[Articulo] RootKits: ese gran desconocido

Si, pero Aclarame algo, segun entiendo hay cierta postura

1) Se presume que los rootkits en windows no son nuevos, han estado desde hace mucho, producto de verdaderos Hackers "De Hueso Colorado", de esos que no andan alardeando por ningun lado y que se guardan sus secretos hasta la muerte.
-Si es cierto esto, jamas hemos tenido un sistema verdaderamente seguro y no hay forma de asegurarlo, es mas podria haber sistemas comprometidos antes y despues de cualquier amenaza de virus, un driver sin certificar alterado en el website del mismo fabricante nos podria dejar el regalo y nosotros sin saberlo es decir no solo en los "Malos lugares" se puede pescar un rootkit..

2) Hasta el momento no existe ningun Rootkit conocido "Estable", todos tienden a fallar y a "Tirar" El sistema con lo que se delatan ellos mismos, claro poniendo de lado el parrafo anterior, un sistema comprometido sera siempre un sistema comprometido, pero no se ha isolado ningun rootkit lo suficientemente bien hecho como para pasar permanentemente desapercibido.
-Si bien es cierto que se empieza a detectar cierta madurez en las variaciones de los rootkits para windows nadie ha visto uno que se sostenga lo suficiente.

Para resumen y segun lo que he leido, no hay forma de estar a salvo en ningun momento de los rootkits, pueden estar (Exageradamente pensando) en algun parche, actualizacion, Driver, programa, hoja de calculo, MP3, Dibujo, WAV, AVI... es decir donde sean

Claro en el caso de linux es otra historia, segun lei, calculan que en Linux los rootkits ya deben ir por la 10a generacion...

Saludos
Mr Big Dragon


"JM Tella Llop [MVP Windows]" wrote in message news:%
Hay alguna más.
No las menciono porque todas se saltan con el propio rootkit. Un rootkit bien codificado y por alguien que se sepa bien que funciones del API tiene que atrapar, será siempre indetectable.


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"Mr Big Dragon" wrote in message news:%
Gracias, Muy Bueno.

No es por hacerte la "choncha" pero creo que ya hay herramientas para luchar contra "Algunos" diseños de rootkits, sin embargo no veo que lo menciones en tu articulo.
http://home.arcor.de/scheinsicherheit/rootkits.htm

Saludos
Mr Big Dragon


"JM Tella Llop [MVP Windows]" wrote in message news:%
ROOTKITS - Ese gran desconocido
-

Se habla mucho en la red sobre la infinidad de metodos existentes para colocar una trampa explosiva en un sistema con el fin de que los usuario no tengan ninguna idea de lo que sucede realmente.

Se habla de virus, troyanos, spyware, malware. Sin embargo estos conceptos estan centrados en "herramientas" que se ejecutan como programas normales aunque con malevolos resultados y se ocultan en los mismos lugares que podemos descubrir o que un tecnico o que otro programa puede ver con relativa facilidad.

Por desgracia los verdaderos atacantes estan ocultos y pueden ser mucho mas incisivos. Cuando un hacker posee conocimientos profundos de la arquitectura de un sistema operativo, la completa violacion de la integridad del sistema puede ser una operacion bastante trivial.

El presente articulo viene a colación de los ultimos gusanos que han inundado e inundad internet: blaster y sasser, Debido a una vulnerabilidad del sistema operativo, se podia tomar control de nuestra maquina desde cualquier otra maquina de internet de una manera manual con solo saber nuestra IP. Realmente tampoco era necesario saberla ya que se hacian grandes barridos de direcciones IP para pillar a los incautos.

Hay que resaltar que estas vulnerabilidades y los propios gusanos en si, salieron mas tarde o mejor dicho a continuacion que Microsoft deistribuyera los parches de seguridad. Los hacker suelen usar tecnicas de ingenieria inversa para analizar lo parches y saber a traves de su analisis en que era vulnerable el sistema operativo. Sabiendo lo anterior ya solo les queda el hacer un programa que explote dicha vulnerabilidad y a continuacion, otro submundo de ellos, crean gusanoscomo los anteriores para infectar la red. Debemos resaltar que esto solo es posible en aquellas maquinas en las que el usuario es lo bastante temerario como para incumplir dos premisas: no usar cortafuegos y no usar laos mecanismos de actualizaciones automaticas de los sistemas operativos. Por desgracia y frente a los ataques e infecciones masivas, podemos comprobar que los usuarios, en general, cumplen estas dos premisas.

Per vayamos un poco más: ¿y si los atacantes mezclan el conocimiento de explotar una vulnerabilidad de este estilo, junto con un conocimineto profundo del sistema operativo? Esto no es en absoluto descabellado, maxime cuando dichos atacantes son capaces mediante ingenieria inversa de un parche el obtener la explotacion de una vulnerabilidad en solamente unos dias. ¿que ocurriria si a traves de una de estas vulnerabilidades nos introdujesen un rootkit?


Rootkits

¿que puede llegar a ocurrir si incluso el codigo del sistema operativo cae bajo el control del atacante?

Esta es una vieja idea que proviene desde la epoca en que las plataformas unix-linux permiten que el propio usuario puede compilar (y normalmente "debe" hacerlo) el nucleo del sistema operativo para generar una imagen optima para su sistema.

Se asigna el nombre de "rootkit" a los paquetes de software que sustituyen a los troyanos por binarios utilizados frecuentemente por el propio sistema operativo porque implican el pero compromiso posible e los privilegios de la maquina atacada.

Los Rootkits de unix-linux se pueden agrupar en cuatro categorias:

1) Troyanos de versiones modificadas de comandos basicos como: login, netstat y ps, por ejemplo.
2) Puertas traseras tales como las inserciones inetd.
3) Herramientas de escucha de las interfaces de red (sniffers).
4) Limpiadores de los registros del sistema (limpiadores de logs).

Los rootkits de unix-linus son abundantes y podemos verificarlo dandonos un simple paseo por: http://packetstorm.widexs.nl/UNIX/p.../rootkits/ Tambien en /UNIX/misc en este mismo sitio podremos encotrar algunos paquetes "interesantes".

La version 5 de Linux Rootkit (LRK5) es una de las mas notables alardeandose de haber generado versiones de puertas traseras de algunas de las utilidades mas criticas de la shell (entra las que se incluyen el comando "su", un "ssh" troyanizado y varios "sniffers").

