EDICIóN GENERAL
175 meneos
1826 clics
Para evitar un nuevo WannaCry, Microsoft eliminará una función de 1990 de Windows 10

Para evitar un nuevo WannaCry, Microsoft eliminará una función de 1990 de Windows 10

WannaCrypt aprovechó una vulnerabilidad en SMBv1, protocolo que data de 1990, para extenderse dentro de una red Windows sin que los usuarios fueran conscientes de ello. Microsoft lleva tiempo recomendando no utilizarla el protocolo, al menos desde 2014, debido a los problemas que puede generar usar una tecnología tan obsoleta. Sin embargo, tras el ataque de ransomware, ha decidido tomar una decisión drástica y eliminarlo por completo de Windows 10. Esto sucederá en otoño con la llegada de Windows 10 Fall Creators Update.

| etiquetas: wannacry , microsoft , windows 10 , ransomware
Eso de Windows 10 Fail Creators Update no suena muy bien... :-P
#1 No es un fallo introducido en la Creators Update.
#1 Imagino que lo dices de cachondeo pero imagino que Fall en este contexto significa otoño, aunque les hubiera quedado mejor Autumn.
#3 Autumn es un término británico. Fall americano.
#4 Ya, pero me refiero por no poner un sinónimo de caída. :-)
#14 Ellos no lo interpretan de esa manera, de verdad. Los que lo interpretan mal somos los "extrangeros".
Queda bastante bien decir "una función de 1990", en plan "OOOH Mirad la mierda de Windows le atacan por algo de 1990"

Lo cierto es que actualmente usamos protocolos incluso más antiguos, Linux incluído. No veo a nadie llevarse las manos a la cabeza.
#5 Tranquilo, que cuando deje de funcionar, seguro que hay software que lo sigue usando y se llenaran los foros de pestes contra Microsoft.
#5 No por ser antiguo un protocolo es malo.
#5 Yo he visto no hace mucho a una empresucha echar la culpa de absolutamente todo a Microsoft, teniendo todos los equipos piratas con versiones piratas de Windows XP sin Service Pack y sin un puto parche...
#5 Deberían acabar con el protocolo TCP, es de 1973 y practicamente responsable de la propagación de todos los virus actuales.
#5 Sí, linux es un protocolo :-D
Por lo que me comentaron por aquí cuando pregunté por qué no desactivarlo por defecto (www.meneame.net/c/21747373), justo lo que supongo que harán en otoño; aún hay unos cuantos servicios y equipos que no funcionan si se desactiva.

Veremos si los actualizan antes de este cambio.
O sea... que se no se sienten capaces de arreglarlo y prefieren eliminarlo directamente.
#7 Hay funcionalidades obsoletas que se mantienen por compatibilidad hacia atrás. Hay muchas funcionalidades que se van eliminando cuando ya no se usan. Y esta era una de ellas.
#10 Pues... te doy un ejemplo: en mi empresa tienen un dispositivo para medición de fibras ópticas. Todo muy bonito peero... está basado en windows. Un windows 98 creo que tiene. El dispositivo funciona tan bien como el primer día aunque es un poco armatoste. Ahora vienen unos más chiquitos y basados en linux pero este está basado en windows. Y la única forma de extraer la información que tiene grabada es mediante red.

