El práctico programa de protección del sistema WinXP Daquan

El sistema WinXP es muy respetado por la base de usuarios por su gran estabilidad y funciones de red. Creo que todos están muy familiarizados con esto, pero siempre habrá algo de negligencia en la protección. Hemos resumido algunas experiencias prácticas de protección del sistema XP para compartir con todos, y esperamos que los usuarios que utilizan el sistema XP puedan realizar el trabajo de protección diario.

1. Falsos puntos de acceso inalámbrico

Falso WAP (punto de acceso inalámbrico) se ha convertido en la estrategia más fácil del mundo para completar ataques. Cualquiera que use un software simple y una tarjeta de red inalámbrica Puede disfrazar su computadora como un WAP disponible y luego conectar el WAP a un WAP local, real y legítimo.

Imagine que cada vez que usted o sus usuarios usan redes inalámbricas gratuitas en cafeterías, aeropuertos y reuniones públicas locales, los piratas informáticos de Starbucks nombran a sus WAP "Red inalámbrica de Starbucks" en Los hackers en el aeropuerto de Atlanta lo llamaron "Atlanta Airport Free Wireless", y es posible que personas de todos los ámbitos de la vida puedan acceder a él en cuestión de minutos.

Después de que el pirata informático pueda leer fácilmente estos flujos de datos no protegidos, si comprende que se sorprenderá del contenido de los datos, incluso si la contraseña se envía en texto sin cifrar.

Un atacante más siniestro puede pedirle al usuario que cree una cuenta en su WAP. Desafortunadamente, los usuarios generalmente usan un nombre de usuario o una dirección de correo electrónico comunes. Estos atacantes luego usan esta información de autenticación común para iniciar sesión en algunos sitios web populares, como Facebook, Twitter, Amazon, iTunes, etc., pero las víctimas no lo saben.

Lección aprendida: no puede confiar en WAP públicos porque su información confidencial siempre se envía a través de estos WAP. Intente usar un enlace VPN que proteja sus comunicaciones, así como la misma información de autenticación en algunos sitios públicos o privados.

2. Robo de cookies

Las cookies del navegador mejoran la experiencia de navegación del sitio web del usuario al guardar el "estado" del usuario, que se utiliza para rastrear el comportamiento del usuario enviando estos pequeños textos al host. Facilita enormemente las operaciones relacionadas del usuario. Entonces, ¿qué daño le causa la cookie al usuario?

Cuando el atacante roba la cookie del usuario, puede usar estos archivos para imitar al usuario e iniciar sesión en el sitio web a través de la información de autenticación. La estrategia se ha convertido en una ruta de ataque cada vez más frecuente.

Sí, el rastreo de cookies se remonta al nacimiento de la Web, pero las nuevas herramientas han evolucionado para requerir un solo clic para completar todo el proceso de robo, como Firesheep, un complemento de Firefox que permite a los usuarios robar Toma la galleta de alguien más. Cuando se utiliza junto con un WAP falso, el robo de cookies se vuelve extremadamente simple. Firesheep puede mostrar el nombre y la ubicación de la cookie encontrada. El atacante puede robar la sesión con un simple clic del mouse (para obtener más detalles, visite el blog de Codebutler " cuán fácil es usar Firesheep ").

Para empeorar las cosas, los atacantes actuales pueden incluso robar cookies protegidas por SSL /TLS y descubrirlas fácilmente. En septiembre de 2011, un ataque del creador con el nombre "BEAST" confirmó que también se podían obtener cookies protegidas SSL /TLS. Después de estos días de mejoras y mejoras, incluido CRIME, es más fácil robar y reutilizar las cookies cifradas.

Después de que se libera cada ataque de cookies, se les dice al sitio web y al desarrollador de la aplicación cómo proteger a sus usuarios. A veces, la respuesta a esta pregunta es usar la última tecnología de encriptación y, a veces, desactivar las funciones que las personas no usan con frecuencia. El punto es que todos los desarrolladores web deben usar técnicas de desarrollo seguras para reducir el robo de cookies. Si su sitio no ha actualizado la tecnología de encriptación durante varios años, surgirá el riesgo.

