AntiFooling es una sencilla pero útil herramienta hecha con AutoIt para simular que un sistema Windows es una máquina virtual, pero ¿para qué? Pues hoy en día la mayoría del malware es analizado dinámicamente en máquinas virtuales y sandboxes, por lo que el software malicioso suele implementar medidas que lo detectan y detienen su ejecución en tal caso. Por el momento, AntiFooling puede simular ser un sistema virtualizado con VirtualBox o VMWare, para lo cuál utiliza varios artefactos.
Comentarios
#21 por que? por demostrarle que esta equivocado?
#22 demostrar que se equivoca al hablar mal de rusia es considerado delito de alta traicion por todos los rusofobos peperos del meneame.
Si pudiese engañar también a mi Volkswagen, me bajaría el consumo y las emisiones. Sólo hay que hacerle creer que lo estoy inspeccionando.
#17 pero no puedes coger curvas... no sé si compensa
#31 Entonces te refieres a desactivar el sistema UAC al completo, vale. Eso no se hace con un clic, eso se hace según tú con 15 segundos yendo lento, te lo daré por válido pero lo importante no es cuánto tardas en hacerlo sino si es un proceso que se pueda hacer de forma accidental o no. Desactivar el sistema UAC podrá llevarte sólo 15 segundos pero no se puede hacer de forma inconsciente, si lo haces es a sabiendas y por propia voluntad y si tú lo haces adrede, no es culpa del SO. Es como si pegas en la consola de linux cualquier comando que leíste en Internet y le das privilegiios de root, te lleva 3 segundos pero la culpa es tuya.
En cuanto a "un proceso por detrás que se aproveche" supongo que contestas a "Aun con la UAT desactivada, si tratas de ejecutar algo que venga de internete, te va a decir que tiene un origen desconocido y confirmar que quieres abrirlo. "
Ya de base partimos de que has desactivado las medidas de seguridad. El error está ahí, en que has desactivado las medidas de seguridad.
P.D: Linux con malware: Android
Protegido por usar linux: 2% de cuota frente al 95% , ahí tienes el motivo.
#32 y efectivamente de ahí venía mi comentario inicial. Que me parece atroz que un SO permita deshabilitar cualquier esperanza de seguridad con dos clics y para siempre (o hasta nueva orden) porque han leído el readme del crack para instalarte el call of dutty piratón. Y Ale. Sin seguridad ya per secula seculorum. Eso podrá ser un sistema, pero desde luego no es 'operativo' ...
#34 En linux también te puedes hacer Root de forma permanente y trabajar con cuenta de root, en vez de con una cuenta limitada. Entonces ¿Es linux un sistema Inoperativo como windows? ¿por qué o por qué no? ¿quizás porque te lleva 30 segundos en vez de 15?
Da igual cuántos clics te lleve o cuantos segundos, eso no importa. Lo único que importa es si se puede hacer o no y si se puede hacer de forma accidental o no. En ambos se puede hacer y en ambos eres consciente de lo que haces. ¿cuál es la diferencia?
Si tú conscientemente desactivas las medidas de segurida, la culpa es tuya y solo tuya, no del SO.
Ah, por cierto: sudo passwd root no son clics pero tampoco es que sea mucho más complicado.
#37 aha... Si... Internet está lleno de manuales que indican que para poder instalarte el último software pirata de turno en Linux debes dejar una consola de root abierta y trabajar solo con ella. ¡me tienen harto esos manuales!
Siguiendo tu línea argumental, a riesgo de equivocarme, ya que ambos sistemas son segun tu exactamente igual de inseguros y violables estando simplemente a disposición de lo que ordene el usuario, la diferencia debe radicar, casi en exclusiva, en que el usuario promedio de Windows es infinitamente más estúpido que el de Linux. ¿no? Sino, como se explican la cantidad de ataques de toda índole que sufre Windows respecto de Linux?
