1 (editado por Cyberser 30.05.2008 19:22:06)

Tema: No son virus, ¡son concept!

Bueno luego de un periodo de meditación y tras la invitación de FM a generar un espacio donde intercambiar información sobre seguridad informática ( la cual en un principio tengo que admitir, rechacé ) es que decido escribir este post esperando, como dice PoohMac: 'se arme un lindo y constructivo hilo.'

El nombre me parece que ya es un emblema del tema así que me pareció el más adecuado. Si los administradores lo consideran incorrecto o confuso, o si FM no esta de acuerdo en el uso de la frase, pido sea renombrado.

A modo de primer pequeño aporte me gustaría aprovechar la oportunidad para aclarar un poco el panorama con respecto al propio termino 'concept'. En seguridad informática se habla de Proof-of-Concept ( PoC ) a los códigos o fragmentos de código dirigidos a probar una técnica o método de explotar una vulnerabilidad. Los PoC pueden ser desde un código que presente un flag ( algún tipo de indicador de que esta funcionando y cometiendo su objetivo ) o un crimeware que robe toda la información de cuentas de un sistema bancario ( por lógicas razones este tipo de código es altamente especializado y experimental por lo que, por definición, es un PoC ). Como es muy largo escribir 'proof-of-concept' con el tiempo el término degenero en PoC o simplemente Concept

tengo la esperanza que los "orgánico" pese a sus chasis blandos, sus piezas no intercambiables, sus bugs autodestructivos y sus problemas de comunicación, desarrollen en algún momento inteligencia propia

UGONU Member

2 (editado por PoohMac 30.05.2008 19:55:19)

Re: No son virus, ¡son concept!

Bueno siguiendo el "hilo" me gustaría agregar algo mas a la definicion de PoC....

PoC también se le llama a un procedimiento o técnica por el cual uno "comprueba" de forma practica lo que dicen los "papers", a veces en un PoC existen  códigos o conjunto de códigos que son utilizados para llevar acabo el PoC, pero aveces también puede ser simplemente  cumplimiento de un procedimineto que lleva acabo y demuestra un problema de seguridad, a modo de ejemplo les puedo nombrar el bien querido POD (ping of dead) donde se comprobaba una falla o mas bien una debilidad de Tcp/Ip y como herramienta solo es  necesario el famoso ping y se modifica la frecuencia de envio mas el tamaño del paquete que se envía, otro muy relacionado es el DDOS o el Smurf donde se utilizaba hacer ping no solo a un host si no al boradcaste de una red (esto capas que baja mucho pero va a modo de ejemplo).


salut.

There are 10 types of people in the world: Those who understand binary, and those who don't...

“Los videojuegos no afectan a los niños,es decir; si pac-man nos hubiera afectado de niños, ahora estariamos todos moviendonos por habitaciones oscuras, tragando pastillas mágicas y escuchando música repetitiva.”  Kristian Wilson, Nintendo, Inc, 1989

3

Re: No son virus, ¡son concept!

Muy buen hilo Cyberser, buena idea la de FM y que hayas arrancado por acá..

Siguiendo con el tema de PoC, aporto un ejemplo. Se trata de un código PoC referente a una serie de ataques a TCP sobre los cuales ha escrito un ingeniero argentino llamado Fernando Gont. El año pasado me tocó estudiar estos ataques y usamos este código Proof Of Concept para hacer una demo de cómo afectaban los ataques a los stacks TCP de varios sistemas operativos de PC y appliances.

Acá está el código en particular:
http://seclists.org/bugtraq/2005/Apr/0292.html

Lo compilé en Linux con gcc y en Windows con Visual C++ y anduvo "as advertised" smile

Permite mostrar los efectos de los ataques: Blind Connection-Reset, Blind Performance-Degrading y Blind  throughput-reduction, todos realizables con sencillos paquetes ICMP, en algunos casos basta con un solo paquete ICMP para liquidar una conexión TCP.

Gont es miembro de la la IETF, y la RFC correspondiente a estos ataques ya está en draft, incluso creo que ya pasó la etapa de draft. Por acá la pueden leer quien guste: http://www.gont.com.ar/drafts/icmp-attacks/draft-ietf-tcpm-icmp-attacks-01.pdf

Si alguien tiene interés en leer algo más resumido en español me manda un mail y le envío el trabajo que hicimos para la facultad en un PDF.

Mac Pro 12-Core/HT Xeon 3.46 / 80 GB DDR3 /  2 TB SSD M.2 PCIe + 5.5 TB HDD / GTX 680 4 GB Classified/ Blu-Ray SuperDrive / USB3 / iSight FW
MacBook Air 13" / i7 / 8 GB DDR3 / 256 GB SSD / MacBook Air 11" / i5 / 4 GB DDR3 / 128 GB SSD
MacBook 12" / Core m3 / 8 GB LPDDR3 / 256 SSD
iPhone X 256 GB Silver / iPad Air 2 64 GB Wi-Fi+LTE Gold / AirPods
Apple Watch Serie 5 Silver GPS / Airport Extreme & Express / Magic Mouse / Mighty Mouse BT / Alu Keyboard / iPod Video 30 GB / HK SoundSticks II

4

Re: No son virus, ¡son concept!

macpotok escribió:

Muy buen hilo Cyberser, buena idea la de FM y que hayas arrancado por acá..

