[Desmontando a Jesper M. Johansson]

17/05/2004 - 20:36 por Anonimo | Informe spam
Procurará no repetir lo dicho en mis otros mensajes sobre
este mismo tema.

Aceptando lo que nos dice el señor Jesper, que NO PODEMOS
SABER CUANDO TUVO LUGAR EL ATAQUE ORIGINAL, se llega al
absurdo de que tendríamos que formatear e instalar todo
ad-infinitum.

Efectivamente, nadie nos puede garantizar, después de
habernos conectado a una red o de que alguien haya
utilizado nuestro ordenador, que nuestra equipo no se haya
infectado, por lo tanto dos soluciones: o equipo aislado y
enclaustrado, o formateas e instalas todo, te conectas un
ratito y vuelves a formatear e instalar.

Ninguna de las dos alternativas es racional, luego hay que
concluir que la propuesta es absurda.

Convendría que Jesper nos dijese en qué opinión debemos
confiar, en la suya o en la de Microsoft (que no recomienda
formatear los equipos afectados por Blaster).

También Jesper nos podría decir por qué Microsoft permite
que los directorios donde está el sistema operativo y el
registro sean accesibles para las aplicaciones. Si se
impidiese el problema sería mucho menor.

Preguntas similare

Leer las respuestas

#1 JM Tella Llop [MVP Windows]
17/05/2004 - 20:42 | Informe spam
¿desmontando? ¿tu?...

mucho desmontas tu primero te "luciste" intentando desmontarme a mi:
http://www.multingles.net/docs/sasser.htm

luego continuó tu "lucimiento" intentando desmontar a VsAntivirus:
http://www.vsantivirus.com/faq-sasser.htm#10

y ahora quieres "demontar" al Director del Programa de Seguridad de Microsoft.
http://www.vsantivirus.com/derribar...struir.htm

anda. dedicate a cultivar "cebollines"... y de paso desfogate mira a ver si puedes "montar" algo, o a alguien. :-)))))

(la de cenutrios que hay sueltos por el mundo)

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




wrote in message news:e34d01c43c3d$e987cfc0$
Procurará no repetir lo dicho en mis otros mensajes sobre
este mismo tema.

Aceptando lo que nos dice el señor Jesper, que NO PODEMOS
SABER CUANDO TUVO LUGAR EL ATAQUE ORIGINAL, se llega al
absurdo de que tendríamos que formatear e instalar todo
ad-infinitum.

Efectivamente, nadie nos puede garantizar, después de
habernos conectado a una red o de que alguien haya
utilizado nuestro ordenador, que nuestra equipo no se haya
infectado, por lo tanto dos soluciones: o equipo aislado y
enclaustrado, o formateas e instalas todo, te conectas un
ratito y vuelves a formatear e instalar.

Ninguna de las dos alternativas es racional, luego hay que
concluir que la propuesta es absurda.

Convendría que Jesper nos dijese en qué opinión debemos
confiar, en la suya o en la de Microsoft (que no recomienda
formatear los equipos afectados por Blaster).

También Jesper nos podría decir por qué Microsoft permite
que los directorios donde está el sistema operativo y el
registro sean accesibles para las aplicaciones. Si se
impidiese el problema sería mucho menor.
Respuesta Responder a este mensaje
#2 mar
17/05/2004 - 20:45 | Informe spam
nene!.. A LA ESCUELA !!!!


Procurará no repetir lo dicho en mis otros mensajes sobre
este mismo tema.

Aceptando lo que nos dice el señor Jesper, que NO PODEMOS
SABER CUANDO TUVO LUGAR EL ATAQUE ORIGINAL, se llega al
absurdo de que tendríamos que formatear e instalar todo
ad-infinitum.

Efectivamente, nadie nos puede garantizar, después de
habernos conectado a una red o de que alguien haya
utilizado nuestro ordenador, que nuestra equipo no se haya
infectado, por lo tanto dos soluciones: o equipo aislado y
enclaustrado, o formateas e instalas todo, te conectas un
ratito y vuelves a formatear e instalar.

Ninguna de las dos alternativas es racional, luego hay que
concluir que la propuesta es absurda.

Convendría que Jesper nos dijese en qué opinión debemos
confiar, en la suya o en la de Microsoft (que no


recomienda
formatear los equipos afectados por Blaster).

También Jesper nos podría decir por qué Microsoft permite
que los directorios donde está el sistema operativo y el
registro sean accesibles para las aplicaciones. Si se
impidiese el problema sería mucho menor.