No se debe dejar pasar por alto que los precursores de los sistemas actuales (XP / W2003) proviene de NT/W2000 y adquirieron su propio rookit en 1999, "cortesía" del equipo de Greg Hoglund en http://www.rootkit.com o bien en http://www.phrack.org

Greg dejó boquiabierta a la comunidad windows al mostrar un prototipo de trabajo de un rootkit de windows que podia ocultar claves de registro y efectuar redirecciones de programas .EXE. Opciones que se pueden utilizar sin mas para convertir en troyanos a archivos ejecutables normales sin modificar su contenido. Todos los trucos realizados por el rootkit estaban basados en la tecnica de "funcion enganchada" -establecer un "hook"-. El sistema era trivial parcheando un nucleo de NT / W2000 / XP de tal forma que se usurpan las llamadas al sistema: por tanto, el rootkit podrá ocultar un proceso, clave de registro o archivo o podrá redirigir las llamadas a las funciones troyanas. El resultado es mucho mas peligroso que el provocado por un rootkit del estilo troyano: el usuario ya *nunca* podrá estar seguro de la integridad del codigo que está ejecutando.


¿podemos hacer algo?


Sino podemos confiar en ningun de los comandos o programas, ni tan siquiera en un simple "dir" (o "ls" en linux), nos ha llegado la hora de arrojar la toalla: realize una copia de seguridad de sus archivos de datos criticos (nunca de ejecutables !), limpie completamente su sistema y reinstalelo de soportes originales. No confiar en las copias de seguridad ni de las imagenes realizadas ya que nunca sabrá en que momento el atacante ha podido conseguir el control del sistema.

La comprobacion mediante sumas de codigo (MD5) pueden tomar huella digital de los archivos y hacernos saber si uno de los archivos originales ha sido modificado. Sin embargo, la redireccion de ejecutables realizada por ciertos rootkits en el entorno windows puede anular esta tactica porque el codigo en cuestion no se modifica, sino solo se engancha y canaliza hacia otro ejecutable.

La imaginacion queda libre entonces para saber todo lo que pueden hacer a un usuario domestico y lo que es peor, a redes corporativas, bancos, instituciones, etc.

Lo mas peligros de cara a una corporacion son los ataques de escucha en una red comprometida.

¿que nos queda?: pues ademas de la propia seguridad en nuestra maquina, ser tambien cuidadosos con la seguridad en la red en todos los sentidos: usar herramientas de cifrado de comunicaciones, tales como Secure Shell (SSH), Secure Socket Layer (SSL), correo electronico seguro mediante Pretty Good Privacy (PGP) o un sistema de cifrado de la capa IP como los que proporcionan los servicion VPN. Esta es la unica forma realmente valida de rechazar los ataques de escucha en las comunicaciones.

La unica solucion, e resumen, y frente a la gravedad y envergadura de estos programas maliciosos, indetectables tanto ahora como en el furturo al tener el control completo o poderlo tener de nuestra maquina y por tanto ser capaces de enegañar a cualquier otro proceso, es usar el sentido comun: cortafuegos, sistemas operativos rigurosamente al dia, proteccion completa de la red y comunicaciones.

A nivel domestico, creo que sobra decir que hay dos herramientas basicas: firewall (cortafegos) y sistema operativo al dia son totalmente indispensables. Y herramientas del estilo de antivirus y ad-aware que se deben ejecutar, pero... ¿estos ultimos nos garantizan algo?: nada en absoluto ya que efectivamente nos pararan los virus conocidos. Pero por desgracia, para llegar a ser conocidos, antes habran infectado millones de maquinas. Por tanto, siempre, y como primera herramienta debemos tener el "sentido comun": no ejecutar nada que no sea en soporte original o bajado de webs oficiales (entrañan tambien un pequeño riesgo). No ejecutar por tanto ningun adjunto del correo. En principio, yo particularmente, elimino todos los correos con adjuntos, y si se puede establecer una regla en el lector de correo para ello, es lo mejor. Nunca bajarse nada de las redes P2P. Existen multitud de gusanos en estas redes, y el instalar simplemente un programa P2P en nuestra maquina ya nos hace vulnerables. Y sobre todo "sentido comun": recordemos que nadie en la calle nos regala nada por nada. En la red. tampoco. Pagaremos un precio por ello.


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Efectivamente, en Linux los rootkits están a la orden del dia y se calcula que hay poquisismos sistemas limpios. En windows, el primero (al menos en la prueba conceptual) surgió en el 99, por lo que solo llevan 5 años frente a mas de 15 en los de unix.

De todas formas, si que hay rootkits indetectables y estables. Al menos en pruebas conceptuales. Y he visto unos cuantos que te los meten los mierdacrios en cuanto eres vulnerable a sasser, y aunque no son muy buenos ya que no tienen todas las funciones de deteccion activadas y se pueden pillar, al menos son estables y no dan la cara ni por malfuncionamiento ni por caidas.

Y efectivamente... lo que tu dices. un simple driver y te lo pueden colar. Por desgracia contra los rootkits poco o nada podemos hacer, a menos que no instalemos nada que no tenga certificado.. (y por desgracia, los rootkits serán la proxima generacion en ataques a sistemas operativosy si no, al tiempo)

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"Mr Big Dragon" wrote in message news:
Si, pero Aclarame algo, segun entiendo hay cierta postura

1) Se presume que los rootkits en windows no son nuevos, han estado desde hace mucho, producto de verdaderos Hackers "De Hueso Colorado", de esos que no andan alardeando por ningun lado y que se guardan sus secretos hasta la muerte.
-Si es cierto esto, jamas hemos tenido un sistema verdaderamente seguro y no hay forma de asegurarlo, es mas podria haber sistemas comprometidos antes y despues de cualquier amenaza de virus, un driver sin certificar alterado en el website del mismo fabricante nos podria dejar el regalo y nosotros sin saberlo es decir no solo en los "Malos lugares" se puede pescar un rootkit..

2) Hasta el momento no existe ningun Rootkit conocido "Estable", todos tienden a fallar y a "Tirar" El sistema con lo que se delatan ellos mismos, claro poniendo de lado el parrafo anterior, un sistema comprometido sera siempre un sistema comprometido, pero no se ha isolado ningun rootkit lo suficientemente bien hecho como para pasar permanentemente desapercibido.
-Si bien es cierto que se empieza a detectar cierta madurez en las variaciones de los rootkits para windows nadie ha visto uno que se sostenga lo suficiente.

Para resumen y segun lo que he leido, no hay forma de estar a salvo en ningun momento de los rootkits, pueden estar (Exageradamente pensando) en algun parche, actualizacion, Driver, programa, hoja de calculo, MP3, Dibujo, WAV, AVI... es decir donde sean

Claro en el caso de linux es otra historia, segun lei, calculan que en Linux los rootkits ya deben ir por la 10a generacion...

Saludos
Mr Big Dragon


"JM Tella Llop [MVP Windows]" wrote in message news:%
Hay alguna más.
No las menciono porque todas se saltan con el propio rootkit. Un rootkit bien codificado y por alguien que se sepa bien que funciones del API tiene que atrapar, será siempre indetectable.


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"Mr Big Dragon" wrote in message news:%
Gracias, Muy Bueno.