Siguiendo con el tema de PoC, aporto un ejemplo. Se trata de un código PoC referente a una serie de ataques a TCP sobre los cuales ha escrito un ingeniero argentino llamado Fernando Gont. El año pasado me tocó estudiar estos ataques y usamos este código Proof Of Concept para hacer una demo de cómo afectaban los ataques a los stacks TCP de varios sistemas operativos de PC y appliances.

Acá está el código en particular:
http://seclists.org/bugtraq/2005/Apr/0292.html

Lo compilé en Linux con gcc y en Windows con Visual C++ y anduvo "as advertised" smile

Permite mostrar los efectos de los ataques: Blind Connection-Reset, Blind Performance-Degrading y Blind  throughput-reduction, todos realizables con sencillos paquetes ICMP, en algunos casos basta con un solo paquete ICMP para liquidar una conexión TCP.

Gont es miembro de la la IETF, y la RFC correspondiente a estos ataques ya está en draft, incluso creo que ya pasó la etapa de draft. Por acá la pueden leer quien guste: http://www.gont.com.ar/drafts/icmp-attacks/draft-ietf-tcpm-icmp-attacks-01.pdf

Si alguien tiene interés en leer algo más resumido en español me manda un mail y le envío el trabajo que hicimos para la facultad en un PDF.

Si esta muy bueno es el que manda reset de conexiones verdad? yo lo compile y probe en linux, la idea esta muy buena solo que se necesitan 3 de los 4 datos de conexion,  y no se a vos pero a mi no me funciono usándolo en WAN y eso es principalmente por los controles que tienen los routers hoy en día donde en base al encabezado tcp controlan el spoofing que es basicamente lo que usa Gont., al igual quel smurf hoy son ataques que no son útiles, pero si son un buen ejemplo de un PoC  y de lo mal hecho que esta TCP/IP wink.  BTW lo probe en una Lan y anda genial big_smile


otro buen PoC es el de MITM en redes LAN con switches, usando arp spoofing y arp poisoning que ahí si usando una utilidad llamada ettercap podes ver el trafico entre 2 quipos que pasan por un switch, es muy interesante ba por lo menos para mi, y puede ser muy malo también ya que podes ver TODO lo que pasa entre un equipo y otro, y si uno lo usa entre un equipo y el Gateway podes hacer destrozos.  mm... igual no se si no me estoy yendo por las ramas...

There are 10 types of people in the world: Those who understand binary, and those who don't...

“Los videojuegos no afectan a los niños,es decir; si pac-man nos hubiera afectado de niños, ahora estariamos todos moviendonos por habitaciones oscuras, tragando pastillas mágicas y escuchando música repetitiva.”  Kristian Wilson, Nintendo, Inc, 1989

5 (editado por Cyberser 31.05.2008 12:49:45)

Re: No son virus, ¡son concept!

Fa, que linda forma que viene tomando esto.

Como se viene diciendo los concept tiene el fin de probar una teoría, por lo que muchas veces carecen de 'poder de ataque' lo que permite a las empresas afectadas por la falla de seguridad, apoyarse en esto para quitar trascendencia al problema. En ocasiones se aprovecha el tiempo ganado 'mediáticamente' para solucionar el problema y en otras simplemente se desatiende asumiendo que el problema no será explotado o será aplastado publicitariamente. Esto depende de los objetivos de la empresa y el poder de manipulación que tiene sobre su público. Como ejemplo, Phenoelit crea sus propios PoC con el fin de estudiar las vulnerabilidades de las empresas de su grupo y luego publica los resultados para que todo el mercado esté al tanto de las posibles fallas. Sin ir más lejos se les atribuye la creación, a comienzos de este años, de algunos Poc que demuestran las vulnerabilidades del uso sin verificación del código de barras ( si, algo tan choto como eso puede hacer perder millones ). En el caso de grupos de este estilo es claro que el cometido es entender el problema y repararlo ( ellos son sus propios clientes ), pero empresas como Microsoft y Apple tiene políticas muy distintas.

Yendo a los datos oficiales ( extraídos de la National Vulnerability Database ) y no a suposiciones, de 2003 a 2005 los descubrimientos de vulnerabilidades en productos Apple creció de 45 a 143 ( 218% ) mientras que Microsoft paso de 92 a 159 (73%), demostrando, no solo, que ya por aquellos días las fallas de seguridad en productos Apple aumentaban considerablemente, sino también que ya estaba a la par de la competencia en cuanto al número de fallas. Sin embargo el clima general era de tranquilidad entre los usuarios de la manzana ( incluso lo es hasta el día de hoy ). Como se aprecia los datos 'frios' tiran por tierra por si solos la ilusión de invulnerabilidad y los PoC hicieron su trabajo demostrando los peligros de estas fallas. Mientra empresas como Microsoft, tras sufrir verdaderas pesadillas luego de burlarse de PoC como el WM/Concept, decidieron cambiar su política de seguridad ( con relativa eficacia ), Apple ( que es la que nos interesa a los Macacos en particular ) decidió no hacer conciencia y repetir la historia, por lo que al lanzamiento de Leap en 2006, ya se habían catalogado 74 virus para Mac OS. Es verdad que la empresa respondió en su momento reparando los agujeros de seguridad utilizados por estos virus, pero la negativa de la empresa a reconocer la existencia o categoría de estos virus no hizo más que alimentar la falta de información con que cuenta el usuario dejándolo desprevenido para futuros ataques.