Como te imaginarás, ese dispositivo dejará de ser accesible desde windows cuando eliminen el soporte al protocolo que usa. Será obsoleto pero funciona.
#13 ¿Y que propones? ¿Te crees que los basados en Linux no daran problemas cuando se queden obsoletos? Además no quitan el soporte de esa funcionalidad, solo la desactivan por defecto.
#15 En Linux puedes usar lo que te de la gana, sea obsoleto o no. No dependes del capricho de una empresa. Si miras bien, verás que todavía puedes usar una lectora de CD de esas que venían con tarjetas propietarias, o un scanner que sólo tiene drivers para windows 95.
#23 Y en Windows puedes implementar el driver que te de la gana. La empresa caprichosa lo que hace es ponerte las cosas fáciles para el software actual.
#33 En windows puedes implementar el driver que te de la gana pero en linux no hace falta.
#35 Sí, la verdad es que es gracioso como se han invertido los papeles. Hoy en día en un linux enchufas casi cualquier cosa y funciona a la primera. En widnws tienes que estar metiendo drivers, desconectando primero, reiniciando, autorizando la instalación de software no aprobado por Microsoft. Y muchas veces resultará que el driver del producto sólo viene para versiones viejas de windows... o al revés, que tienes una versión vieja y el driver viene para las nuevas, etc. etc. Todo un circo se…   » ver todo el comentario
#37 Pero eso pasa en tu windows, en el mío funciona todo a la primera.
#41 Te creo. Yo en mi empresa veo más de uno, por eso lo digo.
#37 ¿pero tú qué windows tienes?
#42 Yo personalmente, alguno por ahí. Pero mi empresa tiene más de mil PCs con todo lo que te imagines (incluso, como dije, algunos equipos de medida con windows 98). Y veo problemas de estos constantemente. Los últimos problemas han sido por las actualizaciones automáticas de windows 10.
#52 vamos, que tu empreda no controla adecuadamente sus equipos.
#13 Será obsoleto pero funciona y está plagado de vulnerabilidades de seguridad que precisamente no actualizan por obsoleto, por existir otros protocolos bastante mejores como, ¡sorpresa!, SMB2.
#17 Claro. Está plagado de errores cometidos por los programadores de Microsoft. Empresa que no se quiere hacer responsable de corregir.
Con respecto a SMB2... si quieres eliminar protocolos obsoletos, SMB2 también está obsoleto ya. Hace rato que tenemos SMB3.
Pero si quieres que productros antiguos sigan funcionando, SMB1 hace su trabajo suficientemente bien. Que la implementación de su creador (Microsoft) esté llena de fallos no implica que el protocolo no sirva o deba descartarse.
#25 ¿No se podrían eliminar todas estas tecnologías obsoletas por defecto? Si alguien las necesita, que el sistema permita su instalación en forma de módulos, o algo así.

Hay que ver la cantidad de código que hay en el sistema, y que al 99,9% de usuarios no les hace falta para nada.
#32 Es que no siempre se quiere eliminar tecnologías antiguas. Muchas veces siguen siendo igual de útiles y las nuevas tienen ventajas en algunos aspectos nada más.
De hecho, muchísimas veces empresas como Microsoft crean versiones nuevas únicamente para forzar a la gente a dejar de usar los productos viejos y comprar los nuevos.
#32 Se podría haber deshabilitado SMB1 por defecto y que el usuario tuviese que activarlo si quisiese usarlo, eso es lo que llevan discutiendo desde 2014 y el motivo de que no lo hicieran fue que la mayoría de usuarios no pensaría "tengo que habilitar SMB1 para que me funcione Kodi" sino que pensaría "Vaya mierda, esto no funciona" . Muchos no saben ni donde se habilitan las características de windows.
#25 Hay cosas que la única manera de arreglarlas bien es sacar una versión nueva que las sustituya, y eso fue lo que hicieron con SMB1. Tú dices que no quieren arreglarlo, es mentira, ya lo arreglaron, se llama SMB2 y mejor aún, SMB3.

SMB2 y 3 mejoran el cifrado y la autenticación con respecto a SMB1, un cifrado y un sistema de autenticación que son necesarios para que SMB no sea vulnerable pero que son incompatibles con aplicaciones viejas.

Por ejemplo, SMB1 utiliza MD5 para firma de…   » ver todo el comentario
#45 por ejemplo openssl 1.0 que al pasar a openssl 1.1 quitaron rc4 y si no te gusta te jodes xD
#46 Si no te gusta a ti solo probablemetne tengas que joderte. Pero si fue una mala elección seguro que a mucha más gente también le molestará y en pocos días o semanas tengas un parche o un fork que lo vuelva a introducir. Incluso si fuera por una necesidad tuya específica, siempre están a tu disposición las versiones anteriores.
#49 RC4 es vulnerable, si lo vuelven a introducir estarán introduciendo una vulnerabilidad, eso no es razonable.

