Acerca de...
El equipo
Encuestas
Política de privacidad
WinTablets

Encuesta

¿Cual crees que triunfará?

Ver Resultados

Cargando ... Cargando ...

últimas entradas importantes

Categorías

Archivos

15
May 2017
AnálisisChromeOS

EMHO: peligros reales y consecuencias posibles de wcry

EMHO, en mi humilde opinión. Hablo más en calidad de ciudadano interesado y preocupado, con acceso a internet y con tiempo invertido en lectura. Profesionalmente, el problema es para mí muy tangential, pero creo que a más de uno le puede interesar.

Para empezar, ésta es Una Prueba Más de que los blogs son imprescindibles para aquellos que no sólo consumimos información o contenidos. Las redes sociales admiten contenidos cortos y/o de vida útil medible en pocos minutos. Si se invierte tiempo en crear contenidos, merece la pena retener el control y publicarlos en un formato legible y localizable años después.

Dicho esto, paso a la chicha

El viernes por la mañana fue entretenido. Entre mis distintos círculos de amigos (entre ellos, CLARO, wintablet) empezó a circular información fragmentaria sobre algo malo, muy malo, que había pasado con un gusano en Telefónica. A no mucho tardar, los rumores tomaron forma y resulta que un exploit derivado de las «revelaciones» de herramientas de la NSA de comienzos de año se estaba extendiendo en redes corporativas, aprovechando una vulnerabilidad del protocolo SMB, tomando el control de los PC, encriptando su disco duro y replicando el gusano hasta donde podían. De las primeras chanzas sobre las vulnerabilidades entre el monitor y la silla se pasó a la preocupación. Parece ser que la reacción en algunas organizaciones fue draconiana, para evitar males mayores, y miles y miles de PC fueron apagados a las bravas.

De los miles de equipos afectados en unas pocas compañías españolas se ha pasado a cientos de miles por todo el mundo en organizaciones y sedes gubernamentales. Un jovencísimo investigador de seguridad llevó a cabo un rápido trabajo de ingeniería inversa sobre el gusano y registró el dominio al que apuntaba periódicamente (www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com), lo que produjo una detención de la propagación del gusano. En principio, se pensaba que había sido un kill-switch que el investigador activó de forma no intencionada, pero parece ser que los creadores del malware en ningún momento habían deseado que se detuviera el gusano. En su lugar, el dominio se empleaba para comprobar si el gusano estaba en una máquina virtual o en una máquina real.

Por cierto, vulnerabilidad solucionada por Microsoft hace más de un mes. Hecho esto, el siguiente paso es, por decisión de los creadores del malware, convertirse en ransomware, encriptar los contenidos del disco duro y pedir rescate. Mwahahaha y tal.

El ransomware tiene sentido financiero atacando a masas de PC de particulares, autónomos o pequeñas empresas que valoren lo suficientemente sus datos como para pagar, y que no dispongan de un backup adecuado. Pero no lo tiene para aquellas organizaciones que, por más que no hayan aplicado el parche de microsoft, disponen de sistemas de backups adecuados. Es una molestia, alguien va a hacer mucho dinero en las guardias y emergencias, fin.

De hecho, si lo pensáis, es muy ineficiente. Al aparecer pantallas rojas y parpadeantes rollo Hollywood OS, y al filtrarse la noticia, las máquinas que importan van a ser borradas y restauradas. En otras palabras, los creadores del malware van a perder el control de esas máquinas. Lo mismo se levantan unos miles de euros, pero digo yo que o han sido unos script-kiddies con suerte (improbable) o el ransomware no era la mejor forma de sacarle partido a esta vulnerabilidad. Por lo tanto, sería lícito suponer que ha pasado algo más.

Edito: parece que no es imposible que unos script kiddies hayan provocado todo esto. Pero tampoco es imposible que alguien quiera hacer pasar esto como obra de unos script kiddies. Ockham aplicaría aunque de forma no definitiva.

Entre todo el maremagnum de voces que tenemos desde el viernes, hay moderados que han hablado de prueba de concepto, tanteo o similar. No es una catástrofe, pero tampoco es una broma. El viernes, decenas de miles de empleados tuvieron que irse a sus casas antes de tiempo y se han perdido horas, si es que no días, de trabajo. Hay quien también ha apuntado a que todo el follón internacional permite que pase más desapercibido un comportamiento particular del malware, o de un derivado suyo casi, casi idéntico (por cierto, un equipo de crackers tomaron el control de parte del parque de PCs que controlaban las redes SCADA en las que se está organizando la generación y distribución de electricidad de parte de Ucrania. El siguiente paso era obvio: «apágate».

Y no, no es como apagar un interruptor. Cuando se interrumpe el suministro a nivel de subestación de distribución, de nodo de smartgrid y/o de un número elevado de contadores digitales, la red no puede hacerse cargo tan rápidamente de toda la energía que ya no se está suministrando. Es altamente probable que elementos importantes de distribución se alteren o incluso se quemen. Restaurar su funcionamiento puede llevar de horas a días, o incluso muchos días en casos realmente malos.

Del mal el menos, y para habernos matao. Dada la extensión del malware, que fuera un ransomware ha sido una aparente bendición en términos comparativos.

Y esto me lleva a una consideración final: se trata de un caso estupendo para ilustrar la bondad de los terminales tontos de esta década, ya sean virtualizados o ya sean chromeOS. De los virtualizados no hablaré por falta de solvencia, pero de ChromeOS sí puedo decir algo.

ChromeOS es un SO mínimo. Un kérnel linux, el número de servicios imprescindible, un gestor de ventanas minimalista y chrome. Si no estás en modo developer, nada más. No se puede modificar nada que no sean datos, y en cada arranque el sistema operativo aprovecha UEFI para comprobar la integridad de sus propios archivos. Google ha lanzado una sucesión de concursos muy bien pagados para comprobar si alguien se podía hacer con el control de una chromebox, y hasta ahora nadie ha reclamado los premios.

Hay puestos de trabajo que pueden servirse perfectamente con ChromeOS. No todos, por supuesto. Pero aquellos que pueden cumplir sus responsabilidades con aplicaciones web podrían emplear este tipo de máquinas en vez de una máquina Windows. No menciono a OSX ni a Linux o BSDs varios porque son SSOO de propósito general, muy diferentes al thin client o terminal tonto que es un ChromeBox. Windows es más seguro que OSX por la sencilla razón de que Microsoft dedica muchos, muchos más recursos a seguridad, y lo hace porque se sabe el centro de los ataques de todo el mundo. Y lo es porque sigue siendo el SO más popular con diferencia. Si se emplearan escritorios OSX o Linux en número suficiente, se generaría el incentivo suficiente como para llevar a cabo ataques comparables.

No puedo afirmar que en ChromeOS vaya a ser imposible un ataque así so pena de excomunión. Lo que sí veo claro es que su arquitectura y concepto dificulta en buena medida que ataques como el que hemos vivido tengan éxito

Por jlchulilla | 10 Comentarios | Enlaza esta entrada
contacto@wintablet.info tema WinTablet.info por Ángel García (Hal9000)