Configurar seguridad del PC para evitar todo acceso.

Iniciado por comoes, 6 Junio 2012, 23:34 PM

0 Miembros y 1 Visitante están viendo este tema.

int_0x40

#10
Bien pues todo indica que pueden ser estas posibilidades:

- En algún momento alguien de tu empresa o un 'técnico' accede físicamente al equipo e instala un programa (quiza mediante un CD o al momento de conectar y configurar por primera vez el modem) lo cual les permite espiarte y controlar remotamente tu OS.

solución: ¿Intentaste conectarte desde otro equipo? Si eres propietario del mismo, no permitas que se siga ese procedimiento, intenta instalar nuevamente el OS, modem y configurar todo por tu cuenta o pide a alguien de tu entera confianza que lo haga por tí.

- Según entiendo parece que no hiciste el formateo a bajo nivel de tu equipo por tu cuenta en todas las ocasiones que se te presentó este problema, cualquier persona que lo hiciera en tu lugar pudo instalar y ocultar los programas que espían y controlan tu OS. Y si no se hizo el formateo a bajo nivel como te sugirieron, puede haber una infección persistente.

Solución: aunque sea cansado tienes que hacer formateo de disco duro a bajo nivel, verificar que los CD o DVD de OS que uses sean genuinos y si son distros Linux que tu mismo hayas descargado y concuerden las firmas MD5 (no confiaría en discos comprados o que alguien te pasó; además si es una lap no confiaría tampoco en los programas de restauración a como venía de fábrica). Examina cuidadosamente que las aplicaciones que instales esten libres de malware.

¿Lo de que las ISP pueden ingresar remotamente al equipo?

Respuesta: Eso no es lógico. Tu ISP puede acceder remotamente al modem que te están rentando (si no has sabido descaparlo) e imponerte ciertas políticas de acceso, pero entrar y controlar tu equipo (el OS) violaría la ley de tu país ( que creo está mejor que la del mío) y dice:

"Artículo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. "

Entonces por ese lado queda descartado supongo.

¿Lo de averiguar el tipo de arquitectura no se a que te refieres y los que ellos analicen mi paquetes con algun tipo de proxy como hago para saber eso? Respuesta: haciendo traceroute y otras chucherias con una dosis de inferencia. Buscando algunos valores en los archivos DOCSIS que el server de la compañía de cable manda a tu modem.

¿para ser victima de un RAT solo ocurre en win o tambien en linux?, mis OS tiene que tener un archivo malicioso o el RAT ingresa con solo saber la ip del equipo victima?, como hago para saber si estoy siendo atacado por eso?, etc....?

Respuesta: Una Rat es una herramienta de administración remota y las hay para Windox como para Linux (Este Os no es más que eso, un sistema operativo, no es tecnología alienígena ni tampoco el Necronomicón). Y en cuanto a saber si estás siendo atacado. Cuando dices ----> "se abria el navegador, msn, el cursor se movia solo, etc...." son señales que indican el tipo de cosas que pueden hacerse mediante una RAT legítima y también un troyano en Windows.

"Como ves he formateado y el OS siempre lo tengo actualizado, lo de cerrar/eliminar servicios en el inicio, no se a cual correrponde cual, no se como es...., el navegador lo tengo configurado para no guardar formularios, contraseñas, etc...., navegar en conexto virtualizado no se como es, lo de conectar el modem al equipo y acceder a la pagina de configuracion a cual se refiere a la del modem?, no se comoes...... y lo de la captura de paquetes enviados tampoco se como se hace y lo de navegar atraves de un tunel menos, como ves soy un usuario normal."

Respuesta: en algún momento después de formatearlo parece que fue nuevamente comprometido. Parece ser que no hiciste un formateo de bajo nivel. Para desactivar servicios existe mucha información en Internet, tanto para Windox como para linux.

El navegador web es vector de gran cantidad de ataques, la configuración que indicas no es suficiente. Investiga qué medidas tomar para navegar lo más seguro posible (aunque nunca existe aquí un 100%).

Navegar en forma virtualizada significa que ejecutes el navegador en una Sandbox o lo hagas desde una máquina virtual.

Acceder a la interfaz del modem y modificar la configuración para no permitir hasta donde puedas valores default y administración remota existen toneladas de información, necesitas la marca y modelo de tu dispositivo y un buen buscador.

