Al principio de la semana comencé a recibir informes de que una Botnet se estaba ejecutando desde dispositivos Android. Para los que no lo saben, una botnet es una red de bots, o sea una red de muchos dispositivos con programas dedicados a enviar emails (u otra actividad) sin conocimiento de sus usuarios, controlados todos por un usuario o una organización dedicada a tal deleznable actividad.
Esta noticia fue provista inicialmente por Terry Zcink, en su blog de ciberseguridad, que está hosteado en un server de Microsoft. Esto no es extraño, ya que Terry Zcink es empleado de Microsoft. En su blog anunció que estaba revisando el message:ID de los encabezados de los emails y encontraba una firma de los dispositivos Android.
Luego de que Google investigara el asunto, declaró que los emails no provienen de dispositivos Android, los emails provienen de computadoras infectadas que usan una firma falsa de Android para enviar emails mediante Yahoo. Parece ser que hay alguna falla de seguridad en la API (Aplication Programing Iterface, interfase para programación de la aplicación) que se puede utilizar para enviar emails desde programas externos a través de Yahoo.
Estamos entonces ante un caso donde gente que trabaja en el área de seguridad de Microsoft afirmó que un ataque de spam provenía de Android (lo que es posible, pero no es lo que sucede en este caso) a pesar de que proviene de PCs, lo que potencialmente indica (nótese el condicional usado) que el ataque provendría en realidad de Windows infectados.
¿El investigador de seguridad no investigó lo suficiente? No estoy seguro, ahora Terry Zcink dijo que cuando afirmó que los emails provenían de Androids estaba consciente de que existía la posibilidad de que alguien estuviera usando una firma digital falsa, lo que se conoce como email spoofing, pero que cuando escribió el artículo original se decidió por una de las posibilidades. O sea que podría haber planteado la alternativa en su artículo, pero prefirió realizar una acusación sobre la que no tenía pruebas. Comportamiento bastante estándar dentro de Microsoft.
Mostrando entradas con la etiqueta Ataques. Mostrar todas las entradas
Mostrando entradas con la etiqueta Ataques. Mostrar todas las entradas
sábado, 7 de julio de 2012
jueves, 10 de diciembre de 2009
Una pequeña historia sobre un malware para Linux
Ayer sucedió algo realmente interesante: un screensaver (salva pantallas) para Gnome posteado en http://www.gnome-look.org resultó en un ejemplo práctico de porque virus y similares tienen poco éxito bajo GNU/Linux.
Resultó ser que el archivo .deb (un archivo de instalación de programas con todas las dependencias precalculadas para Debian, Ubuntu y otros derivados) contenía en su interior un script que descargaba dos archivos de un server y los instalaba, asignándoles permisos y ejecutándolos, en lo que parecía un intento de conseguir una red de bots para atacar un sitio. El script se aseguraba de chequear cada cierto tiempo para ver si se había actualizado el archivo, con lo que el contenido podía variar en forma imprevista.
Un usuario de Ubuntu reportó que le parecía que el archivo se comportaba en forma extraña, y allí comenzó a suceder lo espectacular. En lugar de decirle de todo por lo que había hecho, los usuarios comenzaron a averiguar todo lo referente al caso, y a actuar en consecuencia.
En menos de dos horas, ya había en el foro una instrucción para la consola que eliminaba los archivos malignos. Una hora más tarde otro usuario agregó un pequeño script que emite una alarma cada vez que alguien usa ping o wget en una PC, generado así un efectivo y simple detector de actividad del malware.
Mientras esos usuarios hacían eso, varios otros ayudaban a informar que tipo de reportes podían detectar que algunos de los archivos seguían presentes, mientras otros contactaban con los administradores de gnome-look.org y los ISPs del sitio de donde se descargaban los archivos para conseguir que esos archivos fueran sacados de circulación.
