[Por Diego Calleja] Otro fallo de diseño de Windows

En realidad no es nada nuevo, pero de esta manera el título resulta mucho
más sensacionalista. Me refiero a autorun.ini.

Como todo el mundo sabe, autorun.ini es el archivo donde se especifica qué
programa se va a iniciar al insertar un CD. Es decir, si tienes un
abracadabra.exe, puedes meterlo en un CD, y añadir un autorun.ini que
ordene a windows ejecutar ese programa.

Problema: ¿Qué ocurre si abracadabra.exe es un virus? Respuesta: El virus
se ejecuta automáticamente y el usuario queda infectado sin poder hacer
nada. Voilá, c'est una nueva forma de ser infectado.

Si unimos este fallo de windows a la ingeniería social conseguimos
resultados muy divertidos. Ejemplo: ¿Quieres meter un virus a alguien, en
una empresa o donde sea? Muy sencillo: Graba unos cuantos CDs con el
troyano y su autorun.ini. No le pongas ningun nombre con rotulador
permanente. A continuación, coge el CD, consigue de algun modo acercarte a
la localización física del ordenador que quieres infectar, y deja
discretamente el CD en cualquier lado, y vete.

"Vaya, ¿qué hace aquí este CD? Yo no recuerdo haberlo dejado aquí...¿quizás
sea el CD de la pelicula que tengo que dar a Fulano y que grabé y traje
esta mañana? No, no lo he sacado del coche, y además yo no utilizo esta
marca de CDs. ¿Qué será? Voy a meterlo en el ordenador a ver que tiene..."

Estoy seguro que la imaginación del lector sabrá hacer el resto.

"BUENO DIEGO xDDDd PERO AL MENOS WINDOWS TIENE ALGO PARA QUE SE EJECUTEN
PROGRAMAS AUTOMÁTICAMENTE NO COMO LINUX xxXDDDDddd ZPMASÓN"

Si. Pero eso no lo hace menos chapuza. autorun.ini podría ejercer su
funcionalidad perfectamente sin tener que recurrir a chapuzas como permitir
que un programa se autoejecute. autorun.ini debería ser un archivo donde se
describieran qué quiere hacer el CD: instalar un programa, arrancar una
presentación, etc.

Pero NUNCA ejecutar un programa. Esto es algo bastante dificil de asimilar
para los Redmonianos, pero un instalador no tiene porque ser un ejecutable.
Puede ser, y debería haber sido siempre, un .msi: Un archivo de datos que
son leidos por un programa ya residente en el disco duro. Podría haber
sido, en un mundo hipotetico en el que Microsoft inventa el Macromedia
Flash y lo incluye por defecto en Windows, un .swf. Un .doc, un .ppt. Un
.msi, que dice al instalador de Windows que muestre información sobre la
empresa, que ponga un .bmp del logo de la empresa en el instalador: Decirle
a alguien que haga cosas, no hacerlas por si mismo. Debido al trágico y
vergonzoso estado de los instaladores de windows, éstos son puros
ejecutables que con frecuencia destrozan al sistema operativo (el infierno
de las dll se creó porque los instaladores eran programas de terceros que
no sabían nada sobre otros programas instalados ni sobre qué dlls eran
necesarias ni nada, algo que si puede saber el actual instlador de windows
MSI, una mala copia de dpkg)

Es decir, autorun podría ser perfectamente una descripcion de los
contenidos del CD. Incluso podría incluir para cada dato una URL (que
enlace a la web o a un .msi del propio disco) por si el usuario no tiene el
programa capaz de leer los datos. Así, si windows no es capaz de leer el
tipo de datos que contiene el CD, Windows puede preguntar al usuario:
"Necesita el programa X para ver este CD. ¿Quiere instalarlo?"