.

Respuesta Responder a este mensaje
#3 Anonimo
17/05/2004 - 20:53 | Informe spam
Lo de siempre, descalificaciones e insultos, pero ningún
argumento.





¿desmontando? ¿tu?...

mucho desmontas tu primero te "luciste" intentando


desmontarme a mi:
http://www.multingles.net/docs/sasser.htm

luego continuó tu "lucimiento" intentando desmontar a


VsAntivirus:
http://www.vsantivirus.com/faq-sasser.htm#10

y ahora quieres "demontar" al Director del Programa de


Seguridad de Microsoft.
http://www.vsantivirus.com/derribar...struir.htm

anda. dedicate a cultivar "cebollines"... y de paso


desfogate mira a ver si puedes "montar" algo, o a
alguien. :-)))))

(la de cenutrios que hay sueltos por el mundo)

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de


ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and


confers no rights.
You assume all risk for your use.




wrote in message


news:e34d01c43c3d$e987cfc0$
Procurará no repetir lo dicho en mis otros mensajes sobre
este mismo tema.

Aceptando lo que nos dice el señor Jesper, que NO PODEMOS
SABER CUANDO TUVO LUGAR EL ATAQUE ORIGINAL, se llega al
absurdo de que tendríamos que formatear e instalar todo
ad-infinitum.

Efectivamente, nadie nos puede garantizar, después de
habernos conectado a una red o de que alguien haya
utilizado nuestro ordenador, que nuestra equipo no se haya
infectado, por lo tanto dos soluciones: o equipo aislado y
enclaustrado, o formateas e instalas todo, te conectas un
ratito y vuelves a formatear e instalar.

Ninguna de las dos alternativas es racional, luego hay que
concluir que la propuesta es absurda.

Convendría que Jesper nos dijese en qué opinión debemos
confiar, en la suya o en la de Microsoft (que no recomienda
formatear los equipos afectados por Blaster).

También Jesper nos podría decir por qué Microsoft permite
que los directorios donde está el sistema operativo y el
registro sean accesibles para las aplicaciones. Si se
impidiese el problema sería mucho menor.






.

Respuesta Responder a este mensaje
#4 JM Tella Llop [MVP Windows]
17/05/2004 - 20:56 | Informe spam
veamos los puntos fundamentales del artículo de Johansson:

- Usted no limpia un sistema comprometido instalando los parches (si no lo hizo antes del ataque). Instalar los parches solo quita la vulnerabilidad. Una vez que un atacante estuvo en su sistema, probablemente se aseguró de probar o crear otras maneras de volver a entrar en él.

- Usted no limpia un sistema comprometido eliminando algunas puertas traseras. Nunca podrá estar seguro de quitar todas las puertas traseras que el atacante pudo dejar.

- Usted nunca limpiará correctamente un sistema comprometido utilizando algunos "removedores de la vulnerabilidad". Varios vendedores, incluido Microsoft, publicaron herramientas para remover el Blaster (y el Sasser). ¿Puede confiar en un sistema que tuvo el Blaster, después de ejecutar esa herramienta? Si el sistema era vulnerable al Blaster, era también vulnerable a muchos otros ataques. ¿Puede garantizar que ninguno de ésos ataques se ha producido?

- Si usted puede garantizar que lo único que comprometió al sistema fue determinado virus o gusano y usted sabe que este virus no tiene puertas traseras, y además la vulnerabilidad utilizada por el virus no estaba disponible en forma remota, entonces el escaneo con un antivirus puede ser empleado para limpiar el sistema. Por ejemplo, esto puede ocurrir cuando el gusano se ejecuta por la acción directa o indirecta del usuario (abrir un mensaje y/o un adjunto, hacer doble clic sobre un archivo). Sin embargo, si la vulnerabilidad utilizada por el gusano estaba disponible en forma remota sin acción alguna de parte del usuario (cómo ocurre con el Blaster y el Sasser), entonces usted no puede tener ninguna garantía de que ese gusano fue la única cosa que utilizó dicha vulnerabilidad.

- Usted no puede limpiar un sistema comprometido reinstalándolo sobre el actual. El atacante puede haber dejado archivos que engañen al instalador. Si ello sucede la simple reinstalación no quitará los elementos comprometidos. Además, el atacante pudo dejar puertas traseras en componentes que no son del sistema operativo.

