NO HO FEU! La sol�luci� QUASI MAI �S FORMATEJAR.
Amb el parche es soluciona el tema. De fet, a tothom de la llista que ho ha provat li ha funcionat. Que amb la tarifa plana d'EresM�s no passi t� una explicaci�. Per a ser v�ctima d'un atac d'aquest tipus s'ha de con�ixer la IP de l'usuari que es vol atacar. Sovint en comptes d'atacar una sola IP s'ataquen rangs sencers d'IP. Les que s'estan atacant actualment son, la majoria, IP d'ADSL que son fixes i per tant hi ha m�s possibilitats que els ordinadors estiguin connectats. Les d'EresM�s son din�miques i canv�en cada vegada que connectes, per tant, per als atacants no son un bon objectiu. Salutacions, -- [ name ] [ Jordi Falc�s i Valls ] [ nick ] [ Jol ] [ e-mail ] [ [EMAIL PROTECTED] ] [ web ] [ http://www.falces.net/ ] [ phone ] [ +34 937.25.33.58 ] [ fax ] [ +34 937.25.91.58 ] [ mobile ] [ +34 687.97.39.77 ] �.�.�.�.�.�.�.�.�.�.�.�.�.�.�.�.�.�. Por muy r�pido que viaje la luz �sta siempre se da cuenta que la oscuridad ha llegado antes �.�.�.�.�.�.�.�.�.�.�.�.�.�.�.�.�.�. > -----Mensaje original----- > De: [EMAIL PROTECTED] > [mailto:[EMAIL PROTECTED] > nombre de Francesc Gar� > Lleix� > Enviado el: mi�rcoles, 13 de agosto de 2003 23:09 > Para: [EMAIL PROTECTED] > Asunto: Re: [Internauta] XP Problem > > > He vist aix� a unes news. Una recomanaci� que la > �nica soluci� fiable �s > formatejar. No �s per acollonir, �s solsament informaci�. > Molt complert. Haig de dir que jo vaig poder > descarregar els arxius i parxes > canviant la connexi� "perra" tarifa plan per un > Eresmas an�nimo. No es va > reiniciar. > Crec que hem estat protagonistes d'un dels atact > informatics m�s efectius de > la hist�ria. Una bona XP riencia. > Ah. Comproveu l'estat del tallafocs (veure m�s avall) > Salutacios. > > *********************** > Cortesia de Jose Manuel Tella > > VULNERABILIDAD Y EXPLOTACION DEL RPC > ------------------------------------ > > > HISTORIA > -------- > > Un agujero de seguridad en el RCP ("Remote > Procedure Call", o llamada a > procedimiento > remoto), fue detectado y corregido por Microsoft > el d�a 16 de julio de 2003: > http://www.microsoft.com/security/security_bulleti > ns/ms03-026.asp. > Estan afectados todos los sistemas de nucleo NT > (W2000, XP, W2003). > La actualizacion critica fu� puesta a disposicion > de los usuarios a trav�s > de Windows Update y del sistema de > actualizaciones automaticas. > > Pocos d�as mas tarde, apareci� publicado en > paginas dedicadas al hacking, > como por ejemplo > http://cyruxnet.com.ar/rpcxploit2.htm#windows un > exploit (programa malicioso para usar o explotar > una vulnerabilidad) > llamado DCOM el cual era capaz de provocar un > desbordamiento de > buffer en un maquina remota al objeto de tomar > control de ella. > > El metodo, con el exploit anterior, es de lo mas > sencillo: > > dcom 1 direccion_IP > telnet direccion_ip 4444 > > mediante los dos comandos anteriores, cualquier > malintencionado > tomar� control de nuestra maquina con los > privilegios de Local System, > es decir con el maximo nivel de privilegios existente. > > A partir de ese momento, podr� hacer en nuestra > maquina lo que desee. > > Simultaneamente, el dia 11 de Agosto aparece un > gusano (worm) que explota > tambien dicha vulnerabilidad. Este gusano, > "W32.blaster", en s�, > no es peligroso comparado con la potencialidad > del peligro de > acceso manual descrito anteriormente. > > > PELIGROS REALES > --------------- > > El peligro real, es que cualquiera, en cualquier momento, > ha tomado control de nuestra maquina. > > Desde ese momento, nuestra maquina deja de ser nuestra: > puede ser usada con cualquier fin que el atacante