El tema de los futuros ataques, no es nada trivial, el estar en sobre aviso permite anteponerse a un atacante incluso desconociendo gran parte de la técnica a utilizar. Esto es más importante aún cuando se constata la falta de respuesta rápida de la empresa a reparar los fallos en seguridad ( otrora el mayor fuerte que tenía Apple ). Leap, por ejemplo, se aprovecho de esta ingenuidad del usuario para propagarse presentándoce como un conjunto de screenshot de Leopard ( aún en desarrollo por aquellos tiempos ) y provenía de la maquina de contactos conocidos del iChat y MSN. Afortunadamente no contenía payload, pero cumplía todas las condiciones para infectar, asegurar su permanencia, reactivarse y reproducirse. Al día siguiente de su descubrimiento, ya estaba disponible Inqutana, con la particularidad que puede usar directory traversal para colocarse en carpeta con permisos especiales y transferirse a través de bluetooth. Si bien estos virus ( específicos para Mac OSX ) son detectables por los antivirus actuales, fácilmente se puede constatar que la mayoría de los usuarios no los usa, ajenos a la realidad y al peligro que suponen estas amenazas. Estos virus son catalogados por las empresas de seguridad como de baja peligrosidad con observaciones, en estas últimas aclaran que si bien son de peligrosidad baja, esto se debe a que el código original no incluye acciones que pongan en riesgo la integridad del sistema o la información en él. En relación a esto algunos informe continúan: 'sin embargo, el autor del código podría haber sido capaz de realizar cambios en el sistema.'.  Con lo que todo queda en manos de que intenciones tenga el atacante y cuan protegida este la victima.

Quiero hacer notar que en lenguaje técnico en seguridad y defensa ( muchos provenientes de la jerga militar ) los términos no cumplen con el sentido coloquial que se les da, entiendase que una ojiva nuclear desactivada, también es catalogada de 'peligrosidad baja' o 'segura' ya que los riesgos que se corre de accidente son mínimos ( una de las causa por la que son usadas en armamento táctico ), pero no creo que nadie quiera ser atacado con un proyectil que contenga una activa tongue

tengo la esperanza que los "orgánico" pese a sus chasis blandos, sus piezas no intercambiables, sus bugs autodestructivos y sus problemas de comunicación, desarrollen en algún momento inteligencia propia

UGONU Member

6

Re: No son virus, ¡son concept!

PoohMac escribió:

Si esta muy bueno es el que manda reset de conexiones verdad? yo lo compile y probe en linux, la idea esta muy buena solo que se necesitan 3 de los 4 datos de conexion,  y no se a vos pero a mi no me funciono usándolo en WAN y eso es principalmente por los controles que tienen los routers hoy en día donde en base al encabezado tcp controlan el spoofing que es basicamente lo que usa Gont., al igual quel smurf hoy son ataques que no son útiles, pero si son un buen ejemplo de un PoC  y de lo mal hecho que esta TCP/IP wink.  BTW lo probe en una Lan y anda genial big_smile


otro buen PoC es el de MITM en redes LAN con switches, usando arp spoofing y arp poisoning que ahí si usando una utilidad llamada ettercap podes ver el trafico entre 2 quipos que pasan por un switch, es muy interesante ba por lo menos para mi, y puede ser muy malo también ya que podes ver TODO lo que pasa entre un equipo y otro, y si uno lo usa entre un equipo y el Gateway podes hacer destrozos.  mm... igual no se si no me estoy yendo por las ramas...

Respecto a los ataques de Gont no los probamos sobre una WAN, pienso que dado que esto fue reportado en boletines de seguridad de CISCO y en varios otros boletines conocidos ya los routers deben tener parches para proteger. En cuanto a una LAN andan al pelo. El blind-throughput reduction producía un efecto impresionante, poníamos un utilitario a generar tráfico constante entre dos hosts y lo monitoréabamos en tiempo real. Una vez hecho el ataque el throughput de la conexión caía al 4 o 5% de la velocidad normal, y en el caso del stack TCP de Windows XP SP2, hasta no reiniciar el equipo quedaba todo tarado y andaba la conexión lentísima.

El ataque MitM con arp poisoning es uno que también resulta didáctico como decís porque se ve clarito el efecto.


Respecto a lo que comentás Cyberser, es una realidad que al crecer el mercado de las Mac y dada la política que viene siguiendo Apple los inicidentes de seguridad se van a incrementar. De todas formas, en la práctica en esta  comunidad donde habemos unos cuantos usuarios Mac, no he visto que nadie reporte haberse infectado por un virus o que lo hayan hackeado en alguna forma. Lo que me lleva a pensar eso es que hay dos factores que se combinan con este resultado, el primero es que la comunidad Mac se incrementa poco a poco pero sigue siendo pequeña , y segundo que hay poca cantidad de exploits de las vulnerabilidades que causan un daño real, ya sea por lo que decís que las propias herramientas no pretenden hacer daño o por algún otro motivo. Esto incide en que finalmente la sensación térmica al usar la plataforma Mac OS X es que uno está más seguro que en otras plataformas.

Mac Pro 12-Core/HT Xeon 3.46 / 80 GB DDR3 /  2 TB SSD M.2 PCIe + 5.5 TB HDD / GTX 680 4 GB Classified/ Blu-Ray SuperDrive / USB3 / iSight FW
MacBook Air 13" / i7 / 8 GB DDR3 / 256 GB SSD / MacBook Air 11" / i5 / 4 GB DDR3 / 128 GB SSD
MacBook 12" / Core m3 / 8 GB LPDDR3 / 256 SSD
iPhone X 256 GB Silver / iPad Air 2 64 GB Wi-Fi+LTE Gold / AirPods
Apple Watch Serie 5 Silver GPS / Airport Extreme & Express / Magic Mouse / Mighty Mouse BT / Alu Keyboard / iPod Video 30 GB / HK SoundSticks II

7 (editado por Cyberser 02.06.2008 13:06:57)

Re: No son virus, ¡son concept!

