Análisis de Flame parte III. La conspiración

Estándar

Hola a tod@s!

Disclaimer!!

Esta entrada sólo refleja mis pensamientos impuros, sin ninguna connotación técnica, y que sólo alimentan mi desquiciada mente. Dicho queda…

En el primer artículo, se vió cómo NO había que reproducir la muestra, si no era en un entorno totalmente “liviano” y sin ningún tipo de protección. Después, pasamos al segundo artículo, en el que se refleja la primera ejecución del bicho. Qué hace, cómo lo hace, y qué toca.

Hoy me gustaría pasar a un tema más personal, más íntimo, por lo que quedáis avisados de lo que no ha podido filtrar mi mente, y que hoy expongo aquí.

Revisando el código de uno de los módulos que generaba Flame, se encuentran partes que hacen referencia a Mutex creados por el mismo.

Imagen 1.- Referencia a Mutex en código Flame

Esto ni de lejos es nuevo, pero me ayudó bastante a la hora de poder hacerme una idea de cuántos procesos se encontraban infectados a la hora de una primera ejecución de Flame.

A estos Mutex, se le añade presumiblemente el PID del proceso que se encuentra infectado, tal y como puede verse a través de la herramienta, también de Sysinternals, WinObj.

Imagen 2.- Procesos implicados en la ejecución de Flame

En el caso de la imagen anterior, los procesos asociados son Explorer.exe, Services.exe y Winlogon.exe…. Casi nada…

Analizando dicha muestra, también me he encontrado con partes de código, que si bien no son idénticas a las encontradas en Stuxnet, poco le faltan… Este código, se aprovecha de vulnerabilidades antiguas y pequeños “trucos” que tiene el sistema operativo. Uno de ellos es la auto-ejecución en unidades extraíbles, y el otro es la posibilidad de jugar maliciosamente con enláces simbólicos en sistemas de ficheros NTFS.

Imagen 3.- Código de explotación muy parecido (por no decir igualito) al utilizado por Stuxnet

La versión bajo la que estoy haciendo las pruebas, creo que es la misma (MD5:bdc9e04388bda8527b398a8c34667e18) en la que se basan la mayoría de informes y noticias de Internet.

La versión que yo estoy utilizando, NO SE EJECUTA bajo ningún concepto si existen ciertas aplicaciones monitorizando el sistema. Ni al siguiente reinicio ni nada. Es más, ni lo intenta.

A la hora de realizar con éxito la primera ejecución, éste pregunta insistentemente por versiones específicas de productos de Kaspersky, tal y como se puede ver en la imagen extraída de Process Monitor.

Imagen  4.- Peticiones a productos específicos de Kaspersky

Lo curioso de esto, es que prácticamente en todas las muestras que va generando Flame, se encuentran peticiones de este tipo de producto, pero no de otras soluciones de seguridad.

Imagen 5.- Llamadas a directorios que generan productos de Kaspersky en porciones de código Flame

Si a todo lo anterior le sumamos a que parece ser que en el código de Flame ha aparecido un comentario un tanto “jocoso”, da que pensar. La noticia me ha llegado vía Full Disclosure. Yo, que no soy ruso, ni tengo ni pajolera idea del idioma local de allí… Interpreto un “Mentiroso, gracias Kaspersky”…. Que por favor me lea un Ruso y acabe con mi agonía….

Siendo no conspiranoico, puedo pensar que debido a que Kaspersky fue uno de los primeros en investigar Stuxnet, Duqu y ahora Flame, es posible que los creadores del bicho pusieran especial énfasis en productos de Kaspersky.

Otro punto a favor que le otorga la catalogación de Malware diseñado para la ciberguerra, es que todavía no se sabe muy bien si Stuxnet fue obra de la administración Bush, o por el contrario fue el Mossad… Mientras que algunos opinan que Stuxnet es obra de Bush/Obama, otros piensan de manera diferente.

Mucha gente opina que estamos asistiendo a un nuevo concepto de ciberguerra, tal y como apunta José Rosell, desde Security At Work, y que no se nos cuenta toda la información. Esto último, algo bastante lógico y normal, dentro de los cánones de la contención de masas y demás.

Que el Mossad e Irán siempre estén hostiándose… Es algo que, desgraciadamente, lo tomamos como normal hoy día…

Pero bueno… Qué carajo sabré yo, que todavía me emociono cuando veo The Goonies….

Un saludo a tod@s… Y siento la entrada de hoy!!

 

 

 

Y todo para nada…

Estándar

Las líneas de negocio están para eso, para abrir negocio donde antes no lo había, o había poco. Se puede destruir empleo por un lado, pero lo que sí es seguro es que generará empleo por el otro lado.

