sábado, 15 de marzo de 2008

Sistema comprometido: "derribar y reconstruir"

Hola cc. Doctores ...

Sistema comprometido: "derribar y reconstruir"

"La única manera de limpiar un sistema comprometido es derribarlo y reconstruirlo. Eso es lo correcto. Si usted tiene un sistema que ha sido comprometido completamente, la única cosa que usted puede hacer es derribarlo (formatear el disco), y reconstruirlo (reinstalar Windows y sus aplicaciones).
"En esta frase se resume el artículo firmado por Jesper M. Johansson, Director del Programa de Seguridad de Microsoft, en su columna de mayo de 2004 en "Security Management" (ver "Más información").
..

Pero veamos los puntos fundamentales del artículo de Johansson:

- Usted no limpia un sistema comprometido instalando los parches (si no lo hizo antes del ataque). Instalar los parches solo quita la vulnerabilidad. Una vez que un atacante estuvo en su sistema, probablemente se aseguró de probar o crear otras maneras de volver a entrar en él.

- Usted no limpia un sistema comprometido eliminando algunas puertas traseras. Nunca podrá estar seguro de quitar todas las puertas traseras que el atacante pudo dejar.

- Usted nunca limpiará correctamente un sistema comprometido utilizando algunos "removedores de la vulnerabilidad". Varios vendedores, incluido Microsoft, publicaron herramientas para remover el Blaster (y el Sasser). ¿Puede confiar en un sistema que tuvo el Blaster, después de ejecutar esa herramienta? Si el sistema era vulnerable al Blaster, era también vulnerable a muchos otros ataques. ¿Puede garantizar que ninguno de ésos ataques se ha producido?

- Si usted puede garantizar que lo único que comprometió al sistema fue determinado virus o gusano y usted sabe que este virus no tiene puertas traseras, y además la vulnerabilidad utilizada por el virus no estaba disponible en forma remota, entonces el escaneo con un antivirus puede ser empleado para limpiar el sistema. Por ejemplo, esto puede ocurrir cuando el gusano se ejecuta por la acción directa o indirecta del usuario (abrir un mensaje y/o un adjunto, hacer doble clic sobre un archivo). Sin embargo, si la vulnerabilidad utilizada por el gusano estaba disponible en forma remota sin acción alguna de parte del usuario (cómo ocurre con el Blaster y el Sasser), entonces usted no puede tener ninguna garantía de que ese gusano fue la única cosa que utilizó dicha vulnerabilidad.

- Usted no puede limpiar un sistema comprometido reinstalándolo sobre el actual. El atacante puede haber dejado archivos que engañen al instalador. Si ello sucede la simple reinstalación no quitará los elementos comprometidos. Además, el atacante pudo dejar puertas traseras en componentes que no son del sistema operativo.

- Usted no puede confiar en ninguno de los datos copiados desde un sistema comprometido. Una vez que un atacante entra al sistema, todos los datos corren el riesgo de ser modificados. En el mejor de los casos, copiando estos datos en un sistema limpio, obtendrá información potencialmente no confiable. En el peor de los casos, puede estar copiando una puerta trasera escondida en los datos.

- Usted no puede confiar en los registros de un sistema comprometido. Al obtener el acceso completo a un sistema, es sencillo para un atacante modificar los registros para cubrir cualquier rastro. Si depende de los logs de eventos para saber que le han hecho a su sistema, usted puede estar leyendo lo que el atacante quiere que usted lea.

- Usted no puede confiar en su último respaldo. ¿Cómo puede estar seguro del momento en que empezó el ataque original? Los registros no son confiables como para decirlo. Sin esa información, su último respaldo es inútil. Puede ser un respaldo que incluye todas las puertas traseras instaladas por el atacante.

- La única manera de limpiar un sistema comprometido por un ataque, deberá ser formatear y reinstalar. Si usted tiene un sistema que ha sido comprometido completamente, la única cosa que usted puede hacer es derribarlo (formatear el disco), y reconstruirlo (reinstalar Windows y sus aplicaciones).

Los últimos casos concretos sobre este tema, han sido protagonizados por el ya comentado gusano Blaster (Lovsan), y más recientemente por el Sasser y la secuela de gusanos que se valen de las mismas vulnerabilidades que utilizan estos dos. Infecciones de este tipo obligan a un formateo y reinstalación de Windows.

De todo esto, debería quedarnos como lección, que tal situación podría haberse evitado si se hubieran instalado de inmediato los parches necesarios, publicados en ambos casos, varias semanas antes de cualquier ataque conocido.

Por último, también recomendamos un interesante artículo publicado por José Manuel Tella Llop, reconocido profesional, betatester y asiduo participante de los foros de Microsoft, que expone de manera clara muchos de los aspectos aquí tratados, junto a otros no menos trascendentes, y enfocados al usuario doméstico (ver "Más información").

Refencia: http://www.vsantivirus.com/derribar-reconstruir.htm


Articulos relacionados:

TROYANOS BACKDOOR LA NUEVA GENERACIÓN DE VANDALISMO CIBERNÉTICO

http://www.perantivirus.com/sosvirus/general/backdoor.htm


Puerta trasera

http://es.wikipedia.org/wiki/Backdoor

No hay comentarios.:

Publicar un comentario

Tus comentarios deben ser alturados y respetando las opiniones... Gracias.