29 julio 2010

Amispammer en los repositorios oficiales de Debian

Es para mí motivo de orgullo y satisfac… bueno que con gran alegría quería anunciaros que la herramienta Am I Spammer de la que hemos hablado en varias ocasiones en SbD ha sido incluida en la versión inestable de Debian. También contarán con dicha herramienta las distribuciones basadas en Sid. Así lo hemos podido comprobar con el amigo a0rtega en su portátil con la distribución sidux.

Al hacer un "apt-cache search amispammer" aparece descrito como "Powerful Mail Server checker on blacklists".

Para la aceptación de Amispammer en la rama main de la versión inestable de Debian, hubo que efectuar algunas modificaciones en la herramienta, a fin de cumplir con los requisitos de licencia. Entre otras cosas, hubo que cambiar la implementación del módulo de envío de correos (libmail-sender-perl por libemail-sender-perl). De no haber realizado este cambio, se habría añadido a la rama "non-free" (o dependiente de algo propietario).

Quiero destacar que el trato con el mantenedor de paquetes que contactó conmigo, Julián Moreno Patiño, siempre ha sido un placer de principio a fin y le quiero agradecer públicamente el esfuerzo y preocupación dedicados para la integración de Am I Spammer en Debian.

Roadmap

Es bastante difícil añadirle funcionalidad a una herramienta de funcionalidad tan específica, aunque sí que tengo en mente alguna que otra novedad. Entre otras:
  • Integrar la funcionalidad de Tweetme! dentro de la propia herramienta para que además o "en vez de" enviar un correo si detecta una IP en alguna lista negra, envíe un DM a un usuario Twitter
  • Utilizar Getopt:Long o Getopt::Std en vez de la obsoleta pero cómoda 'getopt.pl'
  • Modificaciones varias en el código usando módulos específicos para interactuar con RBLs en paralelo en vez de lanzar todos los threads desde Perl directamente.
Y por supuesto, abiertos estamos a vuestras sugerencias…
Leer más...

28 julio 2010

La wordlist por excelencia: 100 millones de usuarios de Facebook

Ron Bowes de SkullSecurity.org publicó ayer un interesante artículo con unos resultados también muy interesantes, y útiles sobre todo: Cómo consiguió un listado con unos 150 millones de usuarios de Facebook. Ni inyección SQL, ni acceso al panel de administrador ni nada de nada. Tranquilidad.

Tras seguir un tweet de FSLabs en el que se indicaba una dirección con una especie de directorio de esta red social (http://www.facebook.com/directory), Ron vió la luz.



Vió la luz, y un buen puñado de nombres y apellidos, como es de esperar en un directorio. Tenía dos opciones: ir nombre por nombre, obteniendo su url de perfil y su nombre y apellidos...o hacerse un pequeño script que hiciese esta labor tan ardua. No era algo descabellado: justamente ya comentamos por aquí como Mark Zuckerberg utilizó estos mismos métodos para engendrar The Facebook.

Y así fue, tras dejar que funcionase un buen rato, obtuvo el listado completo de los usuarios de Facebook que no tuviesen la protección frente a búsquedas activadas en sus opciones de privacidad. Una gran mayoría por lo que parece. Aunque sabemos que hace poco llegó a 500 millones, lo obtenido por Ron es más que suficiente como muestra para su siguiente acción: es el turno de las estadísticas, análisis de todo el directorio obtenido y posterior creación de listas basadas en diferentes criterios (primera letra del nombre seguida de apellidos, nombres de usuarios, nombre con un punto y apellido, etc).

¿Pero para que podrían servirnos estas listas si no nos interesan mucho las estadísticas? Muy sencillo: si os veis en la situación de necesitar una enumeración de usuarios válidos para un servicio (¿alguien ha dicho fuerza bruta? yo no), con esta y otras listas seguro que se consigue por lo menos algún que otro nombre correcto y registrado. Al fin y al cabo, la fuente es más que fidedigna. 



Ron ha puesto a disposición de todo el mundo, mediante torrent, el compilado con las listas que os comentamos, el volcado de todo el directorio con direcciones del perfil, nombres, apellidos y demás, así como las herramientas utilizadas, scripts, etc. Como bien dice, es tontería volver a lanzar las herramientas y gastar ciclos y memoria, así que si queréis haceros vuestras listas con criterios personalizados, podréis descargar el fichero de torrent (comprimido de unos 2.79 Gb) en esta dirección.

En los comentarios, se revelan más direcciones de facebook que podrían resultar interesantes...

[+] Return of the Facebook Snatchers (skullsecurity.org)
Leer más...

27 julio 2010

Petición de propuestas No cON Name 2010

El congreso de seguridad No cON Name es una de las primeras y más importantes reuniones de hacking que se han celebrado. Históricamente este evento ha sido en Palma de Mallorca y su última edición fue en el año 2006. Ahora, casi un lustro después, vuelve para celebrar su próxima cita en Barcelona.



La  petición de propuestas para los conferenciantes ya se ha publicado y la reproduzco integra:

CONGRESO

<> http://noconname.org <>
<> 20 y 21 de octubre <>

FORMACIONES

<> http://noconname.org <>
<> 18 y 19 de octubre <>

** ¿Qué es la No cON Name? **

No cON Name es una asociacion sin animo de lucro impulsada por diez personas de España.
Los integrantes trabajamos en diferentes empresas en seguridad, universidades y administraciones publicas.

Este congreso, de índole técnico, se rodea de un ambiente medianamente formal, dando a los participantes
para que disfruten de intercambiar conocimientos sobre seguridad de la informacion.

** ¿Donde? **

La séptima edición será en Barcelona.

Lugar: Cosmocaixa

** ¿Cuando? **

El congreso tendrá lugar los días 20 y 21 de octubre.
Las formaciones tendrán lugar los días 18 y 19 de octubre.

** ¿Quienes somos? **

NcN es una asociación sin ánimo de lucro organizada por diez miembros de España.
Algunos trabajamos en seguridad para compañías o gobiernos locales.

------------------------------------------------------------------

Este congreso, técnico en su fondo, tendrá lugar en un area medianamente formal e informal
permitiendo a los asistentes disfrutando para compartir el conocimiento e información en seguridad.

** PRIVILEGIOS DE LOS PONENTES **

Los ponentes gozarán de los siguientes privilegios:

- Posiblemente un pasaje de Avión a Barcelona para una persona.
- Posiblemente una habitación de Hotel
- Juerga y alegría de la huerta gratis }:-)

** SOLICITUD DE CFPS PARA EL CONGRESO **

La solicitud de CFPs debe incluir la siguiente información:

1) Breve biografia del autor, incluyendo una lista de publicaciones anteriores.
2) Título de la presentación propuesta, categoría, sinopsis y descripción.
3) Información de contacto (nombre completo, alias, correo electrónico, teléfono, fax, foto, país de origen, y dieta específica).
4) Información sobre trabajo o grupos de interés
5) Alguna experiencia significativa en el ámbito instructivo.
6) ¿Porqué lo que presento es diferente, innovador o instructivo?¿Solo enseño a romper algo que está mal hecho?¿O aparte muestro algo más?

