[OT] A ver si se convence la gente.....

17/05/2004 - 20:30 por Alberto Garcia Baladia | Informe spam
VSantivirus No. 1411 Año 8, lunes 17 de mayo de 2004

_____________________________________________________________

1 - Sistema comprometido: "derribar y reconstruir"
_____________________________________________________________

http://www.vsantivirus.com/derribar...struir.htm

Sistema comprometido: "derribar y reconstruir"

Por Jose Luis Lopez
videosoft@videosoft.net.uy

"La única manera de limpiar un sistema comprometido es
derribarlo y reconstruirlo. Eso es lo correcto. Si usted
tiene un sistema que ha sido comprometido completamente, la
única cosa que usted puede hacer es derribarlo (formatear el
disco), y reconstruirlo (reinstalar Windows y sus
aplicaciones)."

En esta frase se resume el artículo firmado por Jesper M.
Johansson, Director del Programa de Seguridad de Microsoft,
en su columna de mayo de 2004 en "Security Management" (ver
Referencias).

Por otra parte, en el "Handler's Diary May 16th 2004" (ver
Referencias), Patrick Nolan del SANS Institute (SANS son las
siglas de SysAdmin, Audit, Network y Security), insiste en
que la experiencia ha demostrado largamente que reconstruir
de cero (formatear y reinstalar), un sistema que ha sido
comprometido por cualquier clase de intrusión, es la mejor
práctica. A pesar de ello, todavía existen algunas personas
responsables de la seguridad que prefieren ignorarlo.

Tal vez no sorprenda cuando las quejas de tener que formatear
y reinstalar vengan de usuarios domésticos, ya que es muy
común que éstos se dejen llevar por toda clase de consejos,
muchas veces bien intencionados, pero otros no tanto. Su
falta de experiencia, y la enorme cantidad de información que
pueden recibir de la red, puede fácilmente confundir su
sentido común con la comodidad. Incluso el rechazo puede
deberse a su falta de conocimientos para emprender por si
mismos una reinstalación completa del sistema.

Sin embargo, no hay excusas cuando estas quejas vienen de
responsables de sistemas informáticos, tal vez porque
admitirlo, también sería una vergonzosa manera de reconocer
que la intrusión ocurrió por su propia falta de previsión a
la hora de instalar parches y/o actualizar los programas a su
cargo.

Pero veamos los puntos fundamentales del artículo de
Johansson:

- Usted no limpia un sistema comprometido instalando los
parches (si no lo hizo antes del ataque). Instalar los
parches solo quita la vulnerabilidad. Una vez que un atacante
estuvo en su sistema, probablemente se aseguró de probar o
crear otras maneras de volver a entrar en él.

- Usted no limpia un sistema comprometido eliminando algunas
puertas traseras. Nunca podrá estar seguro de quitar todas
las puertas traseras que el atacante pudo dejar.

- Usted nunca limpiará correctamente un sistema comprometido
utilizando algunos "removedores de la vulnerabilidad". Varios
vendedores, incluido Microsoft, publicaron herramientas para
remover el Blaster (y el Sasser). ¿Puede confiar en un
sistema que tuvo el Blaster, después de ejecutar esa
herramienta? Si el sistema era vulnerable al Blaster, era
también vulnerable a muchos otros ataques. ¿Puede garantizar
que ninguno de ésos ataques se ha producido?

- Si usted puede garantizar que lo único que comprometió al
sistema fue determinado virus o gusano y usted sabe que este
virus no tiene puertas traseras, y además la vulnerabilidad
utilizada por el virus no estaba disponible en forma remota,
entonces el escaneo con un antivirus puede ser empleado para
limpiar el sistema. Por ejemplo, esto puede ocurrir cuando el
gusano se ejecuta por la acción directa o indirecta del
usuario (abrir un mensaje y/o un adjunto, hacer doble clic
sobre un archivo). Sin embargo, si la vulnerabilidad
utilizada por el gusano estaba disponible en forma remota sin
acción alguna de parte del usuario (cómo ocurre con el
Blaster y el Sasser), entonces usted no puede tener ninguna
garantía de que ese gusano fue la única cosa que utilizó
dicha vulnerabilidad.

- Usted no puede limpiar un sistema comprometido
reinstalándolo sobre el actual. El atacante puede haber
dejado archivos que engañen al instalador. Si ello sucede la
simple reinstalación no quitará los elementos comprometidos.
Además, el atacante pudo dejar puertas traseras en
componentes que no son del sistema operativo.