En cuanto a los archivos que envía el servidor de la compañía de cable, no me refiero a captura de paquetes sino a copiar los archivos de tu modem, existen herramientas para hacer eso. También hay que investigar pero todo indica por tu último post que el problema no está por ahí.

Tunelizar es pasar tus conexiones por un tunel mediante el cual se cifra el canal desde tu equipo hasta el sitio donde te conectas y se añaden cabeceras a los paquetes, de tal manera que el ISP no puede 'leer y entender' lo que estás enviando o recibiendo, bueno a grandes rasgos. E igual existe mucha información sobre eso.

Como ves la clave para resolver tu problema está en que tengas más control de lo que haces con tu equipo y al acceder a Internet. Nadie podrá ayudarte si no comienzas por ahí. El primer paso es investigar, informarte y actuar en consecuencia.

Suerte y saludos.




"The girl i love...she got long black wavy hair "

comoes

Hola, ningun técnico o alguien de la empresa accede fisicamente a mi equipo y conectando con otro equipo, no importa cual sea, el problema sigue...., (lo cual indica lo que pienso, que crackean mi modem/pc desde red), y si he formateado a bajo nivel y he instalado OS linux bajado de la pagina oficial y no he utilizado programas de restauracion del equipo ni nada de eso, cuando mencionaba que configuraban pc o modem, me referia al de los usuarios inescrupulosos, desde aya configuran pc/modem no se, para acceder ilegalmente a mi pc.

Lo de la ley, ya la conocia; pero igual a esa clase de gente inescrupulosa les vale eso....., lo de (si no has sabido descaparlo) a que te refieres?, segun lo que me dices si pueden acceder remotamente desde mi modem, creo que esto podria ser, como bloqueo esa intrusion?, como lo soluciono en caso de ser esta la forma en que violan mi privacidad?

Lo de que ingresan a mi pc ilegalmente por medio de un RAT, tambien es probable que el problema sea por esto, como actuar frente a algo asi, como bloqueo una intrusion por parte de este?

Vuelvo a mencionar que el formateo de bajo nivel ya lo habia hecho, configuro el navegador lo mas seguro posible y tambien lo he ejecutado en un sandbox.....

Hago un buen control de mi equipo con el acceso a internet, ya he investigado y la respuesta que siempre hay es tener el OS, antivirus y firewall actualizado, pero con esto ultimo se que no es suficiente, lo demas si he encontrado algo por la red....

Cualquier opinion y/o solucion es bienvenida, gracias.

int_0x40

[quote ]
Hola, ningun técnico o alguien de la empresa accede fisicamente a mi equipo y conectando con otro equipo, no importa cual sea, el problema sigue...., (lo cual indica lo que pienso, que crackean mi modem/pc desde red), y si he formateado a bajo nivel y he instalado OS linux bajado de la pagina oficial y no he utilizado programas de restauracion del equipo ni nada de eso, cuando mencionaba que configuraban pc o modem, me referia al de los usuarios inescrupulosos, desde aya configuran pc/modem no se, para acceder ilegalmente a mi pc.
[/quote]

Me parece que tienes una confusión, el que un modem-router haya sido comprometido no quiere decir que desde ese dispositivo se controle tu pc. Para que se controle tu PC se debe haber comprometido el PC mismo de alguna forma. Por supuesto si alguien logra por ejemplo acceder a la interfaz de configuración del modem, podrá realizar ataques de diferente tipo a los equipos que se conecten a éste, por ejemplo Pharming, DNS spoofing, Phishing y muchos otros que podrían terminar por comprometer el Sistema Operativo de tu pc o alguna aplicación. Pero son dos cosas separadas si bien pueden estar relacionadas.

Realmente me gustaría que describieras si te es posible con más detalle tu problema, ¿exactamente cuales son las señales de lo que te ocurre?

Si crees que tu modem-router fue comprometido lo mejor es que lo resetees a los valores de fábrica y que cambies la configuración default; en el foro y en otras partes seguro encontrarás los pasos a seguir para hacerlo.

Si crees que tu modem- router fue comprometido, lo mejor es que vuelvas a checar todos los equipos que se conectaron a éste y si lo consideras necesario (yo lo haría en tu lugar) volver a formateralos.

No importa en este último caso si estabas usando Windows 7 o Linux con cortafuego, antivirus y los tuvieras actualizados pues el modem, habiendo sido comprometido, pudo permitir con mucha facilidad diversos ataques a todos los hosts conectados desde el mismo momento en que los conectabas para actualizarlos. Es muy probablemente que sea por esa razón que el problema persiste independientemente del equipo con el cual te conectes.