Las solicitudes deben ser:

- Charla (con presentación) (45 minutos)
- o un Taller (45-55 minutos)
- El taller o la charla debe estar orientada a la construcción (aunque por la temática se hable de seguridad ofensiva). Partamos de que romper
algunas tecnologías es más facil que diseñarlas y construirlas.

Hay entre 10-12 vacantes para una charla o taller.
Todas las solicitudes deben ser o bien en Inglés o Castellano en formato MS Officce o OpenOffice.

** TEMAS **

Las areas de interés que se han propuesto deben ser, pero no estan restringidas a:


- Evasión / Estudios sobre Phishing / Malware.
- Ejemplos de implementación de Gestión de Identidades.
- Estudios o Soluciones ante Data Leakage.
+ Data Information Gathering / Metadatos
+ Gestión de Logs
+ EndPoint Security
- Control en terceras partes.
- Análisis de código fuente [ SLDC ]
- Herramientas / Estudios para la gestión / orientación de un BCP, SGSI.
- Técnicas de Reversing.
- Seguridad en terminales inteligentes.
- Seguridad y técnicas de explotación de SCADA.
- Técnicas de Securización i contención de riesgos en una organización.

- Otros temas relevantes que sean propuestos

Para complementar la información sobre la asociación y el congreso,
puede visitar nuestra web en: http://noconname.org (Spanish/English version)

** FECHAS IMPORTANTES **

+ Final del plazo de las solicitudes : 15 Septiembre de 2010
+ Noticación de aceptación: 20 Septiembre de 2010
+ Inscripción al congreso y las formaciones: Desde el 15 de Agosto hasta la apertura del congreso.

** CONCURSO **

Se organizará un concurso

** PRECIO **

- La entrada para el CONGRESO será de 20 euros.
- Para las formaciones será diferente dependiendo del Formador.

Su mensaje puede ser dirigod a: congreso (en) noconname (punto) org
O a los organizadores:
+ Jose Nicolas Castellano : jncastellano (en) noconname (punto) org
+ Alejandro Clares : aclares (en) noconname (punto) org

<> Por favor, envie las solicitudes a cfp (en) noconname (punto) org <>
Leer más...

25 julio 2010

Enlaces de la SECmana - 29

Una semana más, ya para la semana que viene estaremos en agosto y acabando la Campus Party de Valencia 2010, en la que ya sabéis que Security By Default estará presente, además de un montón de charlas, talleres y un concurso del que os hemos hablado esta semana. Por lo demás, a continuación repasamos un conjunto de enlaces que podrían resumir lo más destacado de esta SECmana:
¡Nada más! Hasta la SECmana que viene.
Leer más...

24 julio 2010

Movil + Camara = ¿Solo una foto?

Con la proliferación de los 'smartphones', a estas alturas el uso de cámaras de fotos 'normales' poco a poco va quedando relegado a puristas y profesionales. Si a eso le unimos la enorme proliferación de webs que permiten subir las fotos online, tiene pinta que podemos tener un ¿pequeño? problema de privacidad.

Al hilo de esto, la gente del SANS, hace tiempo publicó un artículo llamado 'Twitpic, EXIF and GPS: I Know Where You Did it Last Summer' en el que hicieron un pequeño estudio sobre qué información de tipo EXIF se podía sacar en un servicio como Twitpic, sorprendentemente el estudio ponía sobre la mesa un importante volumen de imágenes donde se se podía obtener datos del GPS (localización).

Mas recientemente, en las conferencias 'Next Hope' se ha presentado la pagina 'I Can Stalk U' donde periódicamente se scanea twitter en busca de enlaces con fotos que contengan datos de la localización (y se presentan de una divertida forma). Además tienen una completísima guía con tutoriales para desactivar en casi todos los móviles 'la funcionalidad extra'.

¿Mas cosas? Aparte de los metadatos de geolocalización, también se pueden encontrar cosas curiosas en una foto que no esté limpia. Hagamos un mini-pequeño-estudio veraniego sobre el tipo de móviles que usan algunos deportistas de élite en España.

Vamos a tomar como sujetos al gran Carles Puyol, al mejor lateral derecho del mundo (sr, Sergio Ramos) y al futuro campeón del Tour de Francia 2010 Alberto Contador.

Ojeando sus Twitters encontramos tres enlaces a fotos bastante interesantes:

Este de Carles Puyol (foto triunfal por Madrid)


Y este de Alberto Contador hablando sobre el Tour

Si empleamos, por ejemplo, la extensión de Firefox Exif Viewer y analizamos las tres fotos podemos encontrar el siguiente dato:

Software / Firmware Version = Rim Exif Version1.00a

Con lo que parece que, en el mundo del deporte nacional, quien parte la pana es BlackBerry
Leer más...

23 julio 2010

El robo de la fo-fo- Foca 2.5.0.0

Seguro que cuando vea esta entrada Chema me mata, pero oye, es lo que tiene este mundillo... no te puedes fiar de nadie y ¡¡menos de mí!!

Hoy estuve comiendo con él cerca de su cuartel general y saco su portátil cochambroso, un pendrive y ejecuto la nueva Foca que presentará en Las Vegas. Así que después de que me diera la paliza un rato, aproveche que se levantó con el móvil y me quede con su pincho.

De esta forma tan elegante, tengo la versión 2.5.0.0 de la aplicación a la que han añadido algunas características de "hacking de botón gordo" y que voy a resumir rápidamente antes de que lo haga él :-D

Lo primero y más rápido de ver son las pestañas nuevas que hay en el menú de opciones y que dejan claro que otras nuevas características presenta.

La renovada Fuckita permite hacer fingerprint de los servidores web y de los de correo de todos aquellos sistemas que vaya detectando mediante las búsquedas en google, metadatos o DNS:






Así como la localización de distintas tecnologías web según la extensión de sus archivos:



Otra de las opciones permite que de las rutas de directorios que se obtengan de las URL, compruebe si hay directorios con "Directory Listing" activado o si permiten métodos HTTP inseguros, con los que borrar o subir ficheros.


El mapeo mediante DNS ha mejorado bastante y los resultados son muy buenos. Para no perder la costumbre del Maligno, lo he ejecutado sobre algo que tuviera que ver con Linux...

Si os soy sincero, esta parte de la aplicación pensaba que no aportaría demasiado a las herramientas que ya existen y que no son pocas, pero la combinación que realiza al mezclar varias técnicas "clásicas" como la fuerza bruta de registros A, con por ejemplo los Sets de Google o la búsqueda en Bing, garantiza que no se olvida nada en esta tarea, que hasta ahora era un auténtico coñazo.





