Archive for August, 2007

Macro comando para detectar intrusos: TCP[13]=0×02

Wednesday, August 29th, 2007

TCP-13th-byte
TCP[13]=0×02 ó TCP[13:1]=0×02

Este sencillo, pero extremadamente útil comando de tcpdump, es la navaja suiza en la mente de un especialista en detectar intrusos.

Sólo en ésta semana, el haberlo tenido grabado en nuestra mente, ayudó a uno de nuestros clientes a detectar con rapidez los centros de ataque de un problema muy serio que golpease su red.

Sin duda, no nos equivocamos hace más de 2 años atrás, cuando -a estos macro comandos- le diseñáremos un arte nmemónico para imprimirlo en un estilizado polo de baseball via Cafepress, y se lo obsequiáremos -como premio- el primer colega peruano en obtener localmente su certificado GCIA (GIAC Certified Intrusion Analyst).

De igual manera, usted tampoco se equivocará en invertir en el curso de detección de intrusos de SANS Institute que viene promoviendo localmente JaCkSecurity.


SEC 503 Intrusion Detection In-Depth
Inscríbase pronto.

Posted in Detección, Knowledge, SANS-SEC503 | No Comments »

Contraste de la respuesta a emergencias

Tuesday, August 21st, 2007

Por la mañana, García Pérez se comunicó telefónicamente con el presidente de Estados Unidos, George Bush, quien lo felicitó por su liderazgo en la crisis que tras el desastre dejó más de 500 muertos y miles de heridos, informó el portavoz para temas de seguridad nacional, Gordon Johndroe, en Crawford (Texas), donde el presidente disfruta de vacaciones en su rancho.

Es interesante el gesto de cortesía que ha tenido el presidente de EE.UU. con su homólogo peruano, al saludar y felicitar su liderazgo en las acciones de respuesta por la catástrofe ocurrida en Pisco, Ica, Chinca y Cañete. Esto es más sobresaliente, en especial por venir de una nación que ha mejorado mucho su capacidad de respuesta ante este tipo de problemas, y que dista de lejos como muy superior al promedio.

Sin embargo, para quienes tuvieron la oportunidad de ver en vivo las acciones rápidas y muy bien organizadas (sin tomar en cuenta la tecnología empleada para el tratamiento forense) que se orquestó inmediatamente después de la tragedia ocurrida con el puente de la I-35 en el estado de Mississipi (USA), les ha de quedar bien claro que lo mismo no se vivió en el caso peruano, el presente mes.

Es importante remarcar que este tipo de emergencias siempre se van a vivir, y serán menos dolorosas cuando se tengan planes y equipos humanos bien establecidos y en contínua comunicación y madurez. Antes de conformarse con los saludos extranjeros, compete al gobierno del Perú establecer verdaderos esfuerzos por la seguridad de sus ciudadanos. El líder debe ser saludado cuando emprenda un proyecto de para enfrentar futuras catástrofes, en todos los ámbitos del Perú.

Murphy dice: Si en un país es posible que haya una catástrofe, esta va a suceder.

Posted in Knowledge | No Comments »

Análisis de Internet durante el terremoto peruano

Monday, August 20th, 2007

Se esperaba que luego del lamentable terremoto que dañara el sur del Perú, el pasado 15 de agosto, el consumo del Internet local disminuyera a sus niveles más bajos, producto de las masivas evacuaciones que se realizaron en las oficinas y hogares conectados a la red. Sin embargo, esta suposición quedó desacreditada luego de observar las gráficas de intercambio del NAP Perú, hecho que a su vez provocó una interrogante: ¿qué generó ese tráfico?

Aunque parte de este remanente pudo haber sido generado por personas no afectas al terremoto (población norteña del Perú) -además de usuarios proclives al Internet como alternativa de comunicación (Ej. correo), es altamente probable que mucho de éste tráfico haya sido generado por código autómata. En ese sentido, varios colegas tienen interesantes teorías al respecto:

Nota: Entre un 30 y 50 porciento del tráfico normal, fue el remanente de consumo que permaneció entre los 7 de los 9 proveedores de Internet conectados al NAP Perú.

Tráfico autómata no malicioso:
- Actualizaciones de herramientas antivirus
- Actualizaciones de sistemas operativos y aplicaciones
- Correo electrónico encolado
- Conexiones a radios en-línea
- Conexiones a TV en-linea
- Telefonía IP
- Similares

Tráfico autómata producto de efectos del mundo cibercriminal:
- Amplificación de código malicioso (gusanos) a través de diversos puertos (P.e.1433, 5900, 2967, 2968)
- Abuso de proxies abiertos (puertos 3128, 8080)
- Descargas peer-to-peer no permitidas
- Tráfico tunelizado vía puerto 80 (para disfrazar tráfico no permitido)
- Tráfico de señalización y comandos de botnets (80 ó 6667)
- Port scan y host scans
- Tráfico de shells reversos, backdoors y similares (puertos muy bajos o muy altos)

Ante éste interesante escenario, se recomienda a los administradores de sistemas el examinar los registros de monitoreo de sus redes en dicha fecha. La probabilidad de hallar tráfico autómata malicioso es alto, y beneficiará en mejorar la seguridad de su compañía. JaCkSecurity sugiere ésta labor, especialmente, a aquellas personas que van a participar del curso SEC 503 Intrusion Detection In-Depth.

Descargue el análisis de las gráficas de Internet desde el portal

Posted in Knowledge, SANS-SEC503, Zombis | 1 Comment »