#41 ¿Qué tiene que ver de qué está lleno Internet para la seguridad del Sistema Operativo? A parte de que es mentira, Internet de lo que está lleno es de "manuales" que te dicen que para piratear el programa debes desactivar el antivirus, no el UAC porque eso es totalmente innecesario, llega conque eleves privilegios cuando te salte el UAC, no hay por qué desactivarlo por completo. Por otro lado, instalar software pirata es en sí mismo un riesgo.
Siguiendo tu "línea argumental" aunque linux por defecto trabajase siempre con cuenta de Root y no tuviese ningún tipo de control de permisos, este seguiría siendo más seguro que Windows dado que "no hay manuales en Internet que te inciten a instalar software pirata" y como no los hay, pues ya es más seguro, aunque trabajes siempre como Root. Manda huevos.
Sí, exactamente, en cuanto a esto la diferencia radica en que el usuario es infinitamente más estúpido en windows que en linux y en que el 95% usa windows, por tanto más interés en crear malware para windows y también más porcentaje de estúpidos usándolo porque a más gente, más estúpidos se cuelan. El usuario es tan estúpido que incluso es capaz de superar un captcha para instalar de forma voluntaria malware en su equipo, es tan estúpido que hace caso en desactivar el antivirus para piratear. Fíjate en cómo infecta la mayoría del malware y el malware más conocido y dime de quién fue la culpa, si se aprovechan de un fallo en el sistema o de ingeniaría social. Si tú mismo lo dices "hay manuales que indican (al usuario)", al usuario, no al sistema.
¿cómo te explicas la cantidad de ataques en windows? pues de la misma manera que se explican los ataques en Android: más usuarios, mayor interés por atacarlo.
En cuanto a "ataques de toda índole", en realidad son todos básicamente del mismo tipo: engañar al usuario.
#56 apenas sabes de lo que hablas. Veo ransomware y empresas afectadas por el a diario. Y no hay un patrón de usuario especialmente tonto o desinformado. La vulnerabilidad es de SO. El simple hecho que Que en Windows sea obligatorio tener un antivirus que desactivar ya debería darte una pista de su nivel nativo de seguridad.
#58 En windows no es obligatorio tener un antivirus.
No, no hay un perfil de usuario especialmente tonto, no, no lo hay porque desactivar un antivirus para meter un producto pirata es de listos; superar un captcha para leer una supuesta "carta certificada", pasarse por el forro las advertencias y ejecutar malware también es de listos; seguir manuales "que indican que para poder instalarte el último software pirata de turno " debes, según tú, desactivar completamente el UAC es de genios e instalar software pirata, la acción en sí misma, esa ya es el summun de la inteligencia.
Yo es que no sé de qué hablo, explícame tú cómo le entró ese ramsomware a la empresa, anda.
No te olvides tampoco de decirme cuál es esa vulnerabilidad del SO de la que se aprovechan.
#65 pues según #63 (quien desconoce que Windows tiene una colección de vulnerabilidades de escalada de privilegios y demás como si no hubiese un mañana) debe tener el servidor lleno de mierda y de ransomware.
#66 Un proceso ejecutándose como root no se va a bajar por sí solo el malware y ejecutarlo, eso es lo que hace el usuario y el por qué se infecta. Ese proceso tan sólo hará lo que tenga programado hacer, como root, sí, pero no se va a bajar malware por su cuenta. Quizás deberías mirar como se propaga el ramsomware.
En cuanto a escalada de privilegios, a la par que linux.
#41 yo conozco a bastante gente ejecutando todos los procesos de sus servidores bajo el usuario root.
No he entendido una mierda pero supongo que debo alegrarme. Qué inicio de semana tan hermoso.
#51 Pasa la gráfica del anfitrión al invitado.
" o todavía no hay un soporte completo para hacer ese "passthrough" en otra plataforma que no sea Gentoo+KVM+VFIO?"
Creo que Solus trae Virt-Manager con VGA passthrough en la interfaz gráfica para KVM, no hace falta gentoo, era un ejemplo.
#16 Imagino que te refieres a cuando salta el UAC, conceder permisos a ese programa. ¿Qué diferencia hay entre aceptar el UAC con un clic y meter la contraseña de root? Yo no veo ninguna.
