[Articulo] RootKits: ese gran desconocido

Otro para la colección !!! ;-)

Gracias JMT.

Un Saludo,
Amaury B. F.



Colabora en el mantenimiento de
DAKOTABCN.NET
http://dakotabcn.net/colaboracion/


"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:%
ROOTKITS - Ese gran desconocido
-

Se habla mucho en la red sobre la infinidad de metodos existentes para
colocar una trampa explosiva en un sistema con el fin de que los usuario no
tengan ninguna idea de lo que sucede realmente.

Se habla de virus, troyanos, spyware, malware. Sin embargo estos conceptos
estan centrados en "herramientas" que se ejecutan como programas normales
aunque con malevolos resultados y se ocultan en los mismos lugares que
podemos descubrir o que un tecnico o que otro programa puede ver con
relativa facilidad.

Por desgracia los verdaderos atacantes estan ocultos y pueden ser mucho mas
incisivos. Cuando un hacker posee conocimientos profundos de la arquitectura
de un sistema operativo, la completa violacion de la integridad del sistema
puede ser una operacion bastante trivial.

El presente articulo viene a colación de los ultimos gusanos que han
inundado e inundad internet: blaster y sasser, Debido a una vulnerabilidad
del sistema operativo, se podia tomar control de nuestra maquina desde
cualquier otra maquina de internet de una manera manual con solo saber
nuestra IP. Realmente tampoco era necesario saberla ya que se hacian grandes
barridos de direcciones IP para pillar a los incautos.

Hay que resaltar que estas vulnerabilidades y los propios gusanos en si,
salieron mas tarde o mejor dicho a continuacion que Microsoft deistribuyera
los parches de seguridad. Los hacker suelen usar tecnicas de ingenieria
inversa para analizar lo parches y saber a traves de su analisis en que era
vulnerable el sistema operativo. Sabiendo lo anterior ya solo les queda el
hacer un programa que explote dicha vulnerabilidad y a continuacion, otro
submundo de ellos, crean gusanoscomo los anteriores para infectar la red.
Debemos resaltar que esto solo es posible en aquellas maquinas en las que el
usuario es lo bastante temerario como para incumplir dos premisas: no usar
cortafuegos y no usar laos mecanismos de actualizaciones automaticas de los
sistemas operativos. Por desgracia y frente a los ataques e infecciones
masivas, podemos comprobar que los usuarios, en general, cumplen estas dos
premisas.

Per vayamos un poco más: ¿y si los atacantes mezclan el conocimiento de
explotar una vulnerabilidad de este estilo, junto con un conocimineto
profundo del sistema operativo? Esto no es en absoluto descabellado, maxime
cuando dichos atacantes son capaces mediante ingenieria inversa de un parche
el obtener la explotacion de una vulnerabilidad en solamente unos dias. ¿que
ocurriria si a traves de una de estas vulnerabilidades nos introdujesen un
rootkit?


Rootkits

¿que puede llegar a ocurrir si incluso el codigo del sistema operativo cae
bajo el control del atacante?

Esta es una vieja idea que proviene desde la epoca en que las plataformas
unix-linux permiten que el propio usuario puede compilar (y normalmente
"debe" hacerlo) el nucleo del sistema operativo para generar una imagen
optima para su sistema.

Se asigna el nombre de "rootkit" a los paquetes de software que sustituyen a
los troyanos por binarios utilizados frecuentemente por el propio sistema
operativo porque implican el pero compromiso posible e los privilegios de la
maquina atacada.

Los Rootkits de unix-linux se pueden agrupar en cuatro categorias:

1) Troyanos de versiones modificadas de comandos basicos como: login,
netstat y ps, por ejemplo.
2) Puertas traseras tales como las inserciones inetd.
3) Herramientas de escucha de las interfaces de red (sniffers).
4) Limpiadores de los registros del sistema (limpiadores de logs).

Los rootkits de unix-linus son abundantes y podemos verificarlo dandonos un
simple paseo por: http://packetstorm.widexs.nl/UNIX/p.../rootkits/
Tambien en /UNIX/misc en este mismo sitio podremos encotrar algunos paquetes
"interesantes".

La version 5 de Linux Rootkit (LRK5) es una de las mas notables alardeandose
de haber generado versiones de puertas traseras de algunas de las utilidades
mas criticas de la shell (entra las que se incluyen el comando "su", un
"ssh" troyanizado y varios "sniffers").

No se debe dejar pasar por alto que los precursores de los sistemas actuales
(XP / W2003) proviene de NT/W2000 y adquirieron su propio rookit en 1999,
"cortesía" del equipo de Greg Hoglund en http://www.rootkit.com o bien en
http://www.phrack.org

Greg dejó boquiabierta a la comunidad windows al mostrar un prototipo de
trabajo de un rootkit de windows que podia ocultar claves de registro y
efectuar redirecciones de programas .EXE. Opciones que se pueden utilizar
sin mas para convertir en troyanos a archivos ejecutables normales sin
modificar su contenido. Todos los trucos realizados por el rootkit estaban
basados en la tecnica de "funcion enganchada" -establecer un "hook"-. El
sistema era trivial parcheando un nucleo de NT / W2000 / XP de tal forma que
se usurpan las llamadas al sistema: por tanto, el rootkit podrá ocultar un
proceso, clave de registro o archivo o podrá redirigir las llamadas a las
funciones troyanas. El resultado es mucho mas peligroso que el provocado por
un rootkit del estilo troyano: el usuario ya *nunca* podrá estar seguro de
la integridad del codigo que está ejecutando.


¿podemos hacer algo?


