Las aplicaciones de control remoto y levantar o no levantar (la perdiz)

Gabolonte Blasfemus

image Si hay una categoría de software para el Windows Geek que es variada y con muchas opciones, esa es la del control remoto. Desde el básico VNC original pasando por todos sus forks, o incluso el antaño ídolo de los ‘90 PCAnywhere, con el paso del tiempo la oferta en las formas de poder controlar una PC con Windows a la distancia no hizo más que crecer, llegando a un punto donde el mismo Microsoft reutilizó su Terminal Server para el mismo fin en la versión para estaciones de trabajo de su sistema operativo. Y más allá de que hay algunos mejores que otros en factores como velocidad, estabilidad o utilidades, existe un elemento a considerar que en muchos casos resulta de similar o mayor importancia que los anteriores, pero del que pocas veces veremos hablar al respecto por una serie de prejuicios: Ocultabilidad.

Para empezar, que conste que cuando digo esta palabra no me refiero al empleo de avanzadas y malignas técnicas dignas de rootkits para ocultar los procesos y conexiones pertinentes en el sistema, sino al simple hecho de que la aplicación en sí no anuncie con bombos y platillos al Usuario Frente A La Pantalla (de ahora en más UFALP) que la computadora en la que está trabajando acaba de ser accedida remotamente. Toda aplicación de control remoto que se precie anunciará su presencia y estado, casi indefectiblemente, con un llamativo icono en la bandeja del sistema, que convenientemente cambiará de aspecto y/o mostrará un mensaje de información acorde en caso de que Windows resulte abordado por extranjeros.

Pero, antes de que algún aprendiz de cacker nos tire por la cabeza con el “problema de seguridad” que significaría que el UFALP desconozca que están accediendo a su equipo, reflexionemos primero sobre los casos en los que este esquema se hace conveniente y hasta necesario, y sus implicaciones prácticamente nulas en cuanto a la seguridad propiamente dicha.

image Por supuesto que cuando hablamos del UFALP no me refiero al sysadmin todopoderoso que está sentado frente a la consola de un server, sino al usuario raso en los que en determinados casos hace falta conectarse remotamente ya sea para resolverle un problema al mismo, al equipo en particular, o simplemente para instalar/extraer software/archivos. También debemos convenir en que esconder visualmente de la GUI del usuario la información de un acceso remoto no significa para nada esconder los accesos en sí, ya que cualquier sysadmin competente cuenta con los conocimientos y las herramientas necesarias como para saber qué pasa en sus sistemas, sin importar si aparece un pobre icono o no. Pero centrémosnos en el amigo luser, que como tan bien nos lo pinta Wardog en sus habituales e hilarantes historias, es capaz de todo tipo de sabotajes a nuestro trabajo. Y es que si le preguntamos a uno de ellos, no sólo enarbolará automáticamente la bandera de la privacidad, la cual en un primer lugar no tendría por qué arrastrar hasta su trabajo por más que las estadísticas auspiciadas por E-Dance afirmen que el empleado promedio es 10 veces más productivo cuando se le deja boludear libremente en su Facebook, Twitter, MSN y principalmente en el blog o con el libro escritos por E-Dance; no sólo exigirá estar al tanto en todo momento de cuando debe simular que trabaja está siendo visto, sino que además pedirá que el software le pida su confirmación antes de que el admin remoto pueda ingresar, algo de lo que también son capaces la mayor parte de las aplicaciones de control remoto. Ahora analicemos cuales son las posibles nefastas consecuencias de darle al niño lo que quiere:

  • Cuando necesitemos entrar, a menos que sea por algo que le urja muchísimo al UFALP en sí, siempre nos dirá que no porque estará “muy ocupado haciendo un trabajo muy importante”. Y por supuesto, es mucho más fácil decirle que no a un botón que al técnico/admin al otro lado del teléfono teniendo el poder de entrar sin confirmaciones estorbantes.
  • Eso, si en el mejor de los casos el luser en cuestión sabe leer y entiende de qué se trata el cuadro de diálogo que le sale, porque posiblemente le diga todo el tiempo que no “por las dudas”, mientras paralelamente le sigue diciendo que sí a todos los mensajes de instalación de falsos antivirus y codecs para ver videos del gato del momento.
  • Dejando a un lado la autorización por parte del UFALP, una IBM (Inmensa Bola de Mierda) puede desatarse por el sólo hecho de poner en conocimiento del mismo todas las veces que se está accediendo al equipo. Cada vez que se le avise de un ingreso recordará que tendrá la excusa perfecta para echarle la culpa a alguien, por lo que su pequeña mentecita cybercriminal de escritorio aprovechará para ese mismo día instalarse todo lo que tenía ganas y no se animaba, total siempre se le puede endosar la culpa a “algo que estuvieron haciendo hoy los de sistemas, yo los vi que entraron en mi PC”.
  • De la misma forma podrán escudarse en actividades más serias como robo de información o espionaje, ya que encima contarán con una “prueba” que podrán mostrarle a compañeros de trabajo cercanos.
  • En los casos en los que se deba ingresar para alguna tarea que no involucre avisarle al UFALP que interrumpa su actividad en la máquina por nosotros, deberemos avisarle igual y/o exponernos a que su cabecita loca desparrame argumentos como que “entran a espiar que hace”, “invaden su privacidad” o “hacen cosas raras sin decirme”.

