Acerca de...
El equipo
Encuestas
WinTablets

Encuesta

Si las WINTABLETs no pudiesen ejecutar aplicaciones de escritorio, ¿las seguirías usando?

Cargando ... Cargando ...

últimas entradas importantes

Categorías

Archivos

15
May 2017
AnálisisChromeOSOpiniones

EMHO: peligros reales y consecuencias posibles de wcry

EMHO, en mi humilde opinión. Hablo más en calidad de ciudadano interesado y preocupado, con acceso a internet y con tiempo invertido en lectura. Profesionalmente, el problema es para mí muy tangential, pero creo que a más de uno le puede interesar.

Para empezar, ésta es Una Prueba Más de que los blogs son imprescindibles para aquellos que no sólo consumimos información o contenidos. Las redes sociales admiten contenidos cortos y/o de vida útil medible en pocos minutos. Si se invierte tiempo en crear contenidos, merece la pena retener el control y publicarlos en un formato legible y localizable años después.

Dicho esto, paso a la chicha

El viernes por la mañana fue entretenido. Entre mis distintos círculos de amigos (entre ellos, CLARO, wintablet) empezó a circular información fragmentaria sobre algo malo, muy malo, que había pasado con un gusano en Telefónica. A no mucho tardar, los rumores tomaron forma y resulta que un exploit derivado de las “revelaciones” de herramientas de la NSA de comienzos de año se estaba extendiendo en redes corporativas, aprovechando una vulnerabilidad del protocolo SMB, tomando el control de los PC, encriptando su disco duro y replicando el gusano hasta donde podían. De las primeras chanzas sobre las vulnerabilidades entre el monitor y la silla se pasó a la preocupación. Parece ser que la reacción en algunas organizaciones fue draconiana, para evitar males mayores, y miles y miles de PC fueron apagados a las bravas.

De los miles de equipos afectados en unas pocas compañías españolas se ha pasado a cientos de miles por todo el mundo en organizaciones y sedes gubernamentales. Un jovencísimo investigador de seguridad llevó a cabo un rápido trabajo de ingeniería inversa sobre el gusano y registró el dominio al que apuntaba periódicamente (www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com), lo que produjo una detención de la propagación del gusano. En principio, se pensaba que había sido un kill-switch que el investigador activó de forma no intencionada, pero parece ser que los creadores del malware en ningún momento habían deseado que se detuviera el gusano. En su lugar, el dominio se empleaba para comprobar si el gusano estaba en una máquina virtual o en una máquina real.

Por cierto, aquí tenéis un buen resumen de las primeras horas del problema, de las manos de Jesús Pérez en sus guerrasposmodernas.com. Comparto en buena medida la visión que está desarrollando en sus sites sobre el actual conflicto internacional, y de ahí la referencia. Eso sí, como veréis no comparto la visión de que las corporaciones solucionarían el problema con un escritorio libre. Pero no me adelantaré.

El ransomware fue liberado PRESUNTAMENTE con el objetivo de encriptar el disco duro del usuario y negarle el acceso a sus datos hasta que se pagaran 300 euros en bitcoin a un monedero concreto. Lo de “presuntamente” viene de la falta de incidencia probable, habida cuenta de por dónde se ha propagado: por redes corporativas. En 2017 me atrevo a asumir que la inmensa mayoría de los PCs con windows en producción están soportados por uno o más recursos de backup concurrentes. Un PC corporativo encriptado, a todos los efectos, es como un PC corporativo al que se le ha estropeado el disco duro de forma no definitiva. Cuando un disco duro corporativo deja de funcionar no es – no debería ser – ningún drama: se cambia (como cualquier otro componente, a menos que tenga más sentido o sea más económico sustituir el equipo entero), se restaura la última copia disponible y a correr. Si llegara a darse el caso de que se ha encriptado parte de la información sobre la que se ha hecho backup, en esos entornos el backup dispone de un historial de versiones que permitirá recuperar la última versión limpia de los datos.

Sí, soy consciente de que he supuesto mucho. Que quizás en algunas subredes muy minoritarias hayan fallado las precauciones más elementales y se haya perdido más. No digo que no, pero en 2017 me resisto a creer que sea un problema importante para grandes organizaciones. Sencillamente se juegan demasiado.

