Vista ha muerto. Lo dicen los profesionales

Estándar

El otro día me pasaron un par de enlaces en correos distintos sobre noticias de Windows Vista. Uno de ellos era de la ciudad de los krispis, en la que dicen que Windows Vista tendrá un sucesor de aquí a 6-9 meses más o menos. Esto me hace pensar una cosita, y es que tal vez Windows Vista sea una madre, una virgen embarazada que va a dar a luz a otro sistemita, otro niño feo al que nadie quiere. Otro WinMe maquillado.

En el otro mail, viene un enlace que en su interior, se esconde un post muy estudiado. Un post de esos que enseguida reconoces el talento y la profesionalidad de quien lo escribe. Alguien que se ha tomado la molestia de instalar Windows Vista y navegar durante 5 minutos. 40 instalación + 5 minutos navegación + 15 minutos post = 60 minutos de profesionalidad en el post.

es dificil decepcionarme, porque esperaba muy poco, y aun asi me ha “decepcionado” (en comillas, porque realmente esperaba poco..poco)

la montaña pario un raton, y ese raton lo han llamado windows vista.

no es un nuevo sistema operativo. simplemente es XP, al que le han puesto otro kernel, y han empezado a construir un nuevo estilo (mas web) de los interfaces del sistema y del explorador de fichero. Pero lo que yo he visto, es que estos nuevos interfaces apenas tocan el numero de ventanas que tiene XP/Vista.

Me quedo con lo de simplemente es XP, al que le han puesto otro kernel…..

Vamos a ver CEPORRO, respecto al kernel de Spectra Vista, quizás no conozcas algunas de sus características, como el Kernel Patch protection en versiones de 64 bits, la cual ya funcionaba en Spectra XP en su versión de 64 bits, y en Spectra 2003, también en 64 bits. Una función que protege la integridad del Kernel, impidiendo a las aplicaciones parchear las estructuras para así manipular la máquina a su antojo. Te suenan de algo los ROOTKITS?

Con respecto a las ventanas de Windows Vista, dejo un documento en el que explica cómo es el diseño de las ventanas del Vista. Ya sabes, eso de la homogeneización. Es un nuevo modelo que se le ha ocurrido a un tonto para que a los técnicos les sea un pelín más fácil adecuarse al manejo y monitorización de múltiples aplicaciones. Vamos, para que no nos distraigamos y la caguemos. Lo incorporan casi todas las aplicaciones de Spectra y las consolas se basan ya en la nueva MMC 3.0. El documento lo tenéis aquí.  Aero Wizard

Un ejemplo:
la tipica ventana “Propiedades de la barra de tareas y del menu de inicio” sigue estando ahí. Pero ahora para llegar a ella tienes que seguir un turtuoso camino de ventanas en plan web, para que “navegues” hasta ella. Pero cuando sale esta opcion, plaf, rompe totalmente con el estilo de navegacion. Y se nota que todo lo anterior es un plaston inutil.
Si para sacar esta ventana me basta “boton derecho->propiedades” en XP, y es la misma ventana, todo lo que se ha añadido solo sirve para forzarme un tipo de uso (navegación) en lugar del natural de un pc de botón derecho->propiedades.
Estéticamente hablando, es bonito ver las ventanas que te va poniendo, segun navegas hasta la opcion que quieres. Pero cuando sale esta, y es lo mismo de siempre, de diseño “antiguo” y de filosofia opuesta. El golpe es brutal. Como ligarse una tia, y cuando llevas al hotel se baja la falda y sale un pene enorme
.”

Esa opción sigue estando igual de escondida que en Spectra XP… Botón derecho sobre el icono de Spectra–> Propiedades…

Sobre la navegación en plan Web, Spectra decidió en su nuevo sistema operativo, poner el mayor número de opciones de forma visible, de tal forma que un usuario no se liase demasiado al encontrarse una opción. Acostúmbrate.  

