Archive for the ‘SANS-SEC503’ Category

Acerca del documento ‘Fake Access Point’

Monday, April 20th, 2009

Es probable que alguna vez haya leído que quien rompe un sistema no demuestra tener habilidades comparables a las que posee quien lo asegura (en el sentido de menor mastering para el primero) (¿tema controversial? Posiblemente, sí). Como sea, al parecer esto -también- podría plantearse cuando se quiere que la seguridad sea quebrada desde el pellejo de un criminal vs. el de un pentester (en el mismo sentido de menor mastering).

Si Ud. es un buen observador del peso de la privacidad, descubrirá a qué nos referimos cuando lea nuestra nueva publicación “Fake Access Point“, acerca de cómo crear un access-point falso, para un ataque de MITM (man in the middle).

De cualquier manera, si tiene cómo defender “legítima y legalmente” las consecuencias de sus actos (por hacer o contratar un ataque de esta naturaleza), sabrá que hacerlo tiene mucho sentido. La razón fundamental es la predisposición de las personas con objetos portátiles (laptops, principalmente) de conectarse a redes inalámbricas próximas.

Sólo pregúntese:

A qué usuario no le apetece tener acceso a Internet, libre de las restricciones de seguridad que le imprime la política de seguridad de la compañía y de esos filtros de contenido, que Ud. mismo impuso.

Lo curioso es que la anterior sentencia no es sólo cierta para usuarios convencionales, también lo es para profesionales de tecnología ligados a la seguridad. Tal y cómo lo compartimos -a los participantes- al final de un taller de seguridad, nuestro team realizó un estudio (coordinado) para conocer cuántos de los que eran propensos a conectarse a cualquier access-point, tenían puertos de servicio abiertos (listening) en sus sistemas. El resultado fue 60%.

Ahora súmele a ello, lo que Jonny Lee Miller, en el papel de Dade Murphy (película Hackers), dijo:

“if we were gonna some heavy metal, I’d, uh, work my way through some low security, and try the back door”

Sin duda, robar credenciales a los sistemas heavy metal desde los más indefensos (los usuarios WiFi), puede ser deliciosamente provocador desde la perspectiva de un criminal, bajo el abrigo de la ilegalidad; pero a la vez, tremendamente retador desde la perspectiva de un pentester, a quien podría irle muy mal si se acoje sólo a las habilidades del primero.

Por ello, podemos concluir, que probar la seguridad vía la figura de un pentester puede no ser siempre lo mismo que para un criminal informático, desde las habilidades técnicas puras.

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Earth HOUR: un asunto de seguridad nacional

Wednesday, March 18th, 2009

PROPUESTA A APAGAR LUCES DESDE LAS 8:30 PM – 9:30 PM DEL SÁBADO 28 MARZO

VOTE EARTH Existe una noticia antigua, y aún persistente propaganda acerca del cambio climático que afirma, que el Perú es el tercer país MÁS VULNERABLE del mundo al cambio climático (luego de Honduras y Bangladesh). Una afirmación similar y posterior, también, es hallada con facilidad en otros sitios de noticias.

Aunque no tuvimos suerte de localizar la fuente original del informe del Tyndall Centre, deberíamos asumir responsablemente el potencial riesgo de la amenaza del cambio climático por la incapacidad de recuperación que tendremos luego.

Por supuesto, visto desde un puro enfoque de gestión, un riesgo sin una vulnerabilidad fielmente documentada no debería incomodar mucho en la mente de un dueño de negocio, especialmente si posee más de una empresa y, además, sólo una de ellas es propensa a cierto riesgo (cuya vulnerabilidad no está bien documentada y cuya amenaza tiene aún sus controversias). Pero, la realidad es que no somos dueños de más de 1 planeta tierra, sólo contamos con uno. Desdee ese otro enfoque, la tolerancia al riesgo es una neglicencia y una mala práctica per se.

Para subir la temperatura de la emoción y conmoción, deberías sumarle provocadoras noticias. En una, se señala que la Economía peruana entre las más vulnerables por cambio climático, según científicos; y en la otra, que China, India y Perú serán las economías de más alto crecimiento en el 2009.

