Ni Linux ni macOS te salvarán del ransomware: la condena de Windows es su popularidad

Archivado
1, 2
La aparición de WannaCry ha puesto en jaque a organizaciones de todo el mundo. Este ransomware comenzó a demostrar su peligrosidad en las oficinas de Telefónica, pero pronto se comprobó que su alcance era mucho mayor, aunque un afortunado accidente ayudara a minimizar el problema.

La amenaza sigue presente, y aunque una vez más los sistemas Windows son las víctimas de este ciberataque concreto, es importante señalar que trabajar con Linux o macOS no hace que estés necesariamente más seguro. Eso son leyendas urbanas, porque la realidad es que ambas plataformas son tan vulnerables (o más) que Windows. ¿Por qué entonces todos los ciberataques parecen centrarse en Windows? La respuesta es simple, y se puede ver en una simple imagen.

El éxito de Windows es también su condena

Parece que los usuarios de Windows tuvieran la negra. La industria de la seguridad informática dirige buena parte de sus productos e informes a esta plataforma, y cada vez que oímos hablar de algún tipo de malware parece que lo normal es que sean estos usuarios también los que están amenazados. ¿Por qué?

Fácil. Porque Windows es el sistema operativo que "da pasta" a los cibercriminales. Su cuota de mercado en sistemas operativos —datos de StatCounter GlobalStats a día de hoy— de escritorio es espectacular, y aquellos que se dedican a desarrollar exploits y malware lo saben.

En el mundo de la ciberseguridad, los chicos malos lo tienen claro: la pasta está en Windows.
De hecho si quieres que tu ataque tenga éxito y sea rentable económicamente (que es de lo que se trata en muchos casos), lo ideal es que programes malware para Windows. Es lo de siempre: si te costara lo mismo poner un bar en la Gran Vía madrileña o un pueblecito de 300 habitantes, ¿dónde lo pondrías?

Mitos y realidades: Linux y macOS son más vulnerables, no más seguros

La cantidad de noticias que aparecen sobre la seguridad (o más bien, la ausencia de ella) en Windows harían pensar que la plataforma de Microsoft es con mucho la más insegura de todas las existentes. Esa leyenda urbana es fácil de desmontar echando un vistazo a las listas de CVE (Common Vulnerabilities and Exposures), que muestran qué sistemas tienen más agujeros de seguridad:
Imagen

Ahí lo tenéis. Recursos como CVE Details muestran un "ránking" de plataformas ordenado por aquellas en las que se han descubierto más vulnerabilidades en estos últimos meses.

¿Cuáles son las dos más vulnerables? Linux, con 1.837 vulnerabilidades encontradas, y Mac OS X (macOS), con 1.821. El primer Windows de esa lista es Windows Server 2008, con 846, mientras que Windows XP tiene 726 (nada mal para un sistema que ya no tiene soporte oficial desde hace años) o Windows 7, que tiene 708 vulnerabilidades en esa lista.

La mala fama de los sistemas operativos Windows es, como poco, injustificada: Linux y macOS presentan muchas más vulnerabilidades
Windows 10 (no afectado por WannaCry si los usuarios lo han mantenido actualizado) ni siquiera aparece en los primeros 50 puestos, aunque no es invulnerable, claro: por ahora se han detectado 293 vulnerabildades para el nuevo sistema operativo de Microsoft. Parece que la mala fama de los sistemas operativos Windows es, como poco, injustificada.

Lecciones aprendidas

En Microsoft publicaban ayer un artículo en su blog oficial en el que analizaban los acontecimientos y trataban de aprender de los errores cometidos.


En Microsoft están muy lejos de ser perfectos en este ámbito, pero lo cierto es que el 14 de marzo pasado publicaron el parche de seguridad que corregía el problema del que se han aprovechado los desarrolladores de WannaCry. "Aunque esto protegía nuevos sistemas Windows y ordenadores que tenían activado Windows Update para aplicar este último parche, muchos ordenadores se mantuvieron sin parchear a nivel global. Como resultado de ello los hospitales, las empresas, los gobiernos y ordenadores domésticos estuvieron afectados".

Los responsables de Microsoft de hecho echan un poco balones fuera, y con razón: "este ataque demuestra hasta qué punto la ciberseguridad se ha convertido en una responsabilidad compartida entre las empresas tecnológicas y los clientes". Así es: si Microsoft publica un parche y luego las empresas no lo aplican —para grandes empresas, como explicaba Chema Alonso en Telefónica, actualizar miles de equipos no es trivial— el problema de seguridad no podrá resolverse.

En Redmond creen que los gobiernos tampoco ayudan —la vulnerabilidad había sido descubierta y aprovechada por la NSA en el pasado en este caso—, y según ellos lo que se necesita "una acción colectiva urgente". Gobiernos, clientes y empresas tecnológicas deberían trabajar juntos, afirmaba Brad Smith en ese artículo.

Da igual que uses Windows, Linux o macOS (OS X) en tu equipo: ninguno de ellos te salvará del todo porque ninguno es totalmente invulnerable
Y no le falta razón. Si alguien te da la tirita y no te la pones, será difícil que la herida cure bien. Y da igual que uses Windows, Linux o macOS (OS X) en tu equipo: ninguno de ellos te salvará del todo, porque ninguno es totalmente invulnerable. Mantener el sistema operativo actualizado y usar los equipos con sentido común (no pinchando en "cosas raras") ayuda mucho.