Sino podemos confiar en ningun de los comandos o programas, ni tan siquiera
en un simple "dir" (o "ls" en linux), nos ha llegado la hora de arrojar la
toalla: realize una copia de seguridad de sus archivos de datos criticos
(nunca de ejecutables !), limpie completamente su sistema y reinstalelo de
soportes originales. No confiar en las copias de seguridad ni de las
imagenes realizadas ya que nunca sabrá en que momento el atacante ha podido
conseguir el control del sistema.

La comprobacion mediante sumas de codigo (MD5) pueden tomar huella digital
de los archivos y hacernos saber si uno de los archivos originales ha sido
modificado. Sin embargo, la redireccion de ejecutables realizada por ciertos
rootkits en el entorno windows puede anular esta tactica porque el codigo en
cuestion no se modifica, sino solo se engancha y canaliza hacia otro
ejecutable.

La imaginacion queda libre entonces para saber todo lo que pueden hacer a un
usuario domestico y lo que es peor, a redes corporativas, bancos,
instituciones, etc.

Lo mas peligros de cara a una corporacion son los ataques de escucha en una
red comprometida.

¿que nos queda?: pues ademas de la propia seguridad en nuestra maquina, ser
tambien cuidadosos con la seguridad en la red en todos los sentidos: usar
herramientas de cifrado de comunicaciones, tales como Secure Shell (SSH),
Secure Socket Layer (SSL), correo electronico seguro mediante Pretty Good
Privacy (PGP) o un sistema de cifrado de la capa IP como los que
proporcionan los servicion VPN. Esta es la unica forma realmente valida de
rechazar los ataques de escucha en las comunicaciones.

La unica solucion, e resumen, y frente a la gravedad y envergadura de estos
programas maliciosos, indetectables tanto ahora como en el furturo al tener
el control completo o poderlo tener de nuestra maquina y por tanto ser
capaces de enegañar a cualquier otro proceso, es usar el sentido comun:
cortafuegos, sistemas operativos rigurosamente al dia, proteccion completa
de la red y comunicaciones.

A nivel domestico, creo que sobra decir que hay dos herramientas basicas:
firewall (cortafegos) y sistema operativo al dia son totalmente
indispensables. Y herramientas del estilo de antivirus y ad-aware que se
deben ejecutar, pero... ¿estos ultimos nos garantizan algo?: nada en
absoluto ya que efectivamente nos pararan los virus conocidos. Pero por
desgracia, para llegar a ser conocidos, antes habran infectado millones de
maquinas. Por tanto, siempre, y como primera herramienta debemos tener el
"sentido comun": no ejecutar nada que no sea en soporte original o bajado de
webs oficiales (entrañan tambien un pequeño riesgo). No ejecutar por tanto
ningun adjunto del correo. En principio, yo particularmente, elimino todos
los correos con adjuntos, y si se puede establecer una regla en el lector de
correo para ello, es lo mejor. Nunca bajarse nada de las redes P2P. Existen
multitud de gusanos en estas redes, y el instalar simplemente un programa
P2P en nuestra maquina ya nos hace vulnerables. Y sobre todo "sentido
comun": recordemos que nadie en la calle nos regala nada por nada. En la
red. tampoco. Pagaremos un precio por ello.


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Gracias de nuevo!!!





"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:#
ROOTKITS - Ese gran desconocido
-

Se habla mucho en la red sobre la infinidad de metodos existentes para
colocar una trampa explosiva en un sistema con el fin de que los usuario no
tengan ninguna idea de lo que sucede realmente.

Se habla de virus, troyanos, spyware, malware. Sin embargo estos conceptos
estan centrados en "herramientas" que se ejecutan como programas normales
aunque con malevolos resultados y se ocultan en los mismos lugares que
podemos descubrir o que un tecnico o que otro programa puede ver con
relativa facilidad.

Por desgracia los verdaderos atacantes estan ocultos y pueden ser mucho mas
incisivos. Cuando un hacker posee conocimientos profundos de la arquitectura
de un sistema operativo, la completa violacion de la integridad del sistema
puede ser una operacion bastante trivial.

El presente articulo viene a colación de los ultimos gusanos que han
inundado e inundad internet: blaster y sasser, Debido a una vulnerabilidad
del sistema operativo, se podia tomar control de nuestra maquina desde
cualquier otra maquina de internet de una manera manual con solo saber
nuestra IP. Realmente tampoco era necesario saberla ya que se hacian grandes
barridos de direcciones IP para pillar a los incautos.

Hay que resaltar que estas vulnerabilidades y los propios gusanos en si,
salieron mas tarde o mejor dicho a continuacion que Microsoft deistribuyera
los parches de seguridad. Los hacker suelen usar tecnicas de ingenieria
inversa para analizar lo parches y saber a traves de su analisis en que era
vulnerable el sistema operativo. Sabiendo lo anterior ya solo les queda el
hacer un programa que explote dicha vulnerabilidad y a continuacion, otro
submundo de ellos, crean gusanoscomo los anteriores para infectar la red.
Debemos resaltar que esto solo es posible en aquellas maquinas en las que el
usuario es lo bastante temerario como para incumplir dos premisas: no usar
cortafuegos y no usar laos mecanismos de actualizaciones automaticas de los
sistemas operativos. Por desgracia y frente a los ataques e infecciones
masivas, podemos comprobar que los usuarios, en general, cumplen estas dos
premisas.

Per vayamos un poco más: ¿y si los atacantes mezclan el conocimiento de
explotar una vulnerabilidad de este estilo, junto con un conocimineto
profundo del sistema operativo? Esto no es en absoluto descabellado, maxime
cuando dichos atacantes son capaces mediante ingenieria inversa de un parche
el obtener la explotacion de una vulnerabilidad en solamente unos dias. ¿que
ocurriria si a traves de una de estas vulnerabilidades nos introdujesen un
rootkit?