Por supuesto, esto no es un llamado para que nuestros colegas gestores de riesgo pugnen el liderazgo de este proyecto social al interior de sus organizaciones, de ninguna manera. Es tan sólo el fluir social de parte de la ética que profesamos.

Por ello, consideramos que el proyecto EARTH HOUR es un asunto de cultura de seguridad para las generaciones futuras, que empieza con nosotros en este siglo, en estos años.

Si quiere saber más de EARTH HOUR 2009, por favor visite el website.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

El software seguro como un indicador de la madurez empresarial en seguridad, un cambio con retos ocultos

Tuesday, January 13th, 2009

El costo de oportunidad prima
Las compañías más grandes de la industria del software ya inviertien notablemente en mejorar el diseño y desarrollo de sus productos para que sean más seguros. Ellos en el pasado no habrían invertido nada o casi nada por una sóla razón: el alto costo (remárquese: compañías más grande de software). Hoy se trata, mas bien, de cuánto me costará no haber invertido en eso de un inicio.

Expresando su madurez
Ese alto costo, es el mismo que todas las compañías promedio (que invierten en TI), han procurado evitar en los últimos años con respecto a varios aspectos de la seguridad informática y de la información. No obstante, las cosas ya no son tan fáciles de eludir, pues sus negocios dependen más y más de la versatilidad de los sistemas (software). Hoy, el grueso de problemas viene por ese lado. Las aplicaciones web son, en esta materia, un notable ejemplo, aunque no el único. Estas últimas, han recibido toda la atención de los fabricantes de productos de seguridad para este 2009, como la principal fuente de amenazas. En tal sentido, si una organización con una app. web pública ha decidido mejorar la seguridad de su código, está expresando su madurez, aunque ello puede significar otros retos todavía desconocidos.

El proceso hacia el código seguro
Para una compañía rehusar a asegurar su código en la web, es como tratar de tapar el sol con un dedo. Sin embargo, no son estas las que tendrán que mejorarlo, sino los ingenieros de desarrollo, que deberán estar al nivel de poder hacerlo. Es decir, si un proveedor de desarrollo no está a nivel de hacerlo, el proceso de eliminar la debilidad, tendrá que ser postergado “antipáticamente”. Sabemos que a ningún empresario dueño de una app web y con fondos ($) en mano, le agradará oír de su proveedor de desarrollo que, éste, es incapaz de reparar el error de seguridad hallado por un grupo de pentesters, o quizás por reportes de intrusiones web virales u hallazgos accidentales de clientes y amigos, porque simplemente no tiene personal para eso.

Contramedidas para ahorrar invertir, o para -la nada dulce- espera
Felizmente, no todo estará perdido, siempre habrá alguna manera de apalear la situación. Conviene estudiar alguna contramedida temporal para cualquier impase similar. Por supuesto, las contramedidas no tiene su equivalencia en la seguridad más adecuada, así que debe ser estudiada su conveniencia por un tiempo adecuado.

De cualquier manera, la sola presión de los clientes dueños de una app web hacia sus proveedores, será un signo claro de la madurez empresarial por la seguridad. Ajeno a esto será la crisis financiera o cualquier otro factor global. Se trata simplemente de algo que los líderes de negocios ya no quieren dejar para después, pues ya lo han dejado de lado muchos años en el pasado, y hoy por hoy, mucho de su negocio depende de eso. Un signo claro de esta madurez, ya lo dan los grandes proveedores de software, aunque no todos por supuesto. (Ej. Existe una compañía fabricante de equipos de telecomunicaciones que no posee siquiera un URL para distribución de parches / updates / fixes, o un URL /security para un centro de respuesta a incidentes)

Como primera conclusión, la próxima vez que contrate un desarrollo, consulte si el staff tiene el nivel para hacer un código más seguro, sea que puede o no pagarlo en ese instante. Por supuesto, lo mejor será invertir pensando en seguridad desde el inicio.

