Cuando pruebes software que viene de fuentes non santas o sin verificar, correlo en una maquina virtual... como qemu u otro.

Bueno me precio de que hace mucho que mi maquina de escritorio no se ha infectado de ninguna cosa... en fin estuve buscando evaluar un programa para recuperar información de memorias flash /usb/ CF, etc. Bueno ejecute un par en mi lap... directamente con el antivirus (avira) activado y debo decir que pesque un trojano bastante interesante flec006.exe un proceso que no podia matar, que tuvo a bien desactivar mi antivirus e insertarse como parte del anillo 0 de !Windows XP!, en otras palabras que intentar bajar algun ejecutable para removerlo resultaba en que lo que descargaba se contaminaba.

Bueno de la busqueda en google me encontre con una descripcion mas o menos de donde se mete y como se oculta, resulto que un par de herramientas mencionadas en foros, nomas le hicieron cosquillas (he de mencionar que en esa maquina tengo alguna información financiera que en cualquier otro caso me hubiera llevado a tener que cambiar las contraseñas de un par de sitios, pero estoy usando ccrypt desde hace algun tiempo, ya que no confio en la encripción de win - y por que en cierta maquina con home edition me di cuenta que ni incluyen encripción, si se que truecrypt es más user friendly, pero me gusto mas ccrypt-) bueno decidido a tirar la cosa esta directito a entrar al modo seguro, resutla que este malware tiene la bondad de modificar el modo seguro para mandar un BSOD. Fantastico, entonces pues a buscar en el registro como se ejecuta (si, sin respaldar el mismo, recuerdenme mi propio quote of the day de hace un par de dias) y lo encontre, pero recordando el articulo de trend micro me encontre que se podria poner en muchisimos lugares más, bueno di por perdida la batalla esa noche, puesto que también tenia que exponer en pocas horas.

Como nota aparte no es una queja con avira, puesto que es un Antivirus que me gusta mucho (tanto que de hecho me anime a pagar la licencia del premium, por que el costo no se me hizo excesivo y ha mantenido la lap de Jo limpia de madrolas, claro que con cierta costumización de mi parte -que recomiendo, primera acción desinfectar, segunda eliminar, no hacer preguntas, revisar medios removibles, etc.) pero el hecho es que en la oficina se utiliza Nod32 y las ultimas 3 semanas la usb que utilizo allá ha regresado casi 2 veces por semana con trojanos que no detecta el Nod32 y que mucho menos elimina, antes de eso estuvimos usando f-secure, que terminamos cambiando por la enorme cantidad de recursos que necesita y a que virus muy comunes se le estaban escapando, como añadido varias maquinas de reciente compra venian con el mcafee de fabrica y puedo decir que sale peor, en alguna de estas maquinas le dedique casi una hora a desinstalar el mismo y colocar el nod32 para poder eliminar la cantidad de cosas que tenian, eso mas el spyware, que normalmente no toma en cuenta el AV, ha hecho que maquinas bastante respetables Dell GX280 1GB RAM, Pentium IV 3.1GHZ se arranen y al menos una fuente paso a mejor vida (probablemente por un fallo en el ventilador)... bueno todo este choro para decir que ultimamente he visto que los antivirus estan realmente perdiendo la batalla... parecen coladeras.

En fin veamos que herramientas se pueden usar para esto, ya que estando en un entorno contaminado descontaminar resulta realmente dificil... me encontre BartPE que permite construir un livecd de Windows, digamos que el builder ha mejorado muchisimo, pero el soporte para dispositivos de red aún deja mucho que desear, no hablemos de correr aplicaciones que requieran ser instaladas, no está tán dificil, pero no es para quien tiene prisa y mucho menos para alguien que esta sufriendo una infección de un virus/malware/trojan/spyware despues de 2 builds y de no lograr levantar la tarjeta de red broadcom, lei en su foro que el Ultimate boot disk cd for Win (UBCD4WIN) incluia todo lo que estaba tratando de hacer al BartPE... bueno es diferente descargar 3MB a 255MB sin embargo el procedimiento es muy similar (para cualquiera de los dos requieren tener el disco de instalación de win o su iso) este ultimo incluye Avast, Avira y spybot entre los programas que mete en el livecd.