Rootkits

¿que puede llegar a ocurrir si incluso el codigo del sistema operativo cae
bajo el control del atacante?

Esta es una vieja idea que proviene desde la epoca en que las plataformas
unix-linux permiten que el propio usuario puede compilar (y normalmente
"debe" hacerlo) el nucleo del sistema operativo para generar una imagen
optima para su sistema.

Se asigna el nombre de "rootkit" a los paquetes de software que sustituyen a
los troyanos por binarios utilizados frecuentemente por el propio sistema
operativo porque implican el pero compromiso posible e los privilegios de la
maquina atacada.

Los Rootkits de unix-linux se pueden agrupar en cuatro categorias:

1) Troyanos de versiones modificadas de comandos basicos como: login,
netstat y ps, por ejemplo.
2) Puertas traseras tales como las inserciones inetd.
3) Herramientas de escucha de las interfaces de red (sniffers).
4) Limpiadores de los registros del sistema (limpiadores de logs).

Los rootkits de unix-linus son abundantes y podemos verificarlo dandonos un
simple paseo por: http://packetstorm.widexs.nl/UNIX/p.../rootkits/
Tambien en /UNIX/misc en este mismo sitio podremos encotrar algunos paquetes
"interesantes".

La version 5 de Linux Rootkit (LRK5) es una de las mas notables alardeandose
de haber generado versiones de puertas traseras de algunas de las utilidades
mas criticas de la shell (entra las que se incluyen el comando "su", un
"ssh" troyanizado y varios "sniffers").

No se debe dejar pasar por alto que los precursores de los sistemas actuales
(XP / W2003) proviene de NT/W2000 y adquirieron su propio rookit en 1999,
"cortesía" del equipo de Greg Hoglund en http://www.rootkit.com o bien en
http://www.phrack.org

Greg dejó boquiabierta a la comunidad windows al mostrar un prototipo de
trabajo de un rootkit de windows que podia ocultar claves de registro y
efectuar redirecciones de programas .EXE. Opciones que se pueden utilizar
sin mas para convertir en troyanos a archivos ejecutables normales sin
modificar su contenido. Todos los trucos realizados por el rootkit estaban
basados en la tecnica de "funcion enganchada" -establecer un "hook"-. El
sistema era trivial parcheando un nucleo de NT / W2000 / XP de tal forma que
se usurpan las llamadas al sistema: por tanto, el rootkit podrá ocultar un
proceso, clave de registro o archivo o podrá redirigir las llamadas a las
funciones troyanas. El resultado es mucho mas peligroso que el provocado por
un rootkit del estilo troyano: el usuario ya *nunca* podrá estar seguro de
la integridad del codigo que está ejecutando.


¿podemos hacer algo?


Sino podemos confiar en ningun de los comandos o programas, ni tan siquiera
en un simple "dir" (o "ls" en linux), nos ha llegado la hora de arrojar la
toalla: realize una copia de seguridad de sus archivos de datos criticos
(nunca de ejecutables !), limpie completamente su sistema y reinstalelo de
soportes originales. No confiar en las copias de seguridad ni de las
imagenes realizadas ya que nunca sabrá en que momento el atacante ha podido
conseguir el control del sistema.

La comprobacion mediante sumas de codigo (MD5) pueden tomar huella digital
de los archivos y hacernos saber si uno de los archivos originales ha sido
modificado. Sin embargo, la redireccion de ejecutables realizada por ciertos
rootkits en el entorno windows puede anular esta tactica porque el codigo en
cuestion no se modifica, sino solo se engancha y canaliza hacia otro
ejecutable.

La imaginacion queda libre entonces para saber todo lo que pueden hacer a un
usuario domestico y lo que es peor, a redes corporativas, bancos,
instituciones, etc.

Lo mas peligros de cara a una corporacion son los ataques de escucha en una
red comprometida.

¿que nos queda?: pues ademas de la propia seguridad en nuestra maquina, ser
tambien cuidadosos con la seguridad en la red en todos los sentidos: usar
herramientas de cifrado de comunicaciones, tales como Secure Shell (SSH),
Secure Socket Layer (SSL), correo electronico seguro mediante Pretty Good
Privacy (PGP) o un sistema de cifrado de la capa IP como los que
proporcionan los servicion VPN. Esta es la unica forma realmente valida de
rechazar los ataques de escucha en las comunicaciones.

La unica solucion, e resumen, y frente a la gravedad y envergadura de estos
programas maliciosos, indetectables tanto ahora como en el furturo al tener
el control completo o poderlo tener de nuestra maquina y por tanto ser
capaces de enegañar a cualquier otro proceso, es usar el sentido comun:
cortafuegos, sistemas operativos rigurosamente al dia, proteccion completa
de la red y comunicaciones.

A nivel domestico, creo que sobra decir que hay dos herramientas basicas:
firewall (cortafegos) y sistema operativo al dia son totalmente
indispensables. Y herramientas del estilo de antivirus y ad-aware que se
deben ejecutar, pero... ¿estos ultimos nos garantizan algo?: nada en
absoluto ya que efectivamente nos pararan los virus conocidos. Pero por
desgracia, para llegar a ser conocidos, antes habran infectado millones de
maquinas. Por tanto, siempre, y como primera herramienta debemos tener el
"sentido comun": no ejecutar nada que no sea en soporte original o bajado de
webs oficiales (entrañan tambien un pequeño riesgo). No ejecutar por tanto
ningun adjunto del correo. En principio, yo particularmente, elimino todos
los correos con adjuntos, y si se puede establecer una regla en el lector de
correo para ello, es lo mejor. Nunca bajarse nada de las redes P2P. Existen
multitud de gusanos en estas redes, y el instalar simplemente un programa
P2P en nuestra maquina ya nos hace vulnerables. Y sobre todo "sentido
comun": recordemos que nadie en la calle nos regala nada por nada. En la
red. tampoco. Pagaremos un precio por ello.