Pero todas las líneas de negocio existentes se van a tomar por el ·@%%&&.  Porque llega el articulazo del siglo. Donde esté un ordenador barato, que se quite uno potente.

Reflexionemos un poco…

Microsoft hace sistemas operativos y sus programas cada vez más pesados, que necesitan cada vez más recursos del sistema. Así todos son felices. Microsoft vende sus sistemas operativos, sus Office, etc, y, como los computadores en un momento determinado no los corren bien, la gente migra más rápidamente a procesadores más rápidos para correr estos programas. Así viene pasando desde Windows 95.

El problema, y el fracaso de Vista, es que ahora las cosas son un poco diferentes…

Por un lado, Vista exageró demasiado en cuanto a los recursos que necesita, no pudiendo correr sino solo en los procesadores más avanzados, impidiendo de esta manera las actualizaciones de XP a Vista. Era necesario comprar una máquina nueva y costosa. Por otro lado, XP sigue siendo suficientemente bueno y no justifica comprarse un nuevo computador para poder disfrutar de Vista.

Sí, sí, sí, sí…. Spectra es malísima. Muy mala. Una cabrona vamos. Cada día hace sus programas más gordos (Creo que les dan harina y maizena), que necesitan más recursos y todos felices. Como los equipos antiguos no pueden, pues a comprar hardware nuevo.

Vista es un fracaso. Y del bueno te digo yo.

O sea, a ver si lo he entendido. Que donde esté un Windows95 o una mini-distribución de Linux, que se quiten las demás. Que donde esté mi procesador 486, que se quiten los demás. Porque todavía tengo uno en casa y le podría instalar un Windows 95. Creéis que ligaría en un bar si le digo a una chica que he instalado un Windows 95 en un 486… Y que funciona?

Me lloran los ojitos porque leo por primera vez en la ciudad de los Krispis que XP sigue siendo suficientemente bueno…. Se estarán pasando poco a poco al lado del mal?

Huelo a conspiración….

Por otro lado, dado el enorme poder de los microprocesadores de hoy, pueden aparecer computadores muy baratos (de menos de $300) y no tan potentes, pero que pueden hacer todo el trabajo cotidiano de oficina (procesador de palabras, hojas de cálculo, presentación gráfica, etc), además de navegar por Internet, correo, mensajería instantánea, etc.

Estos computadores baratos pueden trabajar bien con un sistema operativo no tan pesado como Vista. Funcionan bien con XP o Linux. Y aquí es donde está el problema de Microsoft y la industria en general.

Los computadores pobres de hoy en día pueden hacer el 99% del trabajo cotidiano de oficina y del hogar. ¿Para qué comprarse lo último?. En la mayoría de los casos no se justifica.

Entonces tenemos dos extremos. Por un lado, un computador muy sencillito pero que puede ejecutar el 99% de las cosas, y por el otro, uno muy poderoso (necesario para alimentar a Windows Vista).

En cuanto al primer párrafo no tengo problemas. Es totalmente cierto. Tengo en casa otro PC con 512 RAM y procesador de 1GB y rula con Debian y XP de maravilla. Pero sigo sin ver el problema.

Spectra tiene, para aquellos que se quieran dejar engañar, porque es muy mala, una página dedicada a esos equipitos que no llegan al mínimo para poder acostarse con Vista, y son los llamados Vista Capable.

Lo de los dos extremos me queda muy clarito.

Microsoft se ve forzado a prolongar el XP porque de no hacerlo pierde el mercado de los computadores más sencillos, mercado que crecerá mucho en los próximos años.

No hay aplicaciones que usen tanto poder proveniente de los microprocesadores de hoy. Solo Windows Vista, los juegos y el procesamiento y edición de video, pero en pocos años, todo procesador, hasta el más pobre será capaz de manejar estas cosas. Así que el extremo de computadores muy poderosos, para uso personal tenderá a morir, quedando sólo los computadores económicos de menos de $200. Nadie necesitará un procesador de 16 núcleos, porque no habrá aplicaciones que necesiten tanto poder (para uso personal).

Este inmenso poder de los procesadores del futuro sólo lo usarán los que quieran correr aplicaciones como pronóstico del clima y otras similares, pero nunca una persona en su procesador de palabras, hoja de cálculo o incluso editando video.

Una alternativa para el uso de tanto poder, que es válida incluso hoy en día (en donde un procesador con 2 núcleos de 2 Ghz es mucho más de lo que se necesita en tareas cotidianas) sería que el computador tuviera 2 ó 4 salidas de video, y sus teclados y ratones respectivos. Así un computador manejaría 4 usuarios simultáneamente.