No es por hacerte la "choncha" pero creo que ya hay herramientas para luchar contra "Algunos" diseños de rootkits, sin embargo no veo que lo menciones en tu articulo.
http://home.arcor.de/scheinsicherheit/rootkits.htm

Saludos
Mr Big Dragon


"JM Tella Llop [MVP Windows]" wrote in message news:%
ROOTKITS - Ese gran desconocido
-

Se habla mucho en la red sobre la infinidad de metodos existentes para colocar una trampa explosiva en un sistema con el fin de que los usuario no tengan ninguna idea de lo que sucede realmente.

Se habla de virus, troyanos, spyware, malware. Sin embargo estos conceptos estan centrados en "herramientas" que se ejecutan como programas normales aunque con malevolos resultados y se ocultan en los mismos lugares que podemos descubrir o que un tecnico o que otro programa puede ver con relativa facilidad.

Por desgracia los verdaderos atacantes estan ocultos y pueden ser mucho mas incisivos. Cuando un hacker posee conocimientos profundos de la arquitectura de un sistema operativo, la completa violacion de la integridad del sistema puede ser una operacion bastante trivial.

El presente articulo viene a colación de los ultimos gusanos que han inundado e inundad internet: blaster y sasser, Debido a una vulnerabilidad del sistema operativo, se podia tomar control de nuestra maquina desde cualquier otra maquina de internet de una manera manual con solo saber nuestra IP. Realmente tampoco era necesario saberla ya que se hacian grandes barridos de direcciones IP para pillar a los incautos.

Hay que resaltar que estas vulnerabilidades y los propios gusanos en si, salieron mas tarde o mejor dicho a continuacion que Microsoft deistribuyera los parches de seguridad. Los hacker suelen usar tecnicas de ingenieria inversa para analizar lo parches y saber a traves de su analisis en que era vulnerable el sistema operativo. Sabiendo lo anterior ya solo les queda el hacer un programa que explote dicha vulnerabilidad y a continuacion, otro submundo de ellos, crean gusanoscomo los anteriores para infectar la red. Debemos resaltar que esto solo es posible en aquellas maquinas en las que el usuario es lo bastante temerario como para incumplir dos premisas: no usar cortafuegos y no usar laos mecanismos de actualizaciones automaticas de los sistemas operativos. Por desgracia y frente a los ataques e infecciones masivas, podemos comprobar que los usuarios, en general, cumplen estas dos premisas.

Per vayamos un poco más: ¿y si los atacantes mezclan el conocimiento de explotar una vulnerabilidad de este estilo, junto con un conocimineto profundo del sistema operativo? Esto no es en absoluto descabellado, maxime cuando dichos atacantes son capaces mediante ingenieria inversa de un parche el obtener la explotacion de una vulnerabilidad en solamente unos dias. ¿que ocurriria si a traves de una de estas vulnerabilidades nos introdujesen un rootkit?


Rootkits

¿que puede llegar a ocurrir si incluso el codigo del sistema operativo cae bajo el control del atacante?

Esta es una vieja idea que proviene desde la epoca en que las plataformas unix-linux permiten que el propio usuario puede compilar (y normalmente "debe" hacerlo) el nucleo del sistema operativo para generar una imagen optima para su sistema.

Se asigna el nombre de "rootkit" a los paquetes de software que sustituyen a los troyanos por binarios utilizados frecuentemente por el propio sistema operativo porque implican el pero compromiso posible e los privilegios de la maquina atacada.

Los Rootkits de unix-linux se pueden agrupar en cuatro categorias:

1) Troyanos de versiones modificadas de comandos basicos como: login, netstat y ps, por ejemplo.
2) Puertas traseras tales como las inserciones inetd.
3) Herramientas de escucha de las interfaces de red (sniffers).
4) Limpiadores de los registros del sistema (limpiadores de logs).

Los rootkits de unix-linus son abundantes y podemos verificarlo dandonos un simple paseo por: http://packetstorm.widexs.nl/UNIX/p.../rootkits/ Tambien en /UNIX/misc en este mismo sitio podremos encotrar algunos paquetes "interesantes".

La version 5 de Linux Rootkit (LRK5) es una de las mas notables alardeandose de haber generado versiones de puertas traseras de algunas de las utilidades mas criticas de la shell (entra las que se incluyen el comando "su", un "ssh" troyanizado y varios "sniffers").

No se debe dejar pasar por alto que los precursores de los sistemas actuales (XP / W2003) proviene de NT/W2000 y adquirieron su propio rookit en 1999, "cortesía" del equipo de Greg Hoglund en http://www.rootkit.com o bien en http://www.phrack.org

Greg dejó boquiabierta a la comunidad windows al mostrar un prototipo de trabajo de un rootkit de windows que podia ocultar claves de registro y efectuar redirecciones de programas .EXE. Opciones que se pueden utilizar sin mas para convertir en troyanos a archivos ejecutables normales sin modificar su contenido. Todos los trucos realizados por el rootkit estaban basados en la tecnica de "funcion enganchada" -establecer un "hook"-. El sistema era trivial parcheando un nucleo de NT / W2000 / XP de tal forma que se usurpan las llamadas al sistema: por tanto, el rootkit podrá ocultar un proceso, clave de registro o archivo o podrá redirigir las llamadas a las funciones troyanas. El resultado es mucho mas peligroso que el provocado por un rootkit del estilo troyano: el usuario ya *nunca* podrá estar seguro de la integridad del codigo que está ejecutando.


¿podemos hacer algo?


Sino podemos confiar en ningun de los comandos o programas, ni tan siquiera en un simple "dir" (o "ls" en linux), nos ha llegado la hora de arrojar la toalla: realize una copia de seguridad de sus archivos de datos criticos (nunca de ejecutables !), limpie completamente su sistema y reinstalelo de soportes originales. No confiar en las copias de seguridad ni de las imagenes realizadas ya que nunca sabrá en que momento el atacante ha podido conseguir el control del sistema.

La comprobacion mediante sumas de codigo (MD5) pueden tomar huella digital de los archivos y hacernos saber si uno de los archivos originales ha sido modificado. Sin embargo, la redireccion de ejecutables realizada por ciertos rootkits en el entorno windows puede anular esta tactica porque el codigo en cuestion no se modifica, sino solo se engancha y canaliza hacia otro ejecutable.

La imaginacion queda libre entonces para saber todo lo que pueden hacer a un usuario domestico y lo que es peor, a redes corporativas, bancos, instituciones, etc.

Lo mas peligros de cara a una corporacion son los ataques de escucha en una red comprometida.

¿que nos queda?: pues ademas de la propia seguridad en nuestra maquina, ser tambien cuidadosos con la seguridad en la red en todos los sentidos: usar herramientas de cifrado de comunicaciones, tales como Secure Shell (SSH), Secure Socket Layer (SSL), correo electronico seguro mediante Pretty Good Privacy (PGP) o un sistema de cifrado de la capa IP como los que proporcionan los servicion VPN. Esta es la unica forma realmente valida de rechazar los ataques de escucha en las comunicaciones.