Esto es lo que yo he visto, y me da hasta pena. Huele totalmente al típico proyecto de software al que se le acaba un plazo duro. Asi que tiene que liberar “como sea”, de modo que cogen las partes que si funcionan, lo ponen todo junto, y lo liberan. Windows Vista no merece ni siquiera el nombre de alfa, porque no es una versión completa del siguiente windows, sino varias partes inconexas unidas con esparadrapo, y que se nota que no estan todas las features planeadas. Esta mas al nivel de una de esas distros de XP que hace la gente, como Windows UE y cosas asi, aunque estas distros piratas de windows me parecen mas coherentes incluso que Vista

O sea, que las 800 nuevas políticas, UIPI, MIC, integración con NAP, nuevo Firewall integrado con IPSEC, shadow copy, media center, soporte nativo IPV6, ASLR, etc.., estaban incluidas ya en Windows XP? Y nosotros aquí sin enterarnos?

Sobre lo que gente comenta. Pues no he debito tener mala suerte. Puede que sea porque es una instalación desde cero, pero no me ha pedido muchas veces la password de administrador. Lo que si hace es avisarme que un cambio es importante, acepto el cambio, y luego me salta a la tipica modal que oscurece el fondo, que me vuelve a preguntar si estoy seguro, pero esta incrementalmente mas en serio (aunque tampoco me pide password).. WTF???. Entendería que me pidiera una confirmación de si o no. Entendería que me pidiera una contraseña (con su botón de cancelar). Lo que no tiene sentido son dos ventanas de “aceptar”-“cancelar”.
Esto es otro cambio, que lo han dejado a mitad
.”

Vamos a ver, el UAC se puede configurar a través de políticas. Por defecto viene configurado para introducir la password una vez (al inicio de sesión). Si necesitas hacer un cambio importante en el equipo, el aceptar la condición de cambio implica la herencia de esas credenciales que inicialmente pusiste en el inicio de sesión. Si lo que quieres es más seguridad, hay otra política que cambia este comportamiento, pidiéndo credenciales cada vez que hagas un nuevo cambio. Pero viendo la profesionalidad de este documento, seguro que ya lo sabías.

“Como las ventanas de estilo Windows 2000 no se pueden eliminar. He probado a configurar vista con el estilo clásico. Asi por lo menos, todas las opciones son coherentes. Solo que Windows 2000 come menos de 64 MB, y esta cosa unos 300 MB. “

Seguro que W2k va muchísimo más rápido que Windows Vista, ya que éste tiene las opciones de Prefetch y SuperFetch. O era al revés?

O sea, que según tú, mientras menos memoria RAM consuma un equipo, éste es más eficiente? Cuando una aplicación quiere algún dato o información, es más rápido el acceso al disco o el acceso a la memoria? Vista consume más memoria para que éste sea mucho más rápido, las aplicaciones inicien mucho antes y no haya ese retraso que tenemos en otros sistemas operativos, a la hora de cargar y descargar memoria. Si tienes RAM comprada, que el sistema operativo la use no?

Y puede que sea una tecnología que la haya inventado un tonto, porque si no no me explico que los nuevos discos duros vengan de forma híbrida, con una pequeña memoria flash para intercambiar o precargar datos entre disco y memoria interna, haciendo el acceso a los datos o aplicaciones mucho más rápido.

Que lo dicho, la ciudad de los krispis y este profesional desde su rincón en /. dicen que vista se muere. Toda esta tecnología a la mierda. Apaga y vámonos. Qué mala suerte. Todos los técnicos que nos dedicamos a Windows somos capullos. Gracias por aclarárnoslo. Ustedes sois los técnicos, ustedes sois los mejores.

Políticas de seguridad en Messenger

Estándar

Llevaba algo (mucho) de tiempo preguntándome cómo el Messenger era capaz de censurar cierto tipo de palabras o frases en el intercambio de información entre usuarios. Desde el instituto ya me decían cosas del tipo “Si te pones de Nick Bill gates es un capullo te lo censura!“, o cosas del tipo “Si pones Microsoft mierda también te lo censura“.