Aunque claro la solución más rapida y que ya prepare desde el momento en que me entere de que esto no solo era trojano sino downloader y que añadia plugins, bueno lo primero fue borrar todo lo de firefox (aún cuando uso password para proteger los passwords) y borrar el directorio que tengo encriptado en esa maquina (que tengo bajo subversion al igual que el de trabajo de la oficina) una vez hecho eso, empece con toda la saga que escribo arriba, por cierto que hice una copia de los archivos de mis usuarios a mi particion con Debian (vaya que ha mejorado el soporte para NTFS, no lo he probado con utf8, pero al menos con iso8859 no me permitio borrar algunas cosas con acentos), ya teniendo esa copia, es probable que formatee esa partición y termine reinstalando XP... (una ventaja tambien de tener un service tag de dell y todos los drivers necesarios, he de mencionar que esa maquina venia con Vista Basic), he de mencionar que tambien probe utilizar f-prot desde linux, el cual no logro hacer gran cosa.

En fin aún cuando data de antes de que comenzara este blog por mucho, algo similar en cuanto a desmadrar mi maquina en fechas de entrega de tesis me paso en la licenciatura, en aquella epoca por querer probar una utileria libre para mover particiones y poder instalar linux... (allá por 1999)... hoy día leccion aprendida.

1) Mis archivos de tesis estan bajo control de versiones y el mismo tiene un respaldo que no esta fisicamente cercano (en USA).

2) Mi información importante se encuentra cifrada con ccrypt y los passwords de Firefox están protegidos con un master password (en algun momento solo use el cifrado de win, que es transparente al usuario, pero en mi pc mas viejita eso es realmente lento y debe ser inutil en el caso de una infección de trojano).

3) Cuento con más de una maquina, esto cuando estaba haciendo la licenciatura, realmente me creo un problema tremendo, que culmino con la perdida total de la versión digital de la misma, ademas de con unas conclusiones que no tuvieron toda la atención que debieran haber tenido.

4) Debo usar una maquina virtual, me cuesta menos trabajo hacer un cp Winxp a Win.test y lanzar qemu, que tener que reinstalar una maquina real (digo con los discos de ahora que es hacer una copia de 2GB de la imagen nada más para probar).

Es curioso que el primer mandamiento de los antivirus de antaño "utilice un disco de arranque que sea construido en un entorno que no este comprometido", ya no aplique, recuerdo haber leido esto en la epoca de Viruscan en MSDOS. Cuando se hablaba de Cairo y lo que seria posteriormente Win95, (acabo de notar que el Avira en la opción de extras, tiene la posibilidad de descargar un bootcd), en fin es realmente curioso que los antivirus actuales lo ofrezcan como un extra y no como un requisito para poder mantener el sistema limpio eso mas que por ahi lei que los nuevos rootkits van a ser más dificiles de encontrar (si así estan los trojanos, va a ponerse buena la cosa, pronto).

Update 2:38pm El CD de Avira, esta basado en linux... usa isolinux + busybox + NTFS-3G todo esto GPL2 de hecho dice en el propio about, que para todas las partes que son GPL del mismo el fuente esta disponible contactando a support arroba avira punto com.

Update 3:04pm Worm Bagle fue de lo que me dejo este bicho, por cierto remplazando el driver del touchpad (synaptics) y probablemente este fue el culpable de desactivar el AV en combinación con el otro, vía el UBCD con el spybot localice 6 entradas en el registro al bagle y al menos 2 binarios en system32/drivers infectados, el bootdisk de avira encontro el de synaptics, se extraña el poder hacer un renice y darle mayor prioridad al scanner ;D

Update 4:17pm Yo aqui pensando en que esta cosa se esta tardando mucho y ahorita le muevo al teclado me entero que ha encontrado muchas mas ocurrencias de los trojanos (en recycler y en sytem volume information) pero que ademas esta scaneando mi sistema linux!, por eso es que se esta llevando muchismo mas tiempo del que pense, no conte con que nativamente tendria soporte para ext3 :D, me parece que con mucho el bootcd de avira se lleva las palmas.

Update 6:18pm Termino Avira de scannear renombro muchisimos archivos, para eliminación como mencione antes tambien reviso mis particiones ext3 y encontro una "firma" rara en mi john the ripper... sin embargo ya estuvo bien de jugar... como ya tengo una copia de lo que tenian mis usuarios (2) en esta maquina, voy a formatearla.

Update 9:40pm Termine de recrear la partición, instalar win y poner todos los drivers de mi maquina, ah y poner el service pack 3... (2 horas y un cacho para hacer eso...mhh no estaria mal hacer una imagen) me faltan un buen de cosas, pero por el otro lado me deshice de un monton de software que ya no usaba. Tambien le he dado una revisada al texto añadido comas y corregido es iso 8859 para el charset.