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Gracias de nuevo!!!





"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:#
ROOTKITS - Ese gran desconocido
-

Se habla mucho en la red sobre la infinidad de metodos existentes para
colocar una trampa explosiva en un sistema con el fin de que los usuario no
tengan ninguna idea de lo que sucede realmente.

Se habla de virus, troyanos, spyware, malware. Sin embargo estos conceptos
estan centrados en "herramientas" que se ejecutan como programas normales
aunque con malevolos resultados y se ocultan en los mismos lugares que
podemos descubrir o que un tecnico o que otro programa puede ver con
relativa facilidad.

Por desgracia los verdaderos atacantes estan ocultos y pueden ser mucho mas
incisivos. Cuando un hacker posee conocimientos profundos de la arquitectura
de un sistema operativo, la completa violacion de la integridad del sistema
puede ser una operacion bastante trivial.

El presente articulo viene a colación de los ultimos gusanos que han
inundado e inundad internet: blaster y sasser, Debido a una vulnerabilidad
del sistema operativo, se podia tomar control de nuestra maquina desde
cualquier otra maquina de internet de una manera manual con solo saber
nuestra IP. Realmente tampoco era necesario saberla ya que se hacian grandes
barridos de direcciones IP para pillar a los incautos.

Hay que resaltar que estas vulnerabilidades y los propios gusanos en si,
salieron mas tarde o mejor dicho a continuacion que Microsoft deistribuyera
los parches de seguridad. Los hacker suelen usar tecnicas de ingenieria
inversa para analizar lo parches y saber a traves de su analisis en que era
vulnerable el sistema operativo. Sabiendo lo anterior ya solo les queda el
hacer un programa que explote dicha vulnerabilidad y a continuacion, otro
submundo de ellos, crean gusanoscomo los anteriores para infectar la red.
Debemos resaltar que esto solo es posible en aquellas maquinas en las que el
usuario es lo bastante temerario como para incumplir dos premisas: no usar
cortafuegos y no usar laos mecanismos de actualizaciones automaticas de los
sistemas operativos. Por desgracia y frente a los ataques e infecciones
masivas, podemos comprobar que los usuarios, en general, cumplen estas dos
premisas.

Per vayamos un poco más: ¿y si los atacantes mezclan el conocimiento de
explotar una vulnerabilidad de este estilo, junto con un conocimineto
profundo del sistema operativo? Esto no es en absoluto descabellado, maxime
cuando dichos atacantes son capaces mediante ingenieria inversa de un parche
el obtener la explotacion de una vulnerabilidad en solamente unos dias. ¿que
ocurriria si a traves de una de estas vulnerabilidades nos introdujesen un
rootkit?


Rootkits

¿que puede llegar a ocurrir si incluso el codigo del sistema operativo cae
bajo el control del atacante?

Esta es una vieja idea que proviene desde la epoca en que las plataformas
unix-linux permiten que el propio usuario puede compilar (y normalmente
"debe" hacerlo) el nucleo del sistema operativo para generar una imagen
optima para su sistema.

Se asigna el nombre de "rootkit" a los paquetes de software que sustituyen a
los troyanos por binarios utilizados frecuentemente por el propio sistema
operativo porque implican el pero compromiso posible e los privilegios de la
maquina atacada.

Los Rootkits de unix-linux se pueden agrupar en cuatro categorias:

1) Troyanos de versiones modificadas de comandos basicos como: login,
netstat y ps, por ejemplo.
2) Puertas traseras tales como las inserciones inetd.
3) Herramientas de escucha de las interfaces de red (sniffers).
4) Limpiadores de los registros del sistema (limpiadores de logs).

Los rootkits de unix-linus son abundantes y podemos verificarlo dandonos un
simple paseo por: http://packetstorm.widexs.nl/UNIX/p.../rootkits/
Tambien en /UNIX/misc en este mismo sitio podremos encotrar algunos paquetes
"interesantes".

La version 5 de Linux Rootkit (LRK5) es una de las mas notables alardeandose
de haber generado versiones de puertas traseras de algunas de las utilidades
mas criticas de la shell (entra las que se incluyen el comando "su", un
"ssh" troyanizado y varios "sniffers").

No se debe dejar pasar por alto que los precursores de los sistemas actuales
(XP / W2003) proviene de NT/W2000 y adquirieron su propio rookit en 1999,
"cortesía" del equipo de Greg Hoglund en http://www.rootkit.com o bien en
http://www.phrack.org

Greg dejó boquiabierta a la comunidad windows al mostrar un prototipo de
trabajo de un rootkit de windows que podia ocultar claves de registro y
efectuar redirecciones de programas .EXE. Opciones que se pueden utilizar
sin mas para convertir en troyanos a archivos ejecutables normales sin
modificar su contenido. Todos los trucos realizados por el rootkit estaban
basados en la tecnica de "funcion enganchada" -establecer un "hook"-. El
sistema era trivial parcheando un nucleo de NT / W2000 / XP de tal forma que
se usurpan las llamadas al sistema: por tanto, el rootkit podrá ocultar un
proceso, clave de registro o archivo o podrá redirigir las llamadas a las
funciones troyanas. El resultado es mucho mas peligroso que el provocado por
un rootkit del estilo troyano: el usuario ya *nunca* podrá estar seguro de
la integridad del codigo que está ejecutando.