#26 eso es lo que salta con la UAC activada. La comparación sería con dejar una Shell de root abierta y de uso libre.
#27 y no está permitido. Es delito.
#23 si es sencillo. 15 segundos yendo lento. Eso salta si lo ejecutas tu, pero un proceso por detrás que se aproveche no pide ese permiso en popup. Respecto a la comparación una cosa es deshabilitar el esp con un botón en el salpicadero y otra sería quitar hasta los cinturones y los airbag. Y si. Solo por utilizar Linux estas protegido al 99% de los malwares que afectan a Windows, que es de lo que va el software que comentan en el artículo. Jamás he visto un malware, ransomware, etc que afecte a Linux. ¿tu si?
#31 delito? solo si no eres vw no?
#33 creo que confundes los conceptos de ley o legalidad con el de Justicia. Es un error muy común.
#35 tengo claro que nada tienen que ver entre ellos, bueno ni entre ellos ni con los del partido podrido
#36 wow. Mira que yo voto a podemos pero... Achacar una estafa a nivel mundial de una empresa de coches alemana a algo que tenga que ver con el PP... No me parece muy relacional.
#39 sobornaron a soria y este evito que la justicia española los castigara por pasarse la ley por el forro de los cojones, te parece bastante racional ahora?
#53 me parece irrelevante en una estafa de semejante envergadura a quien pertenece el político sobornado de turno ya que, a la vista está, ha sucedido en todos los países con presencia de esa marca. Que sea el ppsoe Cuñadanos o el que toque es irrelevante. Ahí manda el jefe de todos ellos: el mercado.
#60 el mercado? eso es lo que la tv quiere que pienses pero es mentira, eso que ellos llaman "el mercado" son empresas y personas con sus intereses
Sin ser un experto, me temo que esto solo será útil para quienes ejecuten servidores sin maquina virtual (pocos) porque para un usuario medio existe un medio simple para comprobar si es una maquina virtual. Si la memoria de la gráfica es de menos de 128 MB, podría ser una virtual, pero si es de más de eso, (creo que lo más que he visto en una virtual son 64 MB) ni de coña puede ser una virtual. Que levanten la mano los que tengan gráficas con menos de 512 de RAM aunque sea para un pc de ofimática.
#2 El artículo no lo dice pero quizás la herramienta pueda simular que se tiene menos memoria gráfica de la que se tiene en realidad ¿Sería posible esto?
#6 No lo parece, pero no soy experto. Tendría (a mi entender) que cargarse durante el arranque, antes de que windows inicie la carga, para crear un 'hardware' falso, y engañar al propio windows. No creo que AntiFooling haga eso.
#44 No es para nada tan complejo, ya los antivirus usan técnicas de sandboxing y hay programas que te permiten aislar programas mediante esas mismas técnicas.
Una vez controlas o tienes aislado el proceso puedes interceptar cualquier llamada que haga (simplificando) y cuando él crea que le está preguntando a DirectX, por ejemplo, cuanta RAM tiene la GPU o qué modelo es, pues le devuelves los datos de otra real que sabes que existe. Y los procesos que estén fuera de esa "jaula" seguirán pudiendo utilizar todo el hardware sin darse cuenta.
Incluso podrías emular el hardware completamente, para que el programa lo utilizase como legítimo (y no sería descabellado habiendo ya implementaciones para las máquinas virtuales imitadas).
No digo que sea lo que hace esta solución, claro, la descripción es bastante escueta.
#2 Yo. Máquina Intel, Gráfica Intel. 32 megas. Y va que chuta.
#9 No nos cabe duda de que el windows 95 va de maravilla en tu máquina
#14 Te sorprenderías de la poca ram que dedican a la gráfica la inmensa mayoría de chipsets con gráficos integrados. Te sorprenderías y mucho.
#20 Lo primero es hace ya mucho que las gráficas integradas van en el micro, no en el chipset. Aparte, lo acabo de mirar, y por lo visto las APU de AMD permiten dedicar hasta 2 GB para gráficos. Sin contar los esfuerzos que se llevan haciendo desde hace años para tener un espacio de memoria unificado entre CPU y GPU...
