Archive for the ‘Zombis’ Category

Earth HOUR: un asunto de seguridad nacional

Wednesday, March 18th, 2009

PROPUESTA A APAGAR LUCES DESDE LAS 8:30 PM – 9:30 PM DEL SÁBADO 28 MARZO

VOTE EARTH Existe una noticia antigua, y aún persistente propaganda acerca del cambio climático que afirma, que el Perú es el tercer país MÁS VULNERABLE del mundo al cambio climático (luego de Honduras y Bangladesh). Una afirmación similar y posterior, también, es hallada con facilidad en otros sitios de noticias.

Aunque no tuvimos suerte de localizar la fuente original del informe del Tyndall Centre, deberíamos asumir responsablemente el potencial riesgo de la amenaza del cambio climático por la incapacidad de recuperación que tendremos luego.

Por supuesto, visto desde un puro enfoque de gestión, un riesgo sin una vulnerabilidad fielmente documentada no debería incomodar mucho en la mente de un dueño de negocio, especialmente si posee más de una empresa y, además, sólo una de ellas es propensa a cierto riesgo (cuya vulnerabilidad no está bien documentada y cuya amenaza tiene aún sus controversias). Pero, la realidad es que no somos dueños de más de 1 planeta tierra, sólo contamos con uno. Desdee ese otro enfoque, la tolerancia al riesgo es una neglicencia y una mala práctica per se.

Para subir la temperatura de la emoción y conmoción, deberías sumarle provocadoras noticias. En una, se señala que la Economía peruana entre las más vulnerables por cambio climático, según científicos; y en la otra, que China, India y Perú serán las economías de más alto crecimiento en el 2009.

Por supuesto, esto no es un llamado para que nuestros colegas gestores de riesgo pugnen el liderazgo de este proyecto social al interior de sus organizaciones, de ninguna manera. Es tan sólo el fluir social de parte de la ética que profesamos.

Por ello, consideramos que el proyecto EARTH HOUR es un asunto de cultura de seguridad para las generaciones futuras, que empieza con nosotros en este siglo, en estos años.

Si quiere saber más de EARTH HOUR 2009, por favor visite el website.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Posted in Detección, Geek, Knowledge, Privacidad, SANS-SEC503, Spam, Zombis | No Comments »

Técnica de “El Acertijo”, Kaminsky

Monday, August 4th, 2008

Varias semanas atrás estuvimos averigüando la forma en que Dan Kaminsky determinaba cúando un DNS era vulnerable a su famoso hallazgo, al usar el DNS CHECKER en Doxpara.com.

Inicialmente pensamos en la posibilidad de recrear el DNS CHECKER vía un viejo y útil programa llamado, tcpreplay, bajo la premisa que a Kaminsky se la había fugado parte o toda la cadena de explotación, pero no fue así.

Luego de montar un DNS vulnerable en nuestro lab, descubrimos que los paquetes eran muy inofensivos, pero no quisimos dejar tanto esfuerzo en un simple, no se puede. Quisimos ir más allá, y no despreciar el análisis de los paquetes capturados, contra nuestro DNS vulnerable. Sugerimos que lleve el curso SEC503 si desea aprender cómo hacer esto.

Al analizar los paquetes, observamos renuencia de paquetes. Ellos no eran otra cosa que un prolongado juego de acertijos (por eso el título arriba) en el que estuvo entretenido nuestro DNS. Los acertijos a que nos referimos eran (como puede ver abajo) varias respuestas CNAME sucesivas para una consulta de un registro tipo A, aquí una representación cinematográfica de lo visto:

Interprete el escenario así:
[192.168.1.19] como Batman (nuestro DNS vulnerable)
[209.200.168.66] como El Acertijo (el servidor DNS de Kaminsky)
[190.232.39.215] como El público de la película (PC que hace click en el DNS Checker)

La técnica, que hemos bautizado aquí como “la técnica del acertijo”, es muy interesante. Si bien acá es usada para diagnosticar la vulnerabilidad descubierta por Kamisky, esta, puede ser usada para otros fines futuros. Observe, que la técnica de responder con acertijos, es una forma muy útil de provocar más de una (seudo) sesión (seuda por lo de UDP) a fin de aprender más del host que inicia la sesión. Por otro lado, si piensa por un momento que las respuestas con acertijos son agotadoras (como lo pueden ser las preguntas repetidas de un infante), entonces entenderá -también- que esta técnica puede ser usada para intentar agotar los recursos de un servidor DNS (tarea para los researchers que quieran crackear un BIND-acertijo)

En suma, Kaminsky no sólo nos ha mostrado (BlackHat 2008) su vulnerabilidad, también nos ha dejado algo más (doxpara.com), sólo hacía falta un poco de análisis.