Otro consejo rápido: por si acaso, realizad una copia de seguridad de vuestros datos más importantes (fotos, vídeos, documentos de trabajo) con frecuencia y tenedla a buen recaudo. Esta medida tan práctica os puede salvar de un buen susto. Y si no, que se lo digan a los miles de afectados por WannaCry.


fuente: https://www.xataka.com/seguridad/ni-lin ... opularidad

Como sabréis, abrí el hilo sobre el ataque global del wannacry. En dicho hilo se abrió el debate sobre si el problema se debía a utilizar windows y si hubiera sido mas seguro utilizar otro SO. Aprovecho la noticia de xataka para retomar el debate en este nuevo hilo.
Artículo falaz donde los haya.

1. No todas las vulnerabilidades conllevan el mismo riesgo.
2. Cuando un software es de código abierto y de amplia utilización siempre se van a descubrir muchas más vulnerabilidades, mientras que si es privativo solo se descubrirán vulnerabilidades encontradas mediante pruebas de caja negra o si las reportan los que desarrollan el software.
3. Aunque Windows sea más utilizado en escritorio, Linux lo es más en servidores. Ya quisieran los cibercriminales tener tantas puertas abiertas en Linux como en Windows para poder atacar bases de datos estatales y de empresas.
Madre mía, igualito los tipos de vulnerabilidades de uno y otro [+risas] .
@josemurcia

Bueno, estas asumiendo q todas las vulnerabilidades de otros sistemas, co nllevan mas riesgo q otros. Es de asumir q todos los OS tienen desde criticos hasta poco importantes en el listado

Sobre servers, segun alguna estadistica q lei por ahi, dicen q el 35% de los servidores corren algun windows, q se yo

Windows no te deja nignuna puerta abierta, son los admin patatas los q las dejan asi. Igual q en cualquier otro OS


Sobre lo del codigo abierto, pues no se que decirte, creo q es todo una balanza. A mi personalmente una caja negra q funcione bien, me parece tambien interesante
theelf escribió:Sobre lo del codigo abierto, pues no se que decirte, creo q es todo una balanza. A mi personalmente una caja negra q funcione bien, me parece tambien interesante

La seguridad por oscuridad se ha demostrado completamente inútil históricamente, por el mismo motivo que nadie utiliza sistemas criptográficos privativos, nadie utiliza Windows cuando lo que quiere es seguridad.

La misma vulnerabilidad que ha afectado a Windows estos días estaba en manos de la NSA durante dios sabe cuanto y hasta marzo de este año Microsoft no la documentó. Si Windows fuese de código abierto se habría documentado hace eones.
Estos piratas encuentran la forma de joder tengas Linux, Windows o cualquier Sistema operativo. Es de lo que viven. Igual que un hombre de negocios hace por meter su producto en el mercado está gente se dedica a poder meter su virus en cualquier ordenador o cacharro conectado a la red para poder pedir el rescate pertinente.
@josemurcia

Pues, bien q funcionan los servidores windows en el tema de seguridad... parece q mas de uno los utiliza
theelf escribió:@josemurcia

Windows no te deja nignuna puerta abierta, son los admin patatas los q las dejan asi. Igual q en cualquier otro OS


Sobre lo del codigo abierto, pues no se que decirte, creo q es todo una balanza. A mi personalmente una caja negra q funcione bien, me parece tambien interesante


No siempre. Un Zero Day que afecte a servicios que anteriormente se consideraban seguros y que permita ejecución remota de código se lo come todo el mundo. Entiendo que a lo que te refieres es a los admins que no tienen una política firme de actualizaciones y una base de usuarios no concienciada.

Pero contestando a este y a otros comentarios que has hecho en otros hilos, te pondré un caso para reflexionar. Trabajo en un sector en el que tenemos que mantener por fuerza tecnología obsoleta en funcionamiento. Con los contratos de mantenimiento de los fabricantes vencidos y el código no disponible, tenemos que mantener equipos con XP y versiones jurásicas de aplicaciones y servicios. Y como se ha visto en el ataque a otros países, muchas veces esas maquinas están soportando infraestructuras criticas.

Ahí el problema no es de los sysadmins, que no pueden actualizar porque se cargan el sistema (muchas veces diseñado ex profeso para un hardware propietario).

Una caja negra tiene el problema de que no tienes forma de saber si tiene una vulnerabilidad que no sea esperar pacientemente a que alguien la libere. En el caso del código abierto, tienes masas de desarrolladores deseando de sacar y parchear vulnerabilidades. O incluso tu mismo puedes hacerlo y sacarte unas pelas en un bug bounty. Es más, tu mismo puedes darte soporte si el sistema lo ha perdido del desarrollador.

En un sistema cerrado estas atado al acuerdo comercial, los designios y la capacidad de respuesta del fabricante.

En el caso de esta bazofia de articulo, lo que no se esta teniendo en cuenta es que precisamente el volumen de vulnerabilidades encontradas en el kernel de linux tienen que ver con la disponibilidad de su código y el ejercito de personas dedicado a encontrarlas y parchearlas. Buena suerte encontrando vulnerabilidades en el kernel de Windows.

¿Sabes quien tiene una copia del código fuente? Las agencias de inteligencia. Y no es conspiranoia, es un requisito que exigen a MS para implementar su software en las administraciones. Y pueden pasar dos cosas: o no tienen a nadie capaz de sacar una mierda de ese código, o tenemos otro WannaCry.
theelf escribió:@josemurcia

Pues, bien q funcionan los servidores windows en el tema de seguridad... parece q mas de uno los utiliza

Ignorantes o necios. Iguales que los que abogaban por algoritmos criptográficos secretos en el pasado como base para sistemas enteros y se llevaron una buena ostia.
@Shikamaru

Hay q entender q se supone un buen admin tambien esta para anticipar problemas, por ejemplo, este tema del ramsomware, era un tema heredado de smb v1, que hace anio se sabe flaquea en varios puntos, se supone q un admin competente ya estaba al loro de esto, y tenia preparado el firewall bloqueando lo q se deve

Si, entiendo que a la hora de buscar problemas en codigo es mucho meor disponiendo de el, que dejandolo en manos de una sola compania, o peor aun, de un gobierno

Tampoco soy feliz sabiendo el gobierno tiene acceso a algo que la gente no, pero, aunque ya no me dedique a seguridad, no dejo de ser un tipo normal, con acceso a servidores normales

Asi q ese tema tampoco me quita el suenio, si no, ver, como asegurar lo que tengo q asegurar dentro de mi nivel

Y sinceramente, aun sabiendo que el OS tiene fallas, muchas de ellas, si no la mayoria, son evitables con practicas decentes. Permisos de usuarios bien puestos, sandboxes para clientes, firewall activos y revisados, etc que me parece, es una utopia visto lo visto


Sobre lo ultimo, un bug no encontrado NO es un bug, no existe, y sin codigo, es mas dificil encontrarlo. Con codigo, si se encuentra, genial, se resuelve, pero se vuelve a encontrar mas y mas con cada nuevo codigo q se escriba

Al final, sinceramente, no doy mi voto a favor ni en contra de estas dos practicas



@josemurcia

respuesta de altura
Yo creo que instalando Panda Antivirus se soluciona todo hoygan.
josemurcia escribió:Artículo falaz donde los haya.

1. No todas las vulnerabilidades conllevan el mismo riesgo.
2. Cuando un software es de código abierto y de amplia utilización siempre se van a descubrir muchas más vulnerabilidades, mientras que si es privativo solo se descubrirán vulnerabilidades encontradas mediante pruebas de caja negra o si las reportan los que desarrollan el software.
3. Aunque Windows sea más utilizado en escritorio, Linux lo es más en servidores. Ya quisieran los cibercriminales tener tantas puertas abiertas en Linux como en Windows para poder atacar bases de datos estatales y de empresas.

Básicamente, esto.
Shikamaru escribió:
theelf escribió:@josemurcia

Windows no te deja nignuna puerta abierta, son los admin patatas los q las dejan asi. Igual q en cualquier otro OS


Sobre lo del codigo abierto, pues no se que decirte, creo q es todo una balanza. A mi personalmente una caja negra q funcione bien, me parece tambien interesante


No siempre. Un Zero Day que afecte a servicios que anteriormente se consideraban seguros y que permita ejecución remota de código se lo come todo el mundo. Entiendo que a lo que te refieres es a los admins que no tienen una política firme de actualizaciones y una base de usuarios no concienciada.

Pero contestando a este y a otros comentarios que has hecho en otros hilos, te pondré un caso para reflexionar. Trabajo en un sector en el que tenemos que mantener por fuerza tecnología obsoleta en funcionamiento. Con los contratos de mantenimiento de los fabricantes vencidos y el código no disponible, tenemos que mantener equipos con XP y versiones jurásicas de aplicaciones y servicios. Y como se ha visto en el ataque a otros países, muchas veces esas maquinas están soportando infraestructuras criticas.

Ahí el problema no es de los sysadmins, que no pueden actualizar porque se cargan el sistema (muchas veces diseñado ex profeso para un hardware propietario).

Una caja negra tiene el problema de que no tienes forma de saber si tiene una vulnerabilidad que no sea esperar pacientemente a que alguien la libere. En el caso del código abierto, tienes masas de desarrolladores deseando de sacar y parchear vulnerabilidades. O incluso tu mismo puedes hacerlo y sacarte unas pelas en un bug bounty. Es más, tu mismo puedes darte soporte si el sistema lo ha perdido del desarrollador.

En un sistema cerrado estas atado al acuerdo comercial, los designios y la capacidad de respuesta del fabricante.

En el caso de esta bazofia de articulo, lo que no se esta teniendo en cuenta es que precisamente el volumen de vulnerabilidades encontradas en el kernel de linux tienen que ver con la disponibilidad de su código y el ejercito de personas dedicado a encontrarlas y parchearlas. Buena suerte encontrando vulnerabilidades en el kernel de Windows.

¿Sabes quien tiene una copia del código fuente? Las agencias de inteligencia. Y no es conspiranoia, es un requisito que exigen a MS para implementar su software en las administraciones. Y pueden pasar dos cosas: o no tienen a nadie capaz de sacar una mierda de ese código, o tenemos otro WannaCry.

Esto es muy bonito, pero en la practica cuantas empresas están dispuestas a pagar a un equipo de desarrollo para mantener un SO?

La teoría del código abierto mi me falla en el momento en que dais por supuesto que la persona que encuentre el bug va a solucionarlo y a publicar el parche porque esa es su intención, en vez de aprovecharlo para crear un malware. Comentar tambien que un parche no evita la propagación del malware. Como comenté en su hilo, el parche ya existia desde marzo, el problema ha sido que la gente no se ha actualizado.

Ojo, no digo que la solución sea "una caja negra", pero decir o insinuar que estas cosas ocurren porque se utiliza software cerrado y que con software libre no pasaría me parece un poco prepotente también.

Por otro lado tenemos el tema del numero de maquinas y la información que contienen. Equipos con windows hay muchos pero en servidores quien manda es linux. Ok, pero en servidores gordos, como los bancos, se utiliza los servidores mainframe, 100% cerrados, y tampoco sufren ataques de esta envergadura. Al final el ataque se ha dirigido a windows porque era lo mas extendido y lo mas facil de atacar, no por ser lo mas, o menos seguro.
Pues si, a como cualquier OS de codigo abierto sea atractivo, quien descubra primero una vulnerabilidad, saldra ganador

Lo bueno es la respuesta de parcheo, que puede ser rapida, mucho mas q una sola compania. Pero para ese entonces, ya el danio puede estar echo, como siempre
theelf escribió:@Shikamaru

Hay q entender q se supone un buen admin tambien esta para anticipar problemas, por ejemplo, este tema del ramsomware, era un tema heredado de smb v1, que hace anio se sabe flaquea en varios puntos, se supone q un admin competente ya estaba al loro de esto, y tenia preparado el firewall bloqueando lo q se deve



Te contesto primero al resto del post.

Microsoft sabe que la batalla en el mundo de los servidores esta perdida. Intentan mantener un modelo de negocio que a la hora de escalarlo a una solucion Cloud hace que todas las empresas de servicios se decanten por alternativas libres.

Ha llegado al punto en el que se han convertido en mecenas (y poniendo muchisimo dinero) de la Linux Foundation, y han decidido empezar a sacar los productos que si que pueden rentar, como MS SQL Server, nativos para Linux.

Luego, la razón real de que aun se migre a nuevas versiones de Server es, entre otras, que la base de usuarios y administradores no esta formada para migrar a Linux. A medida que se vaya renovando la plantilla se ira migrando. Pero tampoco deberíamos de hacer de esto una pelea Linux VS Windows de principios de siglo. Esa pelea esta ya ganada desde hace años por Linux.

En servidores.

En clientes es que ni las propias mantenedoras de las distros de Linux apuestan por su producto. SUSE me tiene contento con lo mucho que suda de SLED a favor de SLES. Y un sysadmin es reciclable con un curso y le pones a gestionar un Linux en menos de un año. ¿Un usuario? ¿En una corporación o en un organismo publico? Ni de coña.

Y ahí esta el éxito de Wanna Cry. Han atacado al eslabón mas débil, a los usuarios. Y se han aprovechado de que, al estar ya ejecutándose en redes internas o aisladas, no necesitan vulnerar la parte servidor. El gusano se replica por carpetas compartidas y por todo aquello que use SMB como mecanismo de autenticación (te estoy viendo Nessus... la madre que os parió Tenable).

Y de ahí paso a contestarte a la cita: En este caso en particular (en este y solo en este) un firewall bien configurado es lo que te lleva al desastre. Precisamente al no poder conectar con el dominio del killswitch es cuando el ransomware prosigue su ejecución e intenta propagarse.

Y ese creo que ha sido el éxito de este ataque. Que han apuntado a corporaciones con usuarios que son un peligro y administradores preparados y concienciados.

Y ahí @theelf lo único que nos salva es que de una puñetera vez las empresas y organismos empiecen a darle importancia a la concienciación. Ni un solo anuncio del Gobierno de España a este respecto en medios o paneles públicos.

@Namco69

No se si trabajas en este sector u opinas de oídas, pero voy a expresarme mejor para que veas que no he sido tan categórico.

Los bancos usan Windows para dar servicios de directorio en sus redes internas y Linux para todo lo demás. Y así con prácticamente todos los grandes. Esto es un hecho y puedes corroborarlo pasándote por cualquier evento de seguridad en Madrid y tomándote algo con los responsables que asisten a los mismos.

No tienes que pagar un equipo de desarrollo para mantener un SO. Pagas a una empresa que ya ofrece ese servicio y ademas te ponen un ingeniero cuando tienes problemas particulares. En mi caso trabajo con SUSE, pero RedHat te ofrece el mismo servicio o mejor.

Cuando pagas por un equipo de desarrollo es cuando tu sistema SCADA ha perdido el soporte del fabricante y estas jodido, porque aunque el sistema sea superseguro y supercerrado, como corra sobre un SO obsoleto estas bien jodido.
@josemurcia

Vaya pues parece que todas las empresas donde he trabajado (multinacionales todas ellas) son muy torpes... Todas, ABSOLUTAMENTE TODAS, tenían servidores basados en windows...
Namco69 escribió:Por otro lado tenemos el tema del numero de maquinas y la información que contienen. Equipos con windows hay muchos pero en servidores quien manda es linux. Ok, pero en servidores gordos, como los bancos, se utiliza los servidores mainframe, 100% cerrados, y tampoco sufren ataques de esta envergadura. Al final el ataque se ha dirigido a windows porque era lo mas extendido y lo mas facil de atacar, no por ser lo mas, o menos seguro.

Si los mainframes son seguros no es por utilizar un OS privativo(que también los hay con Linux), sino porque no es algo que puedas comprar en la tienda de la esquina y hacerle ingeniería inversa.
josemurcia escribió:
Namco69 escribió:Por otro lado tenemos el tema del numero de maquinas y la información que contienen. Equipos con windows hay muchos pero en servidores quien manda es linux. Ok, pero en servidores gordos, como los bancos, se utiliza los servidores mainframe, 100% cerrados, y tampoco sufren ataques de esta envergadura. Al final el ataque se ha dirigido a windows porque era lo mas extendido y lo mas facil de atacar, no por ser lo mas, o menos seguro.

Si los mainframes son seguros no es por utilizar un OS privativo(que también los hay con Linux), sino porque no es algo que puedas comprar en la tienda de la esquina y hacerle ingeniería inversa.

Pues lo dicho, no puedes tenerlo y hacerle ingeniería inversa, 100% cerrado, el extremo opuesto al software libre.
@Shikamaru

No si la seguridad de los clientes es adecuada, estas asumiendo un sistema ya esta infectado. Es que se supone NO deveria infectarse, porque cada cliente tendria aislado los servicios, mail, navegacion, etc para prevenir eso

Y cada maquina, pasando por firewall, asi prevenir en la medida de lo posible propagacion de cualquier cosa proveniente de un cliente. LLegado el peor de los casos, solo un cliente se veria afectado. Por eso, no comparto q un frewall en este caso sea un problema de propagacion, lo sera como mucho para un cliente

Asi tenemos la seguridad en una empresa donde suelo hacer trabajos periodicamente, y no ha habido problemas, y hay equipos desde NT3.51 en adeante, ya q nos dedicamos a rescatar codigo antiguo de diferentes plataformas

Incluso hicimos pruebas, para ver si se podian infectar diferentes clientes


No creo q microsoft de por perdido nada, para mi nunca fue intencion de microsoft, o al menos no por mucho tiempo, dominar el area servidor, y aun asi, se ven muchisimos server windows. Y no los veo cayendo como moscas



Lamentablemente cada uno ve lo q ve en su ambito, yo casi siempre veo windows o alguna variante de unix, como sunOS por donde me muevo. Casi nunca linux

Solo digo q las estadisticas creo q hablan de un 30% o asi aproximado de share de windows en servidores, q no es despreciable



Y si, nadie esta concienciado, tienes razon, pero es q yo siempre digo lo mismo... hace 25 anios, eramos 4 gatos locos los q teniamos PCs como clientes, menos en el area de redes, BBS, etc eramos pocos, hoy es media humanidad...

Imposible que la gente entienda de nada, los clientes no se enteran ni loq es un PC
Namco69 escribió:
josemurcia escribió:
Namco69 escribió:Por otro lado tenemos el tema del numero de maquinas y la información que contienen. Equipos con windows hay muchos pero en servidores quien manda es linux. Ok, pero en servidores gordos, como los bancos, se utiliza los servidores mainframe, 100% cerrados, y tampoco sufren ataques de esta envergadura. Al final el ataque se ha dirigido a windows porque era lo mas extendido y lo mas facil de atacar, no por ser lo mas, o menos seguro.

Si los mainframes son seguros no es por utilizar un OS privativo(que también los hay con Linux), sino porque no es algo que puedas comprar en la tienda de la esquina y hacerle ingeniería inversa.

Pues lo dicho, no puedes tenerlo y hacerle ingeniería inversa, 100% cerrado, el extremo opuesto al software libre.

Hasta que roben uno, lo revienten en 2 días, y a tomar por culo la banca mundial.
srkarakol escribió:@josemurcia

Vaya pues parece que todas las empresas donde he trabajado (multinacionales todas ellas) son muy torpes... Todas, ABSOLUTAMENTE TODAS, tenían servidores basados en windows...

En servidores internos (ficheros, controlador de dominio, etc) sí es normal.

Ya de aplicaciones externas, bases de datos y tal empieza a ser más raro.

@shikamaru lo mismo me pasa con los sistemas obsoletos.
Pero bueno, se afronta de otras formas.
@Shikamaru incluso ante un zeroday hay formas decentes de protegerse.

No es lo mismo un bug 0day en un servicio corriendo como root en una maquina que no isola ni lleva firewall etc que un bug 0day en un servicio isolado con docker corriendo como usuario no privilegiado en una red que tenga firewall, sistemas de deteccion de intrusiones activas y cifrado en transporte y reposo.

Ambos seran vulnerables ante el ataque, a uno le haran un hijo de madera, el otro tendra como mucho un contenedor infectado isolado de la red sin poder propagarse ni hacer na.
josemurcia escribió:Hasta que roben uno, lo revienten en 2 días, y a tomar por culo la banca mundial.

pues adelante, robalo y revientalo en 2 días, si es tan facil :)
Namco69 escribió:
josemurcia escribió:Hasta que roben uno, lo revienten en 2 días, y a tomar por culo la banca mundial.

pues adelante, robalo y revientalo en 2 días, si es tan facil :)

Fácil no es, pero el día que pase ya me dirás tú que medida de contingencia existe para proteger todos los mainframes críticos que sustentan sistemas como la banca.

La seguridad es ficticia, y al igual que la criptografía abandonó la seguridad por oscuridad hace años, el software también lo acabará haciendo.

Lo que pasa es que somos tan necios que hasta que no pasa algo gordo no aprendemos, el susto de WannaCry seguro que habrá servido para que más de uno se replantee las cosas.
Namco69 escribió:
josemurcia escribió:
Namco69 escribió:Por otro lado tenemos el tema del numero de maquinas y la información que contienen. Equipos con windows hay muchos pero en servidores quien manda es linux. Ok, pero en servidores gordos, como los bancos, se utiliza los servidores mainframe, 100% cerrados, y tampoco sufren ataques de esta envergadura. Al final el ataque se ha dirigido a windows porque era lo mas extendido y lo mas facil de atacar, no por ser lo mas, o menos seguro.

Si los mainframes son seguros no es por utilizar un OS privativo(que también los hay con Linux), sino porque no es algo que puedas comprar en la tienda de la esquina y hacerle ingeniería inversa.

Pues lo dicho, no puedes tenerlo y hacerle ingeniería inversa, 100% cerrado, el extremo opuesto al software libre.

Bueno los ex-trabajadores si que conocen el sistema [hallow]

En general los mainframes yo diría que son seguros por otras características, y no porque tenga un mecanismo secreto.
jorcoval escribió:
srkarakol escribió:@josemurcia

Vaya pues parece que todas las empresas donde he trabajado (multinacionales todas ellas) son muy torpes... Todas, ABSOLUTAMENTE TODAS, tenían servidores basados en windows...

En servidores internos (ficheros, controlador de dominio, etc) sí es normal.

Ya de aplicaciones externas, bases de datos y tal empieza a ser más raro.

@shikamaru lo mismo me pasa con los sistemas obsoletos.
Pero bueno, se afronta de otras formas.


Escritorios remotos, VPN's... todo servidores windows... y te hablo de multinaciones... dos de ellas, de las MUY grandes.
josemurcia escribió:
theelf escribió:Sobre lo del codigo abierto, pues no se que decirte, creo q es todo una balanza. A mi personalmente una caja negra q funcione bien, me parece tambien interesante

La seguridad por oscuridad se ha demostrado completamente inútil históricamente, por el mismo motivo que nadie utiliza sistemas criptográficos privativos, nadie utiliza Windows cuando lo que quiere es seguridad.

La misma vulnerabilidad que ha afectado a Windows estos días estaba en manos de la NSA durante dios sabe cuanto y hasta marzo de este año Microsoft no la documentó. Si Windows fuese de código abierto se habría documentado hace eones.

O no. Heartbleed estuvo dos años ahí. De hecho corres el riesgo de que alguien haya podido colar en una contribución un código con un error sutil, intencionada o involuntariamente.
Para mí la cuestión es el usuario, en la amplísima mayoría de los casos.

Todos los sistemas tienen vulnerabilidades, y seguro que Windows las tiene mucho mayores que el resto de sistemas por su propia concepción y las herencias obligadas de mantener la compatibilidad con versiones anteriores , pero en buena medida provienen de la nula formación y prudencia del usuario que se acerca a Windows.

El que usa Linux o Unix u otros S.O. suele ser gente con más formación, o al menos con mayor interés o conocimiento de la informática aún a nivel de usuario, que les lleva a no cometer errores de principiante o descuidar aspectos que no se deben descuidar.
josemurcia escribió:
Namco69 escribió:
josemurcia escribió:Hasta que roben uno, lo revienten en 2 días, y a tomar por culo la banca mundial.

pues adelante, robalo y revientalo en 2 días, si es tan facil :)

Fácil no es, pero el día que pase ya me dirás tú que medida de contingencia existe para proteger todos los mainframes críticos que sustentan sistemas como la banca.

La seguridad es ficticia, y al igual que la criptografía abandonó la seguridad por oscuridad hace años, el software también lo acabará haciendo.

Lo que pasa es que somos tan necios que hasta que no pasa algo gordo no aprendemos, el susto de WannaCry seguro que habrá servido para que más de uno se replantee las cosas.

1- ha ocurrido en los 70 años que llevan?
2- he trabajado como programador en un banco. Aunque encontrarás un bug luego tienes que superar todo el sistema de proxys e IPs seguras. Como hemos comentado la seguridad no es solo un buen SO.
3- "el día que pase algo gordo" el día que alguien encuentre un fallo en linux y en vez de reportarlo lo use en su beneficio.
@namco69 por tanto tu seguridad no depende de la oscuridad. La arquitectura podría ser pública y no cambiaría nada.
amchacon escribió:@namco69 por tanto tu seguridad no depende de la oscuridad. La arquitectura podría ser pública y no cambiaría nada.

La oscuridad es una parte de ella, muy clave a día de hoy. Obviamente no puedes basar toda tu seguridad en un solo punto, y por eso es importante tener mas medidas a parte.

Edit: me gustaría hacer énfasis en la teoría de que windows ha sido hackeado porque es el mas utilizado. Si MacOS o linux fuesen mas utilizados se podrían haber hackeado?
Aunque no creo que el so haya sido el problema en este caso, si, un bug sin actualizar puede estar en cualquier lado pero un servicio en unix iria sin privilegios elevados y junto a una correcta politica de permisos la peligrosidad efectiva del ransomware seria limitada a los ficheros indispensables que necesitara escribir el servicio vulnerable.

"Hola, soy el ransomware, te he cifrado el lock file y dos mierdas en /tmp . uuuuh"
Namco69 escribió:
amchacon escribió:@namco69 por tanto tu seguridad no depende de la oscuridad. La arquitectura podría ser pública y no cambiaría nada.

La oscuridad es una parte de ella, muy clave a día de hoy. Obviamente no puedes basar toda tu seguridad en un solo punto, y por eso es importante tener mas medidas a parte.

Si es clave, entonces es inseguro. Pues cualquier trabajador/ex trabajador tendría una gran ventaja para hackear ese mainframe.

Pero yo diría que no es así, sino que tienen unos mecanismos de seguridad robustos que seguirían funcionando aunque fuesen publicos. Por tanto que sea publico o no, carece de importancia pues su seguridad no depende de ello.

Un ejemplo de lo contrario, las llaves de tu casa. Podrías guardar las llaves de tu casa en un macetero al lado de la puerta.

Tu sistema funcionaría mientras estuviera oculto, en el momento que se haga común esta técnica y se revele. Tu sistema estaría totalmente roto, cualquier podria entrar en tu casa sin problema.

Esto es un claro ejemplo de seguridad basada en la oscuridad.

Namco69 escribió:Edit: me gustaría hacer énfasis en la teoría de que windows ha sido hackeado porque es el mas utilizado. Si MacOS o linux fuesen mas utilizados se podrían haber hackeado?

Sí, porque el fallo es el usuario.

Aunque luego está lo que dice @zokormazo
amchacon escribió:@namco69 por tanto tu seguridad no depende de la oscuridad. La arquitectura podría ser pública y no cambiaría nada.

Si no depende la la oscuridad, pública tus contraseñas privadas [hallow]


Zokormazo escribió:Aunque no creo que el so haya sido el problema en este caso, si, un bug sin actualizar puede estar en cualquier lado pero un servicio en unix iria sin privilegios elevados y junto a una correcta politica de permisos la peligrosidad efectiva del ransomware seria limitada a los ficheros indispensables que necesitara escribir el servicio vulnerable.

"Hola, soy el ransomware, te he cifrado el lock file y dos mierdas en /tmp . uuuuh"


En Windows o en Linux, la mayoría tiene sus archivos de trabajo en su directorio home. Lo suyo sería ir haciendo copias de seguridad en un servidor remoto periódicamente.
Gurlukovich escribió:
amchacon escribió:@namco69 por tanto tu seguridad no depende de la oscuridad. La arquitectura podría ser pública y no cambiaría nada.

Si no depende la la oscuridad, pública tus contraseñas privadas [hallow]


Zokormazo escribió:Aunque no creo que el so haya sido el problema en este caso, si, un bug sin actualizar puede estar en cualquier lado pero un servicio en unix iria sin privilegios elevados y junto a una correcta politica de permisos la peligrosidad efectiva del ransomware seria limitada a los ficheros indispensables que necesitara escribir el servicio vulnerable.

"Hola, soy el ransomware, te he cifrado el lock file y dos mierdas en /tmp . uuuuh"


En Windows o en Linux, la mayoría tiene sus archivos de trabajo en su directorio home. Lo suyo sería ir haciendo copias de seguridad en un servidor remoto periódicamente.


Qué fácil es hablar sin tener ni idea, lo que es público es el código, no las contraseñas.
Gurlukovich escribió:
amchacon escribió:@namco69 por tanto tu seguridad no depende de la oscuridad. La arquitectura podría ser pública y no cambiaría nada.

Si no depende la la oscuridad, pública tus contraseñas privadas [hallow]

Por eso he dicho arquitectura pillín [hallow]

Y por eso también las contraseñas, certificados... Se cambian periodicamente.
@Gurlukovich en casa si. En pymes, los desktop no deberian tener apenas informacion.

Aqui han caido empresas grandes y hospitales. En esos casos los desktop deberian ser casi kiosk mode, con 0 informacion en ellas, y con sistemas de distribucion de actualizaciones centralizada, automatizada y diaria, ademas de tener politicas de estanqueidad en sus redes internas y planes activos anti intrusion y de recuperacion de desastres.

Si fuera asi caeria como mucho una maquina, sin informacion no duplicada, no podria propagarse y en media hora estaria limpita y en marcha gracias al plan de recuperacion de desastres.

El problema es que esto es una utopia. Se toman de risa las politicas de seguridad en maquinas y redes de terminales desktop, los usuarios no estamos dispuestos a esas limitaciones tampoco e incluso se relajan las politicas porque el jefe es el jefe y quiere leer el marca todos los dias.

Y asi pasa lo que pasa xD.
Los mainframe no dependen de la oscuridad, zOS ya es de por sí muy seguro.
Namco69 escribió:3- "el día que pase algo gordo" el día que alguien encuentre un fallo en linux y en vez de reportarlo lo use en su beneficio.

El día que se encuentre un fallo así en Linux cualquiera podrá aplicar el parche y recompilarlo el mismo, sin depender de que una tercera empresa saque una actualización.

Cuando se publicó Heartbleed, cualquier usuario de Linux pudo hacer eso y tener parcheada la vulnerabilidad al momento, mientras que los usuarios de mac tuvieron que esperar a una actualización por parte de Apple.
Zokormazo escribió:@Gurlukovich en casa si. En pymes, los desktop no deberian tener apenas informacion.

Aqui han caido empresas grandes y hospitales. En esos casos los desktop deberian ser casi kiosk mode, con 0 informacion en ellas, y con sistemas de distribucion de actualizaciones centralizada, automatizada y diaria, ademas de tener politicas de estanqueidad en sus redes internas y planes activos anti intrusion y de recuperacion de desastres.

Si fuera asi caeria como mucho una maquina, sin informacion no duplicada, no podria propagarse y en media hora estaria limpita y en marcha gracias al plan de recuperacion de desastres.

El problema es que esto es una utopia. Se toman de risa las politicas de seguridad en maquinas y redes de terminales desktop, los usuarios no estamos dispuestos a esas limitaciones tampoco e incluso se relajan las politicas porque el jefe es el jefe y quiere leer el marca todos los dias.

Y asi pasa lo que pasa xD.


Lo cual no depende de si se usa Windows, Linux o Centollox.

josemurcia escribió:
Namco69 escribió:3- "el día que pase algo gordo" el día que alguien encuentre un fallo en linux y en vez de reportarlo lo use en su beneficio.

El día que se encuentre un fallo así en Linux cualquiera podrá aplicar el parche y recompilarlo el mismo, sin depender de que una tercera empresa saque una actualización.

Cuando se publicó Heartbleed, cualquier usuario de Linux pudo hacer eso y tener parcheada la vulnerabilidad al momento, mientras que los usuarios de mac tuvieron que esperar a una actualización por parte de Apple.


Y aquel que quiso pudo hacer su propio código para explotar una vulnerabilidad pública :p
Gurlukovich escribió:Y aquel que quiso pudo hacer su propio código para explotar una vulnerabilidad pública :p

Cuando las vulnerabilidades se publican te da igual que el OS sea libre o no, y como digo, en uno libre lo puedes arreglar tu mismo, en uno privativo dependes de que una tercera empresa actualice.

Que se lo digan a los usuarios de Windows XP, que hasta ayer no publicó Microsoft la actualización.
Gurlukovich escribió:
Zokormazo escribió:@Gurlukovich en casa si. En pymes, los desktop no deberian tener apenas informacion.

Aqui han caido empresas grandes y hospitales. En esos casos los desktop deberian ser casi kiosk mode, con 0 informacion en ellas, y con sistemas de distribucion de actualizaciones centralizada, automatizada y diaria, ademas de tener politicas de estanqueidad en sus redes internas y planes activos anti intrusion y de recuperacion de desastres.

Si fuera asi caeria como mucho una maquina, sin informacion no duplicada, no podria propagarse y en media hora estaria limpita y en marcha gracias al plan de recuperacion de desastres.

El problema es que esto es una utopia. Se toman de risa las politicas de seguridad en maquinas y redes de terminales desktop, los usuarios no estamos dispuestos a esas limitaciones tampoco e incluso se relajan las politicas porque el jefe es el jefe y quiere leer el marca todos los dias.