- Usted no puede confiar en ninguno de los datos copiados
desde un sistema comprometido. Una vez que un atacante entra
al sistema, todos los datos corren el riesgo de ser
modificados. En el mejor de los casos, copiando estos datos
en un sistema limpio, obtendrá información potencialmente no
confiable. En el peor de los casos, puede estar copiando una
puerta trasera escondida en los datos.

- Usted no puede confiar en los registros de un sistema
comprometido. Al obtener el acceso completo a un sistema, es
sencillo para un atacante modificar los registros para cubrir
cualquier rastro. Si depende de los logs de eventos para
saber que le han hecho a su sistema, usted puede estar
leyendo lo que el atacante quiere que usted lea.

- Usted no puede confiar en su último respaldo. ¿Cómo puede
estar seguro del momento en que empezó el ataque original?
Los registros no son confiables como para decirlo. Sin esa
información, su último respaldo es inútil. Puede ser un
respaldo que incluye todas las puertas traseras instaladas
por el atacante.

- La única manera de limpiar un sistema comprometido por un
ataque, deberá ser formatear y reinstalar. Si usted tiene un
sistema que ha sido comprometido completamente, la única cosa
que usted puede hacer es derribarlo (formatear el disco), y
reconstruirlo (reinstalar Windows y sus aplicaciones).

Los últimos casos concretos sobre este tema, han sido
protagonizados por el ya comentado gusano Blaster (Lovsan), y
más recientemente por el Sasser y la secuela de gusanos que
se valen de las mismas vulnerabilidades que utilizan estos
dos. Infecciones de este tipo obligan a un formateo y
reinstalación de Windows.

De todo esto, debería quedarnos como lección, que tal
situación podría haberse evitado si se hubieran instalado de
inmediato los parches necesarios, publicados en ambos casos,
varias semanas antes de cualquier ataque conocido.

Por último, también recomendamos un interesante artículo
publicado por José Manuel Tella Llop, reconocido profesional,
betatester y asiduo participante de los foros de Microsoft,
que expone de manera clara muchos de los aspectos aquí
tratados, junto a otros no menos trascendentes, y enfocados
al usuario doméstico (ver Referencias).
 

Leer las respuestas

#1 JM Tella Llop [MVP Windows]
17/05/2004 - 20:36 | Informe spam
Lo hemos comentando antes pero no está de mas recordarlo :-)

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"Alberto Garcia Baladia" wrote in message news:%23$

VSantivirus No. 1411 Año 8, lunes 17 de mayo de 2004

_____________________________________________________________

1 - Sistema comprometido: "derribar y reconstruir"
_____________________________________________________________

http://www.vsantivirus.com/derribar...struir.htm

Sistema comprometido: "derribar y reconstruir"

Por Jose Luis Lopez


"La única manera de limpiar un sistema comprometido es
derribarlo y reconstruirlo. Eso es lo correcto. Si usted
tiene un sistema que ha sido comprometido completamente, la
única cosa que usted puede hacer es derribarlo (formatear el
disco), y reconstruirlo (reinstalar Windows y sus
aplicaciones)."

En esta frase se resume el artículo firmado por Jesper M.
Johansson, Director del Programa de Seguridad de Microsoft,
en su columna de mayo de 2004 en "Security Management" (ver
Referencias).

Por otra parte, en el "Handler's Diary May 16th 2004" (ver
Referencias), Patrick Nolan del SANS Institute (SANS son las
siglas de SysAdmin, Audit, Network y Security), insiste en
que la experiencia ha demostrado largamente que reconstruir
de cero (formatear y reinstalar), un sistema que ha sido
comprometido por cualquier clase de intrusión, es la mejor
práctica. A pesar de ello, todavía existen algunas personas
responsables de la seguridad que prefieren ignorarlo.

Tal vez no sorprenda cuando las quejas de tener que formatear
y reinstalar vengan de usuarios domésticos, ya que es muy
común que éstos se dejen llevar por toda clase de consejos,
muchas veces bien intencionados, pero otros no tanto. Su
falta de experiencia, y la enorme cantidad de información que
pueden recibir de la red, puede fácilmente confundir su
sentido común con la comodidad. Incluso el rechazo puede
deberse a su falta de conocimientos para emprender por si
mismos una reinstalación completa del sistema.

Sin embargo, no hay excusas cuando estas quejas vienen de
responsables de sistemas informáticos, tal vez porque
admitirlo, también sería una vergonzosa manera de reconocer
que la intrusión ocurrió por su propia falta de previsión a
la hora de instalar parches y/o actualizar los programas a su
cargo.

