Utilizando una herramienta llamada SARA (Security Auditor’s Research Assistant) basada en el escáner de vulnerabilidades SATAN. Es una herramienta muy eficaz ideal para auditorias de seguridad. Soporta las plataformas: Unix, Linux, MAC OS/X y Windows (usando coLinux).

Entre sus principales características destaca:

• Integra vulnerabilidades obtenidas de NVD (National Vulnerability Database).
• Posee varios test de SQL injection.
• Incluye exhaustivos test XSS.
• Puede adaptarse a entornos de red con diferentes firewalls.
• Permite realizar escaneados remotos a través de fáciles API.
• Soportas estándares CVE. Una lista de nombres estandarizada para las vulnerabilidades y otras exposiciones de seguridad de la información.
• Puede ejecutarse usar en modo normal o modo demonio.
• Permite realizar test de búsqueda inversa para DNS y envenenamiento de cache DNS.
• Se actualiza todos los meses.

Más información y descarga de SARA (Security Auditor’s Research Assistant):
http://www-arc.com/sara

Documentación de SARA:
http://www-arc.com/sara/sara8.html

NVD (National Vulnerability Database):
http://nvd.nist.gov/

CVE (Common Vulnerabilities and Exposures):
http://www-arc.com/sara/cve/cve.html

Más información y descarga de coLinux:
http://www.colinux.org/

El tiempo apremia. No es ya sólo que varios exploits para el fallo de DNS estén corriendo por toda Internet, sino que además surgen nuevas ideas de explotación.

Es el caso de Evilgrade, una herramienta ideada por Francisco Amato, de Infobyte Security Research, que aprovecha el fallo DNS junto a otras vulnerabilidades conocidas para subvertir la actualización en línea de múltiples programas y aplicaciones muy populares, entre los que se encuentran Java, Winzip, Winamp, MacOSX, iTunes...

Referencias:

• README de Evilgrade.
• Infobyte Security Research.
• Vídeo demostrativo.
• Insecure update services open to DNS attack.
• Evilgrade Will Destroy Us All.

Fuente:
http://www.kriptopolis.org/evilgrade
http://blog.metasploit.com/2008/07/evilgrade-will-destroy-us-all.html

Se encuentran disponibles las presentaciones de HITBSecConf2008 - Dubai.

Cristian

Para debatir conocimientos respecto de los avances en la protección de datos personales, la responsabilidad que le cabe a las empresas en este tema y el crecimiento de la seguridad informática en el mundo, particularmente en España, así como su repercusión en Latinoamérica, DuocUC junto a la organización internacional ISACA: capítulo Santiago de Chile, realizó la charla “Ley de Protección de Datos en España y Europa, y su Inminente Implantación y Adecuación en los Países Latinoamericanos”, que tuvo como expositor a Jorge Ramió Aguirre, Doctor en Informática y experto español en Seguridad de la Información.

El especialista se refirió a diversos temas, entre ellos, los riesgos que existen a nivel de país si no se avanza en seguridad informática y normas legales. En ese sentido, el experto en seguridad informática aclaró que “Tal vez lo que más debería preocupar a los políticos y empresarios es la posible falta de competitividad ante otros países que están tomando cartas en el asunto. No es sólo un problema de imagen, que lo es también, sino la falta de credibilidad que nos podría dar la comunidad internacional en negocios dado que hoy en día, en un mundo y economía totalmente globalizados, la protección de datos va más allá de la simple custodia de los mismos.

En La Comunidad Europea una mala praxis en dicha custodia significa importantes multas administrativas que en ciertos casos superan el millón de dólares. Chile no puede seguir esperando que esa Ley de 1999 siga sin la existencia de un reglamento mínimo y básico que permita su aplicación real y, más aún, velar por su cumplimiento”, recalcó.

Respecto de la evaluación de seguridad informática de Latinoamérica y particularmente de Chile en comparación a Europa y España, específicamente, el experto traído a Chile por DuocUC, señaló que “Es necesario hacer al menos dos clasificaciones. La primera en cuanto a la formación y, la segunda, en cuanto a la implantación de medidas por empresas y organismos. Eso sí, en ambos aspectos existe una gran diferencia entre Europa y Latinoamérica, y, más específicamente, entre España y Chile. No voy a hablar de calidad y personas porque ello siempre es delicado, pero sí de cantidad de trabajo, oportunidades e importancia que se le da a la seguridad de la información”.

Agregó además que “Si hablamos de formación de pregrado, estamos comparando ofertas de docencia universitaria sobre las 100 materias en España frente a una media docena, o a lo sumo una decena en Chile. En postgrado la oferta en España supera la docena, la gran mayoría a nivel de máster y en Chile sólo existen dos Diplomados y un Máster de reciente creación”.