"siempre están a tu disposición las versiones anteriores" Anda, como con SMB que tienes hasta la primera versión, la SMB1. El problema es que tanto con openssl como con SMB tendrás versiones anteriores... y vulnerables, y luego tú vendrás conque por qué no arreglan esas versiones antiguas. Es que ya las arreglaron solo que tú no actualizaste y sigues con la versión antigua y vulnerable.
#56 Supongamos que tienes en tu empresa un sistema que funciona con RC4. No puedes cambiarlo y estás dispuesto a mitigar la vulnerabilidad aislando la red por ejemplo, o poniendo un firewall.

Si lo necesitas sí o sí, puedes descargar una versión anterior y listo.
#57 Exactamente lo mismo que puedes hacer con SMB1 pero no te quejes de que no arreglaron los fallos en esa versión anterior porque es mentira.
#58 Una cosa es arreglar un fallo y otra muy distinta es crear una versión totalmente diferente e incompatible.
#59 Ya te lo expliqué. SMB1 usa MD5 y eso es un fallo gordo que hay que arreglar porque MD5 hace mucho que está roto. Ese fallo lo arreglaron cambiando MD5 por otro algoritmo, porque no hay otra forma de arreglar MD5 mas que reemplazándolo por otro algoritmo. Y lo cambiaron por SHA256 arreglando así el fallo de SMB1.

Pues bien, los programas viejos no entienden SHA256 y por eso son incompatibles con el parche, y como son incompatibles con el parche, lo mejor que se puede hacer es dividir SMB en dos, en la versión 1 y en la versión 2, así la gente puede tener dos versiones, la que lleva MD5 y la que lleva SHA256 y elegir la que mejor le convenga.

Porque si no ¿tú qué propones? ¿cómo arreglas el fallo de usar MD5?
#60 Pues mira, otro ejemplo: el smtp, pop3 e imap utilizaban md5 también. ¿Qué se hizo? Agregar más alternativas. El que sólo soporte md5 puede conectarse, aunque sabiendo que su conexión no es muy segura. El que soporte otro puede usar otro. Y todo sin hacer un nuevo protocolo incompatible y sin dejar software con agujeros de seguridad.
#61 Eso es mentira. En POP tienes POP2 y POP3, aquellos programas que solo entiendan POP2 no se podrán conectar a un servidor que solo entienda POP3 porque el protocolo de conexión es completamente diferente. Igual ocurre con SMB1 y SMB2 porque no solo cambiaron el algoritmo de hash, también cambiaron el sistema de autenticación y otras cosas.

Si un programa que solo entiende POP2 se quiere conectar a un servidor POP, ese servidor ha de tener habilitado POP2. Igual que con SMB, que para comunicarte con programas que solo entiendan SMB1 has de tener SMB1 habilitado.
#62 dejalo, seguro que el tambien se queja de no poder usar IPX en windows 10 por defecto xD
#24 Jeje, con la diferencia de que Microsoft no tiene interés en solucionar los problemas, mientras que la gente de Samba los corrige en pocas horas.
#26 para las versiones 3 de samba te dicen "actualiza a 4"
www.samba.org/samba/history/
#27 Pero hay parche para todas las versiones. Poca gente está usando samba 4 actualmente.
#28 el ultimo parche que veo para samba 3 es de abril de 2016.
www.samba.org/samba/history/security.html
#28 de hecho

stretch (stable) (net): SMB/CIFS file, print, and login server for Unix
2:4.5.8+dfsg-2: amd64 arm64 armel armhf i386 mips mips64el mipsel ppc64el s390x

trusty (14.04LTS) (net): SMB/CIFS file, print, and login server for Unix
2:4.3.11+dfsg-0ubuntu0.14.04.8 [security]: amd64 i386
2:4.1.6+dfsg-1ubuntu2 [ports]: arm64 armhf powerpc ppc64el
trusty-updates (net): SMB/CIFS file, print, and login server for Unix
2:4.3.11+dfsg-0ubuntu0.14.04.8: amd64 arm64 armhf i386 powerpc ppc64el…   » ver todo el comentario
#13 Ese dispositivo seguirá funcionando perfectamente. El cambio sólo se aplicará a nuevas instalaciones, no a actualizaciones. Si actualizas, seguirás con él activo.

