El concepte Lliure a les TI

Anem a revisar, mig en serio, mig en broma, el concepte Lliure aplicat a les TI.

Programari Lliure. Dit del programari que incorpora una llicència d’ús que ens permet utilitzar-lo lliurement. Al ser lliure, generalment no cal pagar per aquest d’ús, podem accedir al codi font, i a més podem distribuir-lo lliurement.

Fabricant Lliure: Dit del fabricant que ha creat el programari Lliure. Aquest fabricant dóna un suport Lliure, treballa per fer una actualització Lliure del seu programari  i té  més d’un tècnic Lliure en nòmina Lliure. Aquest fabricant com que té uns ingressos Lliures, ens assegura una continuïtat del seu programari Lliure. Com que ven moltes llicències del seu programari lliure, aleshores el cost de investigació, desenvolupament, actualitzacions i suport queda diluït entre el número de llicències venudes.

Suport Lliure: Dit del suport i les garanties que dóna el fabricant del programari lliure al programari que estem instal·lant. 

Actualització Lliure: Anomenem així a les actualitzacions de versió que va treient el fabricant, així com les proves que realitza perquè puguem migrar d’una versió més vella a una més nova sense perdre les dades ja introduïdes.  Aquestes actualitzacions es van comprovant en tots els sistemes operatius on ha de córrer el programari lliure, i es van incorporant les noves funcionalitats que incorporen les aplicacions de programari no-lliure, per no quedar desfassades.

Tècnic Lliure. Dit del tècnic que treballa en una empresa Lliure, i que cobra una nòmina Lliure per fer un programari Lliure, crear unes actualitzacions lliures o donar un Suport Lliure.

Consultor Lliure. A diferència del tècnic Lliure, que treballa al fabricant Lliure, el consultor Lliure treballa o bé en una empresa de serveis Lliures o bé al client final, i es dedica a dissenyar, implementar i personalitzar el programari Lliure al negoci del client. Aquesta personalització haurà de ser prou oberta perquè si el client decidecix canviar de consultor Lliure, en trobi un altre que pugui seguir mantenint el entorn. I si es troba algun problema en el programari Lliure, el consultor Lliure podrà trucar 24×7 al fabricant Lliure per demanar suport. I a més, aquest consultor Lliure tindrà un equip de gent que podrà substituir-lo en una baixa, unes vacances o fins i tot un canvi de feina.

Maquinari Lliure. És el maquinari que utilitza el fabricant Lliure per provar el seu programari lliure. Cal fer totes les proves necessàries perquè el programari lliure funcioni sense problemes sobre aquest maquinari Lliure. Com que el maquinari Lliure necessita materia primera Lliure (xips, components, electrònica) i no se’n troba al mercat, al final tot el maquinari és no-lliure. Com que ningú paga al fabricant de maquinari no-Lliure perquè adapti el programari Lliure al seu maquinari, també cal que el tècnic Lliure o el consultor Lliure desenvolupi un controlador pel nou maquinari no-lliure que aparegui al mercat i que pugui aportar funcionalitat al client.

Nòmina Lliure:  És el que cobra cada mes un tècnic lliure i un consultor Lliure per fer la seva feina. En general, es igual o una mica superior a les dels companys que treballen amb software no-lliure, degut a que hi ha menys oferta.

Peasso de nòmina Lliure. Aquesta és la nòmina que cobra el director del tècnic o del consultor Lliure. Tot i que treballa amb programari Lliure, aquesta és equivalent a la del consultor no-lliure. 

Plat d’arròs Lliure. És el que menja el tècnic Lliure o el consultor Lliure, i que va a comprar a la tenda amb la nòmina lliure. També ho mengen els fills del tècnic lliure.

I un cop exposat això, algú ha menjat un plat d’arròs Lliure? Et deixa amb una ganaaaa.

El cuc Conficker i el WSUS

Suposo que recentment haureu sentit parlar d’un cuc que s’està escampant per Internet anomenat Conficker.

Aquest cuc crida l’atenció perquè a part de fer anar lent el PC, a part de instal·lar-se en els PCs perquè algú des de fora els pugui utilitzar per SPAM, robar informació privada, etc, és un dels cucs que més mesures pren per tal de que sigui detectat o eliminat.