desee. > Es conocido desde hace a�os PC's conquistados y que sin > que sus propietarios se aperciban de nada, son > reutilizados > para redistribucion de pornograf�a, para envios de correos > masivos (spam), o bien pasan a engrosar las listas de PC's > zombies, las cuales se venden por internet, para realizar > ataques a servidores de la red cuando son despertados > por el atacante. > Se usan para ataques de denegacion de servicio a > servidores > de empresas, corporaciones, organismos o bien con fines > terroristas a grandes servidores de internet. > > > SINTOMATOLOGIA > -------------- > > En el momento actual, cualquier maquina que no > haya aplicado en > su d�a el parche de Microsoft ms03-026 o que no > haya tenido activado > siempre un cortafuegos habr� sido atacada: bien > manualmente > por un atacamente malicioso (cualquier ni�o es > capaz de usar > dicha vulnerabilidad con el exploit), o bien por > el gusano w32.blaster > -o alguna de sus variantes- los cuales se > reproducen exponencialmente. > Su grado de difusion es muy elevado. > > > Los sintomas son: > > 1) Windows nos informa de un error en el sistema RPC. > 2) A continuancion aparece una ventana que nos comunica > un error grave del sistema y que proceder� a > reiniciarse el sistema > a los 50 segundos, empezando una cuenta de tiempo > regresiva hasta 0. > > NOTA: Aparece adem�s un error del RPC en rojo en > el visor de sucesos de > Windows. > > Por cada vez que veamos esos mensajes, o > aparezca el error en el visor de > sucesos, > nuestra maquina ha sido accedida y conquistada de > nuevo con exito. > > Dichos sintomas, son debidos a un error del > propio exploit, o del propio > gusano. Si no cometiese dicho error, tampoco nos > dar�amos cuenta > que hemos sido atacados. Es importante esta nota, > ya que probablemente > salgan versiones m�s refinadas del exploit que > sean capaces de operar > sin que el usuario perciba nada. > > > ANALISIS DE LAS SOLUCIONES > -------------------------- > > A la vista de lo anterior, no existe una > solucion, ni puede existir si > nuestra > maquina ha sido conquistada: > > * En el mejor de los casos, unicamente habremos > sido atacados por el > gusano. > Es trivial deducir, que en este caso, cualquier > antivirus actualizado a > fecha posterior > al 12 de Agosto del 2003, ser� capaz de eliminarlo. > > * Nadie puede garantizarnos, que si hemos sido > atacados con exito una > vez al menos por el gusano, no hayamos sido > atacados en algun otro > momento por alguna persona maliciosa. > En este caso hemos perdido ya el control de nuestro PC. > > La unica alternativa fiable es el formateo de la > maquina previa copia de > seguridad de los datos, y nueva instalacion del > sistema operativo. > > En la actualidad, las paginas de antivirus dan > dos alternativas: > > * Explican el funcionamiento y la eliminacion del gusano. > * Contradictoriamente, informan con el titulo de > IMPORTANTE, que las > empresas y corporaciones deber�n formatear las > maquinas afectadas. > > Este ultimo punto, el cual est� de acuerdo por > el analisis previo que he > realizado, me parece contradictorio por parte de > las casas de antivirus al > diferenciar los PC's de uso domestico a los PC's > empresariales. > Entiendo, que si un PC empresarial debe > formatearse, el mismo consejo > debe darse a un PC Domestico, maxime, cuando en > un PC Domestico > podemos tener informacion de la cual no tengamos > copia de seguridad e > informacion personal "sensible". A nivel > empresarial, las copias de > seguridad > existen, y entiendo que el grado de > confidencialidad es tan importante, > como el grado de confidencial de la informacion > de nuestros