Citar
Lo de la ley, ya la conocia; pero igual a esa clase de gente inescrupulosa les vale eso....., lo de (si no has sabido descaparlo) a que te refieres?, segun lo que me dices si pueden acceder remotamente desde mi modem, creo que esto podria ser, como bloqueo esa intrusion?, como lo soluciono en caso de ser esta la forma en que violan mi privacidad?

Otra vez no te confundas. El ISP puede acceder remotamente al MODEM-ROUTER (y debe hacerlo sino no podría establecer los valores necesarios del circuito para que tengas salida a Internet). Pero eso no significa que tenga acceso a los equipos conectados a la red privada.

También muchos de estos dispositivos los ISP los dejan con valores de fábrica, lo que representa en la mayoría de los casos un riesgo de seguridad que queda a cuanta del usuario resolverlo o no. Uno de esos valores puede ser la administración remota del MODEM (no de los equipos conectados a la LAN) y si el password para configurarlo es el default, alguien muy chucho puede desde Internet o la WAN comprometerlo, que eso no significa que por arte de magia se comprometan los hosts de la red local pero que sí puede abrir múltiples vías para hacerlo eventualmente. ¿Entiendes?

Si tu modem-router además incluye un AP inalámbrico con valores default también puede abrirse múltiples vías de ataque para el modem mismo y eventualmente para todos los equipos que se conecten a éste.  

No creo en realidad que atrás de todo este asunto este el ISP. Éste es una compañía que necesita de clientes. ¿Qué puede hacer ISP en nuestros paises?

Veamos : 1) Establecer valores en el modem- router del cliente para la conexión de la Red Privada de éste a su WAN y que salga a Internet 2)Como parte de esos valores imponer un ancho de banda para el canal según el contrato y actualizar firmware 3)Establecer algún esquema de facturación 4)Imponer al cliente restricciones o filtros mediante unas políticas de acceso que se apliquen a su abonado como negar acceso a determinados sitios web, restringir horarios y/o tipo de descarga, spam, etc.

ISP no es responsable de lo que el cliente haga con sus equipos y modem, si configura bien la Wlan o no lo hace, si navega por sitios peligrosos donde le hagan XSS. Y por ese lado hay mucho por donde se pudo haber generado tu problema.

Citar
Lo de que ingresan a mi pc ilegalmente por medio de un RAT, tambien es probable que el problema sea por esto, como actuar frente a algo asi, como bloqueo una intrusion por parte de este?

La respuesta que esperas no es al 100% efectiva, pero para aminorar el riesgo lo que ya se te ha sugerido. Resetear y configurar adecuadamente el modem, formateo de bajo nivel de nuevo desde cero, configurar el OS siempre con los mas bajos privilegios, deshabilitar servicios innecesarios y que puedan ser vector de ataques con mayor frecuencia, no instalar el primer programa superduper que te descargaste de Taringa, no seguir links en mails, chatrooms, navegar de la manera más segura posible, actualizar OS y aplicaciones (hasta después de estar seguro que el modem no fue comprometido y cuidado con el gusano Flame, etc.

Citar
Vuelvo a mencionar que el formateo de bajo nivel ya lo habia hecho, configuro el navegador lo mas seguro posible y tambien lo he ejecutado en un sandbox.....

De poco sirve si el modem ya fue comprometido y alguien efectuó ataques a los hosts de la LAN antes de que tomaras esas medidas.

Saludos.
"The girl i love...she got long black wavy hair "

comoes

Hola, tengo un modem que actualiza el password cada día, es un "Arris TM501A", busque por internet y las claves mas nuevas que encontré eran hasta marzo de 2012 maso menos, como hacer entonces para entrar en la configuración?, bueno igual lo reinicie a los valores de fabrica y hize el formateo a bajo nivel....

Si el modem es comprometido, como evitar o bloquear ataques a los equipos o host conectados a este, suponiendo que el modem es crakeado para que realizen ataques desde este, no se puede configurar solo el equipo o host para no tener problemas?, es necesario también la configuración del modem?.....

Como ya mencione, el problema no es la ISP, solo algunos técnicos, ing o trabajadores de este, y algunos usuarios, como bien sabes en todo barco hay ratas.