El resultado fue que en muchísimo menos de un día, la infección había sido encontrada, rastreada, identificada, eliminada y perseguida por internet. Esto fue posible no solo porque muchos usuarios de Ubuntu son técnicos muy capacitados, sino porque debido a la tremenda escazes de amenazas similares, se pudieron concentrar en eliminar esta de forma urgente.
Por otra parte, hay que destacar que el archivo .deb no provenía de los repositorios oficiales de la distribución Ubuntu, sino que provenía de otro sitio comunitario, que ya se comprometió a revisar todas y cada una de las novedades que ingresen en su sitio. Esto es algo extraño en GNU/Linux, donde casi siempre descargamos cosas de los repositorios oficiales, que nos proveen de una inmensa variedad de programas libres y gratuitos.
Esta es una de las tantas razones por las que GNU/Linux es un sistema operativo con tan buena seguridad, cada usuario está rodeado por una comunidad que sabe que hacer en caso de necesidad. Noten que no todos reaccionaron de la misma forma, ni buscaron el mismo tipo de solución, pero entre todos propusieron y ejecutaron una solución integral al problema llena de ideas que pueden servir para solucionar otros problemas.
jueves, 20 de agosto de 2009
La sensación de maravilla hacia lo tecnologicamente ingenioso
Hace poco, en un blog amigo, comentaba la extraña fascinación que el armamento produce en nosotros. Relacionándolo con cosas que veo recientemente, he comprobado que es el mismo tipo de fascinación que me producen las soluciones informáticas ingeniosas, incluso cuando vienen de lados no santos.
Esto lo descubrí al informarme acerca de los métodos de control para redes de bots. La teoría que conocía hasta ahora implicaba construir diversos escalones de control para que el control se distribuyera en abanico, eliminando así la necesidad de comunicar la pc atacante en forma directa con cada uno de las computadoras infectadas bajo su control. De esta forma, de 1 atacante que se conecta a 4 computadoras y da la orden pasamos a esas 4 computadoras dando la orden a 16 computadoras (4 cada una) de esas 16 pasamos a 64, de esas 64 a 256, de 256 a 1024. Fijense que es un método en cascada que minimiza la cantidad de conexiones reales, pero que elimina mucho del feedback, y además puede provocar intentos registrables de conectar a una máquina ya limpia.
Por supuesto que esto no quedó así, siguió mejorando. Lo primero que hicieron fue conectar las redes a clientes de mensajería, como ICQ. De esta forma las máquinas se conectan a la red ICQ e informan que están conectadas mediante su simple acto de presencia. Esto corrige, además, el problema de rastrear clientes infectados con IP dinámica, ya que no se precisa conocer la IP para realizar el control, se envía el mensaje de control mediante la red de mensajería.
Por supuesto que esto tenía una grave limitación: la cantidad de contactos directos en una conversación única es pequeña, en el rango de las decenas, con lo que había que seguir usando el sistema de cascada. Para paliar esto se pasó a utilizar las viejas redes IRC, redes de chat que soportan inmensas cantidades de usuarios. Nuevamente son los infectados quienes se conectan al canal de chat e informan así de su presencia. Pero aunque ahora estamos en el rango de los centenares de usuarios en un mismo canal, para grandes redes de bots sigue siendo necesario el sistema de cascada.
La noticia que disparó este artículo, sin embargo, fue la que me maravilló, por lo simple e ingeniosa que fue la solución. Han descubierto una red de bots controlada mediante Twiter. Ahora tenemos un sistema de contacto social, en el que montones de computadoras controladas usan cuentas distintas amigadas con la cuenta controladora. Estamos en rango de los millares, donde un simple mensaje puede provocar montones de mensajes de respuesta, y acciones coordinadas de montones de computadoras infectadas, simplemente mediante el uso de las redes sociales. Es tecnologicamente brillante e ingenioso, soluciona muchos de los problemas de los métodos anteriores, a costa de introducir una leve demora en la actualización de los comandos, propia de la red de Twiter.
