¿La puntilla para Vista?

Enviado por Fernando Acero el 9. Agosto 2008 - 17:06.

NOTA DEL EDITOR: Como ya dije en su momento, este artículo de Fernando Acero me ha pillado con el paso "cambiao". Inicialmente no presté la menor atención a otra noticia que hablaba de la enésima vulnerabilidad de Windows Vista, pero con el tiempo esa actitud se ha mostrado equivocada. El artículo de Fernando es ya el más leído en Kriptópolis en el último mes, y está siendo enlazado, reproducido y plagiado (es decir, saltándose a la torera su licencia libre y haciéndolo pasar por propio) por infinidad de sitios.

Por Fernando Acero

De todos son conocidos los problemas de Windows Vista para entrar en el mercado, con controvertidas cifras de venta (recordemos que se lo hacen comer con patatas a cada comprador de un sistema informático) y con otros serios problemas con el hardware, los recursos y la compatibilidad, como ya predijo Gartner en su momento. Pero puede que la puntilla destinada a acabar definitivamente con este sistema operativo tan polémico se la acaben de haber dado en Las Vegas...

Al parecer, investigadores de IBM y VMWare acaban de desvelar durante la conferencia Black Hat de Las Vegas, una técnica que permite obtener control total de Windows Vista y lo hacen, de una manera que puede que sea prácticamente imposible de solucionar por Microsoft, a menos que cambie por completo. o sustancialmente, la arquitectura de seguridad de Windows Vista, lo que sinceramente, como están las cosas, me parece improbable.

El problema nace en la forma en la que algunos programas de Windows Vista, como el navegador Internet Explorer, cargan las DLLs (librerías dinámicas) en la memoria de la máquina. El error se basa en que Microsoft asumió para la arquitectura de seguridad de su sistema operativo Windows Vista, que cualquiera de los archivos de DLLs que se cargasen a través de su tecnología .NET, eran seguros por definición. Apuesta, que sin duda, es arriesgada para la seguridad del sistema, pero que parecía conveniente por motivos comerciales. Como están las cosas, basta mezclar la tecnología .NET con código malicioso embebido en DLL's, para tener un cóctel explosivo y demoledor para la seguridad de los usuarios.

Lo peor de todo, es que es una técnica muy sencilla de implementar y muy flexible, puesto que se pueden modificar las DLL maliciosas con mucha facilidad y añadirles un "payload" personalizado, lo que puede abrir las puertas a un nuevo universo de maldades informáticas, gracias a que cualquiera podrá tomar el control total y absoluto de un ordenador dotado con Windows Vista, con un acto tan inocente como visitar una página Web preparada para ejecutar el ataque.

Por si alguno piensa que el parche llegará pronto, hay un problema adicional en todo este asunto, como hemos dicho, el fallo reside en la arquitectura de seguridad de Windows Vista, es decir, que no explota un error de programación, más bien, explota un error de diseño que afecta a lo más íntimo del sistema operativo. La consecuencia es clara, puede que no se pueda arreglar con facilidad, o si se puede, el parche puede ser de varios cientos de megas y sobre todo, de poder arreglarse, es posible que tarde algún tiempo en llegar.

Por ahora, por asombroso que parezca, la única solución para protegerte de esto, es instalarte un Linux y no usar Windows Vista para abrir ningún archivo, o para acceder a Internet, si eres un feliz usuario de Vista no te puedes fiar de nada, la DLL maliciosa que, robe tu información personal, lo convierta en un miembro de honor de una red botnet, o que lo configure como servidor de pornografía infantil, puede venir por cualquier medio, a través de un chat, por correo electrónico, o simplemente, visitando una página web, etc, por ello, el mejor consejo que os puedo dar, felices usuarios de Vista es "olvidaos de Vista hasta que se solucione el problema, si es que se soluciona".

Ahora es el momento de pensar en lo que decía Bruce, sobre el coste para la seguridad que tiene un monopolio, o sobre los problemas de seguridad del código cerrado y monolítico.Pero lo peor de todo, es que a pesar del desastre para los usuarios de Vista, habrá muchos usuarios que no serán conscientes del problema y que seguirán usando Vista con todo lo que ello puede suponer para la seguridad global.

Fuente: Search Security / Black Hat.

"Copyleft 2008 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved."

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Vista no necesita la puntilla

Enviado por admin el 9. Agosto 2008 - 17:08.

Está muerto desde que nació y cada día apesta más.

Ví esta noticia ayer y no le presté la menor atención, pensando que no merecía la pena ni dedicar un rato a elaborarla.

Tú lo has hecho y te lo agradezco, pero Vista ya está finiquitado hasta para Microsoft.

Carta de pago

Enviado por enxebree el 9. Agosto 2008 - 18:25.

Carta de pago es una traducción de "Payload"?

En ese caso... no creo que sea necesario la traducción...