Un computador Core Duo está el 99% del tiempo sin uso, así que con los 4 usuarios estaría de una manera muy similar, y los 4 sentirían todo el poder para cada uno de ellos como si los demás no existieran (salvo en algún que otro momento en donde habría pequeños cuellos de botella).

Si se configura Linux para manejar estos 4 usuarios simultáneamente en un computador, sería el final de Windows, porque con sólo añadirle unas cuantas tarjetas de video (con sus respectivos controladores de teclado y ratón) se abaratarían los costos del computador para las empresas, escuelas, etc: 1 computador $400 + 4 tarjetas de video sencillas $25 c/u dan un total de $500, dividido entre cuatro personas, sale a $125 por “terminal”.

Spectra es que es así. Se acojona y tiene que prolongar un producto. A mi también me lo dijo un primo de la novia de un amigo mío. Lo que no me dijo el primo de la novia de un amigo mío es que en la página de soporte de Spectra, tienes todos los datos de soporte, y de ahí es de donde se sacan los DATOS. Si quieres mirar hasta cuando vas a tener soporte (normal y extendido) te puedes pasar para recabar datos malignos. Los tienes para Windows XP e incluso para Windows Vista, así seguro que tienes datos para vaticinar el fin de Windows Vista. Pero claro, eso a una empresa se la repamplinfa. Se la suda que un Windows tenga un soporte de casi 14 AÑOS. Donde esté un Ubuntu licenciado con soporte a 3 años que se quite lo demás. Que me llega una incompatibilidad con una aplicación en mi Ubuntu? pues nada. O MIGRO a una distribución más novedosa, o tiraré de FOROS. Ya estoy viendo un problema de nivel 5 (O sea jodidísimo para la empresa), el soporte Server Ubuntu que se ha terminado (5 añitos), y el SysAdmin de la empresa poniendo todos sus recursos en un forero de 17 años. Qué hijadeputa es Spectra que te da casi 14 AÑOS para que te plantees una migración, te planta los Virtual Lab para que te vayas haciendo a la idea, los recursos para profesionales como los WebCast. Además son malísimos, porque si te has perdido uno, te los graban!

Y claro, el inmenso poder de los procesadores del futuro sólo lo usarán los que quieran correr aplicaciones como pronóstico de clima….. Y para  predecir el futuro creo…. Esto es gracioso, porque yo tengo un procesador de 1GB en casa, pero mi tía que quiere el ordenador para llevar sus tareas de costura “al día”, se fue a comprar un equipo, y de menos de dos núcleos no había nada…. Aunque claro, también se puede pasar por DELL y comprar un Ubuntu de igual precio y menores características.

Sobre los dos últimos párrafos…. No comment…. Este no sabe lo que es un AS/400, ni SAP, ni Operations Manager, ni IBM Tivoli Security Operations Manager, ni SMS, ni Dynamics

O sea, que a ver si no lo he entendido tampoco. Un equipo antiguo, pongámosle (512/256 RAM con un Pentium IV) y un cliente de correo electrónico, la consola de SAP que conecta con un servidor (Ya sabes, definido en el Saplogon.ini), la consola 5250 del AS/400, el office (Word, Excel, PPT, etc..) y accediendo en todo momento a recursos compartidos (Para tenerlo todo un pelín más seguro) va de puta madre no? Y ya no digo de puta madre (que puede ir según el caso y la metodología de trabajo de cada uno), sino que irá de puta madre repartiendo recursos en 4 pantallas tontas. Que eso de la inversión y el reciclado de equipos es una panacea y no vale para nada. Que es preferible un equipo que “gaste” 256 de RAM y los otros 256 de RAM que me sobran (si es que tiene de sobra) lo tengo “por si las moscas”. Windows Vista gasta más RAM porque el acceso a ella es MAS RÁPIDO, así deja al disco tranquilo para que nos dure más. Eso de los discos duros híbridos con una memoria de precarga es otra panacea. Otro sacaero de dinero.. Total, el acceso a disco según tú es más rápido que el acceso a RAM. Si se peta seguro que es por un “cuello de botella”.

