Para dar con los padres del ‘virus de la Policía’ se ha necesitado la colaboración de empresas de seguridad como Trend Micro. David Sancho, uno de sus principales investigadores, cuenta los entresijos de la operación.
|
etiquetas: virus , internet , informática , policía , poilifix , virus de la policía
Eso, si no es que alguien comete la estupidez de abrir el programa como root, que también los habrá.
El problema no es el SO, es la estupidez humana y el desconocimiento.
¿Y que tal si el virus se conecta con tor y emplea la red onion?
Pues que quereis que os diga, esta frase me ha dado un poco de mal rollo:
"En otros países la ley es mucho más rigurosa en el aspecto técnico y hace falta una evidencia mucho más consolidada para practicar una detención y que el juez no la tumbe a las primeras de cambio"
La solución en mi caso fué iniciar con ubuntu para recuperar mis cosas y formatear.
Con el cartel del virus visible, control + alt + suprimir y elegimos logoff
Estamos muy atentos para cancelar el logoff cuando desaparezca el cartel, esto es fácil si no tenemos configurado el forzado de terminar procesos, con lo cual si estábamos trabajando en algo que no se haya guardado nos preguntará si queremos cerrar el proceso o cancelar el logoff. Si no es así rápido tecla windows + R cmd y tecleamos shutdown /a (esto puede ser difícil si el equipo es rápido)
Así hemos recuperado el control de la máquina, lo siguiente:
Buscamos en C: skype.dat y vemos que lo encuentra en users\fulanito\application data\roaming (win7) si no carpeta usuario de xp application data.
Lo borramos y ya de paso también un exe con el icono de un bocadillo de comic con un nombre aleatorio, del tipo evevesdcvsvs.exe
Reiniciamos la máquina.
Listo.
Eso, si no es que alguien comete la estupidez de abrir el programa como root, que también los habrá.
El problema no es el SO, es la estupidez humana y el desconocimiento.
webcache.googleusercontent.com/search?q=cache:Cfj_wG7SAB4J:sesiondecon
Y a FAPearse a gusto!
ahora bien, si ese script te pide contraseña de administrador y tu -hablando del usuario, no de ti- se la das, obviamente hay poco que hacer...
La solución, meter el cd de Truñows, restaurar sistema, volver a un punto de restauración anterior, y riau. No le ha vuelto a aparecer, pero si vuelve por lo menos ya sabe que no va a ir a la cárcel (pobre, creo que estaba entrando a una página porno cuando le salió )
Repito, es la estupidez humana u no el SO
Supongo que hay gente que prefiere pagar 300€ por una supuesta infracción sin conocer antes ninguna ley (ni informarse de ello) que reconocer que han sido estafados
Eso, si cada uno que se pase a lo que quiera, pero no en base a desinformación... pero vamos en Linux hay virus para hartar... y en Android ni te cuento.
Por no hablar de la cantidad de usuarios de Android, que ya está tan extendido como Windows en los 90, de nivel "Abuela con las instrucciones en un post-it" que jamás han tenido malware de ningún tipo, utilizando todo tipo de aplicaciones.
Los usuarios o su masa crítica pueden tener algo que ver, pero es mas que evidente que la plataforma Win32 tiene graves carencias heredadas en materia de seguridad básica.
Icedtea no instalado.
AppArmor en Firefox.
/home montado como noexec y bind para "remontar" la particion en el caso de que solo exista /.
¿Cuantos virus funcionan en Linux libre 3.7-7?
Por cierto me hace gracia pensar si alguien habría tenido huevos de denunciar a la policía por intento de extorsión
Respetando esas simples reglas ya solo quedan que haya vulnerabilidades en los archivos de sistema o en los programas, pero eso es facilmente solucionable teniendo actualizado el sistema y utilizando versiones estables. Ademas se suelen detectar y solucionar vulnerabilidades de forma más rapida que en Windows.
Logicamente si instalas como root un programa para bajarte el porno más rapido seguramente pilles un virus, pero con un minimo de cabeza es relativamente facil tener un sistema seguro sin estar utilizando antivirus chuparecursos y por mucho que se empeñen los hackers.
Y no es que esté mal la idea. En su momento, cuando se hizo windows, existían sistemas muy seguros pero igualmente restrictivos para el usuario. ¿A quién se le ocurre requerir permisos especiales para cancelar una impresión o para formatear un disco? ¿A quién se le ocurre bloquear áreas de memoria que usa un programa para que otro no pueda acceder a ellas? Eso en su momento era más una molestia que una ventaja. Es mi equipo y si quiero que un programa hurgue en la memoria de otro, es cosa mía, para eso soy el único usuario que hay. No tenía sentido que un sistema monousuario tuviera restricciones de seguridad.