Lo que creo es que en la prensa generalista, y en no pocos espacios más especializados, se ha puesto el foco en el resultado concreto y no en el principio más general, rematadamente más jodido. Me explico: lo que hace el malware es escalar privilegios aprovechando una vulnerabilidad solucionada por Microsoft hace más de un mes. Hecho esto, el siguiente paso es, por decisión de los creadores del malware, convertirse en ransomware, encriptar los contenidos del disco duro y pedir rescate. Mwahahaha y tal.

El ransomware tiene sentido financiero atacando a masas de PC de particulares, autónomos o pequeñas empresas que valoren lo suficientemente sus datos como para pagar, y que no dispongan de un backup adecuado. Pero no lo tiene para aquellas organizaciones que, por más que no hayan aplicado el parche de microsoft, disponen de sistemas de backups adecuados. Es una molestia, alguien va a hacer mucho dinero en las guardias y emergencias, fin.

De hecho, si lo pensáis, es muy ineficiente. Al aparecer pantallas rojas y parpadeantes rollo Hollywood OS, y al filtrarse la noticia, las máquinas que importan van a ser borradas y restauradas. En otras palabras, los creadores del malware van a perder el control de esas máquinas. Lo mismo se levantan unos miles de euros, pero digo yo que o han sido unos script-kiddies con suerte (improbable) o el ransomware no era la mejor forma de sacarle partido a esta vulnerabilidad. Por lo tanto, sería lícito suponer que ha pasado algo más.

Edito: parece que no es imposible que unos script kiddies hayan provocado todo esto. Pero tampoco es imposible que alguien quiera hacer pasar esto como obra de unos script kiddies. Ockham aplicaría aunque de forma no definitiva.

Entre todo el maremagnum de voces que tenemos desde el viernes, hay moderados que han hablado de prueba de concepto, tanteo o similar. No es una catástrofe, pero tampoco es una broma. El viernes, decenas de miles de empleados tuvieron que irse a sus casas antes de tiempo y se han perdido horas, si es que no días, de trabajo. Hay quien también ha apuntado a que todo el follón internacional permite que pase más desapercibido un comportamiento particular del malware, o de un derivado suyo casi, casi idéntico (por cierto, ya hay variantes circulando por ahí). A saber, ahí me faltan datos.

Porque lo que es cierto también, y esto enlaza con el título del post, es que podría haber hecho mucho más daño. Recordad que hablaba líneas arriba de escalar privilegios y tomar el control de PCs. De miles de ellos. Si se trata de PCs que ejecutan trabajo administrativo, la cosa es molesta pero no decisiva. Sin embargo, si manejan información más sensible la cosa cambia. Y peor, si controlan sistemas más sensibles, el daño que se puede hacer es mucho, mucho peor que encriptar equipos.

Hace algo más de un año, un equipo de crackers tomaron el control de parte del parque de PCs que controlaban las redes SCADA en las que se está organizando la generación y distribución de electricidad de parte de Ucrania. El siguiente paso era obvio: “apágate”.

Y no, no es como apagar un interruptor. Cuando se interrumpe el suministro a nivel de subestación de distribución, de nodo de smartgrid y/o de un número elevado de contadores digitales, la red no puede hacerse cargo tan rápidamente de toda la energía que ya no se está suministrando. Es altamente probable que elementos importantes de distribución se alteren o incluso se quemen. Restaurar su funcionamiento puede llevar de horas a días, o incluso muchos días en casos realmente malos.

Del mal el menos, y para habernos matao. Dada la extensión del malware, que fuera un ransomware ha sido una aparente bendición en términos comparativos.

Y esto me lleva a una consideración final: se trata de un caso estupendo para ilustrar la bondad de los terminales tontos de esta década, ya sean virtualizados o ya sean chromeOS. De los virtualizados no hablaré por falta de solvencia, pero de ChromeOS sí puedo decir algo.

ChromeOS es un SO mínimo. Un kérnel linux, el número de servicios imprescindible, un gestor de ventanas minimalista y chrome. Si no estás en modo developer, nada más. No se puede modificar nada que no sean datos, y en cada arranque el sistema operativo aprovecha UEFI para comprobar la integridad de sus propios archivos. Google ha lanzado una sucesión de concursos muy bien pagados para comprobar si alguien se podía hacer con el control de una chromebox, y hasta ahora nadie ha reclamado los premios.