Por todo esto es extremadamente conveniente en muchos casos que el acceso remoto para manejar los equipos de una empresa no notifique ni le solicite ningún tipo de confirmación al UFALP, el cual, aunque tenga conciencia de que pueden hacerlo, tenderá a tenerlo menos presente e incurrir mucho menos en esta clase de idioteces y estorbos a nuestro trabajo.

image

¿Y cual es el problema con todo esto? Que por supuesto, nunca faltó ni va a faltar gente que sí se aproveche con fines maliciosos de la posibilidad de configuración de algunas aplicaciones de control remoto para no alertar al UFALP. Fue especialmente notorio en su momento el caso de una excelente aplicación de control remoto como RAdmin, la cual por su versión 2.0 y 2.1 había conseguido literalmente la perfección en funcionamiento y estabilidad, comenzando a ser víctima de su propio éxito, ya que entre los desarrolladores de malware que buscaban una buena herramienta de control del sistema ya hecha por terceros antes que ponerse a programar una propia comenzó a erigirse como una excelente opción. Es así como el servidor de RAdmin 2.1 se comenzó a usar como payload en diversos virus y troyanos, gracias a que justamente podía ser fácilmente instalado y configurado para no alertar jamás al UFALP de su presencia y uso. Incluso se redactaron sendos instructivos sobre cómo utilizarlo como un troyano, y hasta llegaron a existir gusanos de Internet que escaneaban la red en busca de hosts con RAdmin instalado para intentar hacerse con el control de los mismos en caso de que hubiesen sido configurados con contraseñas muy simples o nulas. Todo esto consiguió que los fabricantes de antivirus listaran los archivos correspondientes a RAdmin en sus bases de definición de amenazas, figurando como mínimo bajo la categoría de “posible riesgo de seguridad”, llegando en otras a ser considerada una hacktool o redondamente un troyano. Todo esto fue un duro golpe para Famatech, la compañía de origen ruso creadora de RAdmin, quienes veían como su excelente trabajo se iba por la borda por culpa del mal uso que le daban a una herramienta tan poderosa. Por ende, en futuras versiones realizaron una serie de modificaciones al módulo servidor de cara a re-legalizar el producto y evitar que las compañías de antivirus vuelvan a señalarlo como amenaza. Estas fueron:

  1. La aplicación no volvería a permitir la configuración de una contraseña insegura o nula, para evitar la proliferación de instalaciones de RAdmin fáciles de crackear por culpa de usuarios perezosos.
  2. Protección contra ataques de fuerza bruta, rechazando el intento de conexión desde una misma IP luego de superado un corto número de intentos por ingresar la contraseña correcta.
  3. Activación de la licencia del producto vía los servidores de la compañía, evitando que la herramienta fuera tan fácilmente crackeable como antes.
  4. RAdmin nunca más incorporaría la opción de ocultar el icono de notificación de la bandeja del sistema, avisando en todo momento con el cambio de color del mismo si el equipo está siendo accedido.

De todos estos puntos remarco el 4to porque, dejando de lado las cuestiones de licencia, fue el más molesto para todo aquel sysadmin que utilizara este software asiduamente y necesitara trabajar al margen de las miradas del UFALP por las razones antes expuestas. Y fue por eso que los cracks venideros para las siguientes versiones de RAdmin no sólo se encargarían de hacerlo andar gratis, sino también de volver a ocultar el dichoso iconito. Los geeks entonces se quedaban con dos opciones: Seguir usando RAdmin 2.1 mientras la versión de Windows no fuese superior a XP o 2003, o comenzar a utilizar estos dudosos cracks, los cuales en muchos casos ya eran detectados por los antivirus.

image Pero esto sentaría todo un precedente en las herramientas de control remoto. Nadie querría ser el próximo RAdmin y que se comparara su producto con sus hermanos oscuros, los R.A.T. (Remote Administration Tool), esa categoría del malware que se caracteriza justamente por troyanos que permiten controlar completamente un equipo, pero diseñados desde el principio con la maligna idea de explotar sistemas ajenos. Por eso mismo se volvería cada vez más difícil encontrar una herramienta de control remoto que permitiera ocultar toda notificación en pantalla, y con más razón si la misma era de origen comercial y necesitaba desesperadamente dar una imagen lo más limpia posible para asegurarse la mayor cantidad de ventas. Este es el caso de las versiones pagas de RealVNC, las cuales en su momento fueron altamente apreciadas por ser las únicas en funcionar completamente y sin ningún problema en Windows Vista o superior. En este caso, sólo yendo a la numerosa y poco intuitiva lista de opciones avanzadas es posible deshabilitar tanto un mensaje de notificación que aparece cada vez que se conecta un cliente remoto así como la presencia del icono de la aplicación en la bandeja del sistema. Lo que este cuadro de configuración no aclara y se ve sólo con el uso es que esta configuración se encarga de ocultar el icono únicamente cuando no existe ningún cliente conectado. Ni bien alguno logre ingresar en el servidor, el icono aparece y muestra en su aspecto el estado de conexión remota establecida correspondiente.

