José Manuel Tella Llop
MS MVP - DTS
jmtella@compuserve.com
SOBRE LAS NUEVAS MANERAS DE EXTRAER INFORMACIÓN DE NUESTRAS MÁQUINAS
--------------------------------------------------------------------
Este artículo viene a colación de las diversas desinformaciones que se están dando, y se dieron en el pasado "a propósito" en algunos medios de comunicación, con respecto a vulnerabilidades, virus, gusanos, del estilo Blaster, y en la actualidad del Sasser.
Quiero orientar el artículo fundamentalmente a los usuarios domésticos. En el ámbito empresarial es otra historia, ya que las empresas tienen sus propios mecanismos de seguridad, al igual que personal especializado, que juzgarán en cada caso las fugas de información y la manera de atajarlas así como los medios a poner para resolver el problema. En estos últimos casos, la casuística debe ser estudiada con detalle.
INTRODUCCIÓN:
-------------------------Pero a nivel doméstico, tenemos una pregunta que hacernos: ¿es necesario formatear el equipo ante la entrada de uno de estos gusanos?.
Esta es la pregunta formulada en términos clásicos. Cualquier experto en informática os responderá inmediatamente: ESTÁ REALMENTE MAL FORMULADA LA PREGUNTA.
La pregunta correcta debería ser: En caso de una intrusión fuerte, seria, en manos de millones de delincuentes -script-kiddies- ¿debo formatear? ¿qué más acciones de seguridad y para proteger mis datos debo tomar?
Antes de nada, vamos a definir el término script-kiddie: niños idiotas en castellano. Es gente sin o con poco conocimiento de informática, dedicados al vandalismo, y que se dedican a modificar, realizando un pequeño conjunto de comandos -script- un exploit (programa malicioso para explotar una vulnerabilidad) al objeto de conquistar una máquina y hacer en ella las acciones que hayan pensado para su "script".
Esto es tan peligroso... que no hay una norma general de qué es lo que hacen. Se sabe lo que pueden hacer. Pero cada uno será diferente al anterior.
ANTECEDENTES Y EXPLOITS AL ALCANCE DEL "PÚBLICO"
-----------------------------------------------------------------------------------------Todos estos exploits provienen de una vulnerabilidad, curiosamente unas semanas más tarde de que haya sido publicada, resuelta, y estando los parches a disposición del público.
Ciñámonos, en una explicación simple, al caso del Blaster (el Sasser es idéntico):
Un agujero de seguridad en el RCP ("Remote Procedure Call", o llamada a procedimiento remoto), fue detectado y corregido por Microsoft el día 16 de julio de 2003:
http://www.microsoft.com/security/security_bulletins/ms03-026.asp
Están afectados todos los sistemas de núcleo NT (W2000, XP, W2003).
La actualización crítica fue puesta a disposición de los usuarios a través de Windows Update y del sistema de actualizaciones automáticas.Pocos días más tarde, apareció publicado en páginas dedicadas al hacking, como por ejemplo http://cyruxnet.com.ar/rpcxploit2.htm#windows, un exploit (programa malicioso para usar o explotar una vulnerabilidad) llamado DCOM, el cual era capaz de provocar un desbordamiento de buffer en una máquina remota al objeto de tomar control de ella.
El método, con el exploit anterior, es de lo más sencillo:
dcom 1 direccion_IP
telnet direccion_ip 4444
GRAVEDAD DE ESTE EXPLOIT
----------------------------------------------Fijémonos, que este exploit, NO ha metido ningún gusano. No es un gusano... sino un ataque directo. Alguien acaba de tomar control de nuestra máquina. A partir de este momento puede hacer lo que quiera: llevarse datos, cambiarnos las claves, llevarse el fichero de claves, llevarse certificados digitales de nuestra máquina, colocarnos un keylloger para pillar las pulsaciones tecleadas en páginas seguras -páginas bancarias, transacciones comerciales, etc-
Y lo que es más grave: en nuestra máquina todavía no ha aparecido la famosa cuenta atrás de un minuto que nos indicaría la presencia de Blaster o Sasser. No hay ningún síntoma de que estemos infectados, o que hayan entrado en nuestra máquina
Únicamente cuando ese visitante malicioso se vaya... en ese momento aparecerá la famosa cuenta atrás de un minuto. Pero el mal... ya está hecho. Ya nos da igual.