Y asi pasa lo que pasa xD.


Lo cual no depende de si se usa Windows, Linux o Centollox.


Zokormazo escribió:Aunque no creo que el so haya sido el problema en este caso...
Supongo que el sistema más seguro es el que no está conectado a Internet :)
ZACKO escribió:Supongo que el sistema más seguro es el que no está conectado a Internet :)

ahí está , guardarlo todo en discos duros que no esten conectados a internet
Gurlukovich escribió:
Zokormazo escribió:@Gurlukovich en casa si. En pymes, los desktop no deberian tener apenas informacion.

Aqui han caido empresas grandes y hospitales. En esos casos los desktop deberian ser casi kiosk mode, con 0 informacion en ellas, y con sistemas de distribucion de actualizaciones centralizada, automatizada y diaria, ademas de tener politicas de estanqueidad en sus redes internas y planes activos anti intrusion y de recuperacion de desastres.

Si fuera asi caeria como mucho una maquina, sin informacion no duplicada, no podria propagarse y en media hora estaria limpita y en marcha gracias al plan de recuperacion de desastres.

El problema es que esto es una utopia. Se toman de risa las politicas de seguridad en maquinas y redes de terminales desktop, los usuarios no estamos dispuestos a esas limitaciones tampoco e incluso se relajan las politicas porque el jefe es el jefe y quiere leer el marca todos los dias.

Y asi pasa lo que pasa xD.


Lo cual no depende de si se usa Windows, Linux o Centollox.

josemurcia escribió:
Namco69 escribió:3- "el día que pase algo gordo" el día que alguien encuentre un fallo en linux y en vez de reportarlo lo use en su beneficio.

El día que se encuentre un fallo así en Linux cualquiera podrá aplicar el parche y recompilarlo el mismo, sin depender de que una tercera empresa saque una actualización.

Cuando se publicó Heartbleed, cualquier usuario de Linux pudo hacer eso y tener parcheada la vulnerabilidad al momento, mientras que los usuarios de mac tuvieron que esperar a una actualización por parte de Apple.


Y aquel que quiso pudo hacer su propio código para explotar una vulnerabilidad pública :p

Bueno, Microsoft son los primeros que están pidiendo que las vulnerabilidades se hagan públicas, para que no pase como con Wannacry, cuya vulnerabilidad era conocida desde mucho antes del parche.

Pero bueno, la NSA aprueba tu post.
@josemurcia

Cualquier admin q estuviera al loro, pudo haber aplicado el parche para XP de 32bits en marzo, junto a los otros

Joder, yo lo aplique en una empresa q voy a hacerles otro tipo de trabajo, y siquiera soy de seguridad, me dedico a programar!
dark_hunter escribió:Pero bueno, la NSA aprueba tu post.

El hilo es sobre seguridad y como evitar ataques. No mezclemos espionajes yankis, eso ya para hilo de cuarto milenio.
theelf escribió:@josemurcia

Cualquier admin q estuviera al loro, pudo haber aplicado el parche para XP de 32bits en marzo, junto a los otros

No se publicó parche para XP.

https://technet.microsoft.com/en-us/lib ... 7-010.aspx
theelf escribió:@josemurcia

Cualquier admin q estuviera al loro, pudo haber aplicado el parche para XP de 32bits en marzo, junto a los otros

Joder, yo lo aplique en una empresa q voy a hacerles otro tipo de trabajo, y siquiera soy de seguridad, me dedico a programar!

Pero si el parche de XP no existía en marzo, salió después del ataque. Querrás decir del 7 en adelante, los parches para XP y otros sistemas obsoletos salieron después de la aparición de Wannacry.

El hilo es sobre seguridad y como evitar ataques. No mezclemos espionajes yankis, eso ya para hilo de cuarto milenio.

No lo mezclo yo, lo mezcla la propia Microsoft, mira la portada.
Los SO son inseguros, los protocolos de comunicación por internet también y las aplicaciones que desarrollan el 99% de los informáticos también. Esa es la realidad de hoy y de pasado mañana. La seguridad es cara y no se paga. Lo que hoy en día se entiende como "expertos de seguridad" en el sector, no son más que unos ingenieros que con mucho conocimiento se ganan la vida aplicando parches a unas bases que son fundamentalmente inseguras y que están fuera de su control.

Los SO son inseguros, no solo porque sean cerrados (que también), si no porque siguen un proceso de desarrollo poco garantista con el objetivo de entregar resultados con más velocidad y menos costo, tal y como demanda la industria. Eso, evidentemente, también se aplica al kernel de Linux. Por un lado, el kernel no es un algoritmo de criptografía relativamente pequeño, el kernel es ENORME, y por tanto, aunque sea abierto, tiene cierto grado de ofuscación derivado de su tamaño. Además, los mecanismos de control de calidad para meter código en el kernel son mayormente humanos (con el riesgo que ello implica, véase "Linus rant" en google). Y automatizarlo en una parte realmente significativa a estas alturas es impracticable, debido a la arquitectura que sigue el mismo kernel, y a su extensión.

Dicho esto, dos cosas:
1. No hay que tomarla con los "expertos en seguridad", ellos están remando contra marea y muchas veces tienen las manos atadas. Lo cual no quiere decir que no sean rentables para empresa. Lo son, y mucho.
2. Vamos a seguir teniendo problemas de seguridad durante bastantes décadas más. Hoy no hay practicamente nadie poniendo dinero para desarrollar un SO realmente seguro, y no tiene pinta de que esto cambie. Seguramente, como en todo, algo muy gordo tiene que pasar, para que la industria (y los gobiernos) reaccionen, y se tomen la seguridad como lo que realmente debería ser, la piedra angular de todo el sector de las TICs.
79 respuestas
Archivado
1, 2
Volver a Miscelánea