Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Buster_BSA

#21
Sin ánimo de querer crear polémica o añadir más leña al fuego, por aquí hay usuarios que sin haber hecho nada se creen capacitados para criticar a quienes al menos han intentado hacer cosas. O usuarios que hablan alegremente desde el desconocimiento.

zu-zu: "Dudo que alguien esté verdaderamente interesado en encontrar vulnerabilidades de semejante naturaleza en esa clase de software".

Pues si supieras a cuánto se pagan esas vulnerabilidades no dirías eso.
#22
Cita de: 0x3c en 14 Enero 2013, 21:39 PMentonces debo decirte que te estas contradiciendo...por que todo lo que ves en este justo momento es producto de la imaginacion

De acuerdo Anthony Blake.  ;D
#23
Yo no he dicho en ningún momento que no sea posible. Yo defiendo la idea de que no siempre habrá una vulnerabilidad, porque su número es finito y a base de correcciones llegará a 0, y defiendo que las cosas no se logran porque seas capaz de imaginarlas.
#24
Evidentemente el ataque más interesante que un malware pueda realizar contra una máquina virtual siempre será el escapar del entorno aislado, pero una cosa es querer y otra poder.

Vuelvo a preguntar porque nadie me ha respondido todavía: ¿cuántos años han pasado desde la última vez que se encontró una vulnerabilidad que permitiera a un programa escapar de VirtualBox o VMWare y escribir directamente al host?
#25
Cita de: 0x3c en 14 Enero 2013, 20:23 PM
siempre que la pieza de software sea ejecutada en un entorno que simule ser un sistema operativo(simulador, sandbox o maquina virtual) a menos que el ejecutable detecte que esta siendo ejecutado en dicha forma sera monitorizado..y finalmente toda actividad realizada sera descubierta.

Pues a ver si Karcrack a ti te cree.
#26
Cita de: 0xDani en 14 Enero 2013, 19:06 PMExacto, para que la instalacion de un programa normal se efectue la sandbox debe permitir que se escriba en el host, entonces si consigue que los archivos de la "instalacion" pasen los analisis ha pasado al host no?

Veo que no lo tienes muy claro. A ver si lo explico de forma que se entienda bien.

¿Qué es una sandbox? Yo por sandbox entiendo un entorno controlado y aislado donde las aplicaciones que son ahí ejecutadas no tienen efecto sobre el "host", o sea, el sistema operativo donde se ejecuta la sandbox.

Una sandbox podría ser una máquina virtual como VirtualBox, VMWare, QEMU, ... o un software de virtualización como el Sandboxie.

Un programa que se ejecuta en una sandbox, en teoría, nunca pasa al "host". Tiene que ser el usuario el que ejecute el programa directamente en el "host".

La idea es que un malware disfrazado de instalación del FireFox no levante sospechas cuando se ejecuta en la sandbox para que el usuario piense que esa aplicación es inocua y por lo tanto la ejecute en el "host".

¿Se entiende ahora?
#27
Cita de: Arkangel_0x7C5 en 14 Enero 2013, 17:12 PM
yo pienso que siempre habra alguna manera

Incurres en el mismo error que los otros: el número de vulnerabilidades posibles para lograr realizar una acción es un número finito. Cuando ese número llega a 0 es imposible realizar esa acción.

¿Tan difícil es de entender?
#28
Cita de: 0xDani en 14 Enero 2013, 16:08 PM
Entonces por ejemplo hacerse pasar por un instalador podria ser una forma de escribir en el host

No. Hacerse pasar por un instalador sería la forma de tratar de engañar al usuario.

Cuando ese instalador se ejecuta y se analiza con un analizador del comportamiento el malware debería ser capaz de no levantar sospechas mientras se analiza.
#29
Cita de: 0xDani en 13 Enero 2013, 20:30 PM@Buster_BSA, y una pieza de malware no puede hacerse pasar por un instalador de Firefox?

Claro, por supuesto, por eso es importante desde el punto de vista de un usuario el descargar software solo de repositorios o sitios web confiables, pero una cosa es hacerte pasar por un instalador del FireFox y otra que luego te pongas a hacer cosas raras como crear valores en ciertas claves del registro.

Cita de: 0xDani en 13 Enero 2013, 20:30 PMAdemas si metes cada aplicacion en un entorno controlado como va un instalador a efectuar la instalacion?

Cuckoo Sandbox (http://www.cuckoosandbox.org/) utiliza una máquina virtual como entorno seguro para realizar los análisis. La instalación se efectuará de forma normal y sin ningún problema.

Cita de: 0xDani en 13 Enero 2013, 20:30 PMPD: Buster, se te ha colado "Héchale". Es sin h xD.

Corregido, ¡gracias!
#30
Cita de: burbu_1 en 13 Enero 2013, 18:48 PMme imagino que monitorizar un proceso en un entorno virtual consumirá una gran cantidad de recursos, no?

Pues la verdad es que no muchos. Échale un vistazo al Capture-BAT.

Cita de: burbu_1 en 13 Enero 2013, 18:48 PMvamos que para un av comercial montorizar constantemente todos los procesos sería un suicidio  :rolleyes:

Los HIPS es lo que hacen y no hay problema.