Por criticar un poco, que para eso estamos, sigo sin ver nada de IPv6 (registros AAAA) y las consultas son demasiado leeentasssZzZzz. c\_/

Y para finalizar, algunas capturas de la ejecución sobre el dominio Mandriva.com, mostrando el reconocimiento de tecnología, de directorios con listado habilitado (espero que cambien del icono "folder" por "directory" o dejaré de tratar con i64)  y de métodos inseguros:






Leer más...

22 julio 2010

Wargame en CampusParty Valencia 2010

 Como ya sabréis este año también organizamos el concurso de hacking de la campus party valencia 2010. Hemos tenido la suerte de poder liar a mucha gente para elaborar pruebas como ya hicimos con la edición de Europa

En esta ocasión dividiremos el concurso en cinco categorías con tres pruebas por categoría: Trivia, Redes, Web, Cripto y Binarios. Para los ganadores, un jugoso premio de 2.000€. Como otros años, no se podrá participar desde el exterior y poco a poco iremos contando como avanza el concurso vía twitter.

Como si anunciase un cartel de un macrofestival de security pr0n stars, estás son las colaboraciones: Miguel Gesteiro volverá con una de las pruebas web, reversemode se encargará del último nivel de ingeniería inversa, reverseskills está metiendo mano en varias de las pruebas con grandes ideas, a0rtega ha hecho de uno de los niveles de redes y vierito5, ganador de la edición del 2009, se encargará de dos de las pruebas de cripto. ¿Preparados?

Además del concurso, hay muchas otras actividades de seguridad, como la charla del equipo aw3a, que fue uno de los finalistas en el reto de la CP Europa 2010  y que contarán como fueron superando las pruebas. La ponencia de Ruben Santamarta con los riesgos de navegación o el Taller de Nogg-Aholic sobre hacking e ingeniería inversa en juegos. Además de alguna 0x0AE11A que pensamos comernos en alguna escapada ¿Tomaremos horchata juntos?
Leer más...

21 julio 2010

Esta entrada detalla cómo aplicar una directiva de restricción de software para evitar la última vulnerabilidad crítica de Windows en todas sus versiones y para la que aún no hay parche. Es una libre adaptación y traducción de la entrada de Didier

Para aplicar la directiva hay que acceder desde el panel de control, herramientas administrativas: Directiva de seguridad Local.


La primera vez que se accede a las Directivas de restricción de software, es necesario crearlas pulsando sobre el botón derecho en esa carpeta.


Posteriormente se añadirá la ruta de los discos duros donde se encuentren ficheros de sistema y que serán excluidos de la directiva. Añadiendo una nueva ruta dentro de las "Reglas adicionales", en el ejemplo el disco es C:





Para evitar la vulnerabilidad, además de los archivos ejecutables EXE, también hay que añadir las librerías DLL. En las propiedades de "Obligatoriedad", seleccionando "Todos los archivos de software"


Por último, se modificará el funcionamiento de listas negras a listas blancas. Dentro de Niveles de Seguridad, en las propiedades de "No permitido": Establecer como predeterminado.

 

Esta misma directiva podría ser aplicada mediante una GPO en un dominio, de tal forma que todos los equipos de la red queden protegidos de la vulnerabilidad.

Una vez aplicada, será necesario que el usuario vuelva a iniciar sesión para que los cambios tengan efecto.

Leer más...

19 julio 2010

Buenas prácticas garantizando la disponibilidad de un sistema

Una de las características más importantes a garantizar en un sistema es su disponibilidad. En caso de que tengamos un fallo (hardware, software, involuntario o premeditado por otras partes) que inutilice parte o la totalidad de los datos que se encuentran en el sistema, deberemos disponer de mecanismos que nos permitan restaurar el servicio lo antes y mejor posible.

Creo que en SbD, no hemos tocado de una forma frontal y directa, una de las prácticas de mantenimiento más importantes que se deben llevar a cabo como parte de la vida de un sistema.

Por ello me gustaría dar ciertas pautas sobre qué puede hacer por nosotros una buena política de backups:

  • RAID: Desde el punto de vista de los discos duros, el RAID 1 es la disposición en la que más espacio de almacenamiento se desperdicia, pero también es el que mayor disponibilidad ofrece. Si alguno de los dos discos del RAID se muere, el otro tiene toda la información actualizada hasta el momento final. Otra alternativa comúnmente utilizada y bastante eficiente es RAID 5.
  • Redundancia: El servicio ofrecido en sí debe estar ofrecido por dos o varios nodos de cada dispositivo en lo que se conoce como un clúster. De esta manera, si un nodo de cualquier parte de un sistema deja de estar operativo, el/los otro/s siguen haciendo la misma función. Asimismo, es una buena medida, redundar el propio servicio en sí en otra ubicación geográfica diferente para evitar catástrofes (que aunque poco probables, ocurren) en las que un edificio entero que alberga uno o varios CPDs, arden o se destruyen, por algún tipo de atentado terrorista por ejemplo.
  • Copia fría: Nada más instalar el sistema completamente funcional, afinado, optimizado, parcheado y securizado, es imprescindible hacer lo que se llama una copia fría de la instalación. Este mismo tipo de copia es conveniente hacerla con cierta frecuencia para poder volver a un punto de buen funcionamiento conocido, en caso que suceda alguna catástrofe. Al menos sabes que "hasta aquí" funcionaba bien y siempre puedes partir de aquí si toca hacer una restauración. Las copias frías se llaman así porque se hacen sin estar utilizándose ninguno de los datos de los discos, es decir no hay ningún fichero en uso. La mejor forma es hacerlo arrancando con otro sistema operativo Live (ya sea en un CD o en un USB) y copiar las particiones de los discos de forma completa tal cual están, sin ni siquiera acceder a los ficheros en sí. Suelo utilizar una distribución Linux basada en Gentoo llamada "System Rescue CD" que incorpora una utilidad llamada "Partimage". Con ésta puedes seleccionar las diferentes particiones del disco que quieres clonar. Aunque se puede comunicar en modo cliente-servidor con un servicio Partimage instalado en otra máquina, yo suelo operar de otra manera. Arranco otra máquina de la red en la que comparto por Samba o por NFS algún recurso. Previamente a ejecutar Partimage, montamos ese recurso de red en un punto de montaje en el /tmp virtual del sistema arrancado. Luego a Partimage le digo que la copia de cada partición me la deje en /tmp/remote por ejemplo. Me ha tocado tener que restaurar en más de una ocasión desde ese backup y el resultado es excelente, por lo que la herramienta es altamente recomendable.
  • Copia caliente: Consiste en copiar los datos que consideramos críticos de un sistema a otra ubicación. La finalidad es tener una copia más actualizada de los mismos de lo que nos puede dar una copia fría. Lo que se guarda y la frecuencia definida, en este caso, depende mucho de la funcionalidad del sistema en sí, así como de lo cambiante de los datos, por lo que debe ser tenido analizado caso por caso por parte de los responsables de la información a guardar. Para ello se suele utilizar software de backup, comercial o libre, o en algunos casos (me incluyo) mediante scripts hechos a mano que copien en un tar.gz/bz2 o (elige tu algoritmo de compresión favorito) que empaquete los datos. Con cada paquete de datos copiados, es recomendable no dejarlos en la propia máquina, sino enviarlos a otro sitio. En caso de una red casera en la que no se quiera tener varias máquinas encendidas, quizá sí que sea válido copiarlos en un DVD regrabable o en un USB permanentemente conectado, para poder tener una copia de actualizada si fallan los discos, pero en el caso de una empresa, lo mejor es tener centralizadas las copias en otra ubicación.
  • Vaulting: Este tipo de backup consiste en que los datos (en caliente) se van replicando en "casi tiempo real" en otra ubicación. Suele ser costosa en términos del ancho de banda necesitado para llevar los datos de muchas máquinas a otro sitio, pero permite que en caso de hecatombe de la ubicación completa, los últimos datos disponibles se encuentran en otros sitios. Es importante guardar datos de varias "épocas" puesto que si una máquina se ve comprometida o troyanizada y se restituye el último backup existente, se restaura también el troyano en la máquina nuevamente.
  • Time machine: Aunque este concepto lo empecé a conocer como original de Apple, y no como un "estándar de backups", me gustaría explicarlo un poquito. Es un híbrido entre Vaulting y Copia Caliente. La idea es definir un dispositivo (ya sea un disco duro externo o un Time Capsule, a través de red inalámbrica) sobre el que con bastante frecuencia se irán haciendo "copias calientes". No llega a ser Electronic Vaulting en sí, pero es una buena solución para redes "caseras". Para sistemas operativos Linux podemos utilizar TimeVault.
Leer más...