Fins ara, quan entrava un virus o cuc al PC, amb algunes eines més o menys rudimentàries podies aturar-lo, i després eliminar-lo. Com a mínim, detectar-lo.

Entre aquestes eines, trobavem el Autoruns, on es mostra el fabricant de l’executable (els virus mai tenen res al camp de fabricant).

O bé mirar la data i la hora de la creació d’un arxiu. Els cucs sempre tenien la data d’avui.

També podiem veure-ho amb el Process Explorer, veient una tasca que tampoc tenia fabricant …

O igualment el Process Monitor, on apareixia una tasca que continuament monitoritzava unes claus de registre o uns arxius per veure si existien, i així sabien si el virus estava actiu o no.

I en quant la seva detecció en les xarxes, tenim eines que detecten el rastreig a través de la xarxa, ja sigui mitjançant el increment de trànsit, la recerca secuencial de ports, etc.

Però ara ha aparescut el Conficker. No és que incorpori tàctiques noves, perquè moltes de les seves accions ja estaven “inventades”, sinó que les agrupa totes, creant una eina de malware molt perillosa i interessant.

Hi ha un informe molt bo a Symantec de més de 30 pàgines que parla de tot això que us estic comentat. És diu Downadup Codex i el podeu trobar a:

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_downadup_codex_ed1.pdf

I si no voleu llegir-vos el informe, aquí us poso algunes de les característiques més interessants del cuc que realment fan esgarrifar:

• És un cuc que afecta als PCs i servidors amb qualsevol variant moderna de Windows (2000, XP, 2003, 2008 i vista)
• Aquesta vulnerabilitat va ser detectada al Octubre de 2008 per Microsoft.
• A l’infectar un PC, comença a buscar tots els PCs de la xarxa amb els protocols de Windows
• Al conectar-se, mira d’entrar per les carpetes compartides més comuns, incloses les administratives (ADMIN$, C$, etc).
• Com aconsegueix l’usuari, prova de validar-se amb una llista de 250 passwords, que inclouen el admin, el password, el 123456, el usuari al revés, etc.
• Es un executable signat i encriptat per una clau que només la tenen els seus desenvolupadors. El codi maliciós que s’executarà (payload) també està encriptat, i no podem saber què farà.
• S’executa com un servei de Windows, arrencat pel svchost. És a dir, no podem aturar-lo, perquè s’executa com un procés del sistema.
• Va canviant de nom a cada infecció.
• Intenta reinfectar els PCs infectats, per si algú elimina la infecció.
• Recorda els últims 100 PCs infectats, per no repetir-se i delatar-se.
• Quan busca a la xarxa, fa pauses de 100milisegons, per no saturar la xarxa i que sigui detectat. També fa salts en les IPs.
• El seu payload es descarrega d’Internet. Ho descarrega d’una llista aleatoria interna de 50.000 dominis d’Internet. (abans eren 250, però com es va descubrir, es van tancar tots els sites). El creador només cal que registri un d’aquests dominis, posi el codi a la ubicació on es solicitarà pel PC infectat, i podrà executar en TOTS els Pcs infectats el codi que vulgui, sense CAP limitació.
• Passa routers i firewalls que tinguin activat el protocol uPNP. Generalment els dispositius de casa ho tenen activat. És capaç de venir des d’Internet i infectar el PC de casa, encara que aquest no tingui cap port obert.
• La versió més recent fa servir un protocol P2P per distribuïr el payload. Cada PC infectat s’utilitza per distribuïr el codi malicios, a la vegada que el rep dels seus companys de xarxa.
• Quan no pot distribuïr-se mitjançant la xarxa, es guarda a les claus USB, a la funció autoplay. Aquesta funció és la que fa que un CD o un clauer USB arrenqui sol només insertar-lo. Aixì, un usuari que a casa tingui infectat el PC, al portar-lo a la feina, infecta tota la xarxa de la feina.
• De la mateixa manera, només connectant-nos al un Wifi públic o “robat”, ens exposem a la infecció.
• Quan apareix la opció de Autoplay, ens mostra “Open Folder to view files”, i fins i tot ens mostra la icona d’una carpeta de l’explorador de Windows. Però realment al fer click, estarem executant el cuc.
• Si algú mira el arxiu autorun.inf, on s’amaga el autorun, aquest mostra tot de caràcters estranys, i la gent que no ho té molt per la mà pensarà que és un arxiu executable “normal”, sense aixecar sospites.
• L’arxiu que executa es guarda a la paperera, i aquest arxiu té qualsevol extensió, excepte la .DLL.
• Mitjançant una crida al sistema, està pendent de la connexió d’algun nou aparell o unitat de xarxa. I quan ho fem, ho infecta.
• Està escoltant la llista de processos, i mata qualsevol procés d’una llista que inclou les principals eines de troubleshooting de sistemes (les de sysinternals), sniffers, antivirus, referencies als articles de Microsoft que expliquen això, o bé la posibilitat d’instal·lar el pedaç que ho soluciona.
• També atura el servei de System Recovery de Windows XP, i borra totes les copies anteriors del sistema.
• Impedeix la connexió als principals fabricants d’antivirus, i també d’altres pàgines que podrien usar-se per eliminar-ho.