Es por eso que hoy por hoy la situación con el dilema de mostrarse o no ante el UFALP es muy problemática, principalmente porque el sólo mencionarlo nos puede hacer blanco fácil de estúpidas acusaciones, más que nada con tanto técnico/admin pelotudo dando vuelta que siempre van a existir y cada tanto exponen en los sitios de tecnología anglosajones.

Si en la actualidad tenemos este tipo de inquietud y lo que deseamos es disponer de una buena solución de control remoto que al mismo tiempo sea transparente para nuestro querido UFALP, tenemos las siguientes opciones:

  1. En caso de pretender seguir utilizando RAdmin, deberemos jugarnos con una versión crackeada para cualquier Windows que se encuentre por arriba del XP o el 2003 Server. Caso contrario podemos seguir tirando con la 2.1 mientras tomemos recaudos como una contraseña fuerte y utilizar un puerto distinto al estándar.
  2. Si preferimos utilizar VNC por su universalidad de plataformas, hasta hace poco estaba difícil, ya que la única opción posible eran las versiones pagas de RealVNC con las limitaciones antes mencionadas. Afortunadamente en la actualidad los proyectos open source más conocidos de VNC se pusieron finalmente al día, y desde hace un buen tiempo podemos contar con UltraVNC 1.0.8.2, el cual funciona a la perfección en todos los Windows incluidos 7 y Vista, y muy recientemente la beta de la versión 2.0 de TightVNC, a la cual aún le falta mejorar algunos aspectos pero funciona bastante bien en todas las versiones de Windows. En ambos casos es posible desde la configuración esconder el icono del programa sin mayores problemas.
  3. Finalmente también podemos optar, en caso de que no haga falta necesariamente interactuar desde la sesión del UFALP, por el subsistema de escritorio remoto que las versiones empresariales/profesionales de Windows ofrecen y que pueden extenderse para el acceso simultáneo sin afectar a la sesión de consola utilizando parches específicos, ya sea que se trate de Windows XP, Vista, o incluso Windows 7.

image

De todas formas hay otro punto importante a tener en cuenta en este arte de no avivar giles al UFALP: La interfaz Aero de Windows Vista/7 y los mirror drivers que utilizan RAdmin y algunas versiones de VNC. Estos drivers son instalados junto con la solución de control remoto a los fines de optimizar la velocidad de transferencia del contenido en pantalla, pero parte de esa optimización involucra la deshabilitación momentánea de Aero cada vez que el equipo es accedido. Si el UFALP utiliza su sesión bajo Aero, no sólo el cambio es profundamente notorio, sino que por defecto Windows alertará que el mismo se debió a una aplicación que lo requería, sembrando demasiadas sospechas. En estos casos las posibles opciones son: Deshabilitar Aero en la sesión del UFALP permanentemente, desinstalar el mirror driver, o configurar si es posible la solución de control remoto para que no deshabilite Aero ni otros efectos especiales de la sesión (algo no posible en RAdmin), con la consiguiente pérdida de performance en el acceso remoto.

image

Y después hay que escuchar a los lusers que dicen que nuestro trabajo es fácil. Y más allá de los consejos, les dejo servido el debate: ¿A ustedes les parece correcto o no evitar notificaciones al UFALP en los accesos remotos? ¿Lo hacen?


3 Responses to “Las aplicaciones de control remoto y levantar o no levantar (la perdiz)”

  • SpamLoco despachó:

    Yo creo que lo mejor es ocultar cualquier mensaje y el icono, por todo lo que comentas. Es fija que lo desactivan si lo ven, al final terminas llamando siempre.

    El problema es que si no están avisados alguno puede entrar a mirar los programas instalados, carpetas, etc… por ahí lo encuentra, googlea y descubre que “lo estaban espiándo”, ahí seguro arma lío.


    Usando Mozilla Firefox Mozilla Firefox 3.6.3 en Windows Windows Vista
    • Gabolonte Blasfemus despachó:

      Ale: Alguien capaz de hacer todo eso ya no califica como luser, a ese es mejor informarle y de última si hace estupideces se lo reporta 😉


      Usando Opera Opera 10.51 en Windows Windows XP
  • Super Hijitus despachó:

    Coincido en los pro y contra del ocultamiento, pero es cada vez mas la existencia de usuarios administrativos con vagos conocimientos informaticos o usuarios administrativos que cursando cursos informaticos que estan ahi creyendose hackers y viendo la forma de vulnerar o dejar en ridiculo a los IT.
    Es una gran problematica que se va acrecentando cada vez mas devido a la divulgacion de herramientas. Se parece a la pelicula lo bueno, lo malo y lo feo.


    Usando Internet Explorer Internet Explorer 8.0 en Windows Windows XP