Sin ánimo de querer crear polémica o añadir más leña al fuego, por aquí hay usuarios que sin haber hecho nada se creen capacitados para criticar a quienes al menos han intentado hacer cosas. O usuarios que hablan alegremente desde el desconocimiento.

zu-zu: "Dudo que alguien esté verdaderamente interesado en encontrar vulnerabilidades de semejante naturaleza en esa clase de software".

Pues si supieras a cuánto se pagan esas vulnerabilidades no dirías eso.

De acuerdo Anthony Blake. 

Yo no he dicho en ningún momento que no sea posible. Yo defiendo la idea de que no siempre habrá una vulnerabilidad, porque su número es finito y a base de correcciones llegará a 0, y defiendo que las cosas no se logran porque seas capaz de imaginarlas.

Evidentemente el ataque más interesante que un malware pueda realizar contra una máquina virtual siempre será el escapar del entorno aislado, pero una cosa es querer y otra poder.

Vuelvo a preguntar porque nadie me ha respondido todavía: ¿cuántos años han pasado desde la última vez que se encontró una vulnerabilidad que permitiera a un programa escapar de VirtualBox o VMWare y escribir directamente al host?

Pues a ver si Karcrack a ti te cree.

Veo que no lo tienes muy claro. A ver si lo explico de forma que se entienda bien.

¿Qué es una sandbox? Yo por sandbox entiendo un entorno controlado y aislado donde las aplicaciones que son ahí ejecutadas no tienen efecto sobre el "host", o sea, el sistema operativo donde se ejecuta la sandbox.

Una sandbox podría ser una máquina virtual como VirtualBox, VMWare, QEMU, ... o un software de virtualización como el Sandboxie.

Un programa que se ejecuta en una sandbox, en teoría, nunca pasa al "host". Tiene que ser el usuario el que ejecute el programa directamente en el "host".

La idea es que un malware disfrazado de instalación del FireFox no levante sospechas cuando se ejecuta en la sandbox para que el usuario piense que esa aplicación es inocua y por lo tanto la ejecute en el "host".

¿Se entiende ahora?

Incurres en el mismo error que los otros: el número de vulnerabilidades posibles para lograr realizar una acción es un número finito. Cuando ese número llega a 0 es imposible realizar esa acción.

¿Tan difícil es de entender?

No. Hacerse pasar por un instalador sería la forma de tratar de engañar al usuario.

Cuando ese instalador se ejecuta y se analiza con un analizador del comportamiento el malware debería ser capaz de no levantar sospechas mientras se analiza.

Claro, por supuesto, por eso es importante desde el punto de vista de un usuario el descargar software solo de repositorios o sitios web confiables, pero una cosa es hacerte pasar por un instalador del FireFox y otra que luego te pongas a hacer cosas raras como crear valores en ciertas claves del registro.


Cuckoo Sandbox (http://www.cuckoosandbox.org/) utiliza una máquina virtual como entorno seguro para realizar los análisis. La instalación se efectuará de forma normal y sin ningún problema.


Corregido, ¡gracias!

Pues la verdad es que no muchos. Échale un vistazo al Capture-BAT.


Los HIPS es lo que hacen y no hay problema.