¿podemos hacer algo?


Sino podemos confiar en ningun de los comandos o programas, ni tan siquiera
en un simple "dir" (o "ls" en linux), nos ha llegado la hora de arrojar la
toalla: realize una copia de seguridad de sus archivos de datos criticos
(nunca de ejecutables !), limpie completamente su sistema y reinstalelo de
soportes originales. No confiar en las copias de seguridad ni de las
imagenes realizadas ya que nunca sabrá en que momento el atacante ha podido
conseguir el control del sistema.

La comprobacion mediante sumas de codigo (MD5) pueden tomar huella digital
de los archivos y hacernos saber si uno de los archivos originales ha sido
modificado. Sin embargo, la redireccion de ejecutables realizada por ciertos
rootkits en el entorno windows puede anular esta tactica porque el codigo en
cuestion no se modifica, sino solo se engancha y canaliza hacia otro
ejecutable.

La imaginacion queda libre entonces para saber todo lo que pueden hacer a un
usuario domestico y lo que es peor, a redes corporativas, bancos,
instituciones, etc.

Lo mas peligros de cara a una corporacion son los ataques de escucha en una
red comprometida.

¿que nos queda?: pues ademas de la propia seguridad en nuestra maquina, ser
tambien cuidadosos con la seguridad en la red en todos los sentidos: usar
herramientas de cifrado de comunicaciones, tales como Secure Shell (SSH),
Secure Socket Layer (SSL), correo electronico seguro mediante Pretty Good
Privacy (PGP) o un sistema de cifrado de la capa IP como los que
proporcionan los servicion VPN. Esta es la unica forma realmente valida de
rechazar los ataques de escucha en las comunicaciones.

La unica solucion, e resumen, y frente a la gravedad y envergadura de estos
programas maliciosos, indetectables tanto ahora como en el furturo al tener
el control completo o poderlo tener de nuestra maquina y por tanto ser
capaces de enegañar a cualquier otro proceso, es usar el sentido comun:
cortafuegos, sistemas operativos rigurosamente al dia, proteccion completa
de la red y comunicaciones.

A nivel domestico, creo que sobra decir que hay dos herramientas basicas:
firewall (cortafegos) y sistema operativo al dia son totalmente
indispensables. Y herramientas del estilo de antivirus y ad-aware que se
deben ejecutar, pero... ¿estos ultimos nos garantizan algo?: nada en
absoluto ya que efectivamente nos pararan los virus conocidos. Pero por
desgracia, para llegar a ser conocidos, antes habran infectado millones de
maquinas. Por tanto, siempre, y como primera herramienta debemos tener el
"sentido comun": no ejecutar nada que no sea en soporte original o bajado de
webs oficiales (entrañan tambien un pequeño riesgo). No ejecutar por tanto
ningun adjunto del correo. En principio, yo particularmente, elimino todos
los correos con adjuntos, y si se puede establecer una regla en el lector de
correo para ello, es lo mejor. Nunca bajarse nada de las redes P2P. Existen
multitud de gusanos en estas redes, y el instalar simplemente un programa
P2P en nuestra maquina ya nos hace vulnerables. Y sobre todo "sentido
comun": recordemos que nadie en la calle nos regala nada por nada. En la
red. tampoco. Pagaremos un precio por ello.


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

hasta me he enterado yo, y debe ser grave porque me ha
gustado :-)

gracias JM

ROOTKITS - Ese gran desconocido
-

Se habla mucho en la red sobre la infinidad de metodos

existentes para colocar una trampa explosiva en un sistema
con el fin de que los usuario no tengan ninguna idea de lo
que sucede realmente.

Se habla de virus, troyanos, spyware, malware. Sin

embargo estos conceptos estan centrados en "herramientas"
que se ejecutan como programas normales aunque con
malevolos resultados y se ocultan en los mismos lugares
que podemos descubrir o que un tecnico o que otro programa
puede ver con relativa facilidad.

Por desgracia los verdaderos atacantes estan ocultos y

pueden ser mucho mas incisivos. Cuando un hacker posee
conocimientos profundos de la arquitectura de un sistema
operativo, la completa violacion de la integridad del
sistema puede ser una operacion bastante trivial.

El presente articulo viene a colación de los ultimos

gusanos que han inundado e inundad internet: blaster y
sasser, Debido a una vulnerabilidad del sistema operativo,
se podia tomar control de nuestra maquina desde cualquier
otra maquina de internet de una manera manual con solo
saber nuestra IP. Realmente tampoco era necesario saberla
ya que se hacian grandes barridos de direcciones IP para
pillar a los incautos.

Hay que resaltar que estas vulnerabilidades y los propios

gusanos en si, salieron mas tarde o mejor dicho a
continuacion que Microsoft deistribuyera los parches de
seguridad. Los hacker suelen usar tecnicas de ingenieria
inversa para analizar lo parches y saber a traves de su
analisis en que era vulnerable el sistema operativo.
Sabiendo lo anterior ya solo les queda el hacer un
programa que explote dicha vulnerabilidad y a
continuacion, otro submundo de ellos, crean gusanoscomo
los anteriores para infectar la red. Debemos resaltar que
esto solo es posible en aquellas maquinas en las que el
usuario es lo bastante temerario como para incumplir dos
premisas: no usar cortafuegos y no usar laos mecanismos de
actualizaciones automaticas de los sistemas operativos.
Por desgracia y frente a los ataques e infecciones
masivas, podemos comprobar que los usuarios, en general,
cumplen estas dos premisas.