Esa es la base que heredó windows. Con el tiempo se han agregado sistemas de restricciones pero todos muy complejos y basados en las aplicaciones y no en el núcleo mismo del sistema. El resultado es que intentas asegurar un Windows restringiendo accesos y hasta un simple service pack puede inutilizar las reglas que has creado porque cambia el nombre de algún programa.
Linux, por su lado, heredó la seguridad de Unix, lo cual hace que por ejemplo instalar software sea más incómodo que en windows porque hace falta una clave para poder hacerlo. Y ni que hablar de formatear un disco. Pero bueno, los tiempos han cambiado y muchos estamos dispuestos a sacrificar un poco la comodidad en aras de la seguridad. Si, un usuario no puede formatear, eso es malo... pero un programa malicioso tampoco puede, y eso es una gran tranquilidad.
Repito, ningún SO puede salvarnos de nuestra propia estupidez.
cc/ #33 Uso ambos sistemas frecuentente. Si los hacker tuvieran el mismo interés, no dudes que pasaría. El procedimiento es el mismo en cualquier SO: explotar una vulnerabilidad (la de java afecta a todos los SO, por ej.), hacerse admin y entrar como elefante en cacharreria.
Cuando encuentras posibles exploits y te dedicas a estos temas... no reportas los fallos a los creadores de ese software ya que sería tirarse piedras sobre tu propio tejado. Con suerte (para estas personas) nadie detectaría el fallo hasta que se descubriera que se ha utilizado en algún tipo de ataque.
Límite de conexiones superadas
Actualmente esta página está sirviendo demasiadas peticiones simultáneas.
Por favor, vuélvalo a intentar pasados unos minutos.
Gracias por visitarnos.
Reintentar
El caso llega ser tan tonto como que windows impone restricciones por el nombre de los programas pero no por su ubicación, así que algunos malwares utilizan la táctica de escribirse en el disco con el nombre de "explorer.exe" para así tener los privilegios del explorer.
Con respecto a Linux, actualmente estamos usando la mínima seguridad que se diseñó hace más de 40 años. Y no es que no haya ataques. Más de una vez veo algún archivo ".deb" que le han hecho descargar a mi hija quien sabe con qué engaño. Pero de ahí no ha pasado porque como ella no sabe instalar software, no tiene la clave que lo permite. Si se tratara de windows con 100% de seguridad ya estaría infectado con exactamente el mismo truco.
Y si mañana por alguna extraña razón la gente decidiera pasarse masivamente a Linux, y empezara a aparecer malware diseñados específicamente para aprovecharse del desconocimiento del usuario medio, sería trivial pasarnos a una seguridad más avanzada como appguard o selinux. Bastaría sólo con eso para reducir a cero el peligro porque ningún programa, sin importar que fuera corrido incluso como administrador, podría hacer nada para lo que no fue autorizado originalmente.
Como verás, Linux está muy por delante de todos estos problemas.
unaaldia.hispasec.com/2013/02/el-fin-del-virus-de-la-policia.html
David Sancho: Licenciado en Ciéncias Económicas (ie.linkedin.com/in/dsancho)
Voy a mandar una auditoria sobre mi edificio que le están saliendo rajas, casualmente conozco a uno que dice que controla de ariquitectura, es filósofo pero es autodidacta...
Vaya tela.
¿Que Linux no tiene tantos agujeros de seguridad como Windows...? deja sin actualizar los parches de una Ubuntu unas semanas y luego me cuentas.
En el trabajo uso máquinas con Windows y con Linux. Lo que más me llamó la atención fue ver a un supuesto "evangelizador" de Linux metiendo su password de administrador cada vez que le saltaba una ventana de solicitud de permisos de acceso en su equipo, sin detenerse a comprobar la legitimidad de la solicitud. Le pregunté si sabía de qué era la ventana y tuvo que reconocerme que generalmente respondía de manera automática. El principal problema de seguridad no es el sistema operativo, sino el usuario.
Ahí tienes una de las muchas que afectan a Linux.
Por otro lado, eso de "muchas" no se de donde lo sacas... Y a demás la gran variedad de distribuciones de linux hace que sea casi imposible que haya muchos afectados por un mismo problema.
pd: por favor votarme negativo si os sentís identificados.
Pero bueno, ya sabemos cómo funciona esto: hay gente para todo. Al menos yo, personalmente, con linux se qué seguridad tengo y se hasta qué punto puedo sentirme tranquilo.... y también se qué seguridad tengo cuando uso un windows y ahí sí que no me siento nada tranquilo.
Cuando te sacas el carnet de conducir vas con todos los sentidos puestos en la carretera, después de veinte años conduciendo a diario ya lo haces manera automática, sin pensarlo. Es ahí donde está el riesgo.