Y me imagino que pocos usan apticron o de plano no le han tomado demasiada importancia a la noticia

"GRAVES PROBLEMAS EN EL ALGORITMO QUE GENERA LOS NÚMEROS ALEATORIOS EN DEBIAN jueves, 15 de mayo de 2008 informativos.net La criptografía en Debian ha sufrido un grave revés. Se ha descubierto que el generador de números aleatorios del paquete OpenSSL de Debian es predecible. Esto hace que las claves generadas con él ya no sean realmente fiables o verdaderamente seguras. El problema tiene (y tendrá por muchos años) una importante repercusión y numerosos efectos colaterales en otros paquetes y distribuciones.

Debian ha publicado una actualización para OpenSSL que solventa múltiples vulnerabilidades, siendo la más grave un fallo en el generador de números aleatorios que los volvía predecibles, o sea, "poco aleatorios". Luciano Bello, desarrollador de Debian, daba la voz de alarma. Sólo afecta al OpenSSL de Debian porque esta distribución parchea su propia versión de OpenSSL, a su manera. En este caso, ha eliminado una línea crucial de código que limita el generador a producir sólo 2^18 claves (solamente 262.144), en vez de poder elegir claves de, por ejemplo 2^1.024 posibilidades.

Los sistemas de cifrado basados en criptografía asimétrica necesitan del cálculo de números aleatorios para generar claves de sesión, públicas y privadas... se basan en la aleatoriedad en general para un buen funcionamiento. De hecho, su seguridad radica en la aleatoriedad real de esos cálculos: cuanta más entropía, más complicado de predecir y más "calidad" del cifrado. Igual para la generación de claves.

El fallo fue introducido en la versión OpenSSL 0.9.8c-1 de septiembre de 2006. Al intentar solucionar un código aparentemente incorrecto con la herramienta Valgrind, se eliminó por error una línea crucial para el sustento entrópico de OpenSSL que nada tenía que ver. Se eliminaron más líneas de código de la cuenta. Valgrind es un programa que detecta y alerta sobre el uso de memoria no inicializada (lo que sería un fallo en cualquier otra aplicación) pero en OpenSSL es legítimo porque se utiliza para ganar entropía. Un claro ejemplo de lo peligroso de intentar solucionar un fallo sin entender completamente el problema, y de introducir cambios no supervisados en este caso, por los desarrolladores oficiales de OpenSSL..."

La nota completa en

Pero lo mas importante de todo es que muchas llaves ssh terminaron siendo vulnerables, como pueden leer en el DSA-1576 del 14 de Mayo.

Por cierto la entrada en el Wiki es un buen historico de como ha ido todo este show, tomado de alli:

"Identifying Weak Keys

Characteristics of potentially vulnerable keys:

• Generated since 2006-09-17
• Generated with Etch, Lenny or Sid (Sarge is not vulnerable)
• Generated using 'openssl', 'ssh-keygen', or 'openvpn --keygen' (GnuPG and GNUTLS are not affected)

Additionally, simply the use of DSA keys may have compromised them. A strong key (i.e., generated with a 'good' OpenSSL) but used locally on a machine with a 'bad' OpenSSL must be considered to be compromised. This is due to an 'attack' on DSA that allows the secret key to be found if the nonce used in the signature is reused or known.

If you have used the vulnerable openssl version to generate an SSL key and then created a CSR from that key and sent it to a SSL certificate provider, then the certificate should be considered vulnerable."

Bueno de todo esto, en 2 maquinas tuve que regenerar las hostkeys... y tambien voy a tener que regenerar los certs del pop/ssl e imap/ssl. En fin es buena idea correr ssh-vulnkey en sus maquinas, por cierto Ubuntu al estar basado fuertemente en Debian, también es vulnerable. La falta de noticias al respecto me hace pensar que menos gente de la que yo creia utiliza autentificación via llaves.

C'est la vie.

"Note - editing partition tables is a dangerous pastime, so back up your filesystem before doing so."

From XFS FAQ

O de como hacer lograr tus sueños de la niñez, probablemente ya han oido sobre Randy Pausch y su ponencia "Really Achieving Your Childhood Dreams" o más probable es que les hayan dicho de una platica inspiradora de 10 minutos, es decir, la que esta a continuación.