Staff
JaCkSecurity
Conocimiento, conciencia, consultoría

Posted in Alerts, Knowledge, SANS-SEC503, Zombis | No Comments »

Ilustración japonesa de una botnet

Wednesday, December 12th, 2007

Con un toque muy japonés y transfondo comercial por Symantec, estos videos ilustran perfectamente qué es una botnet.

Si Norton es o no un buen anti-virus, sólo los usuarios lo pueden confirmar.

Posted in Knowledge, Malware, Spam, Zombis | No Comments »

Palabras del Ministro de Defensa de Estonia

Monday, December 10th, 2007

A continuación algunas de las citas más importantes de la transcripción de lo dicho por el Ministro de Defensa de Estonia, Jaak Aaviksoo, en Washington (28 Nov. 2007), referente a los ataques DDoS sufridos en su nación en el mes de mayo:

Acerca de la responsabilidad del uso de ciertas armas
It is a complicated question to what extent individual people or computer owners can be held responsible for those attacks. Will I just bring you a small mental exercise. In a war, in a regular war, guns are used as weapons to fight. In cyber attacks, computers are the weapons. We have made rules and regulations so anybody who owns a gun has to keep it from being used against third parties, either by leaving it at home on the table accessible to your children and them using it against their friends or classmates, then it’s clear that we can be held responsible.

Acerca de la velocidad de respuesta
…close cooperation. Even more so, we’re taking into account the very nature of those attacks; they are speed; events happen in milliseconds or even in shorter time periods. They develop over minutes or hours. And so, fast reaction is essential.

Posted in Knowledge, Zombis | No Comments »

Zombi SPAM al descubierto

Friday, October 12th, 2007

A pesar del equipamiento de hardware y software de seguridad instalado en muchas compañías y redes domésticas, miles de millones de computadoras vienen siendo explotados.
Todo eso debido a las malas prácticas de seguridad que se vienen desarrollando en el uso de los computadores. Una nueva publicación del portal de JaCkSecurity demostra qué es lo que hacen esas computadoras hackeadas, específicamente en la economía SPAM. Descargue Zombi SPAM al descubierto.

Posted in Knowledge, Spam, Zombis | No Comments »

Problemas que ocasiona una PC zombi

Monday, September 24th, 2007

[Nota si los zombis en su red están generando una situación de crisis, recurra inmediatamente a nuestro servicio de emergencias y ayuda forense JaCknoHaCk.]

A consecuencia de las noticias reportadas en el boletín #35 del JaCkNews, creimos conveniente enumerar algunos de los problemas mínimos que puede generar una red zombi:

1. Metástasis
2. Escaneos
3. Pasarela criminal
4. Robo de documentos internos
5. Violación a la privacidad
6. Envío de SPAM

Explicación detallada:

1. Metástasis
Al igual que ciertas enfermedades humanas hacen metástatis, es decir se generalizan en todo el cuerpo, los infecciones zombis también lo hacen. Esto es porque en la mayoría de casos, en el código de amplificación viral basado en gusano existe la orden de explorar en primera instancia la red interna, a fin de penetrar cada máquina disponible. Si la alguna máquina en dicha red es penetrada y está en modo dual-home, la posibilidad de metástasis se duplica, lo que permite al zombi extenderse a otros perímetros internos (redes backend).

2. Escaneos
Luego de la infección interna, la zombi recibe órdenes integradas o nuevas para explorar existan aplicaciones vulnerables.
A causa de ello es altamente probable, que usted reciba una denuncia (vía teléfono o vía correo) de que está realizando ataques o intentos de intrusiones.
Los último, se hace más delicado aún, si la red a la que están escaneando sus zombis es la red de su competencia o algún enemigo militar.

3. Pasarela criminal
Casi en paralelo a lo anterior, su computador -ahora convertido en un zombi- se conectará a su comando central, a fin de recibir órdenes de su nuevo amo (esto en el sin que usted pierda control convencional de su PC). Desde allí, el criminal ordenará diversas operaciones delincuenciales a través de su computador. La posibilidad de ser incriminado por ello es alta, ya que finalmente es usted el dueño de dicho equipo (no importa si es una zombi).

4. Robo de documentos internos
En ocasiones, el criminal podrá tener interés en documentos de su corporación, para lo cual no tiene obstáculo alguno.

5. Violación a la privacidad
La violación de privacidad del usuario que opera la PC, es arruinada casi en la mayoría de casos. Esto se debe a que los zombis son programadas para extraer cada tarjeta de crédito o de débito que el usuario de la PC digite sobre ella.