He aquí el reto
A pesar del significado de la madurez por mejorar el código, es lamentable que los resultados de estas inversiones no sean del todo bien recibido por los más afectados, los usuarios. Al respecto, usted bien sabe, que una de las funcionalidades más criticadas de Windows Vista (un sistema operativo del que decenas de artículos lo bautizaron con características de “más seguro”) es precisamente, lo que lo hace más sólido en cuanto a seguridad. Si esos mismos usuarios de Windows, hubieran sido usuarios de Linux, quizás hasta se hubieran alegrado de que algo como el UAC User Account Control exista en su Windows Vista. Por supuesto, Windows Vista, tiene otros problemas menos famosos, pero más legendarios en los Windows que lo hacen poco agradeble, pero eso no es tema de este post.

Hay quienes pensarían que Windows Vista, es el gran error de Microsoft. No obstante, todo gran error, trae consigo una lección que bien reciclada, beneficia considerablemente a esta de sus competidores en la industria del software, no necesariamente en la industria de los sistemas operativos. La aceptación inmediata del UAC optimizado de Windows 7 hablará de cuál bien capitalizó Microsoft las críticas al UAC de Windows Vista, si es que existiese -de verdad- una mejora con relación al usuario.

Un buen año para los coders con background en seguridad, pero aún mejor porvenir, para los códers con experiencia pos-servicio
En suma, es previsible que en el transcurso de este y el próximo año, veamos decenas de cientos de proyectos de rectificación de código para un código más seguro, tanto en aplicaciones internas (extranets basadas en app web) como en aplicaciones públicas. Sin embargo, no es tan previsible, que estas mejoras traerán consigo nuevos e inquietantes problemas que aún no hemos visto del todo, pero que definitivamente serán motivo de una estrategia de seguridad más completa aún. Una que no podríamos pretender ahora (2009), porque elevaría los costos a un nivel inaceptable. Por ello, es que hablamos que este situación de mejora expresa una etapa en la carrera hacia la madurez de la seguridad en los líderes y sus organizaciones.

JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Seguridad != Rapidez

Friday, December 5th, 2008

Un nuevo invento para reducir el fraude on-line ha merecido un post en el blog de Bruce Schneier. En el post, Bruce cuestiona el costo beneficio, además si la tecnología de one-time password empleada es basada en el tiempo o en secuencia.

Sin duda un dispositivo atractivo y simpático que elevará la confianza del tarjeta habiente para realizar compras on-line. No obstante, me pregunto si acaso este mismo invento, no interrumpirá -también- la velocidad de compra de ciertas transacciones. De seguro, tendrán que producir otros mecanismos intermedios para peremnizar compras o aperturar pre-créditos a un usuario que compra a gran velocidad o con cobros automáticos. Finalmente, el mercado dirá qué prevalece, o cómo prevalece, la vieja lucha entre:

Seguridad != Rapidez

Estos dos, no son lo mismo. No se deje sorprender por los que aducen que amabas cosas son posibles, especialmente si ambas convivirán en extremo, y no en equilibrio.

Depure ese falso concepto

JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

¿Deseas ser un CISSP? CISSP Voto 2009

Monday, October 20th, 2008

Haciendo uso de la democracia, hoy diluiremos cierto poder a nuestros colegas peruanos, interesados en rendir su examen CISSP.

Les daremos dos semanas desde hoy, para dejar su comentario público respecto a qué mes del año 2009 considera su mejor fecha para rendir el examen CISSP (y similares).

Aunque es altamente recomendable llevar el repaso oficial para alcanzar éxito, no negaremos que varios clientes y colegas nos han solicitado auspiciar una fecha de examen para los más valientes, aquellos que se consideran listo para uno.

Sólo indique en qué mes (no que día) es mejor para usted este examen. Sólo recuerde, que si el examen llega a programarse para la fecha más democrática, usted debe tener la responsabilidad ética de inscribirse tempranamente a dicho examen, de otro modo, otras agendas (incluyendo la nuestra) tomarán prioridad sobre su voto, cualquiera sea el resultado.