18 julio 2010

Enlaces de la SECmana - 28


Bueno, una SECmana más que ha pasado, en la que hemos tenido muchas detenciones, muchas versiones nuevas de nuestras herramientas favoritas, y ya se van calentando motores para los próximos congresos que están a punto de celebrarse en verano, y que seguro que nos traen muchos titulares. De momento, empezamos con el recopilatorio de lo que ha dado de sí esta semana tan post-futbolera:
Nada más, pasad buena SECmana, y si estáis ausentes, tranquilos: volveremos el domingo que viene!
Leer más...

16 julio 2010

Hackeos memorables: Como nace Facebook

En esta entrada encontraréis literatura, cine, facebook, historia, traiciones, fortunas, cervezas y...hacking, que si no, esta entrada no debería verse dentro de nuestra sección de Hackeos Memorables.

Hace unos meses llegó a mis manos el libro "Multimillonarios por accidente: El nacimiento de Facebook. Una historia de Sexo, Dinero, Talento y Traición", de Ben Mezrich, "especialista" en la escritura de libros basados en su gran mayoría en hechos reales. Si habéis visto la película de "21", con Kevin Spacey, ahora ya sabéis de quién es el libro en el que se basó. Ha ocurrido lo mismo en esta ocasión, ya que este libro de Facebook también tiene su versión cinematográfica, que justamente se estrenará este Octubre bajo el nombre "The Social Network", y que cuenta también con Aaron Sorkin como guionista y David Fincher como director.


El libro intenta narrarnos la historia de Mark Zuckerberg desde su época universitaria, cómo surgió la idea de una red social, el por qué de tirar las primeras líneas de código de Facemash (primera versión de Facebook) en las que se sostienen actualmente millones y millones de personas, los problemas con sus compañeros, disputas, posibles "robos de ideas", etc etc, que no paso a comentar porque no quiero destriparos el libro (o media película...). Digamos que Facemash nace como recopilatorio de fotografías de los y las integrantes de las residencias dentro de Harvard, las cuales tenéis listadas en este enlace de la wikipedia. (Zuckerberg pertenecía a la de Kirkland, podréis verle en su habitación aquí)

¿Y cómo consiguió obtener las fotografías de casi todas las Harvard Houses? Aquí llega lo más interesante, en mi opinión, y que sobretodo tiene algo que ver con seguridad/hacking: fue página por página de cada una de las residencias, e intentó hacerse con los anuarios (facebooks...), que podían consultarse online, servicio especialmente enfocado para los integrantes de la propia residencia. Algunas páginas contenían mecanismos de seguridad como por ejemplo el poder acceder únicamente desde la red de la propia residencia, otras permitían consultas muy limitadas que arrojaban pocos resultados (recordamos, Zuckerberg quería TODAS), u otras directamente no tenían un anuario online. ¿Y el resto? El propio Mark llevaba un blog en el que detallaría todas sus peripecias y acciones en todos los servidores de las residencias, cómo accedía a ellos, que mecanismos tuvo que romper, dificultades que se encontraba, número de cervezas que llevaba según tecleaba, etc. Tenéis fragmentos de dichos posts en el capítulo 5 "La última semana de Octubre de 2003" del libro, o incluso online aquí o aquí. Como recopilación, dejo un pequeño listado con las acciones para cada residencia:

  • Residencia Kirkland: El servidor web Apache tenía configurado la funcionalidad de listado de directorios o "directory listing". Como os podréis imaginar, con buscar el directorio adecuado con las imágenes, y una buena extensión "descargatodo" (el propio Mark comenta que con su Firefox es coser y cantar...), se pudo hacer con todas las imágenes del facebook de esta residencia.
  • Residencia Eliot: El servidor como tal no presentaba vulnerabilidades, pero la aplicación de búsqueda, mediante una NULL search o "búsqueda nula" devolvía todos los registros de la base de datos en una misma página de resultados. Con guardar dicha página, obtuvo todas las imágenes.
  • Residencia Lowell: En este caso, Mark se encontró que para realizar búsquedas necesitaba autenticarse. Tras muchas cabalas, pensó que el proceso de autenticación únicamente requeriría el nombre del estudiante y su identificador (aquí sería como un número de matrícula en según que universidades...).Y así fue. Tras conseguir uno válido, se topó con otra barrera, ya que la página mostraba los resultados pero de una forma paginada. Mediante un script de perl pudo automatizar la tarea de navegar por todas las páginas y descargarse las imágenes. Dicho script para otros casos lo reutilizaría...
  • Residencia Adams: Aquí no había mecanismo alguno de seguridad...por lo que mediante el script de perl utilizado en Lowell fue descargando todas las imágenes de las múltiples páginas que las mostraban.
  • Residencia Quincy: Esta residencia no tenía su anuario online en aquella época.
  • Residencia Dunster: Aquí hubo dificultades, ya que las búsquedas que mostraban resultados eran aquellas que no excedían de 20 posibilidades. Lo dejó para más adelante.
  • Residencia Leverett: Se aprovechó de la vulnerabilidad de Eliot, la búsqueda nula, pero los sólo devolvía los resultados en página por persona, por lo que tuvo que echar mano de su script, con algunas modificaciones. Este método se repitió también para la Residencia Mather.
Como comenté anteriormente, de las restantes hubo una en la que sabía que el acceso a la página se restringía por dirección IP, teniendo que conseguir una dentro del rango de direccionamiento de la propia residencia. Por ello, se tuvo que dar una vueltecilla por la noche, en busca de un latiguillo perdido, algo no tan cómodo como lo que llevó a cabo desde su silla de la habitación, pero que si era necesario...había que hacerlo.