Per vayamos un poco más: ¿y si los atacantes mezclan el

conocimiento de explotar una vulnerabilidad de este
estilo, junto con un conocimineto profundo del sistema
operativo? Esto no es en absoluto descabellado, maxime
cuando dichos atacantes son capaces mediante ingenieria
inversa de un parche el obtener la explotacion de una
vulnerabilidad en solamente unos dias. ¿que ocurriria si a
traves de una de estas vulnerabilidades nos introdujesen
un rootkit?

Rootkits

¿que puede llegar a ocurrir si incluso el codigo del

sistema operativo cae bajo el control del atacante?

Esta es una vieja idea que proviene desde la epoca en que

las plataformas unix-linux permiten que el propio usuario
puede compilar (y normalmente "debe" hacerlo) el nucleo
del sistema operativo para generar una imagen optima para
su sistema.

Se asigna el nombre de "rootkit" a los paquetes de

software que sustituyen a los troyanos por binarios
utilizados frecuentemente por el propio sistema operativo
porque implican el pero compromiso posible e los
privilegios de la maquina atacada.

Los Rootkits de unix-linux se pueden agrupar en cuatro

categorias:

1) Troyanos de versiones modificadas de comandos basicos

como: login, netstat y ps, por ejemplo.

2) Puertas traseras tales como las inserciones inetd.
3) Herramientas de escucha de las interfaces de red

(sniffers).

4) Limpiadores de los registros del sistema (limpiadores

de logs).

Los rootkits de unix-linus son abundantes y podemos

verificarlo dandonos un simple paseo por:
http://packetstorm.widexs.nl/UNIX/p.../rootkits/
Tambien en /UNIX/misc en este mismo sitio podremos
encotrar algunos paquetes "interesantes".

La version 5 de Linux Rootkit (LRK5) es una de las mas

notables alardeandose de haber generado versiones de
puertas traseras de algunas de las utilidades mas criticas
de la shell (entra las que se incluyen el comando "su",
un "ssh" troyanizado y varios "sniffers").

No se debe dejar pasar por alto que los precursores de

los sistemas actuales (XP / W2003) proviene de NT/W2000 y
adquirieron su propio rookit en 1999, "cortesía" del
equipo de Greg Hoglund en http://www.rootkit.com o bien en
http://www.phrack.org

Greg dejó boquiabierta a la comunidad windows al mostrar

un prototipo de trabajo de un rootkit de windows que podia
ocultar claves de registro y efectuar redirecciones de
programas .EXE. Opciones que se pueden utilizar sin mas
para convertir en troyanos a archivos ejecutables normales
sin modificar su contenido. Todos los trucos realizados
por el rootkit estaban basados en la tecnica de "funcion
enganchada" -establecer un "hook"-. El sistema era trivial
parcheando un nucleo de NT / W2000 / XP de tal forma que
se usurpan las llamadas al sistema: por tanto, el rootkit
podrá ocultar un proceso, clave de registro o archivo o
podrá redirigir las llamadas a las funciones troyanas. El
resultado es mucho mas peligroso que el provocado por un
rootkit del estilo troyano: el usuario ya *nunca* podrá
estar seguro de la integridad del codigo que está
ejecutando.

¿podemos hacer algo?


Sino podemos confiar en ningun de los comandos o

programas, ni tan siquiera en un simple "dir" (o "ls" en
linux), nos ha llegado la hora de arrojar la toalla:
realize una copia de seguridad de sus archivos de datos
criticos (nunca de ejecutables !), limpie completamente
su sistema y reinstalelo de soportes originales. No
confiar en las copias de seguridad ni de las imagenes
realizadas ya que nunca sabrá en que momento el atacante
ha podido conseguir el control del sistema.

La comprobacion mediante sumas de codigo (MD5) pueden

tomar huella digital de los archivos y hacernos saber si
uno de los archivos originales ha sido modificado. Sin
embargo, la redireccion de ejecutables realizada por
ciertos rootkits en el entorno windows puede anular esta
tactica porque el codigo en cuestion no se modifica, sino
solo se engancha y canaliza hacia otro ejecutable.

La imaginacion queda libre entonces para saber todo lo

que pueden hacer a un usuario domestico y lo que es peor,
a redes corporativas, bancos, instituciones, etc.

Lo mas peligros de cara a una corporacion son los ataques

de escucha en una red comprometida.

¿que nos queda?: pues ademas de la propia seguridad en

nuestra maquina, ser tambien cuidadosos con la seguridad
en la red en todos los sentidos: usar herramientas de
cifrado de comunicaciones, tales como Secure Shell (SSH),
Secure Socket Layer (SSL), correo electronico seguro
mediante Pretty Good Privacy (PGP) o un sistema de cifrado
de la capa IP como los que proporcionan los servicion VPN.
Esta es la unica forma realmente valida de rechazar los
ataques de escucha en las comunicaciones.

La unica solucion, e resumen, y frente a la gravedad y

envergadura de estos programas maliciosos, indetectables
tanto ahora como en el furturo al tener el control
completo o poderlo tener de nuestra maquina y por tanto
ser capaces de enegañar a cualquier otro proceso, es usar
el sentido comun: cortafuegos, sistemas operativos
rigurosamente al dia, proteccion completa de la red y
comunicaciones.