La unica solucion, e resumen, y frente a la gravedad y envergadura de estos programas maliciosos, indetectables tanto ahora como en el furturo al tener el control completo o poderlo tener de nuestra maquina y por tanto ser capaces de enegañar a cualquier otro proceso, es usar el sentido comun: cortafuegos, sistemas operativos rigurosamente al dia, proteccion completa de la red y comunicaciones.

A nivel domestico, creo que sobra decir que hay dos herramientas basicas: firewall (cortafegos) y sistema operativo al dia son totalmente indispensables. Y herramientas del estilo de antivirus y ad-aware que se deben ejecutar, pero... ¿estos ultimos nos garantizan algo?: nada en absoluto ya que efectivamente nos pararan los virus conocidos. Pero por desgracia, para llegar a ser conocidos, antes habran infectado millones de maquinas. Por tanto, siempre, y como primera herramienta debemos tener el "sentido comun": no ejecutar nada que no sea en soporte original o bajado de webs oficiales (entrañan tambien un pequeño riesgo). No ejecutar por tanto ningun adjunto del correo. En principio, yo particularmente, elimino todos los correos con adjuntos, y si se puede establecer una regla en el lector de correo para ello, es lo mejor. Nunca bajarse nada de las redes P2P. Existen multitud de gusanos en estas redes, y el instalar simplemente un programa P2P en nuestra maquina ya nos hace vulnerables. Y sobre todo "sentido comun": recordemos que nadie en la calle nos regala nada por nada. En la red. tampoco. Pagaremos un precio por ello.


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Efectivamente, en Linux los rootkits están a la orden del dia y se calcula que hay poquisismos sistemas limpios. En windows, el primero (al menos en la prueba conceptual) surgió en el 99, por lo que solo llevan 5 años frente a mas de 15 en los de unix.

De todas formas, si que hay rootkits indetectables y estables. Al menos en pruebas conceptuales. Y he visto unos cuantos que te los meten los mierdacrios en cuanto eres vulnerable a sasser, y aunque no son muy buenos ya que no tienen todas las funciones de deteccion activadas y se pueden pillar, al menos son estables y no dan la cara ni por malfuncionamiento ni por caidas.

Y efectivamente... lo que tu dices. un simple driver y te lo pueden colar. Por desgracia contra los rootkits poco o nada podemos hacer, a menos que no instalemos nada que no tenga certificado.. (y por desgracia, los rootkits serán la proxima generacion en ataques a sistemas operativosy si no, al tiempo)

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"Mr Big Dragon" wrote in message news:
Si, pero Aclarame algo, segun entiendo hay cierta postura

1) Se presume que los rootkits en windows no son nuevos, han estado desde hace mucho, producto de verdaderos Hackers "De Hueso Colorado", de esos que no andan alardeando por ningun lado y que se guardan sus secretos hasta la muerte.
-Si es cierto esto, jamas hemos tenido un sistema verdaderamente seguro y no hay forma de asegurarlo, es mas podria haber sistemas comprometidos antes y despues de cualquier amenaza de virus, un driver sin certificar alterado en el website del mismo fabricante nos podria dejar el regalo y nosotros sin saberlo es decir no solo en los "Malos lugares" se puede pescar un rootkit..

2) Hasta el momento no existe ningun Rootkit conocido "Estable", todos tienden a fallar y a "Tirar" El sistema con lo que se delatan ellos mismos, claro poniendo de lado el parrafo anterior, un sistema comprometido sera siempre un sistema comprometido, pero no se ha isolado ningun rootkit lo suficientemente bien hecho como para pasar permanentemente desapercibido.
-Si bien es cierto que se empieza a detectar cierta madurez en las variaciones de los rootkits para windows nadie ha visto uno que se sostenga lo suficiente.

Para resumen y segun lo que he leido, no hay forma de estar a salvo en ningun momento de los rootkits, pueden estar (Exageradamente pensando) en algun parche, actualizacion, Driver, programa, hoja de calculo, MP3, Dibujo, WAV, AVI... es decir donde sean

Claro en el caso de linux es otra historia, segun lei, calculan que en Linux los rootkits ya deben ir por la 10a generacion...

Saludos
Mr Big Dragon


"JM Tella Llop [MVP Windows]" wrote in message news:%
Hay alguna más.
No las menciono porque todas se saltan con el propio rootkit. Un rootkit bien codificado y por alguien que se sepa bien que funciones del API tiene que atrapar, será siempre indetectable.


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"Mr Big Dragon" wrote in message news:%
Gracias, Muy Bueno.

No es por hacerte la "choncha" pero creo que ya hay herramientas para luchar contra "Algunos" diseños de rootkits, sin embargo no veo que lo menciones en tu articulo.
http://home.arcor.de/scheinsicherheit/rootkits.htm

Saludos
Mr Big Dragon


"JM Tella Llop [MVP Windows]" wrote in message news:%
ROOTKITS - Ese gran desconocido
-

Se habla mucho en la red sobre la infinidad de metodos existentes para colocar una trampa explosiva en un sistema con el fin de que los usuario no tengan ninguna idea de lo que sucede realmente.

Se habla de virus, troyanos, spyware, malware. Sin embargo estos conceptos estan centrados en "herramientas" que se ejecutan como programas normales aunque con malevolos resultados y se ocultan en los mismos lugares que podemos descubrir o que un tecnico o que otro programa puede ver con relativa facilidad.

Por desgracia los verdaderos atacantes estan ocultos y pueden ser mucho mas incisivos. Cuando un hacker posee conocimientos profundos de la arquitectura de un sistema operativo, la completa violacion de la integridad del sistema puede ser una operacion bastante trivial.

El presente articulo viene a colación de los ultimos gusanos que han inundado e inundad internet: blaster y sasser, Debido a una vulnerabilidad del sistema operativo, se podia tomar control de nuestra maquina desde cualquier otra maquina de internet de una manera manual con solo saber nuestra IP. Realmente tampoco era necesario saberla ya que se hacian grandes barridos de direcciones IP para pillar a los incautos.

Hay que resaltar que estas vulnerabilidades y los propios gusanos en si, salieron mas tarde o mejor dicho a continuacion que Microsoft deistribuyera los parches de seguridad. Los hacker suelen usar tecnicas de ingenieria inversa para analizar lo parches y saber a traves de su analisis en que era vulnerable el sistema operativo. Sabiendo lo anterior ya solo les queda el hacer un programa que explote dicha vulnerabilidad y a continuacion, otro submundo de ellos, crean gusanoscomo los anteriores para infectar la red. Debemos resaltar que esto solo es posible en aquellas maquinas en las que el usuario es lo bastante temerario como para incumplir dos premisas: no usar cortafuegos y no usar laos mecanismos de actualizaciones automaticas de los sistemas operativos. Por desgracia y frente a los ataques e infecciones masivas, podemos comprobar que los usuarios, en general, cumplen estas dos premisas.