Y si, esa URL podría apuntar a un troyano. La diferencia es que el usuario
decide y el proceso no es automático, y por lo tanto se puede mejorar la
información que se da al usuario durante el proceso de decision para
optimizar la decisión. Ejemplo: El mensaje anterior no sería tan simple,
añadiría: "ADVERTENCIA: Si no está usted seguro de que el programa que
necesita para ver el contenido de este CD es un virus...". O se
desactivaría simplemente si no quieres riesgos, o se requiere que haya un
antivirus que lo analize previamente a traves de una API de antivirus
añadida por Micros~1. Cualquier cosa mejor que ejecutar automáticamente
algo que ni tan siquiera sabes que es. Por último he de decir que esta
maravilla del autorun.ini solo se limita a unidades en discos duros y cds,
no valen llaves USB, y eso creo que es debido a que hace un tiempo se pudo
explotar este sistema a través de carpetas montadas remotamente o algo asi.
Sino, vaya usted a saber. Y Windows Vista traerá esta maravilla, y su
sucesor apuesto que tambien. Estos "genios" son los encargados de crear el
sistema operativo más utilizado del mundo, que por supuesto mantiene su
cuota porque el resto de empresas del mundo mundial no saben competir con
Micros~1. Si. Va a ser eso.

Escrito por: Diego Calleja
http://diegocg.blogspot.com/2006/10...ndows.html

En realidad no es nada nuevo, pero de esta manera el título resulta mucho
más sensacionalista. Me refiero a autorun.ini.

Como todo el mundo sabe, autorun.ini es el archivo donde se especifica qué
programa se va a iniciar al insertar un CD. Es decir, si tienes un
abracadabra.exe, puedes meterlo en un CD, y añadir un autorun.ini que
ordene a windows ejecutar ese programa.

Problema: ¿Qué ocurre si abracadabra.exe es un virus? Respuesta: El virus
se ejecuta automáticamente y el usuario queda infectado sin poder hacer
nada. Voilá, c'est una nueva forma de ser infectado.

Si unimos este fallo de windows a la ingeniería social conseguimos
resultados muy divertidos. Ejemplo: ¿Quieres meter un virus a alguien, en
una empresa o donde sea? Muy sencillo: Graba unos cuantos CDs con el
troyano y su autorun.ini. No le pongas ningun nombre con rotulador
permanente. A continuación, coge el CD, consigue de algun modo acercarte a
la localización física del ordenador que quieres infectar, y deja
discretamente el CD en cualquier lado, y vete.

"Vaya, ¿qué hace aquí este CD? Yo no recuerdo haberlo dejado aquí...¿quizás
sea el CD de la pelicula que tengo que dar a Fulano y que grabé y traje
esta mañana? No, no lo he sacado del coche, y además yo no utilizo esta
marca de CDs. ¿Qué será? Voy a meterlo en el ordenador a ver que tiene..."

Estoy seguro que la imaginación del lector sabrá hacer el resto.

"BUENO DIEGO xDDDd PERO AL MENOS WINDOWS TIENE ALGO PARA QUE SE EJECUTEN
PROGRAMAS AUTOMÁTICAMENTE NO COMO LINUX xxXDDDDddd ZPMASÓN"

Si. Pero eso no lo hace menos chapuza. autorun.ini podría ejercer su
funcionalidad perfectamente sin tener que recurrir a chapuzas como permitir
que un programa se autoejecute. autorun.ini debería ser un archivo donde se
describieran qué quiere hacer el CD: instalar un programa, arrancar una
presentación, etc.

Pero NUNCA ejecutar un programa. Esto es algo bastante dificil de asimilar
para los Redmonianos, pero un instalador no tiene porque ser un ejecutable.
Puede ser, y debería haber sido siempre, un .msi: Un archivo de datos que
son leidos por un programa ya residente en el disco duro. Podría haber
sido, en un mundo hipotetico en el que Microsoft inventa el Macromedia
Flash y lo incluye por defecto en Windows, un .swf. Un .doc, un .ppt. Un
.msi, que dice al instalador de Windows que muestre información sobre la
empresa, que ponga un .bmp del logo de la empresa en el instalador: Decirle
a alguien que haga cosas, no hacerlas por si mismo. Debido al trágico y
vergonzoso estado de los instaladores de windows, éstos son puros
ejecutables que con frecuencia destrozan al sistema operativo (el infierno
de las dll se creó porque los instaladores eran programas de terceros que
no sabían nada sobre otros programas instalados ni sobre qué dlls eran
necesarias ni nada, algo que si puede saber el actual instlador de windows
MSI, una mala copia de dpkg)