Hay puestos de trabajo que pueden servirse perfectamente con ChromeOS. No todos, por supuesto. Pero aquellos que pueden cumplir sus responsabilidades con aplicaciones web podrían emplear este tipo de máquinas en vez de una máquina Windows. No menciono a OSX ni a Linux o BSDs varios porque son SSOO de propósito general, muy diferentes al thin client o terminal tonto que es un ChromeBox. Windows es más seguro que OSX por la sencilla razón de que Microsoft dedica muchos, muchos más recursos a seguridad, y lo hace porque se sabe el centro de los ataques de todo el mundo. Y lo es porque sigue siendo el SO más popular con diferencia. Si se emplearan escritorios OSX o Linux en número suficiente, se generaría el incentivo suficiente como para llevar a cabo ataques comparables.

No puedo afirmar que en ChromeOS vaya a ser imposible un ataque así so pena de excomunión. Lo que sí veo claro es que su arquitectura y concepto dificulta en buena medida que ataques como el que hemos vivido tengan éxito

Por jlchulilla | 10 Comentarios | Enlaza esta entrada

10 Comentarios

pepitoPillo
Enviado el 15/05/2017 a las 22:09 | Permalink

?qué tiene que ver el culo con las témporas? El exploit utilizado usaba una vulnerabilidad en un protocolo de comunicaciones de Windows, SMBv1. Si tuvieras un sistema de instalación o restauración de máquinas Windows, cada vez que restaurases la nueva instalación seguiría siendo vulnerable. ChromeOS sería igual de vulnerable “No se puede modificar nada que no sean datos”: pues ese es el problema ahora, que te cifran tus datos, no habría diferencia. La solución no sería tener particiones de sistema y de datos separadas, ni tener particiones de sistema en read-only.

    Enviado el 16/05/2017 a las 12:55 | Permalink

    “Si tuvieras un sistema de instalación o restauración de máquinas Windows, cada vez que restaurases la nueva instalación seguiría siendo vulnerable. ChromeOS sería igual de vulnerable ”

    Entre lo de que Windows sería vulnerable y que ChromeOS sería igual de vulnerable, falta, no sé, una explicación.

abulafia
Enviado el 16/05/2017 a las 00:30 | Permalink

Ya que la cosa va de “humildes opiniones” ahí van las mías:

Alguna de las cosas que sabemos al respecto de la infección por malware desatada estos días son éstas:
(1) La vulnerabilidad llevaba parcheada desde marzo en Windows 7, Windows 8 y Windows 10.
(2) En Windows Vista y Windows XP el parche no se publicó hasta ayer, pero se trata de sistemas operativos que ya se sabía que no tienen soporte de seguridad y, por otra parte, aún sin ese soporte quedó probado que la simple utilización de un “anti-ransomware” instalado en el equipo (por ejemplo, “Anti Ransom v3”, dentro del software libre) hubiera detenido tanto la propagación del malware como su maniobra de cifrado de archivos.
(3) La infección se trasmitía automáticamente a otros equipos de la red local, pero no por internet pues, en este último caso, había que “picar” en alguna trampa (phishing o similar) y ejecutar el código del malware para infectarse.

Teniendo en cuenta lo anterior, lo que cabe preguntarse es con qué nivel de seguridad trabajan algunas empresas, porque o bien no se habían parcheado algunos equipos pasados casi dos meses desde la publicación de la solución, o bien se siguen utilizando bastantes equipos con sistemas operativos que ya no tienen soporte (y a los que tampoco se les añade ningún otro software de protección que trate de paliar lo anterior). Da que pensar que muchos sólo se acuerdan de la importancia de tener un buen paraguas cuando ya ha empezado a llover y, en estos tiempos, en que los ordenadores se han convertido en una herramienta esencial, parece una actitud poco responsable.

Por otro lado, todo el estropicio que ha causado un simple ransomware basado en una vulnerabilidad conocida ya, me lleva a pensar en lo que podría ocurrir ante una infección que aprovechara un “zero-day” y que no se limitara a cifrar archivos de usuario. Da bastante “yuyu” reflexionar sobre el asunto.