Per vayamos un poco más: ¿y si los atacantes mezclan el conocimiento de explotar una vulnerabilidad de este estilo, junto con un conocimineto profundo del sistema operativo? Esto no es en absoluto descabellado, maxime cuando dichos atacantes son capaces mediante ingenieria inversa de un parche el obtener la explotacion de una vulnerabilidad en solamente unos dias. ¿que ocurriria si a traves de una de estas vulnerabilidades nos introdujesen un rootkit?


Rootkits

¿que puede llegar a ocurrir si incluso el codigo del sistema operativo cae bajo el control del atacante?

Esta es una vieja idea que proviene desde la epoca en que las plataformas unix-linux permiten que el propio usuario puede compilar (y normalmente "debe" hacerlo) el nucleo del sistema operativo para generar una imagen optima para su sistema.

Se asigna el nombre de "rootkit" a los paquetes de software que sustituyen a los troyanos por binarios utilizados frecuentemente por el propio sistema operativo porque implican el pero compromiso posible e los privilegios de la maquina atacada.

Los Rootkits de unix-linux se pueden agrupar en cuatro categorias:

1) Troyanos de versiones modificadas de comandos basicos como: login, netstat y ps, por ejemplo.
2) Puertas traseras tales como las inserciones inetd.
3) Herramientas de escucha de las interfaces de red (sniffers).
4) Limpiadores de los registros del sistema (limpiadores de logs).

Los rootkits de unix-linus son abundantes y podemos verificarlo dandonos un simple paseo por: http://packetstorm.widexs.nl/UNIX/p.../rootkits/ Tambien en /UNIX/misc en este mismo sitio podremos encotrar algunos paquetes "interesantes".

La version 5 de Linux Rootkit (LRK5) es una de las mas notables alardeandose de haber generado versiones de puertas traseras de algunas de las utilidades mas criticas de la shell (entra las que se incluyen el comando "su", un "ssh" troyanizado y varios "sniffers").

No se debe dejar pasar por alto que los precursores de los sistemas actuales (XP / W2003) proviene de NT/W2000 y adquirieron su propio rookit en 1999, "cortesía" del equipo de Greg Hoglund en http://www.rootkit.com o bien en http://www.phrack.org

Greg dejó boquiabierta a la comunidad windows al mostrar un prototipo de trabajo de un rootkit de windows que podia ocultar claves de registro y efectuar redirecciones de programas .EXE. Opciones que se pueden utilizar sin mas para convertir en troyanos a archivos ejecutables normales sin modificar su contenido. Todos los trucos realizados por el rootkit estaban basados en la tecnica de "funcion enganchada" -establecer un "hook"-. El sistema era trivial parcheando un nucleo de NT / W2000 / XP de tal forma que se usurpan las llamadas al sistema: por tanto, el rootkit podrá ocultar un proceso, clave de registro o archivo o podrá redirigir las llamadas a las funciones troyanas. El resultado es mucho mas peligroso que el provocado por un rootkit del estilo troyano: el usuario ya *nunca* podrá estar seguro de la integridad del codigo que está ejecutando.


¿podemos hacer algo?


Sino podemos confiar en ningun de los comandos o programas, ni tan siquiera en un simple "dir" (o "ls" en linux), nos ha llegado la hora de arrojar la toalla: realize una copia de seguridad de sus archivos de datos criticos (nunca de ejecutables !), limpie completamente su sistema y reinstalelo de soportes originales. No confiar en las copias de seguridad ni de las imagenes realizadas ya que nunca sabrá en que momento el atacante ha podido conseguir el control del sistema.

La comprobacion mediante sumas de codigo (MD5) pueden tomar huella digital de los archivos y hacernos saber si uno de los archivos originales ha sido modificado. Sin embargo, la redireccion de ejecutables realizada por ciertos rootkits en el entorno windows puede anular esta tactica porque el codigo en cuestion no se modifica, sino solo se engancha y canaliza hacia otro ejecutable.

La imaginacion queda libre entonces para saber todo lo que pueden hacer a un usuario domestico y lo que es peor, a redes corporativas, bancos, instituciones, etc.

Lo mas peligros de cara a una corporacion son los ataques de escucha en una red comprometida.

¿que nos queda?: pues ademas de la propia seguridad en nuestra maquina, ser tambien cuidadosos con la seguridad en la red en todos los sentidos: usar herramientas de cifrado de comunicaciones, tales como Secure Shell (SSH), Secure Socket Layer (SSL), correo electronico seguro mediante Pretty Good Privacy (PGP) o un sistema de cifrado de la capa IP como los que proporcionan los servicion VPN. Esta es la unica forma realmente valida de rechazar los ataques de escucha en las comunicaciones.

La unica solucion, e resumen, y frente a la gravedad y envergadura de estos programas maliciosos, indetectables tanto ahora como en el furturo al tener el control completo o poderlo tener de nuestra maquina y por tanto ser capaces de enegañar a cualquier otro proceso, es usar el sentido comun: cortafuegos, sistemas operativos rigurosamente al dia, proteccion completa de la red y comunicaciones.

A nivel domestico, creo que sobra decir que hay dos herramientas basicas: firewall (cortafegos) y sistema operativo al dia son totalmente indispensables. Y herramientas del estilo de antivirus y ad-aware que se deben ejecutar, pero... ¿estos ultimos nos garantizan algo?: nada en absoluto ya que efectivamente nos pararan los virus conocidos. Pero por desgracia, para llegar a ser conocidos, antes habran infectado millones de maquinas. Por tanto, siempre, y como primera herramienta debemos tener el "sentido comun": no ejecutar nada que no sea en soporte original o bajado de webs oficiales (entrañan tambien un pequeño riesgo). No ejecutar por tanto ningun adjunto del correo. En principio, yo particularmente, elimino todos los correos con adjuntos, y si se puede establecer una regla en el lector de correo para ello, es lo mejor. Nunca bajarse nada de las redes P2P. Existen multitud de gusanos en estas redes, y el instalar simplemente un programa P2P en nuestra maquina ya nos hace vulnerables. Y sobre todo "sentido comun": recordemos que nadie en la calle nos regala nada por nada. En la red. tampoco. Pagaremos un precio por ello.


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

CHAPEAU !!!!!

ROOTKITS - Ese gran desconocido
-

Se habla mucho en la red sobre la infinidad de metodos

existentes para colocar una trampa explosiva en un
sistema con el fin de que los usuario no tengan ninguna
idea de lo que sucede realmente.

Se habla de virus, troyanos, spyware, malware. Sin

embargo estos conceptos estan centrados en "herramientas"
que se ejecutan como programas normales aunque con
malevolos resultados y se ocultan en los mismos lugares
que podemos descubrir o que un tecnico o que otro
programa puede ver con relativa facilidad.