Es decir, autorun podría ser perfectamente una descripcion de los
contenidos del CD. Incluso podría incluir para cada dato una URL (que
enlace a la web o a un .msi del propio disco) por si el usuario no tiene el
programa capaz de leer los datos. Así, si windows no es capaz de leer el
tipo de datos que contiene el CD, Windows puede preguntar al usuario:
"Necesita el programa X para ver este CD. ¿Quiere instalarlo?"

Y si, esa URL podría apuntar a un troyano. La diferencia es que el usuario
decide y el proceso no es automático, y por lo tanto se puede mejorar la
información que se da al usuario durante el proceso de decision para
optimizar la decisión. Ejemplo: El mensaje anterior no sería tan simple,
añadiría: "ADVERTENCIA: Si no está usted seguro de que el programa que
necesita para ver el contenido de este CD es un virus...". O se
desactivaría simplemente si no quieres riesgos, o se requiere que haya un
antivirus que lo analize previamente a traves de una API de antivirus
añadida por Micros~1. Cualquier cosa mejor que ejecutar automáticamente
algo que ni tan siquiera sabes que es. Por último he de decir que esta
maravilla del autorun.ini solo se limita a unidades en discos duros y cds,
no valen llaves USB, y eso creo que es debido a que hace un tiempo se pudo
explotar este sistema a través de carpetas montadas remotamente o algo asi.
Sino, vaya usted a saber. Y Windows Vista traerá esta maravilla, y su
sucesor apuesto que tambien. Estos "genios" son los encargados de crear el
sistema operativo más utilizado del mundo, que por supuesto mantiene su
cuota porque el resto de empresas del mundo mundial no saben competir con
Micros~1. Si. Va a ser eso.

Escrito por: Diego Calleja
http://diegocg.blogspot.com/2006/10...ndows.html

En realidad no es nada nuevo, pero de esta manera el título resulta mucho
más sensacionalista. Me refiero a autorun.ini.

Como todo el mundo sabe, autorun.ini es el archivo donde se especifica qué
programa se va a iniciar al insertar un CD. Es decir, si tienes un
abracadabra.exe, puedes meterlo en un CD, y añadir un autorun.ini que
ordene a windows ejecutar ese programa.

Problema: ¿Qué ocurre si abracadabra.exe es un virus? Respuesta: El virus
se ejecuta automáticamente y el usuario queda infectado sin poder hacer
nada. Voilá, c'est una nueva forma de ser infectado.

Si unimos este fallo de windows a la ingeniería social conseguimos
resultados muy divertidos. Ejemplo: ¿Quieres meter un virus a alguien, en
una empresa o donde sea? Muy sencillo: Graba unos cuantos CDs con el
troyano y su autorun.ini. No le pongas ningun nombre con rotulador
permanente. A continuación, coge el CD, consigue de algun modo acercarte a
la localización física del ordenador que quieres infectar, y deja
discretamente el CD en cualquier lado, y vete.

"Vaya, ¿qué hace aquí este CD? Yo no recuerdo haberlo dejado
aquí...¿quizás
sea el CD de la pelicula que tengo que dar a Fulano y que grabé y traje
esta mañana? No, no lo he sacado del coche, y además yo no utilizo esta
marca de CDs. ¿Qué será? Voy a meterlo en el ordenador a ver que tiene..."

Estoy seguro que la imaginación del lector sabrá hacer el resto.

"BUENO DIEGO xDDDd PERO AL MENOS WINDOWS TIENE ALGO PARA QUE SE EJECUTEN
PROGRAMAS AUTOMÁTICAMENTE NO COMO LINUX xxXDDDDddd ZPMASÓN"

Si. Pero eso no lo hace menos chapuza. autorun.ini podría ejercer su
funcionalidad perfectamente sin tener que recurrir a chapuzas como
permitir
que un programa se autoejecute. autorun.ini debería ser un archivo donde
se
describieran qué quiere hacer el CD: instalar un programa, arrancar una
presentación, etc.