El otro día instalé un IIS 6 en un W2k3 en un PIII con 256 de RAM, un SQL Server 2000 como motor de BBDD y que servía una pequeña Web. Según tú, si me llama el cliente, le diré que cuando el servidor deje de servir páginas con rapidez, será por un “cuello de botella”… O también le puedo decir que los cuellos de botella empiezan cuando haya más de 15 usuarios en paralelo pidiendo servicios…

Microsoft no podría competir con esto. Primero su Windows Vista está hecho para consumir muchos recursos (y producir una obsolescencia planificada de todos los computadores), no sirve para computadores económicos. Por otro lado, a Microsoft no le interesaría vender una sola licencia de XP, por ejemplo, para que 4 usuarios manejen sus “terminales”, sino más bien una licencia por cada terminal. Sin embargo, Linux, que es liviano, y puede manejar estos 4 usuarios no tiene ningún problema, y con computadores tan baratos como $125 por persona, no tiene competencia en empresas, escuelas, cybercafés, etc.

Aquí sólo te puedo decir una cosa. En la Universidad tenemos Windows NT y solaris del año de la castaña, y una de las prácticas de Redes era conectar dos Windows 98 a través de una red AdHoc… La práctica de Linux era conectar varios equipos a través de recursos compartidos por Samba. En definitiva, sales con una base cojonuda para la vida real, y los ingenieros están preparados para afrontar un nuevo reto (pasar de una práctica con un Windows98 y WinNT, a un problema en la vida real en un entorno heterogéneo Win-Linux en sus últimas versiones).

En definitiva, creo que esta nueva línea de negocio, hará por fin que el departamento HelpDesk deje de recibir llamadas del tipo “Mi ordenador va lento”, “Se me traba”, “Esto va como cámara lenta”, etc…

Y ya dejo de escribir, porque me lloran los ojitos….

En definitiva, que nos hemos equivocado, y como quiero redimirme, cuelgo aquí la fotografía que me pasó mi hermano Maligno cuando estuvimos en el Asegur@IT II que se celebró en BCN. Como diría el Trianero….

Va por ustedes…

 Fotografía del evento (Renombrar PDF por HTML si la queréis guardar de recuerdo)

1Saludo!!

La tengo muy pequeña, según dicen…

Estándar

Pues sí, queridos amig@s… Al parecer, y según mi SPAM, la tengo muyyyy pequeñita, porque no hacen más que mandarme estupendos mails para arreglar mi “problema”….

Y aquí estoy, indeciso entre comprar N Viagras porque los demás dicen que no se me levanta, o comprarme un aparatito de estos que te sube la bilirrubina, porque si 2000 mails dicen que la tienes pequeña, será porque la tendré pequeña no?

La historia es la siguiente:

Las personas se mueven por muchas cosas y por muchos motivos, entre ellos, los complejos. Complejo de no ser el centro de atención, de no llegar a ser lo que se espera de él, de bajito, de orejón (como yo!!), de cabezón, etc… Luego están los que tienen complejo de GILIPOLLAS, pero de eso hablaremos después…

Los otros saben que la gente tiene complejos, y que por un complejo nos podemos ver motivados a realizar un trabajo de distintas maneras, o dar (o no dar) una opinión. Y qué hacen? empiezan a trabajar sobre esa bola de complejos para hacernos creer algo, o para vendernos algo…

El SPAM es muy parecido en ese aspecto, y lo cierto es que da sus frutos. Es la espina de los correos, tanto en su forma de papel, (Los panfletos de Tecnokely!!), como en su forma digital, y tiene dificil solución. De 1.000.000 de correos que se le envían a 1.000.000 de personas, n+1 la tiene que tener pequeña, y de ese n+1 tiene que haber n que tenga complejos. Ese es el que me va a comprar. Es estadística pura y dura. Sencillo, claro y directo.

Eso es lo que yo siento al leer ciertos blogs, periódicos y artículos (WTF??), realizados por la gente “que sabe”….

Y de aquí pasamos directamente a ese complejo al que no queremos llegar, pero que hay gente que llega. Ese complejo difícil de quitar, pero fácil de adquirir. No es ni más ni menos que el complejo de GILIPOLLAS.

Por qué carajo cuando estoy buscando información sobre algo que no está relacionado con la informática (como el ponno) me salen artículos como éste?

Microsoft podría dar carpetazo a Vista

Joder!!!! Mierrrrrda!! Cojones!!!!

Y yo que llevo más de 2 años de betatester del Vista, escribiendo en foros y redactando artículos, y va este y me dice que alguien le ha dicho que su primo leyó en la ciudad de los Krispis un copy/paste de una reseña del Wikipedia (muy fiable eso sí…) en la que ponía que Windows Vista se acaba, y que en su lugar sale al mercado el nuevo Windows Seven!

Y ahora digo yo…. Me cago en todo lo que se menea! Y me lo dicen ahora??