Por desgracia los verdaderos atacantes estan ocultos y

pueden ser mucho mas incisivos. Cuando un hacker posee
conocimientos profundos de la arquitectura de un sistema
operativo, la completa violacion de la integridad del
sistema puede ser una operacion bastante trivial.

El presente articulo viene a colación de los ultimos

gusanos que han inundado e inundad internet: blaster y
sasser, Debido a una vulnerabilidad del sistema
operativo, se podia tomar control de nuestra maquina
desde cualquier otra maquina de internet de una manera
manual con solo saber nuestra IP. Realmente tampoco era
necesario saberla ya que se hacian grandes barridos de
direcciones IP para pillar a los incautos.

Hay que resaltar que estas vulnerabilidades y los

propios gusanos en si, salieron mas tarde o mejor dicho a
continuacion que Microsoft deistribuyera los parches de
seguridad. Los hacker suelen usar tecnicas de ingenieria
inversa para analizar lo parches y saber a traves de su
analisis en que era vulnerable el sistema operativo.
Sabiendo lo anterior ya solo les queda el hacer un
programa que explote dicha vulnerabilidad y a
continuacion, otro submundo de ellos, crean gusanoscomo
los anteriores para infectar la red. Debemos resaltar que
esto solo es posible en aquellas maquinas en las que el
usuario es lo bastante temerario como para incumplir dos
premisas: no usar cortafuegos y no usar laos mecanismos
de actualizaciones automaticas de los sistemas
operativos. Por desgracia y frente a los ataques e
infecciones masivas, podemos comprobar que los usuarios,
en general, cumplen estas dos premisas.

Per vayamos un poco más: ¿y si los atacantes mezclan el

conocimiento de explotar una vulnerabilidad de este
estilo, junto con un conocimineto profundo del sistema
operativo? Esto no es en absoluto descabellado, maxime
cuando dichos atacantes son capaces mediante ingenieria
inversa de un parche el obtener la explotacion de una
vulnerabilidad en solamente unos dias. ¿que ocurriria si
a traves de una de estas vulnerabilidades nos
introdujesen un rootkit?

Rootkits

¿que puede llegar a ocurrir si incluso el codigo del

sistema operativo cae bajo el control del atacante?

Esta es una vieja idea que proviene desde la epoca en

que las plataformas unix-linux permiten que el propio
usuario puede compilar (y normalmente "debe" hacerlo) el
nucleo del sistema operativo para generar una imagen
optima para su sistema.

Se asigna el nombre de "rootkit" a los paquetes de

software que sustituyen a los troyanos por binarios
utilizados frecuentemente por el propio sistema operativo
porque implican el pero compromiso posible e los
privilegios de la maquina atacada.

Los Rootkits de unix-linux se pueden agrupar en cuatro

categorias:

1) Troyanos de versiones modificadas de comandos basicos

como: login, netstat y ps, por ejemplo.

2) Puertas traseras tales como las inserciones inetd.
3) Herramientas de escucha de las interfaces de red

(sniffers).

4) Limpiadores de los registros del sistema (limpiadores

de logs).

Los rootkits de unix-linus son abundantes y podemos

verificarlo dandonos un simple paseo por:
http://packetstorm.widexs.nl/UNIX/p.../rootkits/
Tambien en /UNIX/misc en este mismo sitio podremos
encotrar algunos paquetes "interesantes".

La version 5 de Linux Rootkit (LRK5) es una de las mas

notables alardeandose de haber generado versiones de
puertas traseras de algunas de las utilidades mas
criticas de la shell (entra las que se incluyen el
comando "su", un "ssh" troyanizado y varios "sniffers").

No se debe dejar pasar por alto que los precursores de

los sistemas actuales (XP / W2003) proviene de NT/W2000 y
adquirieron su propio rookit en 1999, "cortesía" del
equipo de Greg Hoglund en http://www.rootkit.com o bien
en http://www.phrack.org

Greg dejó boquiabierta a la comunidad windows al mostrar

un prototipo de trabajo de un rootkit de windows que
podia ocultar claves de registro y efectuar redirecciones
de programas .EXE. Opciones que se pueden utilizar sin
mas para convertir en troyanos a archivos ejecutables
normales sin modificar su contenido. Todos los trucos
realizados por el rootkit estaban basados en la tecnica
de "funcion enganchada" -establecer un "hook"-. El
sistema era trivial parcheando un nucleo de NT / W2000 /
XP de tal forma que se usurpan las llamadas al sistema:
por tanto, el rootkit podrá ocultar un proceso, clave de
registro o archivo o podrá redirigir las llamadas a las
funciones troyanas. El resultado es mucho mas peligroso
que el provocado por un rootkit del estilo troyano: el
usuario ya *nunca* podrá estar seguro de la integridad
del codigo que está ejecutando.

¿podemos hacer algo?


Sino podemos confiar en ningun de los comandos o

programas, ni tan siquiera en un simple "dir" (o "ls" en
linux), nos ha llegado la hora de arrojar la toalla:
realize una copia de seguridad de sus archivos de datos
criticos (nunca de ejecutables !), limpie completamente
su sistema y reinstalelo de soportes originales. No
confiar en las copias de seguridad ni de las imagenes
realizadas ya que nunca sabrá en que momento el atacante
ha podido conseguir el control del sistema.

La comprobacion mediante sumas de codigo (MD5) pueden

tomar huella digital de los archivos y hacernos saber si
uno de los archivos originales ha sido modificado. Sin
embargo, la redireccion de ejecutables realizada por
ciertos rootkits en el entorno windows puede anular esta
tactica porque el codigo en cuestion no se modifica, sino
solo se engancha y canaliza hacia otro ejecutable.

La imaginacion queda libre entonces para saber todo lo

que pueden hacer a un usuario domestico y lo que es peor,
a redes corporativas, bancos, instituciones, etc.

Lo mas peligros de cara a una corporacion son los

ataques de escucha en una red comprometida.

¿que nos queda?: pues ademas de la propia seguridad en

nuestra maquina, ser tambien cuidadosos con la seguridad
en la red en todos los sentidos: usar herramientas de
cifrado de comunicaciones, tales como Secure Shell (SSH),
Secure Socket Layer (SSL), correo electronico seguro
mediante Pretty Good Privacy (PGP) o un sistema de
cifrado de la capa IP como los que proporcionan los
servicion VPN. Esta es la unica forma realmente valida de
rechazar los ataques de escucha en las comunicaciones.

La unica solucion, e resumen, y frente a la gravedad y

envergadura de estos programas maliciosos, indetectables
tanto ahora como en el furturo al tener el control
completo o poderlo tener de nuestra maquina y por tanto
ser capaces de enegañar a cualquier otro proceso, es usar
el sentido comun: cortafuegos, sistemas operativos
rigurosamente al dia, proteccion completa de la red y
comunicaciones.