Ahora, que si usas una gráfica Intel guarrera de hace años, normal que sólo use 32 megas
#57 Revisa el concepto de hasta. Que pueda usar hasta 2 GB no significa ni de coña que este usando 2GB. De hecho lo habitual es entre 32 y 128 megas. Más que de sobra si no haces nada con DirectX / OpenGL
Y todo esto en procesadores de menos de 5 años.
#70 No hacer nada con Direct3D u OpenGL... poco uso le das al ordenador entonces. Ya no son sólo los juegos, las interfaces gráficas modernas utilizan la GPU todo lo que pueden. Y en cuanto a la memoria, estoy leyendo foros de 2012 por asegurarme, y ya entonces las gráficas integradas de Intel permitían usar más de 1 giga de RAM (y por lo visto la ajustan de manera dinámica según las necesidades).
#71 Te digo lo mismo que antes. Que permitan usar no significa que siempre se use, y más si se comparte memoria. Todo lo que uses en gráfica se lo quitas al sistema por lo que ese valor siempre se mantiene al mínimo posible, en condiciones normales 128Mbytes como mucho!
Si te sirve de algo ahora mismo con mis 32 megas estoy usando Plasma 5 que como supongo que sabrás tira todo a golpe de OpenGL y va como un tiro. Haz tú mismo las cuentas
#72 Sigo pensando que poco uso le das si con 32 megas de sobra, pero allá cada uno.
#2 yo.
#12 Con Windows 95 o linux Mandrake 6.0, como todo héroe mítico, ¿verdad?
#42 a lo mejor es algo mas de RAM el que me refería. Pero hay otro que si que tiene W95 totalmente sin uso.
#2 Tambien puedes mirar si el driver de la tarjeta de red es un driver de vmware o no. O si la MAC es de un vendor tipo vmware o virtualbox, y no necesitas privilegios para verlo que yo sepa.
#18 Estamos de acuerdo entonces que el antifooling es inútil, salvo que sea capaz de sustituir por completo la capa de abstracción del hardware, cosa que hoy por hoy no parece que haga.
#43 Bueno... inútil inútil no es, alguno caerá, pero desde luego no es completo y dependera de una casuística muy concreta para ser realmente útil.
Como concepto en cambio me parece muy curioso.
#2 Hace años que las máquinas virtuales se pueden configurar en modo "passthrough" para la GPU y que vean directamente el hardware real del equipo, se usa sobre todo cuando tienes varias gráficas, normalmente una integrada y otra PCIe. El sistema virtual simplemente ve una gráfica normal, incluida la memoria que esta tenga, y usa los drivers estándar.
#46 ¿Entonces podrías jugar al Crysis o al Shogun Total War en una maquina virtual? No juegues con mis sentimientos...
(Hace por lo menos 3 años que no uso virtualbox ni vmware, desde que tengo un NAS wdmycloud y lo uso para descargas, y demás servicios)
#49 Por supuesto.
#50 Me has hecho feliz. Una pregunta (de ignorante): En el video entiendo que es un linux gentoo con una maquina virtual creada con KVM, aunque no sé muy bien que es vfio, entiendo que debe ser algún tipo de driver, o algo así, pero ¿sabes si es posible lo mismo sobre cualquier linux (devian por ejemplo) con Virtualbox, o todavía no hay un soporte completo para hacer ese "passthrough" en otra plataforma que no sea Gentoo+KVM+VFIO?
Si te lío demasiado, disculpas anticipadas, y no te preocupes, lo veré mañana con más calma, aprovechando que es festivo
#51 Ojo que tu placa base y CPU deben soportarlo, y la GPU también (creo, pero no sé seguro, que con que cumpla PCI-e 2.0 ya).
VMWare en Windows según me han contado lo soporta bien. VirtualBox es otro cuento, en Linux lo soportan pero... bueno, esta web lleva diciendo que es "experimental" desde que tengo conocimiento:
https://www.virtualbox.org/manual/ch09.html#pcipassthrough
Así que, en mi opinión, la forma más fácil de probarlo es usar KVM-libvirt, que viene integrado en el kernel (kvm) y en todos los Linux que conozco. Y con herramientas como virt-manager puedes hacer todo sin tocar la línea de comandos. creas la MV, eliges el hardware que quieres que utilice en exclusiva y listo.