@macpotok: Como bien comentas hay tres factores claves en juego; el poco y especifico mercado que tiene Apple, el poco impacto ( y por lo tanto desestimación de peligro ) de las herramientas de prueba y por último el desconocimiento de los usuarios de las mismas.

Sobre el primer punto hay mucho escrito y los principales argumentos para considerarlo un punto básico es, en primer lugar, que por tratarse de una escasa cuota de mercado los ataques virulentos son absurdos. Cuando el objetivo es atacar redes masivas ( característica principal de la producción de malware actual ), no es rentable ni lógico tomar de base un sector marginal del target. Para ser claros, si el negocio es robar direcciones de correo electrónico para generar spam y no importar que tipo de maquina use, sino cuales son sus costumbres, no vale la pena generar un código que solo corra en una plataforma específica que no sea la más expandida. Por otro lado tenemos una cuestión práctica y es la 'propagación'. Si tenemos dos sistema, un con 20% del mercado y otro con 40%, la segunda tiene el doble de posibilidades de propagarse ( pensando en ataques 100% efectivos ) en primer contacto, pero dado que los ataques son exponenciales el cuarto salto tenemos que las victimas de la primera superan 16 a 1 a su competidor y en el décimo el segundo infecta mil veces más maquinas que el primero. Con relaciones 1/4/94,5 es claro en cual sistema enfocar los esfuerzos.

Si hablamos de malware y demás, excluyendo los ataques dirigidos, históricamente viene detrás de los concept. Afortunadamente muchos PoC sirvieron para solucionar problemas y que las fallas no fueran explotados con fines dañinos. El problema actual de Apple es que al entrar en un mercado competitivo, como lo está haciendo, los tiempo de prueba y depuración se acortan. Incluso se solapan depuración de antiguos y desarrollo de nuevos elementos. Viendo en detalle las distintas vulnerabilidades y la respuesta de las empresas actuales ( incluyendo a Microsoft y Apple ) tiende a minimizar los tiempos dedicados al 'parcheado' y remplazar íntegramente la sección afectada en la siguiente versión. Esto ha llevado en algunos caso al ridículo de encontrar en códigos 'nuevos' problemas que ya se habían solucionado anteriormente, aplicando el principio de 'menos malo' ( no arreglamos los problemas del anterior, no arreglamos los problemas de el nuevo.. pongamos el que sea menos malo mientras diseñamos la siguiente ) con un bonito skin que le de aspecto a nuevo.

En cuanto al último punto, es el que me motiva a escribir en hilos como este. Mantener a los usuarios ignorantes de los peligros es una política poco ética, pero sobre todo irresponsable. Nadie en su sano juicio utilizaría un macPro con OSX para controlar el sistema de lanzamientos de misiles de un portaaviones, pero ante la creencia que ese equipo es invulnerable un usuario incauto podría poner en riesgo información sensible o equipos de terceros. Como digo siempre, no es mi intención ni cascotear a la empresa, ni sembrar el terror entre los usuarios, sino demostrar que la invulneravilidad de los Mac OS y su estatus de 'libres de virus' no es más que un elemento folklórico carente de cualquier sostén real. Y tratar con eso que cada uno pueda tomar los recaudo que considere pertinentes. Como se dice habitualmente.. la información es poder

--------------
Modificado: la relación 1 / 4 / 94,5  ( linux / Mac OS / windows ) responde a los datos proporcionados por XiTi Monitor sobre SO de los internautas para Abril de 2008 ( publicados el 29/5...  los más frescos que conseguí hasta hoy tongue )

tengo la esperanza que los "orgánico" pese a sus chasis blandos, sus piezas no intercambiables, sus bugs autodestructivos y sus problemas de comunicación, desarrollen en algún momento inteligencia propia

UGONU Member

8

Re: No son virus, ¡son concept!

....  (algo queria agregar.. smile )

MacBook Pro 13"
iPhone 4S 16gb negrito.
iPad 2 32 GB White.

9

Re: No son virus, ¡son concept!

gracias Nano por el 'cuack'.. aveces nos podemos colgar con post larguísimos y demasiado técnicos que nos hace olvidar que el fin es que todos entendamos. Para traer un poco a tierra todo esto quiero contar un ejemplo de 'falsa seguridad' que viene muy a tema respecto a falacias del estilo  'no veo -> no existe' ( el principio de percepción se postula: si se percibe A entonces A existe. La proposición inversa es falsa ) ( acá un lindo off-topic al respecto )

El hecho es que para probar un PoC sobre seguridad en Windows y su sin número de herramientas de protección una amiga mía accedió a que usara su maquina de 'victima'. Tenía un equipo PC standar con WinXP, un antivirus de una empresa muy respetada y diversas aplicaciones firewall y sysmonitor. Lo tenía conectado a un servicio comercial de banda ancha con IP rotativa. Un equipo robusto al que se debía dar más de una vuelta para entrar. Llevaba 'limpio' 4 meses desde que se había implantado todo a cero y se jactaba de 'por fin tener un sistema seguro'. Lo interesante del caso no es el resultado del PoC sino que una vez estudiada la maquina, tenia 14 troyanos, no pertenecientes a nuestra prueba. Sip, ya me habían ganado de mano y peor aún.. ella nunca se entero.