En el resto del libro no encontraréis detalles tan directos sobre accesos, vulnerabilidades y demás, pero aún así os lo recomiendo sobretodo si os interesa conocer más detalles desde el inicio de esta red social hasta nuestros días. Veremos como tratan este capítulo en la película, supongo que esta vez no utilizarán efectos especiales en la pantalla con miles de luces, chips corriendo por autopistas de información, bits saltando, cantando y bailando...


Si queréis ver un trailer con imágenes de la película (todos los que habían salido anteriormente eran simples teasers sin imágenes reales...) lo podréis ver a continuación:


[+] Enlaces en TheCrimson (periódico estudiantil de Harvard) relacionados con Mark Zuckerberg y sus comienzos con FaceMash TheFacebook.[1] [2] [3] [4] [5] [6]
[+] Imágenes de Zuckerberg de su epoca universitaria [1] [2] [3]
Leer más...

15 julio 2010

Tiran mas dos ... (El experimento Robin Sage)

Robin Sage es una chica francamente linda, juvenil, con una vestimenta realmente 'fashion' y que encima ¡sorpresa! se dedica al apasionante mundo de la seguridad informática (para que luego digan que no hay chicas), concretamente trabaja para el departamento de seguridad militar de EEUU

Un día decidió que quería adentrarse en el mundo 2.0, se abrió perfiles en varias redes sociales y especialmente puso énfasis en Linkedin.

Como es lógico, las primeras personas que añadió a su profile fueron 'security p0rn stars' como Kaminsky o Jeremiah Grossman, luego fue confeccionando una 'red' de contactos entre CEOs de importantes empresas del mundillo, responsables de seguridad de áreas militares y gente influyente en importantes empresas. Evidentemente con su carita angelical y esos vestidos, ningún 'tío' le dijo que no, e incluso al cabo de un tiempo las invitaciones llegaban 'solas'

Durante 28 días de interactuación en el mundo 2.0, Robin recibió propuestas para recibir regalos (que detalle ...), propuestas para exponer en congresos, ofertas de trabajo, e importante información sensible que incluía materias 'reservadas'.

Nadie se paró a pensar que una chica 'tan mona' que se vestía de esa forma tan sexy tenia poco que ver con el panorama habitual de cualquier oficina. Hey me ha añadido un pivon ! ojala consiga su MSN.

Solo había un pero, Robin no existía, se trataba de un experimento llevado acabo por Thomas Ryan con idea de luego presentar sus conclusiones en BlackHat.

Por extraño que parezca casi nadie se preguntó si realmente esta chica existía (y eso que mucha gente a la que engañó, técnicamente podía saber si esa persona trabajaba para el ejercito de EEUU).

No es un tema 'actual' lo de la privacidad en redes sociales, las consignas de 'si no estas seguro de conocer a alguien, no lo aceptes' etc etc. Y bueno, si en un área tan dada a la paranoia como la seguridad esto 'funciona' ¿Quien puede reprochar nada a una persona normal?

Los detalles y la entrevista al creador del experimento, aquí
Leer más...

13 julio 2010

Buenas prácticas protegiendo los medios extraibles

Recuerdo cómo antiguamente en los medios extraíbles podías garantizar la integridad de los datos mediante un mecanismo físico que impedía borrados/escrituras "accidentales". Y es que en las cintas de audio o cassettes y las de video, la existencia de una pestañita o no distinguía entre un medio fuese escribible o sólo se pudiese oir o visionar. Por supuesto, se podía sobrescribir ese medio pegando un poco de cinta adhesiva en el espacio donde iba la pestañita.

Los disquetes de 3" 1/2 (720KB de baja densidad y de 1,44 de alta densidad) disponían además de una ventanita con una tapita que se deslizaba y que permitía al usuario hacer que ese medio se montase como "sólo lectura" desde un punto de vista físico. El software comercial de esa época se vendía, en algunos casos, en diskettes que no traían esa pestaña y por tanto, no se podían sobrescribir. Más de lo mismo, se tapaba la ventanita y a copiar lo que quisiéramos (que no ocupara mucho, claro).

Lo mismo sucede con las tarjetas de memoria, comunmente utilizadas por las cámaras de fotos, en un sinfin de formatos (SD, MicroSD, MMC, MemoryStick, etc) suelen contar con un switch que permite proteger la escritura del mismo.

Sin embargo, lo más común para intercambiar información físicamente entre unos PCs y otros, son los pendrives USB. Inicialmente, llegué a ver a la venta, pendrives que disponían de un switch similar al de las tarjetas de memoria. No sé por qué los pendrives USB actuales, que han evolucionado un montón en capacidad de almacenamiento, siendo 64 GB algo común con un coste no desmesurado, no cuentan con mecanismos físicos de protección contra escritura. Así pues algo tan típico como: "Tengo un [video | canción | programa | fotos | etc…]…super chulo en mi USB, toma mételo en tu PC y cópiatelo" puede hacer que gracias a tu afán generoso de compartir el contenido del USB, se lleve de recuerdo algún habitante a tu propio ordenador, la próxima vez que enchufes el pendrive y se ejecute via Autorun.

He probado un programita gratuito (de nombre super original -> "USB Write Protect") que emula por software el comportamiento de "protección contra escritura". Sinceramente no me ha terminado de gustar en exceso el funcionamiento de esta herramienta. Me dio más de un problema entre diferentes Windows (virtuales en mi caso), por lo que sigo sin confiar en soluciones software para estos cometidos.

Ya que no hay posibilidad de efectuar la protección contra escritura en pendrives USB via hardware, mis recomendaciones para mitigar este tipo de riesgos serían las siguientes:
  • Buen antivirus con protección integral actualizado en tus PCs
  • No meterlo (el USB) en PCs desconocidos
  • Echar un vistazo de vez en cuando a los contenidos que llevamos en el USB y desconfiar /analizar/eliminar aquellos ficheros que no hayamos creado nosotros
  • Llevar nuestros datos en un contenedor cifrado con Truecrypt por ejemplo y los instaladores de Truecrypt para Windows, Linux y Mac en el raíz del USB únicamente. Al montarlo puedes elegir hacerlo en modo "sólo lectura".
  • En los Windows en los que tengáis el poder deshabilitar la ejecución automática de medios extraibles tal y cómo se explica aquí
  • Activar la protección contra escritura en USBs a nivel de sistema operativo a partir de Windows XP SP2, mediante la modificación de una clave de registro. Esta opción sólo la veo viable en entornos empresariales donde el DLP sea uno de los trending-topics.
Una forma de llevar a cabo, entre otras muchas, las últimas dos medidas de securización en entornos Windows 2000, XP y 2003 es utilizar la herramienta gratuita Securewin, creando un perfil de seguridad específico para la funcionalidad de la máquina a securizar.