CISSP Voto 2009

¿Más acerca de democracia? Quizás le sirva esto y esto otro.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Tip para grabaciones de red

Monday, August 25th, 2008

A aquellos clientes y amigos nuestros que algunas vez preguntaron por un script de carga rutinaria de tcpdump basado en la fecha del sistema, he aquí el aporte:

#!/bin/bash
#Made in JaCkSecurity
kill -9 `ps -ef | grep “[t]cpdump” | awk ‘{print $2}’´ 2>/dev/null
tcpdump -i3 -n -w “log-`date “+%Y%m%d%H%M.%S”`” 2>/dev/null &

Observaciones:
– -i3, es la interfase de captura (esta varía según su sistema)
– El snaplen de tcpdump es por defecto pequeño, no cubre mucha data del paquete.

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Técnica de “El Acertijo”, Kaminsky

Monday, August 4th, 2008

Varias semanas atrás estuvimos averigüando la forma en que Dan Kaminsky determinaba cúando un DNS era vulnerable a su famoso hallazgo, al usar el DNS CHECKER en Doxpara.com.

Inicialmente pensamos en la posibilidad de recrear el DNS CHECKER vía un viejo y útil programa llamado, tcpreplay, bajo la premisa que a Kaminsky se la había fugado parte o toda la cadena de explotación, pero no fue así.

Luego de montar un DNS vulnerable en nuestro lab, descubrimos que los paquetes eran muy inofensivos, pero no quisimos dejar tanto esfuerzo en un simple, no se puede. Quisimos ir más allá, y no despreciar el análisis de los paquetes capturados, contra nuestro DNS vulnerable. Sugerimos que lleve el curso SEC503 si desea aprender cómo hacer esto.

Al analizar los paquetes, observamos renuencia de paquetes. Ellos no eran otra cosa que un prolongado juego de acertijos (por eso el título arriba) en el que estuvo entretenido nuestro DNS. Los acertijos a que nos referimos eran (como puede ver abajo) varias respuestas CNAME sucesivas para una consulta de un registro tipo A, aquí una representación cinematográfica de lo visto:

Interprete el escenario así:
[192.168.1.19] como Batman (nuestro DNS vulnerable)
[209.200.168.66] como El Acertijo (el servidor DNS de Kaminsky)
[190.232.39.215] como El público de la película (PC que hace click en el DNS Checker)

La técnica, que hemos bautizado aquí como “la técnica del acertijo”, es muy interesante. Si bien acá es usada para diagnosticar la vulnerabilidad descubierta por Kamisky, esta, puede ser usada para otros fines futuros. Observe, que la técnica de responder con acertijos, es una forma muy útil de provocar más de una (seudo) sesión (seuda por lo de UDP) a fin de aprender más del host que inicia la sesión. Por otro lado, si piensa por un momento que las respuestas con acertijos son agotadoras (como lo pueden ser las preguntas repetidas de un infante), entonces entenderá -también- que esta técnica puede ser usada para intentar agotar los recursos de un servidor DNS (tarea para los researchers que quieran crackear un BIND-acertijo)

En suma, Kaminsky no sólo nos ha mostrado (BlackHat 2008) su vulnerabilidad, también nos ha dejado algo más (doxpara.com), sólo hacía falta un poco de análisis.

Staff
JaCkSecurity
Conocimiento, conciencia, consultoría

Baby challenge for firewall & IDS administrators

Thursday, July 24th, 2008

He aquí un reto para la audiencia con espíritu de administrador de firewalls:

18:51:53.778949 IP 192.168.1.19.32968 > 201.230.87.59.53: 843+ A? sb.google.com. (31)
18:51:53.782595 IP 192.168.1.1.53 > 192.168.1.19.32968: 843- 1/0/0 A 209.85.133.93 (47)
18:51:53.782703 IP 192.168.1.19 > 192.168.1.1: ICMP 192.168.1.19 udp port 32968 unreachable, length 83

El ver la vieja película del superhéroe más conocido del último siglo puede ayudar a descifrar qué es lo que dicen estas 3 líneas.

Ayuda:
192.168.1.19 es un servidor DNS y también a la vez un cliente DNS.