Pero NUNCA ejecutar un programa. Esto es algo bastante dificil de asimilar
para los Redmonianos, pero un instalador no tiene porque ser un
ejecutable.
Puede ser, y debería haber sido siempre, un .msi: Un archivo de datos que
son leidos por un programa ya residente en el disco duro. Podría haber
sido, en un mundo hipotetico en el que Microsoft inventa el Macromedia
Flash y lo incluye por defecto en Windows, un .swf. Un .doc, un .ppt. Un
.msi, que dice al instalador de Windows que muestre información sobre la
empresa, que ponga un .bmp del logo de la empresa en el instalador:
Decirle
a alguien que haga cosas, no hacerlas por si mismo. Debido al trágico y
vergonzoso estado de los instaladores de windows, éstos son puros
ejecutables que con frecuencia destrozan al sistema operativo (el infierno
de las dll se creó porque los instaladores eran programas de terceros que
no sabían nada sobre otros programas instalados ni sobre qué dlls eran
necesarias ni nada, algo que si puede saber el actual instlador de windows
MSI, una mala copia de dpkg)

Es decir, autorun podría ser perfectamente una descripcion de los
contenidos del CD. Incluso podría incluir para cada dato una URL (que
enlace a la web o a un .msi del propio disco) por si el usuario no tiene
el
programa capaz de leer los datos. Así, si windows no es capaz de leer el
tipo de datos que contiene el CD, Windows puede preguntar al usuario:
"Necesita el programa X para ver este CD. ¿Quiere instalarlo?"

Y si, esa URL podría apuntar a un troyano. La diferencia es que el usuario
decide y el proceso no es automático, y por lo tanto se puede mejorar la
información que se da al usuario durante el proceso de decision para
optimizar la decisión. Ejemplo: El mensaje anterior no sería tan simple,
añadiría: "ADVERTENCIA: Si no está usted seguro de que el programa que
necesita para ver el contenido de este CD es un virus...". O se
desactivaría simplemente si no quieres riesgos, o se requiere que haya un
antivirus que lo analize previamente a traves de una API de antivirus
añadida por Micros~1. Cualquier cosa mejor que ejecutar automáticamente
algo que ni tan siquiera sabes que es. Por último he de decir que esta
maravilla del autorun.ini solo se limita a unidades en discos duros y cds,
no valen llaves USB, y eso creo que es debido a que hace un tiempo se pudo
explotar este sistema a través de carpetas montadas remotamente o algo
asi.
Sino, vaya usted a saber. Y Windows Vista traerá esta maravilla, y su
sucesor apuesto que tambien. Estos "genios" son los encargados de crear el
sistema operativo más utilizado del mundo, que por supuesto mantiene su
cuota porque el resto de empresas del mundo mundial no saben competir con
Micros~1. Si. Va a ser eso.

Escrito por: Diego Calleja
http://diegocg.blogspot.com/2006/10...ndows.html

En realidad no es nada nuevo, pero de esta manera el título resulta mucho
más sensacionalista. Me refiero a autorun.ini.

Como todo el mundo sabe, autorun.ini es el archivo donde se especifica qué
programa se va a iniciar al insertar un CD. Es decir, si tienes un
abracadabra.exe, puedes meterlo en un CD, y añadir un autorun.ini que
ordene a windows ejecutar ese programa.

Problema: ¿Qué ocurre si abracadabra.exe es un virus? Respuesta: El virus
se ejecuta automáticamente y el usuario queda infectado sin poder hacer
nada. Voilá, c'est una nueva forma de ser infectado.

Si unimos este fallo de windows a la ingeniería social conseguimos
resultados muy divertidos. Ejemplo: ¿Quieres meter un virus a alguien, en
una empresa o donde sea? Muy sencillo: Graba unos cuantos CDs con el
troyano y su autorun.ini. No le pongas ningun nombre con rotulador
permanente. A continuación, coge el CD, consigue de algun modo acercarte a
la localización física del ordenador que quieres infectar, y deja
discretamente el CD en cualquier lado, y vete.