Leer más...

12 julio 2010

Asegur@IT 2010 Valencia - Adobe ¬¬

... Claro, además del curso de verano, también terminó el Asegur@IT que se celebró al día siguiente en la misma ciudad. En esta ocasión con una ponencia sobre archivos PDF.

Comenzamos con algún pequeño incidente. Según parece, para la gente de la Bolsa de Valencia no soy demasiado elegante y me toco darme una vueltecita y tunearme como si fuese un Seat Makinero para bypassear al "señorcito simpático" de la entrada.

Pero una vez dentro, todo transcurrió sin ningún tipo de incidente.

Aprovechando esta entrada me quería disculpar de dos cosas. Primero, según comentó la organización tocábamos a un croissant por cada tres personas, así que lo siento por los 11 que se quedaron sin nada, pero es que... ¡¡tenía muuucha hambre!! Y segundo, las prisas, pensaba que la charla duraba 1 hora y no 45 minutos, por lo que no se pudieron lanzar preguntas e incluso la última parte fue con más revoluciones que el protagonista de Crank.

Iré escribiendo algunas de las cosas que se explicaron, aun así, repito lo mi anterior entrada, si alguien quiere aprovechar: turno de preguntas.




Leer más...

11 julio 2010

Enlaces de la SECmana - 27

Hoy es un día especial, y no porque juegue España...si no ¡porque volvemos con los enlaces de la SECmana! Como resumen, ha sido un semana en la que los grandes como Youtube o ThePirateBay han caído por problemas de seguridad típicos (Cross-Site Scripting e Inyección SQL respectivamente).
Nada más, nos despedimos diciendo simplemente...¡PO-DE-MOS!
Leer más...

10 julio 2010

Curso de Verano - Valencia 2010

Bueno, otro curso intensivo de verano completo. Me he quedado con mal sabor de boca porque tan solo pude estar el último día y me perdí los dos previos. Aún recuerdo que el año pasado en Salamanca, después de la primera jornada decidí acoplarme en el hotel de Mikel Gastesi y quemar un poco más la ciudad. En esta ocasión me ha servido para conocer a coder y a la gente de cyberhades.

Pese a mi corta estancia tengo la sensación que los participantes lo han pasado bien y han adquirido un montón de conocimientos de forma muy rápida. ¿Alguien por aquí que nos cuente su experiencia? 



Mi charla ha sido un resumen del taller que preparamos para los Labs de la RootedCon, sin entrar en profundidad en cada una de las herramientas y dando pequeñas pinceladas lo que consiste un test de intrusión.

He puesto la presentación online, aunque por alguna razón, algunas capturas de pantalla de la demo no salen bien en esta versión...




Con las prisas, parece que siempre se quedan preguntas en el tintero, así que desde aquí os animo a que si hay algo que no dejé claro o sobre lo que tengáis dudas dejéis un comentario.
Leer más...

09 julio 2010

En pleno 2010 y con tanto avanzado en concienciación en materia de seguridad, cuesta mucho creer que todavía existan sitios que no conocen el significado de la palabra 'Hash' y que tampoco entiendan como emplear el concepto para defender la seguridad de sus usuarios.

PasswordFail.com es una iniciativa implementada en modo 'muro de la vergüenza' donde usuarios voluntarios reportan sitios web donde hay constancia de que se almacenan las contraseñas sin ningún tipo de cifrado.

Por si alguno aun no entiende lo que significa el problema, imaginemos que un sitio por azares del destino es comprometido y la base de datos de usuarios sustraída. En ese punto tan crítico ¿que es lo que queda? ¿cual es la última linea de defensa? Que al menos se hayan tomado la molestia de almacenar las contraseñas de una forma no reversible. Algo tan básico como emplear un hash que al menos ponga las cosas difíciles a quien tenga acceso a la base de datos. Este concepto tan obvio y evidente parece que no lo es tanto para muchos sitios web

En la lista de websites que almacenan la contraseña 'tal cual' sorprende mucho que, por ejemplo, esté pixmania.com sitio al que -iluso de mi- le otorgaba cierta seriedad.

Si conoces algún site donde al recurrir al típico 'recuperar contraseña' la respuesta es un amable correo con la contraseña tal cual la pusiste cuando creaste el perfil, bien harías en reportar el sitio en PasswordFail.com
Leer más...

08 julio 2010

Gana 5 entradas para Campus Party

Como ya comentamos hace tiempo, este año el área de seguridad en Campus Party va a estar de lo mas animada, talleres, charlas y un Wargame.

Eso en el área de seguridad, pero como podéis ver en la web hay otras muchas actividades, ponencias y gente 'de relumbron' con mucho gancho.

Por gentileza de la organización de Campus Party estamos regalando 5 entradas en la modalidad de 'movilidad' para poder asistir a Campus Party (y competir en el Wargame con premios en metálico)

Evidentemente y dado que nosotros andaremos por ahí, seguro que una de copas / cañas / paellita también caerá

¿Que hay que hacer? Muy sencillo, en los comentarios de este post dinos quien a tu juicio es la persona o colectivo mas relevante en temas de seguridad. Valen 'históricos' de toda la vida como Robert Tappan Morris, valen personajes mas actuales como Kaminsky, gente del panorama Español como los apostols, y en general cualquier persona / colectivo que haya tenido papel destacado (para bien o para mal)

Entre todas las respuestas y vía random.org sortearemos las 5 entradas. (Para poder contactar con los ganadores, deberéis dejar 2 comentarios, uno con vuestro personaje, que será publicado y otro con algún medio de contacto que no será publicado)

El plazo, hasta el Domingo día 11

UPDATE: El sorteo ya se ha realizado y los datos de contacto de los ganadores entregados a la organización.
Leer más...

07 julio 2010

La verdadera 'inseguridad' de Windows

Si, es uno de los axiomas mas persistentes que se puede encontrar en el mundo de la seguridad: Windows es inseguro

Todos lo hemos escuchado en infinidad de ocasiones, lo hemos repetido, debatido y exclamado.

Y bueno, lo cierto es que durante un tiempo ese axioma era mas que merecido, pero desde hace ya bastante tiempo Microsoft se ha puesto las pilas, tal vez 'eso' no haya calado ni calará lo suficiente como para destruir el tan manido tópico de la inseguridad de Windows. Y buena parte de que eso no cale la tiene el desorbitado número de aplicaciones que se ejecutan en Windows de las que continuamente se reportan vulnerabilidades y que generan los consabidos exploits, que a su vez son empleados para colar malware (Hola Adobe !!).