A que voy con esto? Que cuando se usa el principio de percepción en seguridad, se debe de tener cuidado de no caer en un falacia. Cuando se dice: 'si un equipo esta andando lento o actúa de forma anómala, puede tener un virus' no significa que para tener un virus sea necesario sentir esos síntomas. Por algo en medicina síndrome y enfermedad son términos distintos que pueden no estar relacionados.

Los infectados con Leap no se enteraban de su contagio si no usaban un antivirus que lo detecte ( al menos que recibieran la versión que desplegaba "Welcome to Darwin!" en la consola ) y su contagio duró, a lo sumo, hasta el pasaje a Mac OS 10.4.6 ( ya que el mismo solo opera en 10.4 a 10.4.4 ). Por lo que queda claro por que no es serio usar la experiencia personal en cuanto a 'no infecciones', pues en muchos casos siquiera es un dato real.

tengo la esperanza que los "orgánico" pese a sus chasis blandos, sus piezas no intercambiables, sus bugs autodestructivos y sus problemas de comunicación, desarrollen en algún momento inteligencia propia

UGONU Member

10

Re: No son virus, ¡son concept!

Si un usuario normal utiliza un sistema Windows sin antivirus/antispyware, a los pocos días tiene una alta probabilidad de tener algunos cuantos troyanos instalados, y con las herramientas adecuadas tampoco se inmuniza por completo ni mucho menos, si bien disminuye en algo la probabilidad de ser afectado con consecuencias graves.

Este no es el caso de OS X, como comentaba una cosa es que hayan potenciales amenazas y otra es que proliferen sus exploits, y esto es lo que no veo que esté ocurriendo masivamente como en Windows con su 90 y tanto % de market share, y si bien no me ciego en la tranquilidad no me da ni ahí para sentirme alarmado o en la mira.

Por otra parte la observación no siempre es descartable cuando se trata de un grupo representativo de un sector. Acá habemos algunas decenas de usuarios de OS X que comentamos nuestras experiencias con el sistema, y no hemos experimentado pérdida de datos por virus, troyanos, etc (si por otras causas, pero por esta nunca vi un post de nadie). Creo que si a alguno le hubiera pasado algo así lo hubiera comentado ya que en esta comunidad es algo trascendente y que se sale de lo común. Esto no pasaría en un foro de seguridad Windows, donde que alguien comente que se le hizo pelota el sistema operativo o perdió datos por un virus/troyano es algo de todos los días.

Por usar OS X no somos invulnerables, pero no estamos bajo amenaza constante del malware como los usuarios de Windows. Será por desmotivación de quienes hacen malware, o por otros motivos. Pero me parece que es innegable que la cantidad de incidentes de seguridad graves (no me refiero a las vulnerabilidades) es inferior a la de la plataforma Microsoft, más allá de lo pequeño que sea el mercado Mac.

Mac Pro 12-Core/HT Xeon 3.46 / 80 GB DDR3 /  2 TB SSD M.2 PCIe + 5.5 TB HDD / GTX 680 4 GB Classified/ Blu-Ray SuperDrive / USB3 / iSight FW
MacBook Air 13" / i7 / 8 GB DDR3 / 256 GB SSD / MacBook Air 11" / i5 / 4 GB DDR3 / 128 GB SSD
MacBook 12" / Core m3 / 8 GB LPDDR3 / 256 SSD
iPhone X 256 GB Silver / iPad Air 2 64 GB Wi-Fi+LTE Gold / AirPods
Apple Watch Serie 5 Silver GPS / Airport Extreme & Express / Magic Mouse / Mighty Mouse BT / Alu Keyboard / iPod Video 30 GB / HK SoundSticks II

11 (editado por Cyberser 02.06.2008 18:53:11)

Re: No son virus, ¡son concept!

Estoy de acuerdo contigo en cuanto a la diferencia en la cuantía de amenazas e incidentes de ambas plataformas, así como en la conclusión de que ( al momento ) no se está bajo 'amenaza constante' como si le sucede a quien tiene copado casi todo el mercado informático. También hay que destacar que tu postura cauta no es representativa de la comunidad de usuarios de equipos Apple, la cual suele creer que la plataforma esta libre de virus y otros peligro y muchas veces incluso desconoce la existencia de vulnerabilidades importantes ( razón que motivó este hilo ).

Lo importante es estar prevenidos y al tanto de la situación y no cerrar los ojos y creerse inmunes. Ya no son solo vulnerabilidades detectadas y PoCs, sino que como quedó claro a finales del año pasado las amenazas son reales y todavía se estudia el alcance que tuvo la explotación a la vulnerabilidad de QuickTime luego de los ataques del 2 de diciembre.

En ocasiones es bueno salir de la 'chacrita' y mirar que pasa al rededor, por ejemplo PS3 se encuentran trabajando atentos a una falla de seguridad comprobada en el reproductor de flash de Wii que podría ser explotada para realizar ataques a internautas. Recordemos que PS3 es la plataforma elegida para navegar por el 0,3% de los internautas, ocupando el cuarto lugar de plataformas para tal propósito y se encuentra al momento carentes de vulnerabilidades explotables a diferencia de lo que ocurre con los Mac OS. Sin embargo no solo esta atenta Sony, sino también sus usuarios y hasta existe un antivirus para la consola fabricado por Trend Micro.

