Hola,
Como habréis notado he respetado el título original del artículo ya que creo que cualquier intento de traducción estropearía un titular que me parece -además de divertido- adecuado.
Os dejo este interesante paper de Rafal Wojtczuk de Invisible Things Lab, y lo hago por tres razones: la primera es ilustrar cómo un problema serio puede ser resuelto de una manera rápida, consensuada y al gusto de todos los implicados. El 17 de Junio Rafal notificó el problema al equipo de X.org. Tres días más tarde se decide que el problema debe ser discutido con los desarrolladores del kernel de Linux, ya que la manera adecuada de solucionar el problema pasa por parchear el núcleo. El 13 de Agosto Linus Torvalds resuelve le problema con el correspondiente parche, y ayer día 17 de Agosto se publicó este documento.
La segunda razón es dar a conocer el problema. Se trata de una vulnerabilidad descubierta accidentalmente y que al menos está presente desde la introducción hace unos 5 años de la rama 2.6 del núcleo de Linux. Es un problema con consecuencias extremadamente graves, ya que permite la elevación de privilegios a root desde procesos sin privilegiar que tengan acceso al servidor X, si bien no se explota problema alguno en X.
El problema puede ser explotado si un atacante modifica maliciosamente una aplicación que haga uso del servidor (cualquier aplicación con frontend gráfico, por tanto) siendo posible que se logren sobrepasar los mecanismos de seguridad provocando que el proceso corra como root, lo que técnicamente es un compromiso total del sistema. Según se explica en el documento, mediante este ataque es posible escapar incluso del afamado sandbox -X de SeLinux. Casi nada.
El problema se puede solucionar bien parcheando el núcleo (2.6.35.2 y 2.6.34.4 están libres del problema), bien deshabilitando la extensión de intercambio de datos de imágenes entre el cliente y servidor empleando la memoria compartida (MIT-SHM). Tenéis más información de este interesante caso en el blog de Joanna Rutkowska y los detalles del problema están narrados con detalle en el documento Exploiting large memory management vulnerabilities in Xorg server running on Linux.
Sí, efectivamente, tienes razón: eran tres las razones, y me he reservado la última para el final. El tercer motivo es pensar sobre cuántas vulnerabilidades similares a esta estarán aletargadas entre las millones de líneas del código de Linux. Probablemente muchas, y probablemente la mayoría no están siendo explotadas activamente, si bien tener certeza de esto es imposible. Aunque Linux es un sistema extremadamente eficiente, estable y seguro, no sólo hay esqueletos en los armarios de Redmond. Sirva este ejemplo para ilustrarlo.
Un saludo,
Hola,
Me gustaría aprovechar este breve inciso en las vacaciones veraniegas para hablar de Live View. Esta herramienta es una de mis predilectas, y quizás sea una de esas muchas aplicaciones de alta calidad que por su especialización pasan desapercibidas para el grueso de los usuarios, si bien dentro del mundo del análisis forense es una herramienta utilizada de modo intensivo, habida cuenta de sus virtudes y su carácter gratuito.
Especialmente orientada para trabajar desde una estación Windows y ofreciendo el mejor soporte para el análisis de sistemas también Windows (el soporte de Linux es parcial, y yo no os lo aconsejo) Live View permite al investigador forense estudiar las imágenes forenses que se hayan recogido para realizar una investigación de la misma desde un punto de vista dinámico, es decir, ejecutando dicha imagen.
Mediante Live View es posible crear una máquina virtual VMware a partir de una imagen forense, lo que posibilita al investigador obtener un punto de vista dinámico de la ejecución del sistema que se quiere analizar tal y como hemos comentado. Tradicionalmente casi todas las herramientas forenses son estáticas: se monta la imagen, se buscan cadenas, se correlacionan los eventos y se observa la relación de los mismos, extrayendo las conclusiones pertinentes. El punto de vista dinámico nos permite observar el sistema en ejecución, lo cual puede ser especialmente interesante si planeamos hacer operaciones como el estudio de los procesos en ejecución, un volcado de memoria, contaminación de los componentes del sistema, lanzar aplicaciones, capturar el tráfico de red, etc.
Live View no daña la imagen original, respetando así la validez de las evidencias. Otra enorme ventaja es que, dado que se generan imágenes VMware, es factible gestionar snapshots de las mismas para ir realizando cambios y reviritiéndolos rápidamente si fuera necesario. Live View permite montar y analizar imágenes crudas (dd) tanto de discos completos como de particiones, así como discos físicos (unidos a la máquina mediante USB o Firewire). Los sistemas soportados son Windows 2008, Vista, 2003, XP, 2000, NT, Me, 98 y existe soporte parcial para Linux.
Live View es software libre según GPL y puede ser descargado sin coste desde http://sourceforge.net/project/showfiles.php?group_id=175252
Un saludo,