El otro dia salió el tema en una conversación, y una persona me comentó con cierto pánico que Microsoft seguramente esté espiando las conversaciones a través de varios servidores, y que a través de ellos, censura ciertos mensajes para luego mandarlos al otro extremo.

Yo, como soy tan capullo y me pico tan rápido le contesté: “Joder!, pues tengo el portátil en el coche!, me voy a poner a sniffar la conexión, a ver qué hace mi messenger! Lo mismo se conecta a la NSA!!” Y así hice…. Pongo WireShark en modo drógate y el messenger a iniciar.

Hace como 1 año que no abría el messenger (me aburre) y cuando lo abrí, tenía como a 25 personas para agregar a “mis contactos“. Seguramente serían usuarios de elhacker.net que habrán visto mi correo por ahí. Total, que para hacer la “investigación“, los agrego a todos y me pongo a charlar con uno que no hablaba ni español, para ver si era verdad lo de la censura. Sí, ya sé que me aproveché del pobre usuario iniciando una conversación falsa y absurda (como saludo le puse “hello taworito wor firineo“, y a continuación le mandé un enlace con la palabra download.php?), pero ha sido un aprovechamiento con fines científicos, al igual que ligar con tías….

A los 5 minutos me despido cordialmente, y cierro mi conexión de messenger.

Al examinar los paquetes de Messenger te das cuenta de varias cosas.

  • No necesitas iniciar una conversación con nadie para que se aplique la censura
  • Es una política en formato XML que nos envía el servidor y se ejecuta en el cliente (No censura el server, censura el cliente con esa política)
  • Por lo que se ve, esta política entra dentro del proceso de autenticación (Creo que no se puede saltar)

captura.png

La directiva es una política que lleva la etiqueta <policies>, y unos valores codificados en base64. Pongo algunos de ellos:

  • aW1nMTc1Nlwuemlw == img1756\.zip
  • c2VjcmV0aW1hZ2VzNTZcLnppcA == secretimages56\.zip
  • bXlwaWN0dXJlc1wuemlw == mypictures\.zip
  • cGhvdG9zXC56aXA == photos\.zip
  • d3d3XC5zb250YXJpaFwuaW5mbw == www\.sontarih\.info

Hay muchas más. Para el que quiera echar un vistazo a la política en cuestión pero no quiera snifar la conexión, he extraído el archivo XML de la política, que puede descargar de aquí.

Los motivos de esta censura pueden ser muchos y muy variados, pero generalmente se debe a mantener una cierta seguridad de cara a los usuarios. Bajo mi punto de vista creo que se exceden con el parámetro download.php, pero me figuro que poner una política con todas las Webs que utilizan maliciosamente el archivo download.php para descargar troyanos sería pedir demasiado, además, la política sería tan grande (Cientos y cientos de Webs) que de seguro ralentizaría la autenticación. Pagan todos justos por pecadores.

Me he estado informando, y al parecer Spectra actualiza esta lista con bastante frecuencia. Buscando y buscando he dado con más información al respecto.

MSN Censors Your IM

Microsoft censoring MSN Messenger conversations

Buen finde a todos!

Mamá, ya no puedo ver un vídeo VHS en el DVD

Estándar

Así se habrán quedado más o menos los chicos de Libertad Digital y Barrapunto al redactar la noticia y ver la catástrofe, la gran cagada de Spectra, el principio del fin…

La última actualización de Office 2003 impide ver documentos antiguos

Y aquí cito…

Office 2003, en su última renovación, impide abrir o guardar documentos antiguos de Word, Excel o PowerPoint. El motivo, según el soporte técnico de Microsoft, es que son menos seguros y pueden suponer un riesgo para el usuario. Para acceder a los documentos bloqueados hay que realizar un procedimiento técnico que según Microsoft puede ocasionar “serios problemas”.