Total, la ventaja de VirtualBox frente a virt-manager o similares es la integración con el host, y si va a usar su propio hardware gráfico como que ya la has perdido.
#2 Yo tengo una de 256 MB... junto a una de 1024 MB y una de 2048 MB.
Lo gracioso es que según en qué monitor arranque los programas, suelen pillar por defecto la gráfica de ese monitor... supongo que debería arrancar las cosas sospechosas en el monitor de la gráfica de 256 MB
(o mejor aún, no ejecutar cosas sospechosas )
también puedes coger tu antivirus y en el firewall bloquear todos los dominios .ru que eso ya te quita el 40% de la mierda que circula por internet
#1 que la realidad no te estropee tu sueño:
http://www.darkreading.com/attacks-breaches/as-malware-surges-us-remains-biggest-source-of-attacks-/d/d-id/1320158
#3 primera linea del texto que enlazas: "Contrary to popular perception, a majority of the cyber attacks on U.S. companies continue to originate from inside the country rather than outside it"
Exite una cosa llamada RESTO DEL MUNDO, es eso que se puede encontrar fuera de las fronteras de los estados unidos
#4 Los adultos españoles, a la cola de la OCDE en comprensión lectora
Los adultos españoles, a la cola de la OCDE en com...
quiosco.elmundo.orbyt.esWhen Webroot looked at where malicious URLs are located, Russia and China were barely on the list while the U.S. topped with France in a distance second place.
“The United States is the number one source of attacks, number one in terms of attack victims and number one in terms of attackers,” said Mike Malloy, executive vice president of products and strategy at Webroot.
One reason why so many malicious URLs are located in the U.S. could simply be that malicious attackers know that URLs in high-risk countries are automatically blocked by geo-filtering services, he said.
#5 ¿quien te ha dicho que soy un adulto español?
#7 Ciertamente pareces un niñato de algún país tercermundista
#5 Yo diría que gran cantidad de los ataques se originan igualmente en Rusia y China, pero a través de botnets. Quien lanza el ataque desde luego no es el ruso desde su ordenador, para algo se ha dedicado a controlar a otros cuantos miles.
#10 los ultimos ddos gigantescos han sido originados desde dispositivos IoT situados en los EEUU.
Jejejeje es decir algo malo relacionado con rusia como en #1 y ya tienes a alguien saltando que la culpa es de usa, como #3
Welcome to mnm, bienvenido a mnm
#68 ¿Ha hecho ya alguna cosilla? Mira esta, p.e. : https://www.codecademy.com/es/tracks/javascript-traduccion-al-espanol-america-latina-clone
#16 como tampoco permiten vender coches que no cumplan los limites de emisiones?
El sentido común es el mejor antivirus. Evita el 90% de los virus.
#13 El problema es que ese 10% hace mucho, y con un antivius y sentido comun te libras del 98%.
#19 El problema es que la gente pulsa descargar e instalar sin leer ni mirar, da igual que te llene el PC de mierda, da igual que el antivirus te avise 50 veces. Luego te llaman que "no saben que le pasa" y te encuentras mas malware y spyware que en una nevagador de un cibercafe de los 90.
#40 Es que algunas veces las grandes empresas tienen ideas de bombero...
No tengo ni idea, pero aprovecho a la comunidad: ¿un libro para inciar a un adolescente en esto de la programación? Gracias
#15 Adolescente... programación... esta claro... Huye! Si aprecias tu salud mental escapa ahora que puedes!
#24 #55 Gracias, es para mi hijo, que le encanta este mundillo.
#15 Hay webs que dan cursos online. Te explican con vídeos un tema, y luego haces unos ejercicios directamente en el navegador y te los corrigen. Suelen costar 15 ó 25 euros al mes, y puedes conectarte todo el tiempo que quieras y hacer todos los cursos que quieras. No conozco ninguna en español, porque los profesionales accedemos a estos cursos con cosas muy novedosas que aún no se han traducido, pero no debe costar encontrarlas.