¿Culpa de Microsoft? El debate puede durar horas, días o semanas así que, obviando lo subjetivo y dejando lo objetivo, la pregunta correcta es ¿Los fabricantes de software se molestan en emplear todas las tecnologías en materias de seguridad que pone Microsoft? A tenor de éste estudio realizado por Secunia en el que se analiza el uso de ASLR y DEP en aplicaciones 'típicas', la respuesta es: No mucho.

Como se puede ver en la gráfica


Salvo honrosas excepciones como Google Chrome, muy poco del software analizado cumple al 100 % con las posibilidades de seguridad que ofrece Windows.

El estudio completo en PDF aquí
Leer más...

06 julio 2010

A vueltas con la privacidad en Facebook!

Dicen que "la curiosidad mató al gato" y yo lo reconozco,... a mí me superó el otro día, cuando me dispuse a ver, a través del panel de mis notificaciones de Facebook, las fotos publicadas de un compañero de la sede central de mi empresa que había pasado sus vacaciones en Córcega. Así pues, en la primera foto, lo que veo es que aparece abrazado a una chica conocida, también de mi empresa. Anda! así que son amiguitos y se van a pasar unos días de vacaciones juntos. Según iba pasando fotos dije: "Qué envidia de viaje el de este chico. Varios amig@s pasándolo genial en un yate, aunque lo más llamativo es lo cariñosa que es esta chica con él… con lo arisca que es en la oficina :D ".

Me pareció extraño que no hubiera llegado el cotilleo de la "amistad con derecho a abrazos en un yate" entre estos dos compañeros de la empresa a través de algún "comentario de cafetera" como para que nos tengamos que enterar a través de él vía Facebook, por lo que supuse que quizá querían dejar de mantenerlo en secreto. Sin embargo, al volver a mi panel de notificaciones, observé que el compañero no había publicado sus fotos de vacaciones romanticonas en Córcega, sino que simplemente había sido etiquetado o "taggeado" en dichas fotos por alguien que ni siquiera yo conozco (alguno de los del barco supongo).

¿Qué ha pasado?

Facebook, en su interés por dar a conocer cuantos más datos mejor sobre la vida de sus usuarios, by default, deja a tu voluntad, acción, cuenta y riesgo la protección de tus propias publicaciones y aquellas en las que se te mencione o las fotos en las que se te "etiquete" (como fue el caso).

Incluso desde los cuerpos y fuerzas de seguridad del estado se nos aconseja evitar publicar en redes sociales que no estamos en casa y que estaremos fuera nosecuantos días de vacaciones, dando más facilidades para encontrarnos la casa limpia de cosas de valor a la vuelta.

Será mejor que, para evitar las habladurías en grupos de amigos y otros efectos colaterales, no procastinemos y nos tomemos unos minutos en configurar lo que queremos guardarnos y lo que no nos importa que el resto del mundo sepa sobre nosotros.

Para ello, con nuestra sesión iniciada en la red social, pinchamos en "Cuenta-> Configuración de la privacidad"


Veremos nuestra configuración actual de privacidad. Para modificar algún aspecto de la misma, pulsamos en "Personalizar la configuración"

Nos lleva a una pantalla como la siguiente, en la que distinguimos, entre otras, la sección "Cosas que otros comparten"

Y para evitar que cualquiera pueda ver dónde hemos sido etiquetados, indicamos en "Fotos y vídeos en los que estoy etiquetado" alguna de las opciones más restrictivas. En mi caso, "Sólo Yo". De esta manera, si he sido taggeado por otros, me interesa sólo saberlo a mí y que nadie pueda saber con quien de mi oficina me voy de vacaciones.
Leer más...

05 julio 2010

DNS Botnet Cyberwar

Definición extraída de la Wikipedia (http://en.wikipedia.org/wiki/Botnet)

Botnet : es un término que hace referencia a un conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC: Las nuevas versiones de estas botnets se están enfocando hacia entornos de control mediante HTTP, con lo que el control de estas máquinas será mucho más simple. Sus fines normalmente son poco éticos.

De esta sencilla definición podemos extraer el funcionamiento básico de una botnet y comenzamos con una visión más amplia del problema.


Sus comienzos aproximadamente sobre 1990 no fueron por motivos económicos, más bien fueron una forma de control sobre servidores hackeados y que permitían de una forma sencilla usarlos para ataques distribuidos, pasarelas para nuevos ataques, etc. Fue entonces cuando las mafias cibernéticas encontraron en ellas un nuevo modelo de negocio, que continua siendo el medio más frecuente empleado para realizar actos fraudulentos en internet.

Para ello desarrollaron una metodología basada en la infección de Malware para poder disponer de los recursos de los equipos que infectaban. Como medio de control mas frecuente en sus orígenes era crear un canal de comunicación mediante servidores de IRC (Internet Relay Chat) libres. Más tarde comenzarían a usar otros canales de comunicación basados en HTTP (Hypertext Transfer Protocol) como por ejemplo Twitter (Para más información puede leer el siguiente enlace :http://asert.arbornetworks.com/2009/08/twitter-based-botnet-command-channel/).

Una vez se consigue infectar con Malware y estos comienzan a acceder al canal de control, quedan en estado de zombie a la espera de nuevas órdenes por parte del Bot Master, que frecuentemente suele ser una persona que ha pagado por disponer de acceso a dicha Botnet para realizar ataques distribuidos DDoS (distributed denial-of-service attack), envío de SPAM (correo basura) o distribuir aún más malware con otro tipo de fines como Phishing (estafas).

Como solución ciertas empresas ofrecen un nuevo servicio de seguridad que intenta prevenir al usuario mediante el uso de uno de los protocolos más antiguos de internet, el protocolo de DNS (servidor de nombres, RFC 1034/1035 de 1987).


El cliente solicita una resolución de nombre para domain.com en un servidor de DNS público y este devuelve el resultado al cliente 64.85.73.119. Para añadir una capa de seguridad estas empresas ponen a disposición del cliente un servidor de DNS público que funciona de la misma forma que en el protocolo estándar, solo que se encargara de


comparar con una Blacklist si el dominio que intentamos resolver badsite.com se encuentra en su base de datos de dominios con Malware y procederá a falsear la resolución del nombre hacía una IP diferente, en este caso 127.0.0.1. Este tipo de modificación se conoce como DNS Hijacking. De esta forma nos aseguraríamos de que el cliente no es capaz de llegar hasta el destino.