Además la traducción seria algo así como carga útil, pero en seguridad se emplea como derivada de la acepción por la que payload es la carga explosiva de la cabeza de un misil... luego entiendo que carga explosiva seria una traducción más adecuada, pero dudo que nadie se hiciera cargo de a que nos estamos refiriendo... no sé, ante la duda, me resisto a traducirla, tampoco debemos caer en el error de traducir todo por sistema...

Saludos

Payload

Enviado por anónimo el 9. Agosto 2008 - 19:00.

En el artículo traducen como "carga de pago" lo que entiendo que en el artículo original debía ser "payload".

Esta traducción es bastante confusa. El payload de un programa malicioso es el trozo de código que está envuelto en el vehículo que lo propaga, sea éste un virus, un gusano u otro medio. El término proviene de la industria armamentística, donde se refiere a la carga explosiva útil de una bomba o artefacto detonable.

Blog de Alfonso y Compañía

Realmente la palabra...

Enviado por anónimo el 10. Agosto 2008 - 9:07.

Realmente el término "carga de pago" o en inglés "payload" es más antiguo que los misiles, es un término aeronáutico que indica el peso útil que puede transportar un avión una vez deducidos los pesos de aquello que tiene que llevar por narices, como el combustible, el aceite, etc.

"payload in commercial aircraft, relates to revenue-earning cargo, passengers, baggage or mail; in military aircraft, total disposable load which may include weapons, cargo, passengers and any removable mission equipment
P&W ..."

carga útil

Enviado por anónimo el 12. Agosto 2008 - 21:56.

"Payload" significa en castellano carga útil, en transporte (no sólo transporte aéreo) la carga útil es la carga que te proporcionaba un beneficio directo en su transporte y/o venta. Por ejemplo transportas patatas y la carga útil ("payload") serían las patatas mientras que la gasolina para el transporte no lo es.

Según que contexto esta definición varía ligeramente, y en infórmatica "payload" es la parte de código que realmente hace el trabajo en contraposición a la parte de codigo utilizada para transportar, duplicar o enmascarar el "payload".

Ahora bien, lo que para unos es trabajo para otros es una putada... pero eso es otro cantar.

Por cierto, soy Doctor Mapache pero me daba pereza hacer login.

"payload" en transferencia de datos

Enviado por anónimo el 1. Septiembre 2008 - 17:02.

Para complementar, el término "payload" en transferencia de datos se refiere a el costo (en bits)que deben pagar los datos puros, por ejemplo en un datagrama cada capa del protocolo utilizado tiene grupos de bits que fungen como delimitadores, secuenciadores, mecanismos para correccion de errores, etc. sin ellos los datos no se pueden transportar, por asi decirlo estos bits son el precio que pagan los datos para ser transportados. Es en esa parte donde se puede insertar el codigo malicioso que explota la vulnerabilidad de Vista.

Vista… Game Over?

Enviado por enxebree el 9. Agosto 2008 - 19:01.

Vista… Game Over?

http://searchsecurity.techtarget.com/news/article/0,289142,s...

No me gustaría estar ahora en el papel de los responsables de seguridad de MS… IBM y VMware esta vez le han buscado las cosquillas, pero de verdad… en la linea de flotación…

Ahora todos los usuarios de Vista tienen una amenaza de seguridad muy severa y critica… esperemos que no salgan exploits pronto… o la poca buena fama que le queda a Vista caerá en picado…

A esto tipo de cosas me refiero cuando critico a MS… les falta visión… los paradigmas han cambiado y siguen anclados en el pasado… sabéis cuanto tardaría en solucionarse este problema con el código abierto desde su detección? una semana? tres días? 24 horas?… esa es la ventaja competitiva que aún no han comprendido la gente de MS… puede que haya muchos "malos" buscándole las cosquillas al software… pero a la hora de solucionar los problemas, más que la cantidad de gente mirando el código, lo importante es la diversidad de enfoques distintos abordando el mismo problema… no os dais cuenta? es lo mismo que hacen los "malos"… muchos buscando vulnerabilidades de maneras diferentes.. pues ahora invertid eso y aplicadselo a los "buenos"… que tenéis?… os lo digo yo… el open source… hace tiempo que comprendí eso, hace mucho que la comunidad lo entendió… pero los de MS parecen aún no haberlo entendido…

Y si no hubiera alternativa? y si la gente de MS poseyeran el 100% del mercado con Vista? os dais cuenta de las consecuencias de una vulnerabilidad de este tipo?

Cuantos meses han retenido la información sobre la vulnerabilidad del DNS para que no ocurriera una catástrofe? os dais cuenta de que considerando sus cuotas de mercado, algo así en XP, habría sido una hecatombe?

Aunque tengo que reconocer una cosa… si la gente de VMware e IBM no les hubieran avisado de esto antes del BlackHat, no habrían jugado limpio… y eso tampoco va conmigo… hoy por ti, mañana por mi… ante todo, debería ser un juego de caballeros… afortunadamente, lo hicieron… por el bien de todos sus usuarios, espero que tengan una solución pronto…

En serio… el open source y el software libre no son el juego de unos pocos freaks… es la manera optima de jugar al mismo juego que los que pretenden cargarse el sistema, de jugar con sus mismas armas…

Saludos

Supongo...