Me ha entrado hasta fiebre. Me he ido a casa amargado. Pero mi Matias me ha abrazado, y me ha echado un cubatita fresquito…. Después de beberme N cubatas he tenido un momento de lucidez, y me he leído el artículo entero.

El caso es que el batacazo de Microsoft con Windows Vista está adquiriendo dimensiones planetarias: primero fueron los principales fabricantes de ordenadores, que hartos de toparse con sus call-centers saturados con llamadas de clientes desesperados por el sistema operativo, decidieron dar la opción a los usuarios de, o bien volver al fiable XP, o directamente comprar el ordenador con esta versión de Windows corriendo.

Me imagino yo las llamadas de los Call-Centers….

Cliente: Oiga?

CallCenter: Sí dígame?

Cliente: Mi Windows Vista es una puta mierda

CallCenter: Por?

Cliente: No puedo instalar mi aplicación. Me dice que no es compatible

CallCenter: Vaya…. Y qué aplicación es?

Cliente: Comandante Norton. Para mí es imprescindible

CallCenter:…..

Y no es que tenga nada en contra de los Call Centers… Pero alguno ya habrá tenido que lidiar con los de Telefónica, Ono y demases. Yo mismo he presenciado en directo como un “Técnico” de ONO intentó meter un cable de teléfono (RJ-11) en una toma de RJ-45….

Y esta señorita tan simpática también resume su caso con ONO y las IP con sobrepeso…. Sin desperdicio…

ONO y las IP Gordas

 ONO y las IP Gordas II

En finsss…. Sigamos con la lucidez….

Por si esto fuera poco, la prestigiosa revista PC World no ha dudado en calificar a Vista como la “decepción tecnológica del año”, un duro golpe para el jubilado Bill Gates.

Vaya, creo que es la misma PCWorld que tiene un apartado especialmente dedicado a Windows Vista, e incluso tienen una Web muy chula y con la que venden mucho….

Estando así el panorama, la dirección de Microsoft urgió a la división responsable del desaguisado, a lanzar un service pack (actualización de software) que calmara los ánimos por el momento y así intentar reconducir el buque a la deriva

Claro (CAPULLO de alhelí), como Windows no tiene SOPORTE, para qué carajo van a sacar un ServicePack? Para qué carajo van a sacar un hotfix para cuando algo falla? Tú lo compras y ya está. Pero claro, así es caro. Caro de cojones. Pero como tiene SOPORTE, estos chicos te sacan un ServicePack para aumentar sus posibilidades y parchear bugs y fallos de seguridad, y como Windows Vista tendrá como mínimo 10 años de soporte, el precio de un Vista lo divides entre 10, y no te da ni para comprarte una cervecita en mi barrio. TRIANA!!. Pero eso ya lo sabías no SUPERTECNICO?

Lejos de ello, y como a perro flaco todo son pulgas, el equipo de desarrollo de XP -viendo que su criatura todavía tenía mucho recorrido- está pertrechando otro service pack que a la vista de los resultados podría amargar la jubilación de Gates: XP sería considerablemente más rápido que Vista, o lo que es lo mismo, se confirmaría que el enemigo lo tienen en casa.

Total, como Windows Vista ya ha salido, al carajo con lo demás. Sin soporte. Listillo! Comenta a las empresas que todos los Windows que han comprado no llevarán en su vida útil ningún ServicePack nin ningún parche! Te deseo suerte SUPERTECNICO!

Lejos ya de mirar el contenido técnico del artículo, investigando a ver si el escritor me ha querido decir “algo”, y lo ha hecho escribiendo entre líneas, me he puesto a investigar la sabiduría técnica de este señor llamado Joselito Mendiola.

Este SUPERTECNICO de signo Virgo, y adorador de las nuevas tecnologías (Gadgets!), es Licenciado en Ciencias económicas y redactor de artículos relacionados con nuevas tecnologías.

Y ahora pregunto yo…. Señor SUPERTECNICO, acaso no se ha leído las nuevas bondades de Windows Vista?

Acaso no se ha leído la respuesta de Microsoft sobre la especulación de ese sistema operativo llamado Windows 7 y que casualmente se parece mucho a VISTA??

O acaso sus únicas fuentes de información son ésta o ésta?

Yo antes no creía en los signos zodiacales, pero he cambiado de opinión. Este señor nació en el año del Gallo, así que…. Podemos llamarle PapaGallos?

Por favor, dejen a los profesionales hacer su trabajo.

Por cierto… La economía está hecha una puta mierda…. Espero que tú no tengas nada que ver….

Gudbai!!