  1. Cache de DNS y menor latencia: La experiencia de navegación será más rápida ya que el mismo servidor dispondrá de la mayoría de nombres frecuentes solicitados por otros usuarios cacheados. La mayoría de estos disponen de un cluster Geolocalizado, mejorando los tiempos de respuesta en cada petición.
  2. Control parental de contenidos: La Blacklist puede contener sitios con contenido pornográfico, violento, etc.
  3. Filtro Anti-SPAM: es posible conocer sin necesidad de un filtro de correo externo si el origen es una fuente de SPAM activa. Este ha sido el medio más frecuente de uso para los RBL (Real-time Blackhole List), DNSBL (DNS Blacklists), DRBL (Distributed Realtime Block List), DNSWL (DNS Whitelist), RHSBL (Right Hand Side Blacklist) o URIBL (Uniform Resource Identifier Blacklist). Frecuentemente usados por SPAMHAUS (http://www.spamhaus.org) , SpamCop (http://www.spamcop.net).
  4. Filtro Adsense: Continuando con el filtro antiSPAM, esto podemos llevarlo a otros protocolos como HTTP donde filtrar contenido de publicidad es áun más sencillo que disponer de un Proxy HTTP con una Blacklist.
  5. Disponer de una dirección DNS fácil de recordar.
  6. Corrección ortográfica y autocompletado: si la resolución del dominio falla intenta determinar si existen errores ortográficos, devolviendo los datos del dominio bien redactado.

Recordemos que él propósito de internet es crear una red descentralizada e independiente, o al menos así debería ser. Pero qué pasa cuando los mayores proveedores de servicios a nivel mundial ofrecen servicios de DNS público con todas las características anteriores, pudiendo tomar como ejemplo OpenDNS.

Las últimas estadísticas de uso publicadas en su propio Blog (http://blog.opendns.com) nos muestran varios datos a tener en cuenta.




Como podemos ver en el gráfico, resolvieron 20 billones de peticiones DNS en 24h, doblando el número anunciado de 10 billones en Abril del mismo año. Más de 25,000 escuelas de Estados Unidos usan OpenDNS, y muchas empresas están migrando hacia sus servicios.

En el siguiente ejemplo se realiza una resolución de DNS hacia servidores públicos que ofrecen los servicios anteriormente mencionados.



Sería el momento de pensar si esto es o no una buena idea y si es necesario frenarlo. Estamos delegando un gran control de internetmultinacionales con sus propios intereses. Se ha demostrado que muchos de ellos hacen hijacking DNS para devolver falsos resultados y redireccionar a sitios controlados por ellos, ya sea para mostrar publicidad personalizada hacia el dominio que se estaba resolviendo, generar estadísticas que pueden ofrecer a terceras empresas, etc.


Por el momento muchas de ellas ofrecen un servicio de forma desinteresada y totalmente pública, pero ¿de verdad pensamos que es eso así?. Recordemos la gráfica anterior aplicada a cualquier dispositivo que pueda conectarse a internet:



Ahora pensemos de nuevo en las capacidades de control que estas empresas pueden tener sobre todos estos clientes. Y como se ha desarrollado la mayor botnet jamas creada con una lógica aplastante.

  • No es necesario encontrar vulnerabilidades para crear bots: Es frecuente ver bots que han sido lanzados mediante infecciones.
  • No es necesario desarrollar Malware/Software de gestión, ni actualizarlo: Todo esta ya desarrollado, solo hay que saber aprovechar el protocolo para gestionar el bot. No hace falta actualizarlo ya que las resoluciones son dinámicas y un cambio en el servidor de DNS es casi inmediato.
  • Cualquier sistema operativo soporta resolución de DNS: GNU/Linux, MS Windows, Mac OSX, Android, iOS, Bada, *Nix, VxWorks, etc.
  • Cualquier dispositivo puede valer como un Bot: Tanto un teléfono móvil con conexión a internet, video-consolas, etc.
  • Se pueden realizar los mismos tipos de ataques*
  • Menores evidencias frente a un análisis forense: Deben existir capturas de tráfico, no existe Malware funcionando en el sistema y los cambios en el DNS son dinámicos y no quedan registrados. Solo la cache local podría dejar una prueba del mismo pero normalmente esta expira en periodos de tiempo muy cortos.
  • La “infección” es pura ingeniería social/marketing: Ofrece un servicio de DNS Blackhole, Cache y una DNS fácil de recordar.
  • La gran mayoría de Firewalls permiten tráfico DNS: En casi cualquier organización se permite trafico externo para resolución de nombres.
  • Capacidades de ataques basados en Geolocalización: Conociendo la dirección IP del origen puedes destinar un tipo de ataque específico hacia la misma. Phishing personalizado, DDoS con menores latencias dentro del mismo País.




*Ejemplos de ataques :

  1. DDoS: Es posible engañar a los clientes para que reenvíen todo el tráfico generado hacia direcciones IP víctimas. Qué pasaría si cambiamos el registro que apunta a *.google.com hacía la direcciones IP de servicios críticos.
  2. Phishing: Al igual que un ataque de envenenamiento de cache, no sería necesario ya que el mismo cliente confía en el DNS. Se conseguirían cuentas de acceso, números de tarjetas de crédito, usuarios y claves de acceso a sitios críticos.
  3. Misinformation: Se crearían recursos falsos para mantener desinformado al usuario o crear confusión entre la población.
  4. Espionaje: Tanto en intercambio de correos electrónicos como en conversaciones en mensajería instantánea o VoIP.

Existen referencias hacia diferentes botnets patrióticas, los gobiernos están comenzando con sus propias armas para la defensa y ataque en una futura cyberguerra. Prueba de ello son los siguientes enlaces :

http://seclists.org/fulldisclosure/2010/Jun/346.

http://translate.google.es/translate?js=y&prev=_t&hl=es&ie=UTF-8&layout=1&eotf=1&u=http%3A%2F%2Fwww.publico.es%2F323921%2Fataque&sl=es&tl=en

No hay que pensar demasiado para saber que estas empresas tienen sedes bajo los principales Países del Mundo, y que estos recursos no dejan de estar disponibles para un estado que se encuentra en conflicto. Al final los intereses de un país sobrepasan el razonamiento humano y se emplean todo tipo de armas para neutralizar al enemigo. ¿Y si es el enemigo el que te habré sus puertas?, ¿Es hora de que cada estado comience a crear su propio proyecto Golden Shield? (http://en.wikipedia.org/wiki/Golden_Shield_Project).


También conocido como “El Gran Firewall de China”, es un proyecto de vigilancia/censura
y operado por el Ministerio de Seguridad Pública (MSP) división del gobierno de China. El proyecto se inició en 1998 y comenzó sus operaciones en noviembre de 2003.

Tal vez este “Firewall de China” sea más que un simple control/censura sobre los ciudadanos y estén preparados para una inminente cyberguerra.

Con una inexistente legislación que controle todos estos recursos de una forma global y abierta en un país en conflicto o a expensas de crear su propio arsenal electrónico, no dejaremos de ser más que peones engañados por el marketing. Si solo basamos dichos controles en la “confianza” a grandes empresas, olvidaremos que “Estar preparado para la guerra es uno de los medios más eficaces para conservar la paz” George Washington.


Reverse Skills.
http://twitter.com/reverseskills
Leer más...