- Usted no puede confiar en ninguno de los datos copiados desde un sistema comprometido. Una vez que un atacante entra al sistema, todos los datos corren el riesgo de ser modificados. En el mejor de los casos, copiando estos datos en un sistema limpio, obtendrá información potencialmente no confiable. En el peor de los casos, puede estar copiando una puerta trasera escondida en los datos.

- Usted no puede confiar en los registros de un sistema comprometido. Al obtener el acceso completo a un sistema, es sencillo para un atacante modificar los registros para cubrir cualquier rastro. Si depende de los logs de eventos para saber que le han hecho a su sistema, usted puede estar leyendo lo que el atacante quiere que usted lea.

- Usted no puede confiar en su último respaldo. ¿Cómo puede estar seguro del momento en que empezó el ataque original? Los registros no son confiables como para decirlo. Sin esa información, su último respaldo es inútil. Puede ser un respaldo que incluye todas las puertas traseras instaladas por el atacante.

- La única manera de limpiar un sistema comprometido por un ataque, deberá ser formatear y reinstalar. Si usted tiene un sistema que ha sido comprometido completamente, la única cosa que usted puede hacer es derribarlo (formatear el disco), y reconstruirlo (reinstalar Windows y sus aplicaciones).

Los últimos casos concretos sobre este tema, han sido protagonizados por el ya comentado gusano Blaster (Lovsan), y más recientemente por el Sasser y la secuela de gusanos que se valen de las mismas vulnerabilidades que utilizan estos dos. Infecciones de este tipo obligan a un formateo y reinstalación de Windows.

De todo esto, debería quedarnos como lección, que tal situación podría haberse evitado si se hubieran instalado de inmediato los parches necesarios, publicados en ambos casos, varias semanas antes de cualquier ataque conocido.



Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




wrote in message news:e19601c43c40$3dbf7eb0$
Lo de siempre, descalificaciones e insultos, pero ningún
argumento.





¿desmontando? ¿tu?...

mucho desmontas tu primero te "luciste" intentando


desmontarme a mi:
http://www.multingles.net/docs/sasser.htm

luego continuó tu "lucimiento" intentando desmontar a


VsAntivirus:
http://www.vsantivirus.com/faq-sasser.htm#10

y ahora quieres "demontar" al Director del Programa de


Seguridad de Microsoft.
http://www.vsantivirus.com/derribar...struir.htm

anda. dedicate a cultivar "cebollines"... y de paso


desfogate mira a ver si puedes "montar" algo, o a
alguien. :-)))))

(la de cenutrios que hay sueltos por el mundo)

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de


ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and


confers no rights.
You assume all risk for your use.




wrote in message


news:e34d01c43c3d$e987cfc0$
Procurará no repetir lo dicho en mis otros mensajes sobre
este mismo tema.

Aceptando lo que nos dice el señor Jesper, que NO PODEMOS
SABER CUANDO TUVO LUGAR EL ATAQUE ORIGINAL, se llega al
absurdo de que tendríamos que formatear e instalar todo
ad-infinitum.

Efectivamente, nadie nos puede garantizar, después de
habernos conectado a una red o de que alguien haya
utilizado nuestro ordenador, que nuestra equipo no se haya
infectado, por lo tanto dos soluciones: o equipo aislado y
enclaustrado, o formateas e instalas todo, te conectas un
ratito y vuelves a formatear e instalar.

Ninguna de las dos alternativas es racional, luego hay que
concluir que la propuesta es absurda.

Convendría que Jesper nos dijese en qué opinión debemos
confiar, en la suya o en la de Microsoft (que no recomienda
formatear los equipos afectados por Blaster).

También Jesper nos podría decir por qué Microsoft permite
que los directorios donde está el sistema operativo y el
registro sean accesibles para las aplicaciones. Si se
impidiese el problema sería mucho menor.






.

Respuesta Responder a este mensaje
#5 EvilAngel
17/05/2004 - 20:58 | Informe spam
Lo tuyo es grave, deberias ir con un pediatra, necesitas ayuda
profesional.
Quizas en ocasiones el Sr. Tella diga las cosas de una forma muy dura o
directa, pero es q con gente como tu, no queda de otra, aparte de la
gente q por flojera no entiende de razones.

Y no hables de argumentos, q tu no haz aportado nada q sirva de
solucion a este detalle.

Saludos...

Sueños
Never its mysteries are exposed, to the weak human eye unclosed...
E.A.P
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida