miércoles, agosto 13, 2008

Eyacule con cuidado

Hol@ a tod@s...otra vez,

Tengo muchas cosas encoladas tras el regreso de Defcon, entre ellas, muchos me habéis dejado el paper y la noticia de "Bypassing Browser Memory Protections in Windows Vista".

La interpretación de este artículo por parte de muchos de nuestros querios técnicoless ha sido increible y catastrofista. A mi me ha dado por bajarme el paper y la verdad, es que es muy interesante los casos que prueba. Como no he tenido tiempo de leermelo entero no voy a escribir ningún post incendiario por el momento llamando de todo a los "expertos en seguridad informática" que pululan por muchos blogs de este Internet nuestro. De momento os dejo solo las palabras de uno de los firmantes del paper que ha puesto en su twitter:

Lesson learned for next year: if you don't pre-brief reporters, they'll try to understand your research on their own, leading to epic FAIL!

Para los técnicos, aquí podéis bajaros el paper y leerlo, tiene partes chulas y muy bien explicadas "las situaciones" dónde se pueden saltar las protecciones.

En cuanto me lea y analice bien el paper os contaré algo más, que a mí me cuesta sacar conclusiones tan rápidas de un documento de 53 páginas con mogollón de datos técnicos, pero hay otros que son "eyaculadores precoces" cuando se juntan las palabras "Bug" y "Vista".

Saludos Malignos!

17 comentarios:

  1. Pues he ledído en /. lo del pantallazo azul de la ceremonia de apertura de los JJOO.

    El título de hoy le viene que ni pintado. ¿Sabeis si es un fake?

    Yo he buscado por ahí y aseguran que es real, pero no sé si fiarme.

    ResponderEliminar
  2. Cuando la prensa amarilla tiene su titular, ya no va a soltarlo. No dejes que la realidad, ni las explicaciones de los que citas, te jodan un buen titular explosivo.
    Y claro, como esto es internet, la bola de nieve se hace más y más enorme según pasan los minutos.

    ResponderEliminar
  3. @Maligno
    No sabes lo que me alegra tu comentario, y espero que estés en lo cierto. Estoy deseando ver tu análisis sobre el tema.
    Un saludo.

    ResponderEliminar
  4. @anónimo,

    Pues lo de los pantallazos a primera vista podría ser verdad, pero estando en el lado del mal mejor hacemos unas comprobaciones antes...

    En este sitio podemos ver las características de las máquinas y S.O. utilizado. Esto es lo primero que habría que comprobar. Si las fotos están manipuladas podría haber un gazapo en el pantallazo.

    Luego habría que ir directamente a lo publicado por los espectadores que realizaron las fotos. He encontrado dos, aunque probablemente haya más.

    Aquí sólo hay una foto las explicaciones en chino no ayudan demasiado.

    Este otro aporta más fotos desde distintos lugares, a diferentes horas y con flechitas indicadoras. Las explicaciones en inglés vienen fenomenal.

    Por la noche le daré al photoshop y a ver que pasa.

    Saludos.

    ResponderEliminar
  5. Antes de que alguien me acuse de tendencioso...

    Una cosa es que haya pantalla azul y otra que la culpa sea del S.O., del software, de los drivers, de las memorias, de la corriente eléctrica...

    Primero conseguir ver correctamente los códigos de error. A ver si alguien echa una mano que no veo nada.

    Aquí unos cuantos códigos publicados por Microsoft.

    ResponderEliminar
  6. Por cierto, que la presentación censurada del DEFCON la han colgado en la web del MIT
    http://www-tech.mit.edu/V128/N30/subway/Defcon_Presentation.pdf

    ResponderEliminar
  7. Yo creo que era un windows vista falsificado.... jajaja de a 1$

    ResponderEliminar
  8. @techless, JeJe puede ser :)

    Donde mejor se ve el error es en el último pantallazo azul de http://rivercoolcool.spaces.live.com/blog/cns!D6F05428A2B8CB48!1570.entry?wa=wsignin1.0

    Parece que es 0x0000004F.
    En la lista de Microsoft 0x4F es...