A nivel domestico, creo que sobra decir que hay dos

herramientas basicas: firewall (cortafegos) y sistema
operativo al dia son totalmente indispensables. Y
herramientas del estilo de antivirus y ad-aware que se
deben ejecutar, pero... ¿estos ultimos nos garantizan
algo?: nada en absoluto ya que efectivamente nos pararan
los virus conocidos. Pero por desgracia, para llegar a ser
conocidos, antes habran infectado millones de maquinas.
Por tanto, siempre, y como primera herramienta debemos
tener el "sentido comun": no ejecutar nada que no sea en
soporte original o bajado de webs oficiales (entrañan
tambien un pequeño riesgo). No ejecutar por tanto ningun
adjunto del correo. En principio, yo particularmente,
elimino todos los correos con adjuntos, y si se puede
establecer una regla en el lector de correo para ello, es
lo mejor. Nunca bajarse nada de las redes P2P. Existen
multitud de gusanos en estas redes, y el instalar
simplemente un programa P2P en nuestra maquina ya nos hace
vulnerables. Y sobre todo "sentido comun": recordemos que
nadie en la calle nos regala nada por nada. En la red.
tampoco. Pagaremos un precio por ello.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




.

Si, pero Aclarame algo, segun entiendo hay cierta postura

1) Se presume que los rootkits en windows no son nuevos, han estado desde hace mucho, producto de verdaderos Hackers "De Hueso Colorado", de esos que no andan alardeando por ningun lado y que se guardan sus secretos hasta la muerte.
-Si es cierto esto, jamas hemos tenido un sistema verdaderamente seguro y no hay forma de asegurarlo, es mas podria haber sistemas comprometidos antes y despues de cualquier amenaza de virus, un driver sin certificar alterado en el website del mismo fabricante nos podria dejar el regalo y nosotros sin saberlo es decir no solo en los "Malos lugares" se puede pescar un rootkit..

2) Hasta el momento no existe ningun Rootkit conocido "Estable", todos tienden a fallar y a "Tirar" El sistema con lo que se delatan ellos mismos, claro poniendo de lado el parrafo anterior, un sistema comprometido sera siempre un sistema comprometido, pero no se ha isolado ningun rootkit lo suficientemente bien hecho como para pasar permanentemente desapercibido.
-Si bien es cierto que se empieza a detectar cierta madurez en las variaciones de los rootkits para windows nadie ha visto uno que se sostenga lo suficiente.

Para resumen y segun lo que he leido, no hay forma de estar a salvo en ningun momento de los rootkits, pueden estar (Exageradamente pensando) en algun parche, actualizacion, Driver, programa, hoja de calculo, MP3, Dibujo, WAV, AVI... es decir donde sean

Claro en el caso de linux es otra historia, segun lei, calculan que en Linux los rootkits ya deben ir por la 10a generacion...

Saludos
Mr Big Dragon


"JM Tella Llop [MVP Windows]" wrote in message news:%
Hay alguna más.
No las menciono porque todas se saltan con el propio rootkit. Un rootkit bien codificado y por alguien que se sepa bien que funciones del API tiene que atrapar, será siempre indetectable.


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"Mr Big Dragon" wrote in message news:%
Gracias, Muy Bueno.

No es por hacerte la "choncha" pero creo que ya hay herramientas para luchar contra "Algunos" diseños de rootkits, sin embargo no veo que lo menciones en tu articulo.
http://home.arcor.de/scheinsicherheit/rootkits.htm

Saludos
Mr Big Dragon


"JM Tella Llop [MVP Windows]" wrote in message news:%
ROOTKITS - Ese gran desconocido
-

Se habla mucho en la red sobre la infinidad de metodos existentes para colocar una trampa explosiva en un sistema con el fin de que los usuario no tengan ninguna idea de lo que sucede realmente.

Se habla de virus, troyanos, spyware, malware. Sin embargo estos conceptos estan centrados en "herramientas" que se ejecutan como programas normales aunque con malevolos resultados y se ocultan en los mismos lugares que podemos descubrir o que un tecnico o que otro programa puede ver con relativa facilidad.

Por desgracia los verdaderos atacantes estan ocultos y pueden ser mucho mas incisivos. Cuando un hacker posee conocimientos profundos de la arquitectura de un sistema operativo, la completa violacion de la integridad del sistema puede ser una operacion bastante trivial.

El presente articulo viene a colación de los ultimos gusanos que han inundado e inundad internet: blaster y sasser, Debido a una vulnerabilidad del sistema operativo, se podia tomar control de nuestra maquina desde cualquier otra maquina de internet de una manera manual con solo saber nuestra IP. Realmente tampoco era necesario saberla ya que se hacian grandes barridos de direcciones IP para pillar a los incautos.

Hay que resaltar que estas vulnerabilidades y los propios gusanos en si, salieron mas tarde o mejor dicho a continuacion que Microsoft deistribuyera los parches de seguridad. Los hacker suelen usar tecnicas de ingenieria inversa para analizar lo parches y saber a traves de su analisis en que era vulnerable el sistema operativo. Sabiendo lo anterior ya solo les queda el hacer un programa que explote dicha vulnerabilidad y a continuacion, otro submundo de ellos, crean gusanoscomo los anteriores para infectar la red. Debemos resaltar que esto solo es posible en aquellas maquinas en las que el usuario es lo bastante temerario como para incumplir dos premisas: no usar cortafuegos y no usar laos mecanismos de actualizaciones automaticas de los sistemas operativos. Por desgracia y frente a los ataques e infecciones masivas, podemos comprobar que los usuarios, en general, cumplen estas dos premisas.

Per vayamos un poco más: ¿y si los atacantes mezclan el conocimiento de explotar una vulnerabilidad de este estilo, junto con un conocimineto profundo del sistema operativo? Esto no es en absoluto descabellado, maxime cuando dichos atacantes son capaces mediante ingenieria inversa de un parche el obtener la explotacion de una vulnerabilidad en solamente unos dias. ¿que ocurriria si a traves de una de estas vulnerabilidades nos introdujesen un rootkit?


Rootkits

¿que puede llegar a ocurrir si incluso el codigo del sistema operativo cae bajo el control del atacante?