Reto:
¿Qué está pasando aquí?

Quiere más, le invitamos a inscribirse al próximo SEC 503.

Staff
JaCkSecurity

¿Concientización de seguridad a todo nivel?

Wednesday, July 23rd, 2008

Quién dijo que el tópico de “security awareness” era sólo para los empleados convencionales, Oh, no. Se equivoca, es para todos, incluyendo los administradores de sistemas y de redes, excepto que para ellos el panfleto debe cambiar, y volverse mas bien, más exhaustivo.

¿Alguien dijo exhaustivo? Oh, sí, la primera vez que escribé esa palabra en la web, fue para traducir el nombre el curso SEC503, un super curso, que por cierto, es muy oportuno para llevar a los administradores de sistemas y redes a un nivel de concientización de seguridad, más profundo que los simples dispositivos de seguridad que hoy manejan.

Alíste ahora e inscríbase al curso, que casi lo hemos hecho nuestro. Lleno de retos o challenges de seguridad, los participantes experimentarán en sus venas los bits y bytes que en pantalla en el libro hemos de revisar.

Y ojo con esto, pues esta vez somos dos especialistas de JaCkSecurity que vamos a dirigir el curso. Es un co-mentoring del SEC503 Intrusion Detection In-Depth, por algo, el primer curso de seguridad que llevé.

Es una excelente fusión: SANS Local Mentoring y JaCkSecurity’s Labs & Challenges

http://www.sans.org/info/30083

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Aviso de SANS a la comunidad peruana

Tuesday, July 8th, 2008

SANS is bringing Sec 503: SANS Intrusion Detection In-Depth to your local community! Beginning on September 6th , SANS Mentor Javier Romero will be leading this class in Lima. For complete course details, please click on http://www.sans.org/info/30083.

Why Choose the Mentor Program?
The Mentor Program, http://www.sans.org/info/30088, consists of small, local run, 10 week classes (actually, in Peru it will running on 6 weeks) utilizing the same great SANS coursework presented at the larger conferences. Mentors and students report several major advantages to the Mentor format: Cost savings, time to digest the material, convenient evening classes, and community networking.

COST SAVINGS: Is the slowing economy resulting in reduced training budgets? With the SANS Mentor program, you save 25% off the regular SANS tuition fee with the ability to save even more with group discounts (see below). No need to spend money on travel and living expenses or spend a week away from the family.

PACED STUDY: Take 6 weeks not 6 days to work through and understand the material. Past students report that the slower pace allows them to absorb and apply the information. Each session provides you the opportunity to apply the materials the next day when you return to the office!

EVENING CLASSES: The Mentor program provides a method for learning the SANS materials and working towards a GIAC certification without taking time off from work.

COMMUNITY NETWORKING: The Mentor program allows you to work with local security professionals in an open discussion format. This community networking has been identified by students as a major benefit of the Mentor program.

One recent Mentor student commented, “I thought that the class was great. I would consider taking another SANS Mentor Program class. It was much more convenient than traveling and I had the ability to review material at my own pace.”

A SANS Institute course delivered locally in Lima by an experienced SANS Mentor who will lead you over a comfortable and convenient schedule, saving you money, while giving you the opportunity to network with local security professionals. What a great combination!! Plus SANS promises you will be able to use what you learn in the classroom as soon as you return to the office.

TUITION DISCOUNTS!
SANS offers group registration discounts for 2 or more students who register from the same organization. To obtain the Group Discount fee and Registration Code offered for this course, contact Miranda Ruddick at mentor[@]sans.org PRIOR to registering, and provide the names and
e-mail addresses of all the students registering within your organization.

Does this sound like the kind of training that would help you be more effective in your job? Then register today at http://www.sans.org/info/30083 and see for yourself the excellent value
of SANS training and GIAC certification!

SPECIAL MENTOR OFFER! Write “recruited by mentor” on the web form (under the text box “COMMENTS”) and the mentor will give you two additional hours of a special security workshop.

¿Necesitas un argumento para entrenarte en seguridad?