    Bug Check 0xF4: CRITICAL_OBJECT_TERMINATION
    The CRITICAL_OBJECT_TERMINATION bug check has a value of 0x000000F4. This indicates that a process or thread crucial to system operation has unexpectedly exited or been terminated.

    Several processes and threads are necessary for the operation of the system. When they are terminated for any reason, the system can no longer function.

    ResponderEliminar
  9. Perdón, no me había dado cuenta de que el error anterior está dentro de una sección denominada: Driver Development Tools.

    Parece un error del driver o tal vez el driver se ha ido al garete por un fallo grave de hardware.

    Con ese pantallazo sin más acceso a la máquina no podemos saber que driver ha fallado por lo que se acabó la película. Nos quedamos con las ganas de saber lo que habría pasado con otro S.O.

    Saludos.

    ResponderEliminar
  10. Re loco lo de la gente del mit.
    Igualmente, alla te censuran. Si te venis por aca y haces un informe asi sobre Metrovias (la que tiene la concesion del subte en bs.as.) pueden suceder dos cosas:

    1. A nadie le importa

    y en el supuesto caso de que pueda tener cierta repercusion..

    2. No te censuran, te mandan dos negros que te rompen las piernas y no podes caminar a la defcon

    Igualmente, para hacer un trabajo de inteligencia asi se necesita, justamente, inteligencia, cosa de la cual por lo general se carece

    Saludos

    ResponderEliminar
  11. Ademas, volviendo a lo del subte, no entiendo una cosa: ellos modifican la tarjeta para que el credito de un dolar y algo pase a ser 600 y pico. Ahora bien, ¿no tiene el sistema del subte una base montadadondesea que mantenga un trazo sobre el gasto de x tarjeta?

    Es una ganzada! Igual que el cosito este que me pide que compruebe que soy humano cada vez que quiero postear algo!

    ResponderEliminar
  12. Hola,

    es offtópico pero: podéis ponerme algunos de los mejores enlaces que haben sobre seguridad (blogs, etc...) que sean "fiables" para vosotros? esque estoy cansado de leer puta mierda que hay por ahí más subjetiva que la ostia.

    Gracias de antebrazo.

    ResponderEliminar
  13. ¿Pero no sabeis que el pantallazo azul es publicidad subliminal? La gente lo ve y dice...hostias como en mi casa!!! Los JJOO usan el mismo S.O. que yo y se les cuelga, joder, entonces yo no soy un paquete y es normal!!!. Y así la gente se entera de que no pasa nada por un pantallazo azul xD.

    Lo normal es que ese error sea un problema de drivers, la gente se debe creer que Windows te tira un pantallazo azul porque le guste o porque queda muy bien el fondo con la pared de casa...

    ResponderEliminar
  14. Bueno, el tema está en que el bug si que existe. Pero lo que no decian los titulares ni las noticias amarillistas es que se basa su exploit en que 1) se ejecute a través de una página web un componente .net malicioso y 2) que el pluguin malicioso en cuestión cargue una dll lo suficientemente grande para sobrescribir el área de otra dll de sistema. Yo me lo creí, pero una vez visto el paper, pues es "highly unlikely", creo que es más un paper para dirigir a microsoft hacia una mejora de la protección de memoria que a crear un exploit efectivo.

    ResponderEliminar
  15. Porque escuchamos la palabra Windw$ y nos volvemos locos...

    ResponderEliminar
  16. Claro que tienen que publicarla rápido, no vaya a ser que alguien se les adelante y se queden sin meneo.

    ResponderEliminar
  17. Yo me lo lei un poco por encima, y si para bypassear es a traves del navegador y con la tecnica de skylined que lleva ya tiempo rulando por internet, solo que utilizada para bypassear aslr entre otras de forma efectiva cuando se pasa cierto espacio como dice warp3r en una dll. Aunque lo interesante seria que viesen algo que no sea a traves del navegador pero bueno, parece imposible eso jeje

    Pero bueno yo creo que habra en algunos o bastantes casos en los que se peuda hacer esto...ya se ira viendo cn el tiempo.

    ResponderEliminar