Yo con mi máquina de Linux del trabajo también sé que seguridad tengo, sin problemas, las dos de Windows tampoco me preocupan.
Cuando quiero seguridad total y para determinadas cosas que para mí son críticas utilizo una partición que sé que está limpia, y es una partición con Windows por cierto.
La seguridad está principalmente en el usuario.
Estooooo...yo no..yo no, eh?
#55 Suelen ser antivirus para eliminar los virus destinados a windows y que a ti no te afectan pero no quieres pasárselos a quien use windows. Normalmente son antivirus bajo demanda.
Me quedé estupefacto. Estuve por llamar a mi amigo por teléfono para ver si me había mandado algún tipo de pornografía infantil o algo así.
Y entonces leí el cartel (porque es un cartel lo que aparece, aunque ocupa toda la pantalla) y ponía cosas prohibidas como la zoofilia.
En ese momento ya dije, esto es un virus seguro. De hecho, si pulsas control+alt+supr y a ciegas le das a reiniciar en modo seguro. Sigues los pasos de la página web de la policia y ya.
Bajé a la comisaría (y es que ese año tenía la comisaría en frente y tenía algún trato con los agentes) y les dije que había un virus que se hacía pasar por ellos y me dijeron que ya lo sabían, que el virus había venido de Alemania.
De hecho, para borrarlo busqué en la página web de la policia y en esta ironizaban diciendo que si ellos pudieran hacer algo así...
#59 Esa es la razón por la que yo pongo una pegatinita siempre en la cámara y una en el micro. De hecho, aquí en Alemania cuando das el dinero exacto en la compra te suelen regalar unas pegatinitas (en el Telgenmann es un corazoncito) y últimamente veo a mucha gente con la misma que yo puesta. Debe ser que hay una oleada de tal virus.
#51 Es más, todo el mundo sabe que una asignatura de la carrera de ingeniería informática es "Procedimientos policiales para la detección y arresto de ciberdelincuentes". No sé como pueden hacerlo sin una carrera, la verdad. Es decir, el otro día me puse a estudiar un libro de una rma d ela física que nunca había visto y fue super extraño, porque, joder aprendí. Y eso que no era de mi carrera.
Yo por suerte se que todo lo que he hecho es legal, y por eso bajé mi ordenador a la comisaría, pero vamos, que veo la genialidad detrás de la idea de pedir dinero a cambio de silencio.
Lo que pasa es que hay varias versiones de este virus y algunas están mas curradas y otras son mucho más cutres, aunque hay cosas que delatan como, por ejemplo, poner como cosas ilegales, pornografía y zoofilia (la pornografía infatil si es ilegal, pero las otras dos, que yo sepa, no) y pedir dinero. ¿Desde cuándo la policia puede pedirte dinero para no denunciar un crimen? (y es que, por ejemplo, la ponografía infantil es un crimen, no una falta, creo recordar)
Pero que vamos, me parece una idea muy buena. Las mentes malvadas siempre tienen buenas ideas.
Para la infección de este virus se utiliza un exploit de java 1.7 que permite bajar programas y ejecutarlos sin el permiso del usuario. Esto incluye linux. Es decir no es un fallo del sistema operativo, es un fallo de java.
Tenéis mas información en malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disabl
Oracle ya ha sacado una actualización de seguridad para java 1.7, pero fiarme.. fiarme.. no me fio mucho.
Supongo que asumes que ningún malware que tengas en otras particiones ha sido capaz de modificar la partición "limpia" o ¿cómo sabes seguro que está limpia?
Imagino que lo sabes porque tienes cuidado incluso en el resto de particiones, lo cual está muy bien, pero si tienes una "partición limpia para ciertas cosas" es que no lo tienes tan claro, digo yo
Yo leí de casos en que un malware de Windows buscaba particiones "linux" y las corrompía.
Eso sí, tuvo su gracia cuando leí en algún foro en el que ponía un señor que le había aparecido y que pasaron la mujer, la hija y la nuera por donde él, y le miraron con mala cara aunque se excusó por todos los medios.
es por eso que esperando que esos fallos empiecen a florecer, daremos Gnu/Linux por SO seguro
No se trata de tener el título, sino de demostrar que tienes los conocimientos mínimos para este tipo de trabajo y eso lo demuestra un título hoy en día. Que yo sepa no regalan las ingenierías en la tómbola.
Al igual que yo no vivo en un edificio que no haya diseñado un arquitecto, tampoco quiero que alguien sin la titulación debida haga un trabajo que no le corresponde y para el que puede tener o no los conocimientos necesarios.
#61 hay de todo, gente con título que sabe poco, gente sin título que sabe menos y gente con título que sabe más que los otros dos juntos.
#63 ¡Ostras! pues a mi no se me infectó el ordenador. Ah, es verdad; que se instala en los ordenadores de la gente que ve porno en Internet.