Repito que es importante el conocer y estar atentos, la delincuencia informática tiene un alto componente social. El mayor virus informático esta al teclado de los equipos y no dentro de ellos y hasta que no se haga consciencia de eso las posibilidades de ser atacado aumentan. Y en ese punto la comunidad Mac esta en pañales, lo que explica como un niño de 11 años hace un simple script para iPhone y el impacto es tan importante que se debe operar el aparato legar para cerrar el sitio desde donde se descargaba el hack. .. ya los script-kiddies no son monopolio de Microsoft

tengo la esperanza que los "orgánico" pese a sus chasis blandos, sus piezas no intercambiables, sus bugs autodestructivos y sus problemas de comunicación, desarrollen en algún momento inteligencia propia

UGONU Member

12

Re: No son virus, ¡son concept!

Bueno a mi me gustaria aclarar y agregar algo...


Como bien dije en el otro post quedo en el olvido, la mayoria de los virus son contagios provocados voluntaria o involuntariamente por los usuarios, por citar algunos ejemplos... paginas web, mails, he incluso aplicaciones, o los bien conocidos "cracks" de aplicaciones, y la verdad esto lo veo perfectamente aplicable a  cualquier sistema operativo donde interactuen personas que no tienen conocimientos profundos o conciencia sobre estos temas, son bastante pocos los virus que son libre de interacción del usuario y por lo general explotan servicios, servicios que por lo general son bloqueados por algún soft de FireWall.

Otra cosa... por mas que creo que muchos piensan que Windows es un sitema inseguro les puedo decir que esta equivocados, en el caso de Servidores o Dominos Coorportativos con una muy buena administración (hablo de MSCE o simil), conocimiento de lo que se hace y el alcance que tiene cada elemento windows es un sistema robusto, es mas he auditado entidades financieras que utilizan windows como su OS cooporativo y le comento que sus "Baselines" son bien restrictivas. El problema radica en que cualquier persona en una academia no certificada puede dar un titulo de Administrador de Sistemas o simplemente "tocando", por que? por que es aparentemente "facil" 2 cliks y el equipo quedo andando... claro queda funcionando pero con 15000 puertas de entrada, politicas demasiado laxas, etc..  Si exiten vulnerabilidades que van contra el servicio donde explota la misma y hace estragos, pero créanme algo no es en el único lugar que pasa, no hace mucho compile un local-exploit donde con un solo click un usuario cualquiera de linux ganaba privilegios de root sin mas.

Hay algo simple y muy basico.... Seguridad != de funcionalidad (seguridad es inversamente proporcional a la seguridad) a mas seguridad un sistema se vuelve menos "practico" y a mas practico  menos seguro... M$ eligio el camino de lo Practico y Economigo, razón por la cual se volvió masivo y paga las consecuencias, Mac es facil pero eligio un mercado muy particular haciéndolo poco masivo y hasta casi explusivo, pero esta cambiando la filosofia. Ya habran visto las bromas sobre el molesto "allow deny" de vista, o el de Mac, es mas baje una aplicacion que remueve el aviso... pero vuelvo a lo mismo y termino con esto "La confianza mato al gato y embarazo a la mujer"....

There are 10 types of people in the world: Those who understand binary, and those who don't...

“Los videojuegos no afectan a los niños,es decir; si pac-man nos hubiera afectado de niños, ahora estariamos todos moviendonos por habitaciones oscuras, tragando pastillas mágicas y escuchando música repetitiva.”  Kristian Wilson, Nintendo, Inc, 1989

13 (editado por macpotok 02.06.2008 21:00:04)

Re: No son virus, ¡son concept!

Respecto a la certificación MSCE, por mi parte hice dos cursos (el de Network Services y el de planificación de A.D.), y la verdad PoohMac que no me parecieron la gran cosa, son bien cursos envasados con su librito, su CD y un exámen de múltiple opción. No me parece que evalúe demasiado si estás en condiciones de administrar un sistema más o menos bien. Tal vez en el paquete de hacerlos todos sacás algún valor agregado, pero no me parece que haya un antes y un después de hacer esa certificación. Y mirá que yo soy partidiario de que es necesario formarse adecuadamente para laburar bien, no es bueno tocar de oído cuandos se trata de seguridad de información.

Respecto a lo último que comentás es muy real, muchas veces por hacer todo accesible a cualquier usuario se resiente la seguridad. Esto es clásico con los preciosos routers que se venden en cualquier supermercado hoy en día, que con dos "siguiente siguiente" los configura cualquier usuario y las consecuencias pueden ser nefastas.

Mac Pro 12-Core/HT Xeon 3.46 / 80 GB DDR3 /  2 TB SSD M.2 PCIe + 5.5 TB HDD / GTX 680 4 GB Classified/ Blu-Ray SuperDrive / USB3 / iSight FW
MacBook Air 13" / i7 / 8 GB DDR3 / 256 GB SSD / MacBook Air 11" / i5 / 4 GB DDR3 / 128 GB SSD
MacBook 12" / Core m3 / 8 GB LPDDR3 / 256 SSD
iPhone X 256 GB Silver / iPad Air 2 64 GB Wi-Fi+LTE Gold / AirPods
Apple Watch Serie 5 Silver GPS / Airport Extreme & Express / Magic Mouse / Mighty Mouse BT / Alu Keyboard / iPod Video 30 GB / HK SoundSticks II

14

Re: No son virus, ¡son concept!

macpotok escribió:

Respecto a lo último que comentás es muy real, muchas veces por hacer todo accesible a cualquier usuario se resiente la seguridad. Esto es clásico con los preciosos routers que se venden en cualquier supermercado hoy en día, que con dos "siguiente siguiente" los configura cualquier usuario y las consecuencias pueden ser nefastas.

