date 04-05-05&isc> 82773c7c9b37e2183236802b55e4a948





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

Never its mysteries are exposed, to the weak human eye unclosed... E.A.P.

Preguntas similares