¿Cómo puedo saber si una fuente es maliciosa?

7

Hay casos de fuentes que se utilizan para explotar vulnerabilidades {por ejemplo: ThreatPost , F-Secure }. Mi pregunta es si alguna vez tienes las manos en una fuente de este tipo, ¿cómo sabes que es malicioso?

    
pregunta TheRookierLearner 01.09.2013 - 23:51
fuente

1 respuesta

9

Puede saber si una fuente es peligrosa por el siguiente método:

  • Instale un sistema en una máquina virtual.
  • Apágalo.
  • Desde el "exterior" (es decir, otro sistema operativo), acceda al disco virtual para la VM y calcule un valor de hash para cada archivo.
  • Reinicie la máquina virtual. En la máquina virtual, abra la fuente. Luego apaga la máquina virtual otra vez.
  • Desde el exterior, vuelva a calcular los valores de hash para cada archivo.
  • Compara las dos listas de hashes para ver qué ha cambiado.

Si se han modificado algunos archivos no relacionados con la fuente, entonces la fuente es definitivamente sospechosa.

Una fuente maliciosa es otra cosa. Malicia significa intención. Un archivo no tiene mente, por lo tanto no tiene intención. Una "fuente maliciosa" es un archivo de fuente que se ha creado para que active un error en el software que leerá el archivo de fuente, de manera que las consecuencias del error tengan un efecto que, en última instancia, , beneficioso para quienquiera que haya creado el archivo de fuente de esa manera y perjudicial para el propietario de la máquina. Esto es "malicioso" si el creador del archivo de fuente estaba al tanto del error y lo hizo deliberadamente; de lo contrario, es "solo un error".

En cualquier caso, detectar si un archivo de fuente es "malicioso" no es más fácil que detectar si un archivo ejecutable es "malicioso". Esto significa que no se puede hacer genéricamente. En cambio, confiamos en el archivo source : desconfiamos de los archivos que provienen de una fuente que no es confiable.

Dado que una fuente es "solo datos", puede tener un efecto adverso solo cuando se abre con algún software que tiene un error explotable en su código. Sería muy difícil crear una "fuente maliciosa" que pueda, por ejemplo, instalar un virus en un sistema Windows, pero por lo demás funciona "correctamente" (como una fuente) en un sistema Linux (y viceversa). Ya que hay muchos menos sistemas de escritorio de Linux que sistemas de escritorio de Windows, abrir primero los archivos de fuentes con Linux, y cambiar a Windows solo si el archivo de fuente se ve bien en Linux, debería ser "seguro" (al menos más seguro que lo contrario).

    
respondido por el Tom Leek 03.09.2013 - 19:56
fuente

Lea otras preguntas en las etiquetas