Monday, July 7th, 2008

Dependiendo en qué tipo de entidad gubernamental o empresa de servicios te halles, es más que visto que necesitas un argumento fuerte para convencer a tus jefes para que te aprueben el presupuesto para ese curso avanzado de seguridad que tanto andabas buscando.

Si no has perdido las esperanzas, y todavía estás envuelto en el nivel técnico, y te respetan por ello, cuenta cuánto tiempo te tomas en entender esta técnica de amenaza, y compara si ese es el tiempo que deberías tomarte para responder a un incidente similar.

http://isc.sans.org/diary.html?storyid=4645

Próximamente: SEC503, Intrusion Detection In-Depth

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Curso: Intrusion Detection In-Depth

Monday, March 17th, 2008

Javier Romero, CTO de JaCkSecurity, estará dictando el curso SEC 503. Acá un video de Mike Poor, actual instructor de SANS para este curso:

Análisis de pharming AV-Speedy

Friday, February 1st, 2008

En unas de mis cuentas personales, con fecha 09 de enero 2008, recibí un falso aviso de Telefónica que contenía un enlace hacia un supuesto antivirus importante para mi seguridad.

Nombre: AV-Speedy.exe
Tamano archivo: 192512 bytes
MD5: 2196150802bc7b9d5448f918ef0c4e04
SHA1: 16c486e892e41876210992d1544b40d9ba0fcbaf

Al correrlo en máquinas virtuales, primero con bajos privilegios (con resultado inexitoso para el malware), y luego con altos privilegios, capturé lo siguiente:

Vía netstat

Conexiones activas
Proto Dirección local Dirección remota Estado PID
TCP 192.168.131.65:1039 67.159.45.52:80 ESTABLISHED 248
[AV-Speedy.exe]

Vía windump

Ver adjunto

Tráfico de la captura autómata
Iniciado inmediatamente después de ejecutar el código AV-speed.exe, se observaron los siguientes datos importantes:
Guest virtual: 192.168.131.65
1er. destino: 200.48.225.130 (DNS de Telefónica) – dato ligeramente irrelevante
2do. destino: 67.159.45.52 (www.proxymafia.net) – comando central del malware

Data dentro del tráfico autómata
Al revisar, someramente, el contenido de la captura, se observó los siguientes datos importantes:
1er. dato: www.proxymafia.net (consultado vía DNS, al DNS por defecto de la PC virtual)
2do. dato: GET./surf.php (primer pedido del malware al comando central)
q=aHR0cDovL2JyaWFuc2VhZ3JhdmVzLmNvbS9wcm9maWxlcy9ob3N0LnR4dA%3D%3D&hl=3ed
3er. dato: host.txt (información enviada por comando central al malware)
66.49.193.228 www.hotmail.com
66.49.193.228 hotmail.com
66.49.193.228 www.viabcp.com
66.49.193.228 viabcp.com

Análisis de los datos extraidos
A) Proxymafia.net (67.159.45.52)
Perteneciente a una compañía inglesía y registrado vía GoDaddy.
Consulta vía www.netsol.com

Registrant:
Jack Cator
BCM Netco Solutions
London, WC1N3XX
United Kingdom
Created on: 30-Nov-06
Expires on: 30-Nov-08
Last Updated on: 30-Nov-07

B) anonr.com (DNS Provider)
Perteneciente a la misma compañía inglesía, vea la dirección IP (incluso).
Consulta vía DNS y www.netsol.com

proxymafia.net nameserver = ns1.anonr.com
proxymafia.net nameserver = ns2.anonr.com
ns1.anonr.com internet address = 75.126.48.147
ns2.anonr.com internet address = 67.159.45.52
Created on: 18-Oct-06
Expires on: 18-Oct-08
Last Updated on: 18-Oct-07

C) 66.49.193.228 (pharming)
Vía un get a http://66.49.193.228/, responde la comunidad Cardcaptor Redeemer. Curiosamente el argumento de CardCaptor se basa en que la protagonista tiene que capturar cierto número de tarjetas. Tal parece que quien hace esto, lo ve en cierto modo cómico o en juego.