Esto, por supuesto, puede ser usado para comprobar como se comporta nuestra PC, revisar las conexiones mediante algún programa preparado para tal fin (la mayor parte de los firewalls puede hacerlo, por ejemplo) y ver, de esta forma, si se conecta sin que lo hayamos indicado a alguna de estas redes. Es un método más para verificar que las PCs con Windows que usamos no posean este tipo de infecciones.
viernes, 16 de enero de 2009
Tenía que pasar
Luego de que la armada inglesa decidiera instalar Windows en sus barcos y submarinos, hubo un reguero de chistes acerca del nuevo significado que ahora se le podría asignar a la BSOD (Blue Screen of Death, pantalla azul de la muerte), junto con serias acusaciones de irresponsabilidad al usar Windows para ese tipo de tareas.
Finalmente hoy ha comenzado a suceder algo de los pronosticado. Un virus de computadora atacó a los sistemas de comunicación de la flota. Según el ministerio de Defensa no atacó sistemas de guía ni de armamentos (tal vez no están en red, lo cual sería lógico), aunque no confirmó los rumores de que el 75% de la flota había sido afectada (cifra que suena razonable considerando que corporaciones y ejércitos suelen tener el mismo tipo de seguridad en todas sus terminales).
Esperemos que este acto de un virus que no estaba orientado hacia la armada abra los ojos acerca del riesgo que corren. Un ataque dirigido podría causar daños mucho peores. Por ejemplo, este virus eliminó las comunicaciones mediante la red de computadoras, dejando solo las radios que no usaban sistemas computarizados funcionando.
¿Saben que sería mucho peor? un troyano que intercepta los mensajes, los envía al enemigo, y los repite (ataque existente conocido como man in the middle, hombre en el medio), un virus que simula estática cada x cantidad de minutos, simulando problemas en el medio de comunicación (unido al anterior, se podría incluso decidir en que momentos simular la interferencia).
Un sistema militar, al igual que un sistema espacial o un sistema dedicado a la medicina, no puede y no debe permitir que este tipo de ataques tan fáciles, que ni siquiera estaban orientados al sistema en cuestión, afecten a este tipo de sistemas que precisan fiabilidad del 100%.
Finalmente hoy ha comenzado a suceder algo de los pronosticado. Un virus de computadora atacó a los sistemas de comunicación de la flota. Según el ministerio de Defensa no atacó sistemas de guía ni de armamentos (tal vez no están en red, lo cual sería lógico), aunque no confirmó los rumores de que el 75% de la flota había sido afectada (cifra que suena razonable considerando que corporaciones y ejércitos suelen tener el mismo tipo de seguridad en todas sus terminales).
Esperemos que este acto de un virus que no estaba orientado hacia la armada abra los ojos acerca del riesgo que corren. Un ataque dirigido podría causar daños mucho peores. Por ejemplo, este virus eliminó las comunicaciones mediante la red de computadoras, dejando solo las radios que no usaban sistemas computarizados funcionando.
¿Saben que sería mucho peor? un troyano que intercepta los mensajes, los envía al enemigo, y los repite (ataque existente conocido como man in the middle, hombre en el medio), un virus que simula estática cada x cantidad de minutos, simulando problemas en el medio de comunicación (unido al anterior, se podría incluso decidir en que momentos simular la interferencia).
Un sistema militar, al igual que un sistema espacial o un sistema dedicado a la medicina, no puede y no debe permitir que este tipo de ataques tan fáciles, que ni siquiera estaban orientados al sistema en cuestión, afecten a este tipo de sistemas que precisan fiabilidad del 100%.
domingo, 7 de diciembre de 2008
Un nuevo tipo de ataque de fuerza bruta poco detectable
Hasta ahora era sencillo detectar los ataques de fuerza bruta. Un ataque de fuerza bruta es aquel en el que los atacantes usan diccionarios para intentar adivinar combinaciones de nombres de usuario y contraseñas.