Pero realmente, sobre todo si se encuentran relacionados con la Educación, deben ver la platica original de donde salio ese extracto:

Dura una hora con 16 minutos (no tiene subtitulos al español), pero de veras vale la pena.

Mejor aún visiten su página en un momento en que me he estado quejando por todos lados de que ya no veo lo duro sino lo tupido, realmente me he dado de bruces con esto... vale la pena también para presentarlo a sus alumnos, seguro.

http://download.srv.cs.cmu.edu/~pausch/ La página personal de Randy Pausch, donde estan las diapositivas de su platica, en versión condensada, completa, artículos al respecto, el DVD sobre la platica (via CC con costo) y muchos recursos más.

Ayer por andar recomendando Ubuntu (8.04LTS) como nueva instalación me lleve una sorpresa bastante desagradable al instalarlo en una aspire de las que da nombre al post.

Imagino que es una revisión en especifico de la tarjeta Atheros que incluye, pero seguro mas de uno se va a encontrar con este problema que no esta muy bien documentado y vale la pena las lineas, puesto que nos llevo unas cuatro horas el resolver el asunto.

Sucede que como imaginaran para levantar la tarjeta atheros se requieren los drivers madwifi (restricted). ath_pci y su largo etcetera.

Pero como el dueño de la laptop me mencionaba, la tarjeta aún en Windows solo funcionaba si estaba PRENDIDO el LED de wifi... cosa a la que primero no di importancia....

Pues resulta que los drivers restricted no la levantaban... bueno a probar con ndiswrapper que el usuario ya medio habia intentado, sin demasiado exito, en unos minutos descargado el ndisgtk (nunca lo habia usado) y la instalación de los drivers rapida y sencilla (automagica)... pero la tarjeta seguia sin funcionar...

Despues de intentar a mano via la linea de comandos cuanto truco me acordaba, me di a revisar de manera detenida dmesg, y encontraba que a la hora de insertar los drivers de wifi decia que la interrupcion (21) no funcionaba bien o que la revisión del driver era incorrecta (ndis y restricted respectivamente).

Entonces recorde el detalle del led, buscando un modulo llamado acer_acpi hace el truco, archivo que ya habia bajado el dueño, pero no en la versión mas nueva (que de todas formas revisando con lsmod si estaba cargado)... buscando en los foros de ubuntu nos encontramos con:

http://www.ubuntu-es.org/index.php?q=node/42148#comment-108887

"... Para actival el botón hay que teclear en la consola:

sudo su

echo "enabled : 1" > /proc/acpi/acer/wireless

Una vez hecho esto el botón debe de encender y hay que reinciar la máquina para que el wireless quede activado.

Actualmente no he encontrado una forma de activar este botón al inicio y lograr que funcione correctamente, así que cada vez que quiero utilizar el wireless incio Ubuntu, entro a la consola y tecleo:

sudo su

echo "enabled : 1" > /proc/acpi/acer/wireless

Reinicio la máquina y cuando incia de nuevo ya está listo el wireless."

Pero en esta maquina nos daba:

echo "enabled : 1" > /proc/acpi/acer/wireless

bash: echo: error de escritura: Argumento invalido

Asi que buscando, dimos con la página del desarrollador del modulo... y efectivamente en el FAQ me encontre con:

http://www.cakey.de/acerhk/FAQ

"Q: I know that wireless hardware is supported on my Aspire 1690/TravelMate4600, but I cannot get it to work, why?

A: On these model (and similar) the wireless hardware is controlled on two different levels. One is controlled by acerhk's xxxled file, the other level is controlled by the key itself. To actually activate the hardware you need to write '1' to the xxled file and you need to press the corresponding button. Example: echo 1 > /proc/driver/acerhk/wirelessled "

Pero entonces cai en cuenta de que ahora esto es diferente no recuerdo como se me ocurrio, pero resuta que tal archivo ahora esta en

/sys/acpi/acer/wireless

Hacer echo 1 en ese trinche lugar encendio el led del wireles... ya nada más fue cuestion de hacer rmmod ath_acpi y luego modprobe ath_acpi y voila el sistema automagico de Ubuntu ya permitia usar la tarjeta de red tal cual debiera.

Finalmente en rc.local añadi:

echo 1 > /sys/acpi/acer/wireless
rmmod ath_pci
sleep 4s
modprobe ath_pci

Y por ahi en un script de apagado el echo 0 para apagar el led...

En fin en eso se fuerón 4 horas de ayer...

Quede para la posteridad y para quien tenga un modelo de estos que se pone rejego.