Lección aprendida: incluso si las cookies cifradas siguen siendo robadas, conéctese a sitios web que utilizan el desarrollo de seguridad y, con frecuencia, actualice la tecnología de cifrado. Su sitio web HTTPS también necesita usar la última tecnología de encriptación, incluida la versión 1.2 de TLS.

3. Decepción de nombre de archivo

Desde el nacimiento del malware, los atacantes han estado utilizando la suplantación de nombres de archivos para incitar a los usuarios a ejecutar códigos maliciosos. Uso temprano de métodos confiables para nombrar archivos (como AnnaKournikovaNudePics) y usar múltiples extensiones de archivo (como AnnaKournikovaNudePics.Zip.exe). Hasta ahora, Microsoft Windows y algunos otros sistemas operativos aún ocultan algunas de las extensiones de archivo "comunes", lo que llevó a la misma visualización de AnnaKournikovaNudePics.Gif.Exe y AnnaKournikovaNudePics.Gif.

Hace algunos años, los programas maliciosos comunes (como "gemelos", "cortadores" o "virus complementarios") se basaban en algunas de las características poco conocidas de Microsoft Windows /DOS, incluso aquí. Simplemente escriba el nombre de archivo Start.exe, Windows lo buscará y, si lo encuentra, se ejecutará. Los virus complementarios buscarán todos los archivos .exe en el disco y crearán un archivo con exactamente la misma extensión EXE, pero con un sufijo .com. Aunque este problema fue reparado por Microsoft hace mucho tiempo, sentó las bases de este enfoque.

Hoy en día, esta estrategia ha evolucionado de manera más compleja, utilizando caracteres Unicode para ocultar los nombres de los archivos presentados al usuario. Por ejemplo, el carácter Unicode (U + 202E) se llama reemplazo de derecha a izquierda, que puede engañar a muchos sistemas para que muestren AnnaKournikovaNudeavi.exe como AnnaKournikovaNudexe.avi.

Lecciones aprendidas: Si es posible, asegúrese de saber el nombre verdadero y completo de cualquier documento antes de la ejecución.

4. Rutas absolutas y relativas

Otra estrategia interesante es "relativa versus absoluta", en versiones anteriores de Windows (Windows XP, 2003 y anteriores) y algunas otras operaciones iniciales Sistema, si escribe un nombre de archivo y presiona Intro, o si el sistema busca un archivo de acuerdo con sus deseos, por lo general comienza desde su carpeta actual o posición relativa. Aunque este enfoque parece ser eficiente e inofensivo, es explotado por los atacantes.

Por ejemplo, si desea usar la calculadora incrustada e inofensiva de Windows (calc.exe), la forma más rápida es abrir la línea de comandos y escribir calc.exe, luego presione Intro.

Pero el atacante puede crear una carpeta llamada calc.exe y ocultarla en la carpeta actual o principal, luego el calc.exe que ejecute es probablemente el que está disfrazado.

Normalmente, este malware se utilizará como un comprobador de penetración para explotar los privilegios elevados del host. Un atacante podría elegir un software no parcheado conocido y vulnerable y colocarlo en una carpeta temporal. En la mayoría de los casos, todo lo que necesita hacer es usar un ejecutable vulnerable o una DLL para reemplazar el parche completo. El atacante escribe el nombre del ejecutable del programa en la carpeta temporal, y luego Windows carga el archivo ejecutable del troyano vulnerable en la carpeta temporal en lugar de la versión completamente parcheada. Este enfoque es muy popular entre los atacantes, porque un archivo muy simple puede reproducir todo el sistema.

Los sistemas Linux, Unix y BSD solucionaron este problema hace 10 años, y Windows compensó esta debilidad en 2006 a través de Windows Vista /2008, aunque este problema aún era compatible con versiones anteriores. Existe Al mismo tiempo, en los últimos años, Microsoft ha estado recordando y dando instrucciones a los desarrolladores para que utilicen carpetas /rutas absolutas en el proceso de creación de la aplicación. Pero hasta ahora, todavía hay decenas de miles de programas vulnerables, y los atacantes lo saben mejor que nadie.

Lección aprendida: al usar un sistema operativo que realiza directorios absolutos y rutas de archivos, primero se busca el archivo en el área predeterminada del sistema.