6. Envío de SPAM
Esto último, no por estar al final significa que es menos frecuente, todo lo contrario. El envío de spam es lo más típico en una PC zombi.
Los criminales subarriendan su PC para el envío de correos no deseados (SPAM). Quizás, porque la industria comercial publicitaria sigue siendo una de las más rentables.
De esta manera, sus PCs se vuelven en motores de correo no deseado, con todo lo que eso significa: problemas con la leyes peruanas (o de otro país), y problemas con la blacklists.

Síntomas
Hasta aquí es muy probable que usted se pregunte cuáles son los síntomas de una PC zombi. En general, estos son variados, y casi siempre “imperceptibles”. Sin embargo, algunos pueden reflejarse -y no se limita- en los siguientes síntomas:
1. No percibe nada en su PC(s).
2. Percibe tráfico irregular al interior de la red, incluso, saturación y caida de equipos de internetworking (routers y switches) internos, si la red es proporcionalmente grande: red /8 , /16, o similar.
3. Mediante red, se observa tráfico de salida hacia los siguientes puertos TCP/UDP: SMTP, SSH, 5900, 1433, 2967, 2968, 45001, de Microsoft, y otras exentricidades más.
4. Observa consultas DNS salientes por un mismo dominio, en una frecuencia irregular.
5. Conexiones HTTP irregulares, que usted no generó manualmente o vía algún software conocido.
6. Recibe una notificación o llamada de su proveedor o uplink más cercano, o de algún centro de investigación de seguridad, o quizás de entidades financieras.

Muestras
Si no sigue las prácticas citadas en el post “least-privilege“, es altamente probable que su red tenga zombis, vea más en “tráfico autómata“.

Solución zombi
Debido a que una zombi tiene demasiadas aristas, restaurar una PC del estado de zombi no es una tarea que cualquiera pueda realizarlo. Usted puede contar con JaCkSecurity para esa labor (el tiempo de solución depende del nivel de daño y la experticia de su personal: JaCknoHaCk).

Posted in Knowledge, Zombis | No Comments »

Análisis de Internet durante el terremoto peruano

Monday, August 20th, 2007

Se esperaba que luego del lamentable terremoto que dañara el sur del Perú, el pasado 15 de agosto, el consumo del Internet local disminuyera a sus niveles más bajos, producto de las masivas evacuaciones que se realizaron en las oficinas y hogares conectados a la red. Sin embargo, esta suposición quedó desacreditada luego de observar las gráficas de intercambio del NAP Perú, hecho que a su vez provocó una interrogante: ¿qué generó ese tráfico?

Aunque parte de este remanente pudo haber sido generado por personas no afectas al terremoto (población norteña del Perú) -además de usuarios proclives al Internet como alternativa de comunicación (Ej. correo), es altamente probable que mucho de éste tráfico haya sido generado por código autómata. En ese sentido, varios colegas tienen interesantes teorías al respecto:

Nota: Entre un 30 y 50 porciento del tráfico normal, fue el remanente de consumo que permaneció entre los 7 de los 9 proveedores de Internet conectados al NAP Perú.

Tráfico autómata no malicioso:
- Actualizaciones de herramientas antivirus
- Actualizaciones de sistemas operativos y aplicaciones
- Correo electrónico encolado
- Conexiones a radios en-línea
- Conexiones a TV en-linea
- Telefonía IP
- Similares

Tráfico autómata producto de efectos del mundo cibercriminal:
- Amplificación de código malicioso (gusanos) a través de diversos puertos (P.e.1433, 5900, 2967, 2968)
- Abuso de proxies abiertos (puertos 3128, 8080)
- Descargas peer-to-peer no permitidas
- Tráfico tunelizado vía puerto 80 (para disfrazar tráfico no permitido)
- Tráfico de señalización y comandos de botnets (80 ó 6667)
- Port scan y host scans
- Tráfico de shells reversos, backdoors y similares (puertos muy bajos o muy altos)

Ante éste interesante escenario, se recomienda a los administradores de sistemas el examinar los registros de monitoreo de sus redes en dicha fecha. La probabilidad de hallar tráfico autómata malicioso es alto, y beneficiará en mejorar la seguridad de su compañía. JaCkSecurity sugiere ésta labor, especialmente, a aquellas personas que van a participar del curso SEC 503 Intrusion Detection In-Depth.

Descargue el análisis de las gráficas de Internet desde el portal

Posted in Knowledge, SANS-SEC503, Zombis | 1 Comment »