Esta es una vieja idea que proviene desde la epoca en que las plataformas unix-linux permiten que el propio usuario puede compilar (y normalmente "debe" hacerlo) el nucleo del sistema operativo para generar una imagen optima para su sistema.

Se asigna el nombre de "rootkit" a los paquetes de software que sustituyen a los troyanos por binarios utilizados frecuentemente por el propio sistema operativo porque implican el pero compromiso posible e los privilegios de la maquina atacada.

Los Rootkits de unix-linux se pueden agrupar en cuatro categorias:

1) Troyanos de versiones modificadas de comandos basicos como: login, netstat y ps, por ejemplo.
2) Puertas traseras tales como las inserciones inetd.
3) Herramientas de escucha de las interfaces de red (sniffers).
4) Limpiadores de los registros del sistema (limpiadores de logs).

Los rootkits de unix-linus son abundantes y podemos verificarlo dandonos un simple paseo por: http://packetstorm.widexs.nl/UNIX/p.../rootkits/ Tambien en /UNIX/misc en este mismo sitio podremos encotrar algunos paquetes "interesantes".

La version 5 de Linux Rootkit (LRK5) es una de las mas notables alardeandose de haber generado versiones de puertas traseras de algunas de las utilidades mas criticas de la shell (entra las que se incluyen el comando "su", un "ssh" troyanizado y varios "sniffers").

No se debe dejar pasar por alto que los precursores de los sistemas actuales (XP / W2003) proviene de NT/W2000 y adquirieron su propio rookit en 1999, "cortesía" del equipo de Greg Hoglund en http://www.rootkit.com o bien en http://www.phrack.org

Greg dejó boquiabierta a la comunidad windows al mostrar un prototipo de trabajo de un rootkit de windows que podia ocultar claves de registro y efectuar redirecciones de programas .EXE. Opciones que se pueden utilizar sin mas para convertir en troyanos a archivos ejecutables normales sin modificar su contenido. Todos los trucos realizados por el rootkit estaban basados en la tecnica de "funcion enganchada" -establecer un "hook"-. El sistema era trivial parcheando un nucleo de NT / W2000 / XP de tal forma que se usurpan las llamadas al sistema: por tanto, el rootkit podrá ocultar un proceso, clave de registro o archivo o podrá redirigir las llamadas a las funciones troyanas. El resultado es mucho mas peligroso que el provocado por un rootkit del estilo troyano: el usuario ya *nunca* podrá estar seguro de la integridad del codigo que está ejecutando.


¿podemos hacer algo?


Sino podemos confiar en ningun de los comandos o programas, ni tan siquiera en un simple "dir" (o "ls" en linux), nos ha llegado la hora de arrojar la toalla: realize una copia de seguridad de sus archivos de datos criticos (nunca de ejecutables !), limpie completamente su sistema y reinstalelo de soportes originales. No confiar en las copias de seguridad ni de las imagenes realizadas ya que nunca sabrá en que momento el atacante ha podido conseguir el control del sistema.

La comprobacion mediante sumas de codigo (MD5) pueden tomar huella digital de los archivos y hacernos saber si uno de los archivos originales ha sido modificado. Sin embargo, la redireccion de ejecutables realizada por ciertos rootkits en el entorno windows puede anular esta tactica porque el codigo en cuestion no se modifica, sino solo se engancha y canaliza hacia otro ejecutable.

La imaginacion queda libre entonces para saber todo lo que pueden hacer a un usuario domestico y lo que es peor, a redes corporativas, bancos, instituciones, etc.

Lo mas peligros de cara a una corporacion son los ataques de escucha en una red comprometida.

¿que nos queda?: pues ademas de la propia seguridad en nuestra maquina, ser tambien cuidadosos con la seguridad en la red en todos los sentidos: usar herramientas de cifrado de comunicaciones, tales como Secure Shell (SSH), Secure Socket Layer (SSL), correo electronico seguro mediante Pretty Good Privacy (PGP) o un sistema de cifrado de la capa IP como los que proporcionan los servicion VPN. Esta es la unica forma realmente valida de rechazar los ataques de escucha en las comunicaciones.

La unica solucion, e resumen, y frente a la gravedad y envergadura de estos programas maliciosos, indetectables tanto ahora como en el furturo al tener el control completo o poderlo tener de nuestra maquina y por tanto ser capaces de enegañar a cualquier otro proceso, es usar el sentido comun: cortafuegos, sistemas operativos rigurosamente al dia, proteccion completa de la red y comunicaciones.

A nivel domestico, creo que sobra decir que hay dos herramientas basicas: firewall (cortafegos) y sistema operativo al dia son totalmente indispensables. Y herramientas del estilo de antivirus y ad-aware que se deben ejecutar, pero... ¿estos ultimos nos garantizan algo?: nada en absoluto ya que efectivamente nos pararan los virus conocidos. Pero por desgracia, para llegar a ser conocidos, antes habran infectado millones de maquinas. Por tanto, siempre, y como primera herramienta debemos tener el "sentido comun": no ejecutar nada que no sea en soporte original o bajado de webs oficiales (entrañan tambien un pequeño riesgo). No ejecutar por tanto ningun adjunto del correo. En principio, yo particularmente, elimino todos los correos con adjuntos, y si se puede establecer una regla en el lector de correo para ello, es lo mejor. Nunca bajarse nada de las redes P2P. Existen multitud de gusanos en estas redes, y el instalar simplemente un programa P2P en nuestra maquina ya nos hace vulnerables. Y sobre todo "sentido comun": recordemos que nadie en la calle nos regala nada por nada. En la red. tampoco. Pagaremos un precio por ello.


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.