PC's domesticos. > > > MAQUINAS POTENCIALMENTE AFECTADAS > --------------------------------- > > * Sistemas de nucleo NT, W2000, XP o W2003. > > * Todas aquellas que estaban o han estado algun > momento sin cortafuegos > activado, inclusive "durante" la instalacion del > sistema operativo si > teniamos > conectado el cable de red a la conexion a Internet. > > * Y que no hayan aplicado el parche MS03-26 de > Windows Update o del > avisador de actualizaciones criticas. > > El firewall incorporado en XP / W2003 protege > correctamente y no son > conocidas vulnerabilidades de �l en dos a�os que > lleva XP en el mercado. > Del resto de firewalls de terceros, son > conocidas, y existen exploits, > decenas de vulnerabilidades. Hoy mismo han sido > publicados en foros > de hacking nuevas vulnerabilidades del Zone > Alarm, y durante los ultimos > meses han sido publicadas varias del firewall de Sygate. > > Igualmente, debemos recordar, que existen > informaciones contradictorias > de la posible proteccion que nos puede ofrecer un > router ADSL en > multipuesto. > Erroneamente se cree que al estar en multipuesto, > y por tanto al existir una > traduccion de direcciones en el router, estaremos > protegidos ya que acturar� > de cortafuegos. Esta creencia es erronea por los > siguientes motivos: > > 1) Un router ADSL no actua de cortafuegos. > Unicamente tiene filtros o bien > traslacion de direcciones. No es comparable a la > seguridad de un firewall. > > 2) La mayor�a de los routers ADSL tienen > definido un "default workstation", > por lo cual, al menos una de las maquinas de > nuestra red ser� totalmente > alcanzable desde internet. Si una lo es, a partir > de ella lo seran todas. > > 3) Existen exploits que son capaces de usar > vulnerabilidades del firmware > de los routers ADSL, por lo cual cualquier > atacante malintencionado podr� > usar dichos exploits para penetrar en nuestra red local. > > > CONCLUSIONES > ------------ > > A la vista de lo anterior, podemos sacar las > siguientes conclusiones: > > * En principo los potencialmente afectados > deber�an formatear e instalar > en limpio el sistema operativo. Esto puede tener > una sola excepci�n: > > Al dia de hoy (13 de Agosto de 2003), no se > conoce un exploit que no > provoque indirectamente los mensajes de error > citados en la parte > de SINTOMATOLOGIA. Probablemente en poco tiempo > existiran variantes > del exploit que operen totalmente ocultas al > usuario, por lo que no podemos > deducir que si no ha habido un reinicio de > nuestra maquina no hayamos > sido conquistados. > > > CONSEJOS DE INSTALACION > ----------------------- > > * Instalar siempre con la conexion a Internet > desconectada. > Es decir, en las maquinas con acceso directo a > Internet (router ADSL, cable, > etc)..... el cable de red a Internet debe estar > desconectado ya que durante > la instalacion y posterior primer inicio del > sistema, son todav�a > vulnerables > al no estar activado el cortafuegos. > > * Antes de conectar los cables a Internet, o > bien en el momento de > configurar > la conexion telefonica, comprobar que el > cortafuegos de XP / W2003 est� > activo > (boton derecho sobre la conexion de red, > propiedades, pesta�a de avanzado, > y verificar que el casillero de "proteger mi > conexion" est� activado). > En el resto de maquinas, instalar previamente un > cortafuegos de > terceros (ultimas versiones). > > * Inmediatemente, aplicar todos los parches de > seguridad o parches criticos > de WindowsUpdate. Si existen SP (Service Packs) a > los sistemas operativos > estos deben ser lo primeros en aplicarse. > > > NOTA FINAL > ---------- > > Independiente de las