http://windowstecnico.com/archive/tags/Windows+7/DEP/Seguridad/default.aspxEtiquetas: Windows 7, DEP, SeguridadCommunityServer 2008.5 (Build: 30929.2835)http://windowstecnico.com/archive/2010/01/07/aslr-dep-la-lucha-contra-los-exploits.aspxThu, 07 Jan 2010 18:01:00 GMTf5fee4ed-c2ed-43f2-a57e-69c2e2dfbdde:1572Ignacio Briones0http://windowstecnico.com/rsscomments.aspx?PostID=1572http://windowstecnico.com/archive/2010/01/07/aslr-dep-la-lucha-contra-los-exploits.aspx#comments<p>Los exploits en Windows y en todos los sistemas operativos son un quebradero de cabeza tanto para la seguridad como para los desarrolladores de aplicaciones.</p> <p>Un exploit en resumen es aprovecharse de un descuido en la programaci&oacute;n de alguna aplicaci&oacute;n, permitiendo la inclusi&oacute;n de c&oacute;digo malicioso, donde se esperaba la entrada de un dato por parte del usuario (Donde quedaran las clase de primero de inform&aacute;tica donde los profesores para aprobar o suspender pulsaban todas las teclas y mor&iacute;an nuestras primeros programas). Pero como no todos los usuarios van a introducir solo el nombre en el campo nombre de un formulario de dar de alta productos, sino que se le ocurre dejar el dedo pulsado o introducir n&uacute;meros donde se esperaba letras. Despu&eacute;s de estas actuaci&oacute;n ( lo m&aacute;s normal del mundo, quien no ha dejado el dedo pulsado en la calculadora), sin ning&uacute;n acto de mala fe, este usuario introducir una shell en c&oacute;digo maquina. Como estos usuarios existen y las aplicaciones cada vez hacen m&aacute;s acciones e interact&uacute;an con el usuario, pues los exploits aparecen se reproducen y propagan.</p> <p>Pero para prevenirse de ello se han incluido unas cuantas medidas como son el DEP y el ASLR . El DEP son las siglas de Prevenci&oacute;n de ejecuci&oacute;n de datos (Data Execution Prevention) y ASLR son Address space layout randomization, as&iacute; en coloquial hacer aleatoria la memoria RAM mas o menos.</p> <p>Como las siglas no son muy intuitivas lo que se consigue con DEP es proteger la zona de RAM, estableciendo cuando una zona de memoria contiene c&oacute;digo ejecutable y cuando solo contiene c&oacute;digo para variables. Y el ASLR crea una aleatoriedad en la memoria para que al cargar el sistema operativo las librer&iacute;as del sistema, que solo las deber&iacute;a usar el sistema, se posicionen en diferentes lugares de la RAM, haciendo complicado la repetici&oacute;n y exportaci&oacute;n de un exploit. </p> <p>&iquest;Y por qu&eacute; estas dos particularidades hacen m&aacute;s dif&iacute;cil programar a un exploit?</p> <p>Un exploit necesita que la zona de memoria destinada a las variables de un programa (en estas variables se guardar&iacute;a los datos del formulario que el programador, en buena fe, hab&iacute;a previsto que fuera el nombre solo con letras) sea ejecutable para introducir en ella su c&oacute;digo malicioso. Adem&aacute;s ha de conocer una direcci&oacute;n fija del sistema operativo, en la cual existe una llamada a c&oacute;digo <i>&ldquo;arbitrario&rdquo; </i>y utilizarla como trampol&iacute;n en el exploit.</p> <p>Justamente el DEP act&uacute;a sobre la primera parte del ataque, marcando las zonas como ejecutables o no. El ASLR da aleatoriedad, impidiendo fijar direcciones en memoria: D esta forma en cada arranque de la maquina las direcciones son distintas impidiendo su exportaci&oacute;n y repetici&oacute;n al no conocer el mapa de memoria.</p> <p>El ASLR viene activado por defecto en Windows 7 y el DEP lo podemos modificar como se indica en la siguiente imagen</p> <p><a href="http://www.windowstecnico.com/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/windowstecnico/clip_5F00_image002_5F00_18A24353.jpg"><img width="350" src="http://www.windowstecnico.com/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/windowstecnico/clip_5F00_image002_5F00_thumb_5F00_02F7E4E9.jpg" alt="clip_image002" border="0" title="clip_image002" style="display:inline;border-width:0px;border:0;" /></a></p> <p>Como vemos podemos aplicar DEP solo a los programas manejados directamente por el sistema operativo o aplicarlos a todos los que se van a ejecutar.</p> <p>Con estas dos medidas, las pruebas realizadas al sistema operativo durante su desarrollo, el uso de la plataforma Forefront,&hellip; hacen m&aacute;s complicada la creaci&oacute;n de exploits para los nuevos Windows, aunque no imposible.</p> <p>Pero si un usuario recibe una lista de reproducci&oacute;n con 256 canciones y le van fallando varias, pero sigue reproduci&eacute;ndolas. Si en ellas esta un exploit tendr&aacute; que haberse saltado la l&iacute;nea defensiva de Forefront y de Essentials, los cuales est&aacute;n vigilando la inclusi&oacute;n de c&oacute;digo malicioso, y seguidamente saltarse las protecciones de TMG, vigilando las salidas y las entradas al sistema, y aun m&aacute;s enga&ntilde;ar a nuestro sistema de logs, creado en el post anterior <a href="http://www.windowstecnico.com/archive/2009/12/24/visor-de-sucesos-biztalk-correlador-de-logs-y-alertas.aspx">http://www.windowstecnico.com/archive/2009/12/24/visor-de-sucesos-biztalk-correlador-de-logs-y-alertas.aspx</a> , lo va tener complicado, ser&aacute; m&aacute;s f&aacute;cil hacer aplicaciones con buenos fines.</p> <p><span>Si quieres aprender mucho m&aacute;s sobre los secretos de lo sistemas Microsoft Windows, te recomendamos leer el libro de&nbsp;</span><i><b>Sergio de los Santos</b>&nbsp;</i><span>&quot;</span><a href="http://www.informatica64.com/libros.aspx?id=mswindows">M&aacute;xima Seguridad en Windows: Secretos T&eacute;cnicos</a><span>&quot; y, por &uacute;ltimo, te recordamos que si te ha gustado el art&iacute;culo puedes suscribirte al&nbsp;</span><a href="http://feeds2.feedburner.com/WindowsTecnico">Canal RSS de Windows T&eacute;cnico</a><span>&nbsp;para estar al d&iacute;a de las novedades e informaci&oacute;n t&eacute;cnica de inter&eacute;s.</span></p><div style="clear:both;"></div><img src="http://windowstecnico.com/aggbug.aspx?PostID=1572" width="1" height="1">Windows 7Windows VistaSeguridadASLRDEP