Esgarrifós, no?

Mètodes de prevenció:

Només hi ha un. Posar sempre les actualitzacions del Windows Update. Ja sabem que fa pal, que quan surt el missatge de reiniciar ens fa ràbia, que fins i tot alguna vegada la pifien, però realment és pitjor no posar-les.

Fins ara, quan apareixia una vulnerabilitat de Microsoft o de qualsevol altre fabricant, que tots en tenen, trigaven uns mesos a treure algun exploit que aprofitava aquesta vulnerabilitat per interessos propis.

El cas del Conficker va ser al contrari. Després de apareixer el cuc, es va detectar la vulnerabilitat, quan ja tenim mils de màquines infectades.

Com podem saber si estem infectats? Fàcil. No podreu anar ni a www.microsoft.com, ni a www.symantec.com, ni tant sols obrir aquesta pàgina. Té moltes pàgines i processos limitats segons el seu contigut o adreça IP.

El que podeu fer en cas de problemes, es executar una comanda simple:

net stop dnscache

Aleshores el cuc ja no controla les pàgines que estem mirant. Només caldria anar a una web d’antivírics i baixar-se l’eina per eliminar-lo.

Aprofito aquest article per donar unes recomanacions que caldria aplicar a totes les xarxes, siguin petites o grans:

• Instal·lar el WSUS de Microsoft perquè instal·li de manera forçada les actualitzacions crítiques i de seguretat a tots els PCs de la xarxa. Per qui noho conegui, el WSUS és un programari gratuït de Microsoft que centralitza en una consola la gestió de les actualitzacions dels PCs i servidors d’una xarxa, sempre controlada per l’administrador, tant la freqüència de les actualitzacions, les que estan autoritzades, i la obligatorietat de les mateixes envers l’usuari.
• Revisar periòdicament els servidors per posar els últims pedaços (1 cop a mes)
• Configurar de manera automàtica els servidors que estan DIRECTAMENT connectats a Internet (ISA Server, passarel·les en general)
• Configurar una DMZ i posar els servidors amb serveis a Internet aquí. Una DMZ és una xarxa externa situada en el perímetre on trobem servidors que no contenen dades que només fan de passarel·la per als serveis interns. Ho podem veure aquí: http://ssinyol.wordpress.com/2008/02/26/conceptes-basics/
• No tenir MAI cap servidor que contingui dades o dóni servei intern obert directament contra Internet. Això inclou els servidors Terminal Server, o bé qualsevol servidor de correu o Extranet. Si volem donar aquests serveis, cal posar un servidor passarel·la a la DMZ.
• Si el PC està a casa, fer obligatoria la instal·lació del Windows Update.
• Si no podem actualitzar el PC perquè el Windows és pirata, és millor comprar un Windows, o posar un linux. Tot i que no pot semblar important, el fet de que ens robin les dades d’accés al banc o els comptes de correu electrònic pot acabar per ser crític.
• Vigilar amb el Autorun dels clauers USB. Desactivar-lo si cal.