Vos potok debés haber configurado ACLs en routers o firewalls Cisco, y sabés que no es fácil... de hecho un semestre casi exclusivo del CCNA de Cisco son ACLs, y no porque el concepto sea complicado de entender, sino porque son difíciles y complicadas de implementar. Hay que entender que no todos son MCSE y CCNA, y que hay que darles productos en consecuencia. Cada maestro con su librito; si ponés un router de 50 dólares para dar acceso a internet a una organización que maneja plata, estás en el horno. Pero para mi casa no voy a poner un PIX (aunque tengo un 2503...)

"You're born, you take shit. Get out in the world, you take more shit. Climb a little higher, you take less shit. Until one day, you're up in the rarified atmosphere, and you've forgotten what shit even looks like... Welcome to the layer cake, son."

Eddie Temple, en Layer Cake

15

Re: No son virus, ¡son concept!

Convengamos que si en los routers no estuviera ese "siguiente siguiente" para configurarlos poca gente tendría redes funcionando. Si no estudiaste redes o te encanta el tema como para enroscarte con eso, sos boleta, no configurás un router ni en broma.

De hecho creo que la mayoría (y no se si me quedo corto) de los instaladores de ADSL no sabe configurar un router más allá de setear el PPPoE.

Coyote Wireless )))
MacBook Air 13" 1.86GHz SSD :+: Cinema Display 23" :+: AirPortExpress/Extreme :+: Bluetooth Keyb & Mouse :+: Mighty :+: iPod nano :+: Wacom Graphire 3 :+: BeoSound 1 :+: BeoLab 4 & Universal Dock :+: A8 :+: Earset

16

Re: No son virus, ¡son concept!

Lo que dice Coyote viene a dar en el clavo con lo que se plantea más generalmente... seguridad vs accesibilidad. Si por cuestiones de facilidad de uso, comprometemos la seguridad de una red entera ( o de varias ) ¿no es lógico que se haga con la de una maquina de escritorio de un adolescente que la usa para chatear y bajar música?

Osea, normalmente se critica a Microsoft por hacer sistemas 'inseguros' ( relativizo un poco el concepto ) sin observar que una de las cosas que lo ha llevado a acaparar todo el mercado domiciliario ( el resto de las plataformas suman un poco mas de 5%... presencia anecdótica ) es su facilidad de uso. A modo de ejemplo, la primer pregunta que hace un usuario Windows que entra el mundo de los *NIX es: ¿por que tengo que poner la clave a cada rato? y la respuesta siempre es la misma: Por seguridad. .. y es que ese tipo de usuario esta tan lejos de comprender y aplicar medidas de seguridad 'medianamente' validas al igual que el administrador que da "siguiente", "siguiente", "siguiente".

Ahora, de que seguridad hablamos si teniendo una maquina con EMSJC ( El Mejor de los Sistemas Jamas Construidos ) soy presa de phishing, sniffing y rerouting por que los administradores de la red no distinguen un router de una canalera tongue Tal vez el sacrificio de seguridad en manos de una mayor accesibilidad no fue una apuesta tan mala después de todo. Como ve vio no es más vulnerable que otros sistemas ( incluso el propio OS X ) y luego de 15 años sigue siendo casi exclusivamente el único sistema para usuarios finales. Claro que "El clavo que sobresale siempre recibe un martillazo", pero una de las principales empresas de soft para servidores de misión crítica, es insegura por incapacidad de sus técnicos o directivos?? En ocasiones se simplifica demasiado y se pierde la real perspectiva, por eso quería aprovechar el comentario de Coyote para resaltar que más allá de gustos y requerimientos personales, el mercado manda, los tiempos de desarrollo y depuración se acortan y la accesibilidad deja de lado a la seguridad. Es el camino que comienzan a recorrer los usuarios Mac y los que buscan un "linux for human beings"

tengo la esperanza que los "orgánico" pese a sus chasis blandos, sus piezas no intercambiables, sus bugs autodestructivos y sus problemas de comunicación, desarrollen en algún momento inteligencia propia

UGONU Member

17

Re: No son virus, ¡son concept!

Coyote escribió:

Convengamos que si en los routers no estuviera ese "siguiente siguiente" para configurarlos poca gente tendría redes funcionando. Si no estudiaste redes o te encanta el tema como para enroscarte con eso, sos boleta, no configurás un router ni en broma.

De hecho creo que la mayoría (y no se si me quedo corto) de los instaladores de ADSL no sabe configurar un router más allá de setear el PPPoE.

Sin dudas Coyote, Freeflier y Cyberser, sin dudas. Si no fuera así mucha gente sería incapaz de configurarse su propio router, es lo que decía Cyberser respecto a funcionalidad vs. seguridad, Ahora, si quisiera tener segura la red de mi empresa, por chica que sea, y no se un joraca de redes ni de seguridad, conviene toda la vida contratar a alguien que sepa para que configure un router u otros temas antes que tocar de oído con confianza porque soy asíduo lector de PC USERS. Para el hogar, cada uno sabrá el tipo de información que compromete y si vale la pena.