vulnerabilidades, las > cuales, y no sirve como disculpa > a > Microsoft o a Linux, son inherentes a cualquier > sistema operativo pasado, > presente o futuro debemos fijarnos igualmente en > los errores que "nosotros" > como usuarios cometemos. > > Vamos a ce�irnos en este caso al sistema de mas difusion a > nivel domestico: Windows XP. > > * Windows XP viene configurado por defecto con > el cortafuegos activo. > En el momento que usamos cualquier asistente y > nos pregunta por la > conexion a Internet, activar� el cortafuegos en > dicha interface de red o > conexion telefonica. (existen salvedades a esto > en maquinas 'multihomed' > con multiples interfaces de red, pero no es el > caso de un usuario > domestico). > > * Windows XP tiene el mecanismo de > actualizaciones automaticas. > > Por tanto, repasemos los errores que como usuarios hemos > comentido en caso de ser vulnerables: > > 1) Desactivar el cortafuegos. Esto es muy > corriente en aquellos > inconscientes > (no hay otra definicion), que debido a que el uso > de un cortafuegos impide > ciertas comunicaciones servidoras (lo mas normal > es el envio de archivos > a trav�s de messenger, por ejemplo), en vez de > configurar dicho firewall > correctamente para permitir el uso de esas aplicaciones > simplemente lo desactivan. > > 2) No hacer caso a las actualizaciones automaticas. > > 3) No pasar nunca por las paginas de > mantenimiento de Windows Update. > > > /* sarcasmo con proposito hiriente > hay que ser brutos > sarcasmo con proposito hiriente */ > > > Y recordemos, que la informatica, es y cada vez > m�s, igual que la > industria real: si no pasamos una revision de > nuestro automovil > perdemos la garantia. Si no respetamos las normas > de trafico, > y sobre todo de "sentido comun" ocurren accidentes. > > En informatica es similar. No solo debemos dejar > activos los > mecanismos que el fabricante del sistema ha ideado para la > proteccion y la seguridad sino que debemos igualmente ser > responsables del mantenimiento de nuestro sistema. > > No sirve para nada tener un antivirus, por ejemplo, > -y aunque no venga al hilo del presente articulo-, > sino usamos siempre el "sentido comun". > Los virus son nuevos cada dia, mucho de ellos son > mutaciones > de versiones anteriores. Hasta que un virus no alcanza una > propagacion fuera del ambito local, las casas de antivirus > no proceden a preparar una vacuna. Por tanto, y > aunque se use antivirus, > siempre estaremos desprotegidos contra los nuevos virus. > > Solo existe una alternativa: "sentido comun". > > > -- > ------------------------ > Saludos. Peni. > > ************************************ > > > > ----- Original Message ----- > From: "Francesc Gar� Lleix�" <[EMAIL PROTECTED]> > To: <[EMAIL PROTECTED]> > Sent: Tuesday, August 12, 2003 10:31 PM > Subject: Re: [Internauta] XP Problem > > > Hola > A mi, de moment m'ha funcionat la soluci� d'en > Falc�s (gracies Jordi). Ara > estic baixant un arxiu pqremove de la web de Panda > http://www.pandasoftware.es/soporte/ficha.aspx?id= 1563&IdIdioma=1 per si �s el cas. Estic un xic mosquejat amb Panda ja que, per 1� vegada ( que jo s�piga ) se m'ha colat algo. L'estic pasant i triga la tira, ja que busca tots els arxius. Diu que ja era hist�ria. L'hi he fet 2 pasades amb l'AV actualitzat. Sembla que els grups i llistes en van plens. Salutacions. _______________________________________________ llista de correu de l'Internauta [EMAIL PROTECTED] http://zeus.internauta.net/mailman/listinfo/internauta _______________________________________________ llista de correu de l'Internauta [EMAIL PROTECTED] http://zeus.internauta.net/mailman/listinfo/internauta