A nivel domestico, creo que sobra decir que hay dos

herramientas basicas: firewall (cortafegos) y sistema
operativo al dia son totalmente indispensables. Y
herramientas del estilo de antivirus y ad-aware que se
deben ejecutar, pero... ¿estos ultimos nos garantizan
algo?: nada en absoluto ya que efectivamente nos pararan
los virus conocidos. Pero por desgracia, para llegar a
ser conocidos, antes habran infectado millones de
maquinas. Por tanto, siempre, y como primera herramienta
debemos tener el "sentido comun": no ejecutar nada que no
sea en soporte original o bajado de webs oficiales
(entrañan tambien un pequeño riesgo). No ejecutar por
tanto ningun adjunto del correo. En principio, yo
particularmente, elimino todos los correos con adjuntos,
y si se puede establecer una regla en el lector de correo
para ello, es lo mejor. Nunca bajarse nada de las redes
P2P. Existen multitud de gusanos en estas redes, y el
instalar simplemente un programa P2P en nuestra maquina
ya nos hace vulnerables. Y sobre todo "sentido comun":
recordemos que nadie en la calle nos regala nada por
nada. En la red. tampoco. Pagaremos un precio por
ello.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




.

Efectivamente, en Linux los rootkits están a la orden del dia y se calcula que hay poquisismos sistemas limpios.

ahh, Tampoco hay que ser Sageraos...
Segun el ultimo reporte de CNN el uso de Linux en servidores comerciales que dan la cara a internet para transacciones comerciales se ha incrementado del 73% al 76% y eso es en sistemas exclusivos usando Linux, independientemente a Unix como tal.
De ser cierto esto quiere decir que la gran mayoria de la informacion de los usuarios que realizan operaciones a travez de estos servidores estaria ya comprometida y a nivel global seria un choque economico.

Si creo que haya por ahi uno que otro sistema comprometido, pero tanto asi como "poquisimos"... Nah.
Es la comparativa a decir que todos los sistemas Windows de Nucleo NT han sido comprometidos y solo los que no se conectan a internet se han salvado...

Saludos
Mr Big Dragon


"JM Tella Llop [MVP Windows]" wrote in message news:
Efectivamente, en Linux los rootkits están a la orden del dia y se calcula que hay poquisismos sistemas limpios. En windows, el primero (al menos en la prueba conceptual) surgió en el 99, por lo que solo llevan 5 años frente a mas de 15 en los de unix.

De todas formas, si que hay rootkits indetectables y estables. Al menos en pruebas conceptuales. Y he visto unos cuantos que te los meten los mierdacrios en cuanto eres vulnerable a sasser, y aunque no son muy buenos ya que no tienen todas las funciones de deteccion activadas y se pueden pillar, al menos son estables y no dan la cara ni por malfuncionamiento ni por caidas.

Y efectivamente... lo que tu dices. un simple driver y te lo pueden colar. Por desgracia contra los rootkits poco o nada podemos hacer, a menos que no instalemos nada que no tenga certificado.. (y por desgracia, los rootkits serán la proxima generacion en ataques a sistemas operativosy si no, al tiempo)

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"Mr Big Dragon" wrote in message news:
Si, pero Aclarame algo, segun entiendo hay cierta postura

1) Se presume que los rootkits en windows no son nuevos, han estado desde hace mucho, producto de verdaderos Hackers "De Hueso Colorado", de esos que no andan alardeando por ningun lado y que se guardan sus secretos hasta la muerte.
-Si es cierto esto, jamas hemos tenido un sistema verdaderamente seguro y no hay forma de asegurarlo, es mas podria haber sistemas comprometidos antes y despues de cualquier amenaza de virus, un driver sin certificar alterado en el website del mismo fabricante nos podria dejar el regalo y nosotros sin saberlo es decir no solo en los "Malos lugares" se puede pescar un rootkit..

2) Hasta el momento no existe ningun Rootkit conocido "Estable", todos tienden a fallar y a "Tirar" El sistema con lo que se delatan ellos mismos, claro poniendo de lado el parrafo anterior, un sistema comprometido sera siempre un sistema comprometido, pero no se ha isolado ningun rootkit lo suficientemente bien hecho como para pasar permanentemente desapercibido.
-Si bien es cierto que se empieza a detectar cierta madurez en las variaciones de los rootkits para windows nadie ha visto uno que se sostenga lo suficiente.

Para resumen y segun lo que he leido, no hay forma de estar a salvo en ningun momento de los rootkits, pueden estar (Exageradamente pensando) en algun parche, actualizacion, Driver, programa, hoja de calculo, MP3, Dibujo, WAV, AVI... es decir donde sean

Claro en el caso de linux es otra historia, segun lei, calculan que en Linux los rootkits ya deben ir por la 10a generacion...

Saludos
Mr Big Dragon


"JM Tella Llop [MVP Windows]" wrote in message news:%
Hay alguna más.
No las menciono porque todas se saltan con el propio rootkit. Un rootkit bien codificado y por alguien que se sepa bien que funciones del API tiene que atrapar, será siempre indetectable.


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"Mr Big Dragon" wrote in message news:%
Gracias, Muy Bueno.

No es por hacerte la "choncha" pero creo que ya hay herramientas para luchar contra "Algunos" diseños de rootkits, sin embargo no veo que lo menciones en tu articulo.
http://home.arcor.de/scheinsicherheit/rootkits.htm

Saludos
Mr Big Dragon


"JM Tella Llop [MVP Windows]" wrote in message news:%
ROOTKITS - Ese gran desconocido
-

Se habla mucho en la red sobre la infinidad de metodos existentes para colocar una trampa explosiva en un sistema con el fin de que los usuario no tengan ninguna idea de lo que sucede realmente.

Se habla de virus, troyanos, spyware, malware. Sin embargo estos conceptos estan centrados en "herramientas" que se ejecutan como programas normales aunque con malevolos resultados y se ocultan en los mismos lugares que podemos descubrir o que un tecnico o que otro programa puede ver con relativa facilidad.

Por desgracia los verdaderos atacantes estan ocultos y pueden ser mucho mas incisivos. Cuando un hacker posee conocimientos profundos de la arquitectura de un sistema operativo, la completa violacion de la integridad del sistema puede ser una operacion bastante trivial.

El presente articulo viene a colación de los ultimos gusanos que han inundado e inundad internet: blaster y sasser, Debido a una vulnerabilidad del sistema operativo, se podia tomar control de nuestra maquina desde cualquier otra maquina de internet de una manera manual con solo saber nuestra IP. Realmente tampoco era necesario saberla ya que se hacian grandes barridos de direcciones IP para pillar a los incautos.