Y en caso de nuevas actualizaciones, si de verdad lo necesitas, tan sólo tendrás que marcar una casilla para volver a habilitarlo. Uf, qué difícil.

Por contra, desactivas por defecto una función obsoleta que puede ser objecto de fallos y que no es necesaria para mucha gente, y quién la necesite puede volver a activarla.
#43 Claor, el equipo seguirá funcionando. Lo que pasa es que será imposible acceder a él para extraer la información de las medidas.
#51 el equipo seguira funcionando y podras acceder a el sin problemas, como hasta ahora.

En el caso de que tu windows no sea win 10, este cambio no te afecta.

Si es un win 10 y actualizas, tampoco te afecta porque el cambio afecta solo a instalaciones nuevas.

Si es una instalacion nueva, te afecta pero para revertirlo solo tienes que activar una casilla que vuelve a habilitar SMB1 como antes.

Asi que estate traanquilo que todo te va a funcionar sin problemas.
#7 Si el fallo está en el propio diseño del protocolo, no veo yo la forma de arreglarlo, más que sustituirlo por un protocolo mejor diseñado. Teniendo en cuenta que ya vamos por SMBv4, supongo que será el caso.
#44 Un fallo de diseño en un protocolo no hace que se pueda inyectar programas en un equipo. A lo sumo hará que funcione mal en deterinadas circunstancias.
¿Y si yo quiero usarlo qué?

Esto es como el gluten, que yo lo quiero pero me lo quitan :-(
¿Van a eliminar el config.sys y el autoexec.bat?
#12 Eing? Esos nunca han existido en la rama NT
Madre de Dios... Mac OS reescribió todo su código en 2009 con Snow Leopard y los de
Microsoft tirando de 1990... así funciona :palm:
#16 Insinuar que el codigo de Windows no se ha sobreescrito y que solo consiste en añadir parches sobre el SO anterior, es de troll barato. Igual que relacionar eso con la compatibilidad de un protocolo antiguo, que es SMBv1 como podria haber sido FTP.
Yo sigo sin poder actualizar a la Actualización Aniversario. Me provocaba reinicios cíclicos y un consumo de Internet desmedido. Y para instalarla manualmente había que hacer todo esto:

answers.microsoft.com/es-es/windows/forum/windows_10-windows_install/c

Fue menos traumático desactivar Windows Update. Espero que esta tal Fall Creators Update tenga un proceso de instalación más normalito, de lo contrario me temo que tendré que descartar la actualización hasta el próximo formateo (total, para actualizar casi casi tengo que formatear igual...)
#18 SIEMPRE es mejor instalar cada version de Windows desde 0, porque si no lo haces asi, despues vienen los errores extraños y sin sentido. Yo asi lo he hecho siempre, tanto con la Anniversary Update como con la Creators Update, y ningun problema. Ademas que la maquina va mucho mas fluida.
Para evitar un nuevo WannaCry, Microsoft eliminará una función de 1990 de Windows 10
Me pongo a la tarea de inmediato!
Pues si no lo arreglaron ellos lo habrá arreglado alguien más. RedHat por ejemplo no va a permitir que todos los servidores que corren su software tengan un agujero así.
Pues si cuando lo he desactivado me ha dejado de ir el acceso a las carpetas compartidas desde Kodi, en Android desde el ES Explorador, Solid Explorer... Que espabilen ya los desarrolladores de software porque si no va a ser difícil...
comentarios cerrados

menéame