Informatico
Páginas: 17 (4129 palabras)
Publicado: 9 de septiembre de 2014
La verdad sobre el software "reinicie y restaure"
Existe un tipo de software llamado "reinicie y restaure" (reboot and restore) que sirve para proteger la integridad de los datos de un disco duro o una partición, permitiendo que los datos permanezcan inalterables a los cambios. Una vez que el software ha sido instalado y activado cualquier modificación hecha en los ficheros se deshará encuanto se reinicie el sistema.
En principio este sistema de protección se inventó para ser empleado en colegios, universidades, aulas de colegio, bibliotecas y centros similares para evitar que los usuarios hiciesen modificaciones al sistema operativo y así evitar que hubiese que estar reinstalándolo continuamente. En principio también resultó ser un sistema eficaz para evitar las infecciones devirus y malwares; aunque un virus infectase un sistema sólo con reiniciar bastaba para que el virus desapareciera.
Lo que promete la publicidad
Son varias las compañías que desarrollan este tipo de software, siendo probablemente la más famosa Faronics y su Deep Freeze.
Por ejemplo Faronics anuncia el Deep Freeze con la siguiente publicidad:
Faronics Deep Freeze hace a los ordenadoresindestructibles y previene contra cambios no deseados en las estaciones de trabajo, ya sean accidentales o maliciosos.
Returnil anuncia así su producto:
RVS 2010 usa una avanzada tecnología anti-malware y de virtualización. Clona (copia) tu sistema operativo y crea un entorno virtual para tu PC. En vez de leer el sistema operativo nativo, un clon es leído que te permite correr tus aplicaciones y hacer tusactividades online en un entorno absolutamente aislado. De esta forma tu sistema operativo nunca se ve afectado por virus, troyanos, malwares y otras amenazas maliciosas.
El resto de compañías anuncian su software en los mismos términos. La promesa que hacen es que, pase lo que pase, cuando reinicies el sistema todo volverá a estar como antes.
El talón de Aquiles
En el año 2006, se cree que uncoder chino, escribió un malware conocido como "Robot Dog". Una de las características de este malware era que hacía lo que se suponía que era imposible: sobrevivía al reinicio en las máquinas en las que Deep Freeze estaba instalado.
Desde ese año las casas desarrolladoras de software saben que existe un problema en el software de "reinicie y restaure". Marco Giulani, analista de malware quetrabaja para PrevX, escribió un artículo en el que comenta:
Disk.sys is not the last driver invoked by an IRP request of reading/writing to the disk. After disk.sys has finished its job, it forward the request to next lower devices until it reaches the atapi.sys driver, which is the real responsible of communicating between the system and physical hard drives.
So, try to guess what would happenif a malware is able to communicate directly to atapi.sys, sending commands directly to this driver without following the usual chain of drivers.
Nos quedamos con la parte en la que dice: "Así que intenta imaginar qué pasaría si un malware es capaz de comunicarse directamente con atapi.sys, enviando comandos directamente a este driver sin seguir la habitual cadena de drivers".
Pues ahí está lavulnerabilidad del software de "reinice y restaure". Existe un tipo de malwares que son capaces de comunicarse directamente con el driver atapi.sys para poder escribir a disco, saltándose el driver de filtrado que el software de "reininice y restaure" utiliza para deshacer los cambios en disco. Probablemente exista algún método más para escribir directamente a disco.
Negando la evidencia
Coneste artículo se demuestra que los desarrolladores de software de "reinicie y restaure" estaban al tanto del problema. De hecho unos cuantos desarrolladores, la mayoría chinos y cuyo software se usaba en los cybercafés de ese país, abandonaron el mercado después de la aparición del malware "Robot Dog", debido a que su software era incapaz de restaurar el sistema y no dejar rastro de la infección....
Existe un tipo de software llamado "reinicie y restaure" (reboot and restore) que sirve para proteger la integridad de los datos de un disco duro o una partición, permitiendo que los datos permanezcan inalterables a los cambios. Una vez que el software ha sido instalado y activado cualquier modificación hecha en los ficheros se deshará encuanto se reinicie el sistema.
En principio este sistema de protección se inventó para ser empleado en colegios, universidades, aulas de colegio, bibliotecas y centros similares para evitar que los usuarios hiciesen modificaciones al sistema operativo y así evitar que hubiese que estar reinstalándolo continuamente. En principio también resultó ser un sistema eficaz para evitar las infecciones devirus y malwares; aunque un virus infectase un sistema sólo con reiniciar bastaba para que el virus desapareciera.
Lo que promete la publicidad
Son varias las compañías que desarrollan este tipo de software, siendo probablemente la más famosa Faronics y su Deep Freeze.
Por ejemplo Faronics anuncia el Deep Freeze con la siguiente publicidad:
Faronics Deep Freeze hace a los ordenadoresindestructibles y previene contra cambios no deseados en las estaciones de trabajo, ya sean accidentales o maliciosos.
Returnil anuncia así su producto:
RVS 2010 usa una avanzada tecnología anti-malware y de virtualización. Clona (copia) tu sistema operativo y crea un entorno virtual para tu PC. En vez de leer el sistema operativo nativo, un clon es leído que te permite correr tus aplicaciones y hacer tusactividades online en un entorno absolutamente aislado. De esta forma tu sistema operativo nunca se ve afectado por virus, troyanos, malwares y otras amenazas maliciosas.
El resto de compañías anuncian su software en los mismos términos. La promesa que hacen es que, pase lo que pase, cuando reinicies el sistema todo volverá a estar como antes.
El talón de Aquiles
En el año 2006, se cree que uncoder chino, escribió un malware conocido como "Robot Dog". Una de las características de este malware era que hacía lo que se suponía que era imposible: sobrevivía al reinicio en las máquinas en las que Deep Freeze estaba instalado.
Desde ese año las casas desarrolladoras de software saben que existe un problema en el software de "reinicie y restaure". Marco Giulani, analista de malware quetrabaja para PrevX, escribió un artículo en el que comenta:
Disk.sys is not the last driver invoked by an IRP request of reading/writing to the disk. After disk.sys has finished its job, it forward the request to next lower devices until it reaches the atapi.sys driver, which is the real responsible of communicating between the system and physical hard drives.
So, try to guess what would happenif a malware is able to communicate directly to atapi.sys, sending commands directly to this driver without following the usual chain of drivers.
Nos quedamos con la parte en la que dice: "Así que intenta imaginar qué pasaría si un malware es capaz de comunicarse directamente con atapi.sys, enviando comandos directamente a este driver sin seguir la habitual cadena de drivers".
Pues ahí está lavulnerabilidad del software de "reinice y restaure". Existe un tipo de malwares que son capaces de comunicarse directamente con el driver atapi.sys para poder escribir a disco, saltándose el driver de filtrado que el software de "reininice y restaure" utiliza para deshacer los cambios en disco. Probablemente exista algún método más para escribir directamente a disco.
Negando la evidencia
Coneste artículo se demuestra que los desarrolladores de software de "reinicie y restaure" estaban al tanto del problema. De hecho unos cuantos desarrolladores, la mayoría chinos y cuyo software se usaba en los cybercafés de ese país, abandonaron el mercado después de la aparición del malware "Robot Dog", debido a que su software era incapaz de restaurar el sistema y no dejar rastro de la infección....
Leer documento completo
Regístrate para leer el documento completo.