Uno pensaría lo siguiente: Se están echando piedras sobre el propio tejado,  publicidad encubierta para actualizar a Office 2007, Windows Vista es una mierda, los números no salen, etc, etc…. (Si se quiere continuar siga por ese tono….)

Mirándo el artículo original de Spectra uno ve lo siguiente:

1) La restricción es sólo para formatos muy antiguos. Véase documentos de Office anteriores a la versión 97

2) La advertencia de modificación de Registro viene en todos los artículos de la KB. No vaya a ser que se retoque malamente y la culpa la tenga ya sabemos quien….

3) Impide porque lo dice una directiva, no porque realmente no lo pueda abrir. FileSaveBlock y FileOpenBlock

4) El SP3 mayoritariamente estaba destinado a la seguridad de documentos

La compatibilidad hacia atrás es necesaria. Con esto permitimos a todos los desarrolladores el seguir actualizando aplicaciones, documentación, etc… Pero la compatibilidad hacia atrás no es ilimitada. En algún momento de la vida útil de un producto se debe de frenar esa compatibilidad. Por comodidad, por seguridad, por dar nuevos pasos, o por lo que se le quiera llamar.

Que mi primer trabajo en 8º de EGB no lo voy a poder abrir con Office 2003? Joder…. Ya habré tenido tiempo de modificarlo y/o actualizarlo…. Digo yo no?

Alguno tiene algún vídeo VHS en casa? Yo puedo tener unas 600 pelis en VHS….

Nos vemos!

Curiosidad con ASLR

Estándar

Hola a tod@s!

Llevo unas semanas poniéndo en orden toda la información disponible que conozco en materia de volcados de memoria RAM para análisis forense. Tengo el blog lleno de post sin terminar sobre este tema, y como promesa de año nuevo (aparte de dejar de beber…) he prometido terminar estos post, así que este Enero tocarán casi todos los post sobre memoria RAM.

Pues haciendo volcados de la memoria RAM en mi Vista, me di cuenta de un comportamiento curioso con ASLR. Esta característica viene de serie y activada en Windows Vista, pero por lo que he podido comprobar, sólo los ejecutables de Windows Vista y algunas aplicaciones compatibles con Windows Vista se “aprovechan” de esta característica.

He tomado como referencia para este post 4 aplicaciones en mi Windows Vista. Internet Explorer, el entorno gráfico del Windows Defender, la barra de herramientas de Google y Adobe reader. Tan sólo Windows Defender e Internet Explorer se ejecutan cada vez en distintos espacios de direcciones. Adobe y la barra de herramientas de Google permanecen en el mismo espacio de direcciones cada vez que se inician.

Como no entendía este comportamiento empecé a informarme sobre el ASLR y de cómo funciona en Windows Vista. Cualquier ejecutable o dll que tenga una cabecera PE puede elegir si quiere o no quiere aprovecharse de esta característica. Y activarlo es bien simple. Basta con añadirle un bit (0X40) en el campo DllCharacteristics en la parte Optional Header.

Y tan fácil es activarlo como fácil es desactivarlo. Bastaría con quitar ese bit (0x40) a cualquier ejecutable que estuviese utilizando la característica ASLR para que éste dejase de utilizarla.

aslr1.png
Ejemplo Windows Defender

Por ejemplo aquí tenéis dos capturas de pantalla correspondientes al proceso de Internet Explorer

iexploreaslr.png
Internet Explorer con ASLR
iexploresinaslr.png

Para el que quiera hacer sus pruebas correspondientes, puede utilizar la herramienta StudPE y algún debugeador. Yo personalmente he utilizado el Windbg de Spectra. Tengo desde hace un mes más o menos el Adobe + la barra de herramientas de Google aprovechándose del ASLR y todavía no se me ha quejado ninguna.

+Info

An Analysis of Address Space Layout Randomization on Windows Vista

Saludos!