Lo del RAT, para que este funcione, el equipo víctima tiene que tener un archivo espía o infectado?, las personas inescrupulosas solo con saber la ip, DNS, etc...., realizan la intrusión remota?....., la respuesta que me diste sobre esto no era lo que esperaba, no existe configuración o métodos mas avanzados para evitar una intrusión por esto?....

Describir el problema, creo que ya lo había hecho en anteriores post, resumiendo se movía el cursor, el navegador y msn se abrían solos......., creo que es parecido como ya mencione a lo que pasa en un cibercafe, que el pc administrador puede ver la pantalla y controlar los demás equipos, etc....

Lo de antivirus, firewall, formatear, actualizar es la respuesta mas común en internet, haga de cuenta que te esta pasando esto, según tus conocimientos como resolverías esto?, no creo que con lo que mencione de 1ero en este párrafo sea suficiente.......

Otra cosa sabes o alguien sabe deshabilitar netbios, vnc y similares en linux?

Alguien sabe crear un script iptables por defecto DROP con ip dinámica?

Cualquier ayuda y/o opinión es bienvenida, gracias.




Buster_BSA

Cita de: comoes en  9 Junio 2012, 03:11 AM
Porque se abria el navegador, msn, el cursor se movia solo, etc....,

Instala Linux.

comoes

Tengo linux y el problema sigue...., alguien que responda bien mi anterior post?, gracias.

corax

Hola Comoes,

Sería de gran ayuda que nos contases toda la historia desde el principio, un resumen pero ordenado de manera cronológica: hace cuánto que empezaron los problemas, si relacionas el inicio de los problemas con algo que te hubiese pasado antes, qué ha ido pasando en ese tiempo,  si además de lo que te hacen en el ordenador has notado que te hagan algo más (en tu vida cotidiana, por ejemplo), y cualquier otro dato que se te ocurra que puede ser importante.
Nuestro idioma ha tardado 12 siglos en llegar hasta hoy día. Tú tan sólo tardas 20 segundos en escribir un post: no destroces en tan poco tiempo lo que tantos siglos ha costado crear.

comoes

Bueno esto ya lleva un buen tiempo, es que esa gente es así, malandros......, las anomalías que ocurren en el pc son las que ya dije y puede haber mas que todavía nose, por el momento en el foro considero que se resuelvan las inquietudes solo del tema iniciado, alguien que responda bien el antepenúltimo post a este?, gracias.

corax

Cita de: comoes en 26 Junio 2012, 17:50 PM
alguien que responda bien el antepenúltimo post a este?, gracias.

No puedo hablar por los demás, pero al menos yo en ese post veo muchas conjeturas y teorías pero pocos datos sobre el problema.

Así es difícil.
Nuestro idioma ha tardado 12 siglos en llegar hasta hoy día. Tú tan sólo tardas 20 segundos en escribir un post: no destroces en tan poco tiempo lo que tantos siglos ha costado crear.

int_0x40

Cita de: comoes en 26 Junio 2012, 17:50 PM
Bueno esto ya lleva un buen tiempo, es que esa gente es así, malandros......, las anomalías que ocurren en el pc son las que ya dije y puede haber mas que todavía nose, por el momento en el foro considero que se resuelvan las inquietudes solo del tema iniciado, alguien que responda bien el antepenúltimo post a este?, gracias.

Me parece que tu problema es que esperas una respuesta en la cual te den el plato servido. Esto no funciona de esa manera ni aquí ni en otros foros que conozco. Si no investigas cabalmente por tu cuenta y vienes con preguntas concretas, no esperes que alguien venga a darte los pasos específicos para configurar tu modem-router, ni ha explicarte cómo buscar y editar claves del registro para arrancar oculto un programa malicioso, configurar IPTABLES en Linux para rechazar escaneos SYN o cómo deshabilitar servicios y puertos en windoxe o linux.

Para todo lo que buscas hay cantidad de información en la web, es cosa de buscar y ponerse a hacer la tarea, nada más.

Aquí te dejo algunos links de primera búsqueda que te pueden servir ---->
http://www.ono.es/clientes/te-ayudamos/dudas/internet/equipos/arris/producto_tm501a/
http://www.aboutlinux.info/2006/04/enabling-and-disabling-services-during_01.html
http://www.linuxforums.org/forum/security/164208-closing-blocking-ports-iptables.html
http://www.ehow.com/how_5943606_delete-registry-keys-virus.html
www.elhacker.net/trucosxp.htm


Saludos.

"The girl i love...she got long black wavy hair "