Estoy igual de contento con todas mis máquinas, tanto las que corren Windows como la que uso habitualmente con Ubuntu. No me preocupa en exceso el malware porque repito, sigo convencido de que el problema principal es la falta de concienciación del usuario: si eres de los que pulsan sobre todos los links, iconos y tonterías que pillan navegando o de los que les falta tiempo para ejecutar cualquier mierda que le envían por correo, entonces instálate un Linux si te vas a sentir más seguro. Hasta que un día te des cuenta de que el link ése del correo del banco no era de tu banco...
#73 Existen amenazas para Linux y para Mac, entre otras muchas
Yo no niego que eso se instale en Linux y se ejecute, pero sería interesante ver algún caso.
www.youtube.com/results?search_query=virus+policía+ubuntu&oq=viru
Sólo añadir una cosa, no uses Linux.
(Si consideramos que Android es Linux cuando hablamos de cuota de mercado, hagamos lo mismo cuando hablemos de malware)
Windows sigue siendo muy bueno (por ahora) para jugar. Y ya.
O como digo yo: es un sistema operativo "de juguete".
Falta ver qué tal despega Steam, si los drivers gráficos se acaban de abrir, etc.
Curiosamente los de Microsoft están dentro del consorcio que dicta esos estándares, para luego hacer lo que les venga en gana.
#83 Tranquilo, en Menéame estás a salvo.
Al final descubrí que lo importante era tener Java actualizado, que era por ahí por donde entraba. No sé si realmente será cierto pero desde que me preocupo de que esté a la última nunca más me ha vuelto a entrar nada. Manda huevos la puerta para mierda que es tener Java desactualizado. Casi vale más no tenerlo instalado.
Vuelve debajo de tu puente!
Realmente no entiendo vuestro afán por convertir a la gente cuando ese es vuestro mayor enemigo.
Por cierto, en Windows el administrador del dominio puede establecer restricciones sobre que archivos se pueden ejecutar según su origen(intranet, internet, sistema local, etc). Hay algo parecido usando un controlador de dominio Linux?
Si, en la mente calenturienta de algún puto maníaco de la última palabra
Hay algo parecido usando un controlador de dominio Linux?
Aparte de todas las restricciones nativas de cualquier unix, existe LDAP, del cual Active Directory es un derivado
es.wikipedia.org/wiki/LDAP
y en las últimas versiones de samba no hay algo parecido a controladores de dominio... hay controladores de dominio.
www.samba.org/samba/docs/man/Samba-HOWTO-Collection/samba-pdc.html
y hay otras cuantas de formas de hacer deployments de políticas de seguridad, cada cual con sus mas y sus menos, que dependen mucho del buen hacer de los administradores de la red, ya sea en Win o en Linux... Lo que no se es porque hemos pasado a hablar de esto cuando únicamente he puntualizado el gran problema de los permisos de win32 basados en la extensión de un archivo... ¿Estás acaso intentando marear la perdiz? ¿estamos en la típica discusión chorra de internet?
En fin, si tienes curiosidad estaré encantado de responder a preguntas dentro de lo que permitan mi tiempo y mis conocimientos. Si por el contrario hemos entrado en un concurso por sostenerla y no enmendarla hasta que uno de los dos caiga por agotamiento, anuncio formalmente mi retirada.
Saludos
www.eset-la.com/centro-amenazas/articulo/malware-sistemas-operativos-l
y puedo seguir buscando...
Con Android pasa como con todo, mientras haya gente que acepta cualquier aplicación que le envíe cualquier fulano por Bluetooth o cualquier mensaje de un desconocido, o gente que se baja cualquier cosa entonces es normal que se vean afectados. Si no van metiéndose en la boca cualquier mierda que ven por el suelo, por qué coño no lo aplican a su vida digital???
He buscado por Internet, y no he conseguido encontrar un artículo donde se hable de algún caso de infección en alguna distro de Linux de escritorio.
Ten en cuenta que buena parte de los usuarios de Windows tendrían un comportamiento igual de inconsciente en una plataforma Linux. Las protecciones no sirven de nada si el usuario no las utiliza correctamente, y hay mucha gente que no sabe lo que es un permiso de acceso, que le importa un carajo y que cree que eso de "los virus" es algo que solo les pasa a los demás.
Los usuarios a los que les gusta tener el control de su sistema operativo y compilar el kernel de cuando en cuando (aunque ni se hayan leído ni una línea de código de lo que compilan, ni la entiendan aunque la lean) ya se han pasado en su mayoría a Linux, el resto son usuarios "normales" que sólo quieren navegar, mandar correos, chatear, jugar o ver series o porno, y no les importa dónde "hacer click" ni las consecuencias mientras tengan lo que quieren.