Conclusiones tempranas
El código del comando central del malware, que no es una botnet, sigue activo en el web www.proxymafia.net. No es determinable el precisar, si la principal institución afectada por este pharming hizo o no algo por eliminar el código surf.php de la web de www.proxymafia.net. Sin embargo, si es concluyente que desde el 09/01/2008 hasta 21 días luego de mi análisis, el comando central sigue activo. Resta aún analizar otros componentes como la visita simulada a la web medicada www.viabcp.com desde esta PC virtual infectada.

JaCkSecurity, Staff
conocimiento, conciencia y consultoría

Macro comando para detectar intrusos: TCP[13]=0x02

Wednesday, August 29th, 2007

TCP-13th-byte
TCP[13]=0x02 ó TCP[13:1]=0x02

Este sencillo, pero extremadamente útil comando de tcpdump, es la navaja suiza en la mente de un especialista en detectar intrusos.

Sólo en ésta semana, el haberlo tenido grabado en nuestra mente, ayudó a uno de nuestros clientes a detectar con rapidez los centros de ataque de un problema muy serio que golpease su red.

Sin duda, no nos equivocamos hace más de 2 años atrás, cuando -a estos macro comandos- le diseñáremos un arte nmemónico para imprimirlo en un estilizado polo de baseball via Cafepress, y se lo obsequiáremos -como premio- el primer colega peruano en obtener localmente su certificado GCIA (GIAC Certified Intrusion Analyst).

De igual manera, usted tampoco se equivocará en invertir en el curso de detección de intrusos de SANS Institute que viene promoviendo localmente JaCkSecurity.


SEC 503 Intrusion Detection In-Depth
Inscríbase pronto.

Análisis de Internet durante el terremoto peruano

Monday, August 20th, 2007

Se esperaba que luego del lamentable terremoto que dañara el sur del Perú, el pasado 15 de agosto, el consumo del Internet local disminuyera a sus niveles más bajos, producto de las masivas evacuaciones que se realizaron en las oficinas y hogares conectados a la red. Sin embargo, esta suposición quedó desacreditada luego de observar las gráficas de intercambio del NAP Perú, hecho que a su vez provocó una interrogante: ¿qué generó ese tráfico?

Aunque parte de este remanente pudo haber sido generado por personas no afectas al terremoto (población norteña del Perú) -además de usuarios proclives al Internet como alternativa de comunicación (Ej. correo), es altamente probable que mucho de éste tráfico haya sido generado por código autómata. En ese sentido, varios colegas tienen interesantes teorías al respecto:

Nota: Entre un 30 y 50 porciento del tráfico normal, fue el remanente de consumo que permaneció entre los 7 de los 9 proveedores de Internet conectados al NAP Perú.

Tráfico autómata no malicioso:
– Actualizaciones de herramientas antivirus
– Actualizaciones de sistemas operativos y aplicaciones
– Correo electrónico encolado
– Conexiones a radios en-línea
– Conexiones a TV en-linea
– Telefonía IP
– Similares

Tráfico autómata producto de efectos del mundo cibercriminal:
– Amplificación de código malicioso (gusanos) a través de diversos puertos (P.e.1433, 5900, 2967, 2968)
– Abuso de proxies abiertos (puertos 3128, 8080)
– Descargas peer-to-peer no permitidas
– Tráfico tunelizado vía puerto 80 (para disfrazar tráfico no permitido)
– Tráfico de señalización y comandos de botnets (80 ó 6667)
– Port scan y host scans
– Tráfico de shells reversos, backdoors y similares (puertos muy bajos o muy altos)

Ante éste interesante escenario, se recomienda a los administradores de sistemas el examinar los registros de monitoreo de sus redes en dicha fecha. La probabilidad de hallar tráfico autómata malicioso es alto, y beneficiará en mejorar la seguridad de su compañía. JaCkSecurity sugiere ésta labor, especialmente, a aquellas personas que van a participar del curso SEC 503 Intrusion Detection In-Depth.

Descargue el análisis de las gráficas de Internet desde el portal