En cuanto a lo que expone Juan Luis, al respecto de “terminales tontas” y chromebooks, estoy de acuerdo con él en que la “simplicidad” es una de las formas de prevenir estos ataques. Está claro que nunca estaremos seguros al 100% y que pueden aparecer vulnerabilidades en cualquier entorno, pero parece lógico que un sistema mas “simple” sea más fácil de bastionar y vigilar que otro más complejo y elaborado.

Ana
Enviado el 16/05/2017 a las 00:44 | Permalink

No lo veo tan simple, en las grandes organizaciones se utiliza todo tipo de programas, y sí, el 90% de los administrativos puede tirar con un Chrome OS el 90% de su tiempo, pero luego tienes el programa de gestión especializado para el negocio de esa empresa, que se desarrolló en su momento en un mega proyecto hace 10-20-30 años, y que no hay presupuesto y/o narices para meterle mano y actualizarlo para que se ejecute en un entorno web, en una máquina x64, con una versión java actualizada, con un navegador que no sea Internet Explorer 8, y un largo etcétera, elige tu versión del problema.
Y en las pequeñas organizaciones, el informático es el chico para todo que tiene que saber cambiar el tóner, gestionar los backups de la empresa, arreglarle el buscaminas al jefe, montar la red, llevar la web, el Facebook, la integración de la mensajería con WhatsApp y en sus ratos libres aprender los trucos del ContaPlus o lo que utilicen.
Lo de los backups es lo mínimo que se puede tener controlado más o menos, pero ningún SO va a ser mejor que otro, normalmente le toca a Windows porque al ser el más utilizado es el que todos atacan al tener más impacto, pero el fondo del problema es que al depender cada vez más de los sistemas informáticos, los ataques se centran cada vez más en estos sistemas.
Y sí, muchos de los que no tenían su Windows con las actuaciones de seguridad fue por simple dejadez, pero tampoco conviene tener la última actualización porque luego llega alguien y la caga, y tienes el mismo problema pero esta vez por ser de los primeros en aplicar un parche. Que no es el caso, que ya llevaba unos meses publicado, pero cualquier informático se ha visto también en esa situación.

abulafia
Enviado el 16/05/2017 a las 14:28 | Permalink

Pues estoy muy de acuerdo con esa realidad que expones pero tras ella no deja de haber un contrasentido.

Evidentemente dependemos cada vez más de los sistemas informáticos y, en consecuencia, éstos cada vez reciben más ataques. Además, esos ataques provienen de unos delincuentes digitales cuyo perfil ha cambiado mucho en los últimos años: ahora son mafias muy bien organizadas, con buenos recursos y con profesionales altamente cualificados.

Si aceptamos lo anterior, decir que no tenemos “narices” o “fondos” para actualizar el sistema actual de gestión de la empresa, que ya tiene una edad, es una excusa bastante lamentable que sólo refleja la mala gestión que se ha venido haciendo con los recursos informáticos: si una empresa se dedica, por ejemplo, a la agricultura, de la misma manera que elabora planes de sustitución de sistemas de riego, maquinaria agrícola o instalaciones, debería contemplar el apartado informático, tanto a nivel de hardware como de software. Lo contrario es ser un mal gestor, simplemente.

La gran ventaja actual es que casi siempre pueden sustituirse sistemas que en su momento resultaron carísimos por otros mucho mas baratos, simples y escalables. Eso sí, si estamos dispuestos a dejar los datos históricos como simple elemento de consulta, y hacer casi “borrón y cuenta nueva” con los nuevos sistemas (tampoco entiendo muchas veces esa obsesión por migrarlo todo cuando no todas las empresas necesitan esos datos históricos para su desempeño habitual, a veces, migrando algunos datos es más que suficiente para ponerse al día en un nuevo sistema).

El ejemplo que Juan Luis ha puesto con los chromebook encaja perfectamente aquí: terminales de unos 200€ desde los que pueden realizarse casi todas las tareas administrativas de una empresa contra un aplicativo en la nube ¿Hace falta más? Quizá, como se ha comentado ya en algunas ocasiones, algunos perfiles de trabajadores necesiten más (diseñadores, ingenieros, etc…) pero, la mayor parte, tendrían suficiente con algo así. Y toda esa simpleza contribuiría en gran medida a paliar problemas de seguridad que afectan mucho más a sistemas más complejos y elaborados.