Como estos diccionarios son muy grandes, este tipo de ataques era facilmente detectable, debido a que el atacante tenía parte de su máquina ocupada en el ataque, tendía a intentar hacer la mayor cantidad posible de ataques por segundo. Entonces esto era muy fácil de detectar por la inmensa mayoría de los firewalls.
Pero desde que se generó la tecnología para generar granjas de computadoras zombie para masificar ataques, esto está cambiando en una forma muy sutil. Para que se entienda mejor, una computadora zombie es aquella que tiene un virus, gusano o puerta trasera que permite al atacante entrar y disparar comandos desde esa máquina como si fuera desde la máquina propia.
Una granja de computadoras zombie es un conjunto de máquinas infectadas por una misma persona, con lo cual puede hacer que ese grupos de computadoras envíe spam en forma masiva, un poco cada una. También las puede usar para hostear páginas web de contenido ilegal, sin quedar el implicado. El último uso era atacar en conjunto algún servidor, generalmente con el propósito de generar una denegación de servicio debido a la cantidad de atacantes implicados.
Sin embargo, esta vez han vuelto a demostrar que algunos usan la cabeza. Usando granjas de computadoras, no las hacen atacar tontamente con pings. Las hacen atacar escalonadamente, con una ínfima parte del diccionario, a través de un periodo de tiempo relajado.
Entonces en lugar de ver montones de ataques rápidos de una sola IP, ahora se ven a decenas, centenas o miles de computadoras tranquilamente y con pausa probando cada una una combinación de usuario y clave cada cierto tiempo.
Esto es practicamente imposible de detectar por medios automáticos, se precisa una revisión manual de los logs de intentos de entrada al sistema para detectarlo. Por suerte, no todo está perdido, la gente de beginlinux posteó un método para usar iptables y la lista de spamhaus para bloquear la inmensa mayoría de estas máquinas zombie, que afortunadamente parecen venir todas de la misma zona.
Como estos diccionarios son muy grandes, este tipo de ataques era facilmente detectable, debido a que el atacante tenía parte de su máquina ocupada en el ataque, tendía a intentar hacer la mayor cantidad posible de ataques por segundo. Entonces esto era muy fácil de detectar por la inmensa mayoría de los firewalls.
Pero desde que se generó la tecnología para generar granjas de computadoras zombie para masificar ataques, esto está cambiando en una forma muy sutil. Para que se entienda mejor, una computadora zombie es aquella que tiene un virus, gusano o puerta trasera que permite al atacante entrar y disparar comandos desde esa máquina como si fuera desde la máquina propia.
Una granja de computadoras zombie es un conjunto de máquinas infectadas por una misma persona, con lo cual puede hacer que ese grupos de computadoras envíe spam en forma masiva, un poco cada una. También las puede usar para hostear páginas web de contenido ilegal, sin quedar el implicado. El último uso era atacar en conjunto algún servidor, generalmente con el propósito de generar una denegación de servicio debido a la cantidad de atacantes implicados.
Sin embargo, esta vez han vuelto a demostrar que algunos usan la cabeza. Usando granjas de computadoras, no las hacen atacar tontamente con pings. Las hacen atacar escalonadamente, con una ínfima parte del diccionario, a través de un periodo de tiempo relajado.
Entonces en lugar de ver montones de ataques rápidos de una sola IP, ahora se ven a decenas, centenas o miles de computadoras tranquilamente y con pausa probando cada una una combinación de usuario y clave cada cierto tiempo.
Esto es practicamente imposible de detectar por medios automáticos, se precisa una revisión manual de los logs de intentos de entrada al sistema para detectarlo. Por suerte, no todo está perdido, la gente de beginlinux posteó un método para usar iptables y la lista de spamhaus para bloquear la inmensa mayoría de estas máquinas zombie, que afortunadamente parecen venir todas de la misma zona.
Suscribirse a:
Entradas (Atom)