"Vaya, ¿qué hace aquí este CD? Yo no recuerdo haberlo dejado
aquí...¿quizás
sea el CD de la pelicula que tengo que dar a Fulano y que grabé y traje
esta mañana? No, no lo he sacado del coche, y además yo no utilizo esta
marca de CDs. ¿Qué será? Voy a meterlo en el ordenador a ver que tiene..."

Estoy seguro que la imaginación del lector sabrá hacer el resto.

"BUENO DIEGO xDDDd PERO AL MENOS WINDOWS TIENE ALGO PARA QUE SE EJECUTEN
PROGRAMAS AUTOMÁTICAMENTE NO COMO LINUX xxXDDDDddd ZPMASÓN"

Si. Pero eso no lo hace menos chapuza. autorun.ini podría ejercer su
funcionalidad perfectamente sin tener que recurrir a chapuzas como
permitir
que un programa se autoejecute. autorun.ini debería ser un archivo donde
se
describieran qué quiere hacer el CD: instalar un programa, arrancar una
presentación, etc.

Pero NUNCA ejecutar un programa. Esto es algo bastante dificil de asimilar
para los Redmonianos, pero un instalador no tiene porque ser un
ejecutable.
Puede ser, y debería haber sido siempre, un .msi: Un archivo de datos que
son leidos por un programa ya residente en el disco duro. Podría haber
sido, en un mundo hipotetico en el que Microsoft inventa el Macromedia
Flash y lo incluye por defecto en Windows, un .swf. Un .doc, un .ppt. Un
.msi, que dice al instalador de Windows que muestre información sobre la
empresa, que ponga un .bmp del logo de la empresa en el instalador:
Decirle
a alguien que haga cosas, no hacerlas por si mismo. Debido al trágico y
vergonzoso estado de los instaladores de windows, éstos son puros
ejecutables que con frecuencia destrozan al sistema operativo (el infierno
de las dll se creó porque los instaladores eran programas de terceros que
no sabían nada sobre otros programas instalados ni sobre qué dlls eran
necesarias ni nada, algo que si puede saber el actual instlador de windows
MSI, una mala copia de dpkg)

Es decir, autorun podría ser perfectamente una descripcion de los
contenidos del CD. Incluso podría incluir para cada dato una URL (que
enlace a la web o a un .msi del propio disco) por si el usuario no tiene
el
programa capaz de leer los datos. Así, si windows no es capaz de leer el
tipo de datos que contiene el CD, Windows puede preguntar al usuario:
"Necesita el programa X para ver este CD. ¿Quiere instalarlo?"

Y si, esa URL podría apuntar a un troyano. La diferencia es que el usuario
decide y el proceso no es automático, y por lo tanto se puede mejorar la
información que se da al usuario durante el proceso de decision para
optimizar la decisión. Ejemplo: El mensaje anterior no sería tan simple,
añadiría: "ADVERTENCIA: Si no está usted seguro de que el programa que
necesita para ver el contenido de este CD es un virus...". O se
desactivaría simplemente si no quieres riesgos, o se requiere que haya un
antivirus que lo analize previamente a traves de una API de antivirus
añadida por Micros~1. Cualquier cosa mejor que ejecutar automáticamente
algo que ni tan siquiera sabes que es. Por último he de decir que esta
maravilla del autorun.ini solo se limita a unidades en discos duros y cds,
no valen llaves USB, y eso creo que es debido a que hace un tiempo se pudo
explotar este sistema a través de carpetas montadas remotamente o algo
asi.
Sino, vaya usted a saber. Y Windows Vista traerá esta maravilla, y su
sucesor apuesto que tambien. Estos "genios" son los encargados de crear el
sistema operativo más utilizado del mundo, que por supuesto mantiene su
cuota porque el resto de empresas del mundo mundial no saben competir con
Micros~1. Si. Va a ser eso.

Escrito por: Diego Calleja
http://diegocg.blogspot.com/2006/10...ndows.html