Puede incluso ser peor: dejarnos un zombi o un troyanito hecho a medida (los famosos rootkit, indetectables por su variedad y porque no hay herramientas para ello), y continuar capturando información a posteriori.
Fijémonos en lo mas importante: no estamos infectados. Y si de casualidad, además, nos infecta un gusano, ese pobre gusano es totalmente inocente. No es peligroso.... no pasa nada grave.
PROBLEMA REAL
---------------------------El problema en sí es que hemos sufrido una intrusión por ser vulnerables.
Y demos gracias a que precisamente nos enteramos de la intrusión debido a la existencia del gusano. Si no hubiesen realizado el gusano, únicamente existiría el exploit. Tardarían meses en diagnosticar lo que está pasando. Gracias precisamente a la existencia del gusano, las grandes casas de antivirus han tomado cartas en el asunto, pero únicamente al nivel que a ellos les compete: eliminar el gusano.
No entran, ni pueden entrar, en lo que nos haya podido pasar por haber sido vulnerables y por las intrusiones realizadas.
CIÑÉNDONOS EN LA ACTUALIDAD AL SASSER
--------------------------------------------------------------------La sintomatología de que hemos sido vulnerables es simplemente un mensaje similar a:
LSA Shell (Export Version) ha encontrado un problema y debe cerrarse.
O bien mensajes del tipo:
Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTORITHY\SYSTEM
Tiempo restante para el apagado: xx:xx:xx
El proceso del sistema C:\WINNT\system32\lsass.exe terminó de forma inesperada indicando código 0
Windows debe reiniciar ahora.Con una cuenta regresiva y la máquina se reinicia. Con esto indica que somos vulnerables y por tanto, o bien ha sido un simple ataque del Sasser, algo totalmente inocuo, o bien hemos sufrido una intrusión.
Parece que es muy difícil, y es en lo que internamente nos escudamos, que precisamente nuestra máquina haya sido objeto de tal intrusión. Por desgracia, tal y como están las cosas, esto último es lo más probable.
Páginas maliciosas llevan tiempo distribuyendo los exploits que permiten intrusiones por rangos completos de IP. Totalmente mecanizados para que los script-kiddies no tengan mucho trabajo que hacer y solo recolectar la información.
Veamos páginas de "información" y de donde se pueden bajar dichos exploits:
Por ejemplo: http://cyruxnet.com.ar
-----------------------------------------------
Exploit para el LSASS (MS04-011) (25-04-2004)Se trata de un nuevo exploit para otra de las vulnerabilidades del MS04-011, la que se referenciaba como "LSASS Vulnerability"
Esta vulnerabilidad fue encontrada por la gente de eEye (AD20040413C) y afecta a los Windows 2k/XP, el servicio afectado es el LSA (Local Security Authority) Service (LSASRV.DLL). El exploit causa un overflow
Se ven afectados los Windows 2k/XP que no esten parcheados con el parche del MS04-011
Exploit: ms04011lsass.c (links externo a www.k-otik.com).DSScan: Escáner para esta vulnerabilidad publicado por Foundstone antes de aparecer el exploit.
Descárgalo aquíActualización 26-04-2004 :
Versión compilada: ms04011lsass
/download/ms04011lsass.zipActualización 29-04-2004 :
exploit universal (2k/XP): HOD-ms04011-lsasrv-expl
http://cyruxnet.com.ar/download/HOD-ms04011-lsasrv-expl.rarOrigen: www.k-otik.com
-------------------------------------------------CONCLUSIONES
------------------------1) FORMATEAR
No por la existencia del gusano en sí, o porque hayamos sido infectados. Sino porque hemos sido vulnerables: se puede afirmar que uno de cada tres ataques no es una infección del gusano, sino una intrusión en toda regla por uno de los millones de script-kiddies que hay sin otro oficio ni beneficio que realizar estos actos vandálicos.
2) CAMBIAR TODAS LAS CLAVES
Es necesario cambiar todas las claves y usar claves nuevas.
Avisar a los servicios (bancarios, de emisión de certificados, etc) y cambiar en ellos las claves de acceso. Aunque no los hayamos utilizado durante la existencia del gusano, pero cualquier cookie, o información almacenada previamente en nuestra máquina ha podido salir a Internet y pasar en la actualidad a engrosar las listas de datos que posteriormente estos script-kiddies venden en el mismo Internet.
La información confidencial que tuviésemos, bien personal o bien empresarial, puede que sea ahora del dominio público.
--
|
|
|
04 - Mayo - 2004