Enviado por anónimo el 9. Agosto 2008 - 22:29.

Por ahora, por asombroso que parezca, la única solución para protegerte de esto, es instalarte un Linux y no usar Windows Vista

Hombre, supongo que también valdrá instalar FreeBSD, NetBSD, AIX, HP-UX, ... en fin, hasta Windows XP.

enxebree siento decirte que los desarrolladores de software libre no son superheroes, si hubiera que cambiar una parte importante del diseño de Linux dudo mucho que se hiciese en 24 horas, ni en una semana, y si así fuera, miedo me iba a dar a mi esa solución. Y por favor, dejemonos de poderes mágicos del open source, que también decía Linus que cuantos más ojos mejor y luego ya sabemos todos lo que pasó con Debian hace poco, de "mucho" sirvieron todos los ojos de los desarrolladores y usuarios de Debian, de su principal derivado -Ubuntu- y de todas las distros derivadas de ambas.

Lo importante es la calidad, no la cantidad, y es mejor tener 5 personas con experiencia que 50 sin ella, ni el número ni el tamaño son indicadores de la calidad de nada, o al menos del software no :P Con esto no digo ni que la "comunidad" (¿no era que la mayor parte de las contribuciones a Linux vienen de empresas?) del open source sea de mala calidad ni ninguna paja mental que alguien se quiera inventar, pero querer relacionar cantidad con calidad es un error (que por cierto, primero dices que la cantidad no importa para poco después decir que sí).

No hablo de cantidad

Enviado por enxebree el 10. Agosto 2008 - 9:29.

No hablo de cantidad de personas, hablo de cantidad de enfoques distintos, que es muy distinto...

A mi dame 10 personas distintas, repartidas por todo el mundo, con una manera de hacer las cosas muy diferente y que sepan lo que hagan y quédate tu con 50 expertos de una misma compañía que compartan las mismas costumbres... llamarle a eso calidad? no lo creo... no es una cuestión de calidad, ni cantidad... es una cuestión de hallar enfoques muy distintos para abordar un mismo problema... si has probado a arreglar un problema 50 veces de la misma manera, verás que no es hasta que cambias de manera de hacerlo, que hayas la solución...

Y hablo de solución una vez detectado el error... que un error este ahí y nadie lo vea, puede pasar en cualquier tipo de código, no hay ningún modelo de desarrollo inmune a eso, y que haya desarrollado un poco y se haya cansado de hacer debugs, sabe de lo que hablo... y cuanto tiempo pasó hasta que se arregló el problema que mencionas una vez detectado? el primer parche en unas 24 horas... a eso me refiero...

Sí hablas de cantidad

Enviado por anónimo el 10. Agosto 2008 - 19:59.

Cada persona es un enfoque distinto, existen las "escuelas de pensamiento" pero aún así... vamos yo y mi compañero de prácticas "no discutimos ni nada" sobre como solucionar un problema, y eso que nos dan clase los mismos profesores desde hace tres años, y también trabajamos juntos desde hace tres años. Por no decir que ni la persona que te enseña condiciona necesariamente tu enfoque hacia los problemas (y eso olvidándonos de que puedes tener hasta 3 o 4 profesores distintos en cada asignatura), es absurdo. Hablo de la universidad porque es donde entiendo que debe salir la gente que diseña :P sino mal vamos.

En primer lugar 50 expertos de la misma compañía no tienen el mismo enfoque ni de broma, una por lo que te acabo de exponer en el párrafo anterior, y otra porque entonces dicha compañía sólo tendría un experto y 49 becarios :) el dinero no está para gastarlo en tonterías. A mi dame 10 personas sin experiencia y te las devuelvo (quiero decir si pretendes que ellas solas desarrollen un proyecto importante), con toda sinceridad. En segundo lugar nadie intenta resolver un problema 50 veces de la misma forma, a menos que sea estúpido.

Lo que quise decir con lo de Debian, es que esos mitos del open source, son eso, mitos y pajas mentales de los fanboys, a mi me gusta el open source pero por lo que es en si mismo, no por sus supuestos "super-poderes". Uno de los mitos viene de Linus que un día dijo "Dado un número suficientemente elevado de ojos, todos los errores se convierten en obvios", y algún loco le llamó a eso ley. Además de que esa afirmación (no ley) ya está bastante discutida, el caso de Debian fue uno de los mayores contraejemplos.

El primer parche salió a las 24 horas porque a los de Debian ya se les caía la cara de vergüenza, y porque solucionar el bug no era mucho más que volver a poner las 2-3 lineas que a alguien se le ocurriera borrar. Si un bug obligara a rediseñar todo el sistema de módulos de Linux te aseguro que no iban a tardar 24 horas en modificar el kernel y todos los módulos desarrollados.

123456789siguientefinal

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
3 + 7 =
Resuelve esta sencilla operación e introduce el resultado.