#15 Google.
Honestamente, mi libro de "iniciación a la programación" fue pillarme la ayuda del Microsoft Visual Studio y ponerme a leer, después de leerme el manual del 80386.
Hoy en día, empezaría tragándome media Wikipedia, descargando pdfs con las especificaciones, leyendo documentación de lenguajes... ah no, espera, que eso fue el otro día cuando tenía un rato libre
#16 Bueno, desactivar la UAT no es algo "sencillo", tienes que buscar la configuración y cambiarla, no es algo que suceda por accidente. Aun con la UAT desactivada, si tratas de ejecutar algo que venga de internete, te va a decir que tiene un origen desconocido y confirmar que quieres abrirlo.
En cuanto a la comparación, muchos vehículos tienen la opción de desactivar las ayudas electrónicas, algunos en el menú del coche, otros pulsando un botón en el salpicadero. Tiene sentido porque hay situaciones en las que es necesario: Pej, desactivar el control de tracción cuando se arranca en nieve/hielo. Y aun así hay gilipollas que lo desactivan para "tener más control". Sin mencionar que estrellar un coche por meter la gamba es bastante fácil: Sube el freno de mano por la autopista, o cambia a una marcha mucho más baja mientras circulas a gran velocidad y ya verás que divertido.
En cuanto a linux, si piensas que estás protegido solo por utilizarlo... lo llevas claro. Y no, no tengo nada contra linux (lo he utilizado y lo utilizo profesionalmente) ni me paga Microsoft.
Tal vez engañen al malware antiguo, pero las nuevas versiones que salgan incluirán un Anti -AntiFooling. Por mucho que intenten simular ser una máquina virtual, tendrá algún fallo que lo detectarán en cuanto se empeñen un poco en buscar errores.
La seguridad de Windows 7 sin permisos de administración un 90% mejor http://www.muywindows.com/2010/03/30/la-seguridad-de-windows-7-sin-permisos-de-administracion-un-90-mejor
Se columpian pero mejora entorno a un 30% minimo
#8 Para algo existe la UAT y la necesidad de escalar permisos para cualquier cosa. Ahora ya los que desactivan la UAT...
#11 lo que es bastante cutre es que un SO te permita, con un solo clic, arruinar cualquier esperanza de estar protegido contra malware desactivando la UAC. Es como si tu coche tuviese un botón al lado de los warning que desactivase todas las ayudas electronicas a la conducción, todos los elementos de seguridad activa y pasiva... No creo que la ley permitiese vender semejante chufla de coche por la seguridad de todos. Pues lo mismo me parece la mierda del Windows. Ahora que yo solo lo tengo en un ssd para juegecitos y para todo lo demás... Linux.
#16 Aún desactivando la UAC, hay partes de Windows a las que solo tienen acceso usuarios especiales como SYSTEM, a las que ni siquiera alguien con permisos de Administrador tiene acceso.
En Linux en cambio, si no usas un kernel con GRSec+PaX, SELinux y un firewall saliente, puedes estar hasta menos protegido que en Windows. Existen exploits, rootkits, troyanos, y solo por ejecutar las cosas como no-root no te vas a librar de ellos.
#76
#81 Em... usar un comportamiento aleatorio, imposible de predecir... como puse arriba.
A mi no me mires, uso Linux
bah..
Virus
Antivirus
Al virus se esconde del antivirus y sigue infectando
Se le mete en un sandbox y se le observa
Detecta que está en un sandbox y se queda quieto ahí
El entorno infectable simula ser un sandbox.
¿Cual es el próximo paso?
#62 Siguiente paso: El virus se queda quieto solo un 50% de las veces, de forma aleatoria... lo cual permite analizarlo más fácil... pero da igual, porque en el tiempo que se tarda en analizar, roba lo suficiente de sus víctimas como para resultar rentable para los atacantes.
#78 ¿qué harias para enfrentarte a un enemigo capaz de calcular tu siguiente paso, pues puede duplicar tu forma de pensar?