Mac Pro 12-Core/HT Xeon 3.46 / 80 GB DDR3 /  2 TB SSD M.2 PCIe + 5.5 TB HDD / GTX 680 4 GB Classified/ Blu-Ray SuperDrive / USB3 / iSight FW
MacBook Air 13" / i7 / 8 GB DDR3 / 256 GB SSD / MacBook Air 11" / i5 / 4 GB DDR3 / 128 GB SSD
MacBook 12" / Core m3 / 8 GB LPDDR3 / 256 SSD
iPhone X 256 GB Silver / iPad Air 2 64 GB Wi-Fi+LTE Gold / AirPods
Apple Watch Serie 5 Silver GPS / Airport Extreme & Express / Magic Mouse / Mighty Mouse BT / Alu Keyboard / iPod Video 30 GB / HK SoundSticks II

18

Re: No son virus, ¡son concept!

Buenas!

bueno quería hacer un poco de referencia lo de las certificaciones que creo no se entendio el punto...

Personalmente soy la persona menos indicada para hablar de certificaciones ya que soy netamente autodidacta, hice 3 cursos nomas, un en la ORT de redes en el cual después de haber sacado en la biblioteca los exámenes previos para practicar (eran multiple opcion) me termine dado cuenta que todo se resumía a no mas 70 preguntas la cuales termine aprendiendo melas de memoria y por ende el examen lo hice en 15 min con 100%, conclusiones... aprendí algo pero no lo que esperaba, después hice uno en una de esta academias par administrador NT conclusión? bueno el profesor se quedo con el "proyecto" final que era armar una red, solo adapte la red que tenia en el laburo... después hice el CCNA pensando en solo la certificacion y para mi sorpresa me di cuenta que había mucha cosa que no sabia y aprendí culadas, después lo reforce con documentaciones leyendo libros como el   Internetworking with TCP/IP, de Douglas E. Comer (de paso lo recomiendo). Un amigo mio hizo el MSCE y estuve en contacto con los módulos y con la documentación y también vi que es muy profundo. Bien con este cuentito que no era contar mi escolaridad ni mucho menos, si no que por experiencia personal puedo decir que gracias a ella descubrí que existe muchísimo mas en un MS server que 2 clicks, cambiando así mi postura. Lo que generalmente pasa en las empresas es que se pone a armar servers gente no capacitada y que la mayoría de las veces no sabe que están haciendo "pero con 2 clicks queda andando" y pagan las consecuencias, pero esto no es problema de MS si no del Admin..., puse las certificaciones como un plus que no garantiza ser un guru pero para pasarlas debes leer y aprender, pero sin duda creo que un autodidacta que tenga ganas de hacer las cosas bien encontraría la documentación necesaria para poder lograrlo sin ningun curso.


Respecto a lo de los 2 clicks en un router... como dice Cyber, todo depende para quien sea, en mi casa no tengo FW simplemente un router linkys que me funciona como AP  también, para mi caso es suficientemente seguro, incluso por el Wi-Fi, pero es Mi casa, ahora jamas lo pondria como GW de una empresa, por lo menos una que se jacte de llamarse así, sin embargo las hay. Es mas en cuantas empresas conocen ustedes que existan Políticas y Procedimientos establecidos relacionados a la confidencialidad y seguridad de la empresa? yo solo las grandes... sin embargo debería estar en todas, pero el problema pasa que es un tema de conciencia, en uruguay recién ahora se esta tomando conciencia de que la seguridad es un tema no menor y que podríamos ser o somos un posible objetivo para ataques, si no pregúntenle a algunas entidades financieras que sufrieron ataques de phishing y otros que prefiero abstenerme de contar, en este ultimo tiempo..


Les voy a contar otra total es publico o si uno simplemente escanea lo ve, hasta hace 2 anios la BVM tenia un AP abierto, hablo de abierto sin cifrado de ningun tipo con el cual podias colarte... es probable que pensaran que "nadie usa wireless" espero que lo hayan cambiado, pero bueno es un buen ejemplo de inconsciencia respecto ala seguridad smile


listo los dejo sigo, que tengo que laburar,


Salu2,

PoohMac

There are 10 types of people in the world: Those who understand binary, and those who don't...

“Los videojuegos no afectan a los niños,es decir; si pac-man nos hubiera afectado de niños, ahora estariamos todos moviendonos por habitaciones oscuras, tragando pastillas mágicas y escuchando música repetitiva.”  Kristian Wilson, Nintendo, Inc, 1989

19

Re: No son virus, ¡son concept!

Luego de más de un mes de haber leído la info y despues de descartar la idea de postearlo varias veces la frase de Matt puesta en otro hilo sobre seguridad no me dejaba dormir tranquilo; como vas a dudar en postearlo? mas vale que lo tenes que postear!!!

Solo con el fin de informar, que es que lo posteo. ya es oficial la salida del AppleScript-THT un troyano que hace uso del escritorio remoto pudiendo hacer casi cualquier cosa en la máquina de la victima. Las versiones conceptuales son el ASthtv05 de 60KB o su distribución en una aplicación llamada AStht_v06 de 3.1MB. Se almacena en el directorio /Library/Caches desde donde se lanza.

Yo no me pondría paranoico pero si luego de cambiar todas las piezas de una MacBook la iSight sigue encendiéndose cuando quiere, chequearía esa carpeta wink

tengo la esperanza que los "orgánico" pese a sus chasis blandos, sus piezas no intercambiables, sus bugs autodestructivos y sus problemas de comunicación, desarrollen en algún momento inteligencia propia

UGONU Member