Hay que resaltar que estas vulnerabilidades y los propios gusanos en si, salieron mas tarde o mejor dicho a continuacion que Microsoft deistribuyera los parches de seguridad. Los hacker suelen usar tecnicas de ingenieria inversa para analizar lo parches y saber a traves de su analisis en que era vulnerable el sistema operativo. Sabiendo lo anterior ya solo les queda el hacer un programa que explote dicha vulnerabilidad y a continuacion, otro submundo de ellos, crean gusanoscomo los anteriores para infectar la red. Debemos resaltar que esto solo es posible en aquellas maquinas en las que el usuario es lo bastante temerario como para incumplir dos premisas: no usar cortafuegos y no usar laos mecanismos de actualizaciones automaticas de los sistemas operativos. Por desgracia y frente a los ataques e infecciones masivas, podemos comprobar que los usuarios, en general, cumplen estas dos premisas.

Per vayamos un poco más: ¿y si los atacantes mezclan el conocimiento de explotar una vulnerabilidad de este estilo, junto con un conocimineto profundo del sistema operativo? Esto no es en absoluto descabellado, maxime cuando dichos atacantes son capaces mediante ingenieria inversa de un parche el obtener la explotacion de una vulnerabilidad en solamente unos dias. ¿que ocurriria si a traves de una de estas vulnerabilidades nos introdujesen un rootkit?


Rootkits

¿que puede llegar a ocurrir si incluso el codigo del sistema operativo cae bajo el control del atacante?

Esta es una vieja idea que proviene desde la epoca en que las plataformas unix-linux permiten que el propio usuario puede compilar (y normalmente "debe" hacerlo) el nucleo del sistema operativo para generar una imagen optima para su sistema.

Se asigna el nombre de "rootkit" a los paquetes de software que sustituyen a los troyanos por binarios utilizados frecuentemente por el propio sistema operativo porque implican el pero compromiso posible e los privilegios de la maquina atacada.

Los Rootkits de unix-linux se pueden agrupar en cuatro categorias:

1) Troyanos de versiones modificadas de comandos basicos como: login, netstat y ps, por ejemplo.
2) Puertas traseras tales como las inserciones inetd.
3) Herramientas de escucha de las interfaces de red (sniffers).
4) Limpiadores de los registros del sistema (limpiadores de logs).

Los rootkits de unix-linus son abundantes y podemos verificarlo dandonos un simple paseo por: http://packetstorm.widexs.nl/UNIX/p.../rootkits/ Tambien en /UNIX/misc en este mismo sitio podremos encotrar algunos paquetes "interesantes".

La version 5 de Linux Rootkit (LRK5) es una de las mas notables alardeandose de haber generado versiones de puertas traseras de algunas de las utilidades mas criticas de la shell (entra las que se incluyen el comando "su", un "ssh" troyanizado y varios "sniffers").

No se debe dejar pasar por alto que los precursores de los sistemas actuales (XP / W2003) proviene de NT/W2000 y adquirieron su propio rookit en 1999, "cortesía" del equipo de Greg Hoglund en http://www.rootkit.com o bien en http://www.phrack.org

Greg dejó boquiabierta a la comunidad windows al mostrar un prototipo de trabajo de un rootkit de windows que podia ocultar claves de registro y efectuar redirecciones de programas .EXE. Opciones que se pueden utilizar sin mas para convertir en troyanos a archivos ejecutables normales sin modificar su contenido. Todos los trucos realizados por el rootkit estaban basados en la tecnica de "funcion enganchada" -establecer un "hook"-. El sistema era trivial parcheando un nucleo de NT / W2000 / XP de tal forma que se usurpan las llamadas al sistema: por tanto, el rootkit podrá ocultar un proceso, clave de registro o archivo o podrá redirigir las llamadas a las funciones troyanas. El resultado es mucho mas peligroso que el provocado por un rootkit del estilo troyano: el usuario ya *nunca* podrá estar seguro de la integridad del codigo que está ejecutando.


¿podemos hacer algo?


Sino podemos confiar en ningun de los comandos o programas, ni tan siquiera en un simple "dir" (o "ls" en linux), nos ha llegado la hora de arrojar la toalla: realize una copia de seguridad de sus archivos de datos criticos (nunca de ejecutables !), limpie completamente su sistema y reinstalelo de soportes originales. No confiar en las copias de seguridad ni de las imagenes realizadas ya que nunca sabrá en que momento el atacante ha podido conseguir el control del sistema.

La comprobacion mediante sumas de codigo (MD5) pueden tomar huella digital de los archivos y hacernos saber si uno de los archivos originales ha sido modificado. Sin embargo, la redireccion de ejecutables realizada por ciertos rootkits en el entorno windows puede anular esta tactica porque el codigo en cuestion no se modifica, sino solo se engancha y canaliza hacia otro ejecutable.

La imaginacion queda libre entonces para saber todo lo que pueden hacer a un usuario domestico y lo que es peor, a redes corporativas, bancos, instituciones, etc.

Lo mas peligros de cara a una corporacion son los ataques de escucha en una red comprometida.

¿que nos queda?: pues ademas de la propia seguridad en nuestra maquina, ser tambien cuidadosos con la seguridad en la red en todos los sentidos: usar herramientas de cifrado de comunicaciones, tales como Secure Shell (SSH), Secure Socket Layer (SSL), correo electronico seguro mediante Pretty Good Privacy (PGP) o un sistema de cifrado de la capa IP como los que proporcionan los servicion VPN. Esta es la unica forma realmente valida de rechazar los ataques de escucha en las comunicaciones.

La unica solucion, e resumen, y frente a la gravedad y envergadura de estos programas maliciosos, indetectables tanto ahora como en el furturo al tener el control completo o poderlo tener de nuestra maquina y por tanto ser capaces de enegañar a cualquier otro proceso, es usar el sentido comun: cortafuegos, sistemas operativos rigurosamente al dia, proteccion completa de la red y comunicaciones.

A nivel domestico, creo que sobra decir que hay dos herramientas basicas: firewall (cortafegos) y sistema operativo al dia son totalmente indispensables. Y herramientas del estilo de antivirus y ad-aware que se deben ejecutar, pero... ¿estos ultimos nos garantizan algo?: nada en absoluto ya que efectivamente nos pararan los virus conocidos. Pero por desgracia, para llegar a ser conocidos, antes habran infectado millones de maquinas. Por tanto, siempre, y como primera herramienta debemos tener el "sentido comun": no ejecutar nada que no sea en soporte original o bajado de webs oficiales (entrañan tambien un pequeño riesgo). No ejecutar por tanto ningun adjunto del correo. En principio, yo particularmente, elimino todos los correos con adjuntos, y si se puede establecer una regla en el lector de correo para ello, es lo mejor. Nunca bajarse nada de las redes P2P. Existen multitud de gusanos en estas redes, y el instalar simplemente un programa P2P en nuestra maquina ya nos hace vulnerables. Y sobre todo "sentido comun": recordemos que nadie en la calle nos regala nada por nada. En la red. tampoco. Pagaremos un precio por ello.


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.