    Ana
    Enviado el 17/05/2017 a las 13:06 | Permalink

    “La gran ventaja actual es que casi siempre pueden sustituirse sistemas que en su momento resultaron carísimos por otros mucho mas baratos, simples y escalables”
    ¡Ja! No sé qué experiencia tendrás en ese tipo de migraciones, pero la mía es que por muy maravilloso, mejor y fantástico que sea el nuevo sistema, esas migraciones son traumáticas, se alargan en tiempo y presupuesto, y surgen problemas. Para una compañía cuyo negocio es la agricultura el sistema de nóminas es crucial, pero no forma parte del negocio, no considero que se sea mal gestor por postponer todo lo posible migrar ese sistema, pero es un gasto cuyo beneficio es difícil percibir y se tiende a tirar con lo que hay hasta que no se puede más, y lo entiendo perfectamente.
    Otro ejemplo, y hablo desde la ignorancia por lo que puedo estar equivocada, pero sospecho que la banca sigue funcionando con Cobol porque no hay narices a actualizar a otra tecnología.
    Trabajo con tecnologías de la base de datos Oracle, y te aseguro que el simple hecho de aplicar un parche (no te digo ya migrar de una versión a la siguiente) supone quebraderos de cabeza y un trabajo a planificar que se ve más como un impedimento a tu trabajo “normal” que como algo productivo. Y eso cuando Oracle no compra otra tecnología y deja sin evolucionar la herramienta que estabas utilizando porque ha decidido apostar por lo nuevo que ha comprado, pero eso da para una enciclopedia… que Windows no es la única que da más bandazos que una galera en un temporal.

josema
Enviado el 16/05/2017 a las 16:31 | Permalink

Y porque ChromeOS y no un WindowsRT. Jejejeje, ya que sólo quiero un navegador completo se podría resucitar este SO como si de un zombi se tratara.

Ahora dura de coña, y como experiencia piloto que están implementando en mi empresa. Desde Enero d este año dm mi empresa varios equipos están trabajando con una raspberry pi 3 con una distribución de Linux que sólo dejan lanzar un escritorio remoto en Windows10 en la nube y licencia office 365.

Monitor, teclado y raton resiclados, inversion de 35€. Y cada vez que se arranque se empieza de 0.

josema
Enviado el 16/05/2017 a las 16:34 | Permalink

Y porque ChromeOS y no un WindowsRT. Jejejeje, ya que sólo quiero un navegador completo se podría resucitar este SO como si de un zombi se tratara.

Ahora fuera de coña, y como experiencia piloto que están implementando en mi empresa. Desde Enero de este año mi empresa varios equipos están trabajando con una raspberry pi 3 con una distribución de Linux que sólo dejan lanzar un escritorio remoto en Windows10 en la nube y licencia office 365.

Monitor, teclado y raton resiclados, inversion de 35€. Y cada vez que se arranque se empieza de 0.

La vuelta de las maquinas tontas. Ahora sólo falta que vuelvan a resucitar el AS400 de mi empresa

    Enviado el 16/05/2017 a las 21:51 | Permalink

    porque windows RT no está actualizado, porque comparte vulnerabilidades con windows de la época (windows 8, lo cerraron antes que las build definitivas de 8.1), porque el navegador está muy desactualizado… con ese internet explorer no puedes trabajar bien.

    Lo de la raspberry pi 3 me parece fascinante. ¿Hay algo publicado? ¿qué tal va de rendimiento la combinación Rpi3 + escritorio remoto?

      RFOG
      Enviado el 16/05/2017 a las 22:53 | Permalink

      He leído referencias de la PI haciendo eso y dicen que es tremendamente lenta, pero mucho menos que corriendo Windows IOT.

Deja un comentario  

Tu email nunca se publica o se comparte. Los campos obligatorios están marcados con *

*
*
:wink: :-| :-x :twisted: :) 8-O :( :roll: :-P :oops: :-o :mrgreen: :lol: :idea: :-D :evil: :cry: 8) :arrow: :-? :?: :!:
Puedes usar las siguientes etiquetas y atributos HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

contacto@wintablet.info tema WinTablet.info por Ángel García (Hal9000)