Pero veamos los puntos fundamentales del artículo de
Johansson:

- Usted no limpia un sistema comprometido instalando los
parches (si no lo hizo antes del ataque). Instalar los
parches solo quita la vulnerabilidad. Una vez que un atacante
estuvo en su sistema, probablemente se aseguró de probar o
crear otras maneras de volver a entrar en él.

- Usted no limpia un sistema comprometido eliminando algunas
puertas traseras. Nunca podrá estar seguro de quitar todas
las puertas traseras que el atacante pudo dejar.

- Usted nunca limpiará correctamente un sistema comprometido
utilizando algunos "removedores de la vulnerabilidad". Varios
vendedores, incluido Microsoft, publicaron herramientas para
remover el Blaster (y el Sasser). ¿Puede confiar en un
sistema que tuvo el Blaster, después de ejecutar esa
herramienta? Si el sistema era vulnerable al Blaster, era
también vulnerable a muchos otros ataques. ¿Puede garantizar
que ninguno de ésos ataques se ha producido?

- Si usted puede garantizar que lo único que comprometió al
sistema fue determinado virus o gusano y usted sabe que este
virus no tiene puertas traseras, y además la vulnerabilidad
utilizada por el virus no estaba disponible en forma remota,
entonces el escaneo con un antivirus puede ser empleado para
limpiar el sistema. Por ejemplo, esto puede ocurrir cuando el
gusano se ejecuta por la acción directa o indirecta del
usuario (abrir un mensaje y/o un adjunto, hacer doble clic
sobre un archivo). Sin embargo, si la vulnerabilidad
utilizada por el gusano estaba disponible en forma remota sin
acción alguna de parte del usuario (cómo ocurre con el
Blaster y el Sasser), entonces usted no puede tener ninguna
garantía de que ese gusano fue la única cosa que utilizó
dicha vulnerabilidad.

- Usted no puede limpiar un sistema comprometido
reinstalándolo sobre el actual. El atacante puede haber
dejado archivos que engañen al instalador. Si ello sucede la
simple reinstalación no quitará los elementos comprometidos.
Además, el atacante pudo dejar puertas traseras en
componentes que no son del sistema operativo.

- Usted no puede confiar en ninguno de los datos copiados
desde un sistema comprometido. Una vez que un atacante entra
al sistema, todos los datos corren el riesgo de ser
modificados. En el mejor de los casos, copiando estos datos
en un sistema limpio, obtendrá información potencialmente no
confiable. En el peor de los casos, puede estar copiando una
puerta trasera escondida en los datos.

- Usted no puede confiar en los registros de un sistema
comprometido. Al obtener el acceso completo a un sistema, es
sencillo para un atacante modificar los registros para cubrir
cualquier rastro. Si depende de los logs de eventos para
saber que le han hecho a su sistema, usted puede estar
leyendo lo que el atacante quiere que usted lea.

- Usted no puede confiar en su último respaldo. ¿Cómo puede
estar seguro del momento en que empezó el ataque original?
Los registros no son confiables como para decirlo. Sin esa
información, su último respaldo es inútil. Puede ser un
respaldo que incluye todas las puertas traseras instaladas
por el atacante.

- La única manera de limpiar un sistema comprometido por un
ataque, deberá ser formatear y reinstalar. Si usted tiene un
sistema que ha sido comprometido completamente, la única cosa
que usted puede hacer es derribarlo (formatear el disco), y
reconstruirlo (reinstalar Windows y sus aplicaciones).

Los últimos casos concretos sobre este tema, han sido
protagonizados por el ya comentado gusano Blaster (Lovsan), y
más recientemente por el Sasser y la secuela de gusanos que
se valen de las mismas vulnerabilidades que utilizan estos
dos. Infecciones de este tipo obligan a un formateo y
reinstalación de Windows.

De todo esto, debería quedarnos como lección, que tal
situación podría haberse evitado si se hubieran instalado de
inmediato los parches necesarios, publicados en ambos casos,
varias semanas antes de cualquier ataque conocido.

Por último, también recomendamos un interesante artículo
publicado por José Manuel Tella Llop, reconocido profesional,
betatester y asiduo participante de los foros de Microsoft,
que expone de manera clara muchos de los aspectos aquí
tratados, junto a otros no menos trascendentes, y enfocados
al usuario doméstico (ver Referencias).

Preguntas similares