Ramió explicó que “Es verdad que hay importantes grupos de investigadores en dos o tres universidades, algunos de ellos con destacado reconocimiento internacional, pero sigue siendo un número demasiado pequeño para un país como Chile”.
En Latinoamérica – dijo- “nos encontramos con países que tienen entre una docena y dos docenas de expertos universitarios, en algunos casos pocos con título de Doctor, cuando la realidad en España es que somos más de 400 profesores e investigadores en esta línea, y de ellos más del 80% con titulación de doctor, incluso muchos de ellos con tesis doctorales recientes en áreas específicas de la seguridad de la información”.

Algo similar ocurre con la importancia que se le da a la seguridad en el mercado laboral. Las empresas en España deben cumplir una ley de estricto cumplimiento, y no sólo las recomendaciones de normas internacionales sobre buenas prácticas; y, en cambio, en Chile aunque existe una ley desde 1999 -pionera en Latinoamérica es verdad- ésta en la práctica no se aplica porque en su momento no se estableció un reglamento mínimo -como en España- en la misma, advirtió.

“Una ley con estas características es algo así como papel mojado. Por el contrario, sí hizo bien sus deberes Argentina, tanto, que desde hace un par de años es el único país en Latinoamérica que tiene reconocimiento a su nivel de protección de datos dentro de la Unión Europea. Soy de la opinión que el espectacular crecimiento en España de todo lo relacionado con la seguridad de la información entre finales de los 90 y comienzos de los años 2000, Investigación, Desarrollo, Innovación Tecnológica y las consiguientes oportunidades de negocio, se lo debemos en gran parte a la Ley Orgánica de Protección de Datos de 1999 y que se aplica desde el año 2002”.

Consultado sobre cuándo Chile avanzará en ese sentido, enfatizó que “Lo que no puedo hacer es poner una calificación, tampoco soy quién para hacerlo. Pero sí decir que alguien debería comenzar a moverse sobre este tema en Chile, porque son ya muchos los años perdidos y otros países como Argentina y tal vez muy pronto Uruguay están haciendo mejor las cosas”.

Respecto de los avances se han dado en Latinoamérica y como está Chile respecto al continente, Ramió comentó en su charla de DuocUC, que “por mis contactos y visitas a diversos países, he de decir que hay algunos países que están tomándose muy en serio todo esto de la seguridad y en especial la protección de la información y los datos, tanto en formación como en implantación. Es el caso de Argentina, Uruguay, Brasil, Colombia y México. Otros que están yendo mucho más despacio como sería el caso de Chile, y otros que están francamente atrasados, con una mínima y casi anecdótica oferta universitaria y una escasa penetración de estos temas en el mercado laboral”.
Agregó que “El caso de Chile me llama mucho la atención. Hay capital humano con amplio reconocimiento académico pero no acaba de despegar una línea fuerte en seguridad; como digo son tres o cuatro universidades con dignos representantes (no las nombraré por razones obvias) y en las demás ni se habla del tema. Por ejemplo, en España absolutamente ninguna universidad está fuera de este desarrollo”.

Recomendaciones para los usuarios

A modo de consejos simples orientados a los usuarios para "protegerse" desde el punto de vista informático, consideró que “El sentido común debe ser nuestro aliado. “Como es lógico, desconfiar de cualquiera archivo o correo sobre el que tengamos la más mínima sospecha y no conozcamos a su emisor; incluso si el emisor es alguien conocido hay que ser precavido y no abrir archivos si no estamos 100% seguros de que lo esperábamos. Esta es una de las formas más comunes para que entre en nuestro equipo informático un troyano, los verdaderos quebraderos de cabeza de malware en la actualidad. Lo mismo ocurre con respecto a redes de intercambio de archivos. No obstante y dado que en la actualidad éstas son prácticas muy comunes, al menos tengamos un buen antivirus permanentemente actualizado y un buen anti spyware. Ello nos dará una seguridad que no supera el 70% de lo que hoy en día pulula por la red, pero al menos es algo. Si hablamos de software libre, recomendaría Avast! y Ad-Aware”.

Además entregó otras dos recomendaciones básicas: hacer de vez en cuando copias de seguridad en función de nuestra actividad y documentos personales creados y tener una adecuada política de password. Y, por último, si manejamos datos y documentación que debe permanecer confidencial, usar programas de cifrado de datos en disco, por ejemplo TrueCrypt.

“La seguridad no puede ser por definición de un 100%, y se trata de un proceso, esto es una máxima. Pero sí podemos reducir sensiblemente las vulnerabilidades y amenazas del entorno”, concluyó.

Fuente: http://www.transmedia.cl/noticia1%3Did290708.htm

Detenido un empresario de Vigo por espiar a una empresa de la competencia a través de Internet mediante un virus "troyano".

Agentes de la Policía Nacional de España han detenido a un empresario de Vigo (Pontevedra) por espiar a una empresa de la competencia a través de Internet mediante un virus 'troyano', que controlaba la actividad del denunciante y enviaba informes periódicos. El arrestado, gerente de otra empresa del mismo sector, correspondiente a reparaciones urgentes del hogar, está acusado de un delito de descubrimiento y revelación de secretos.

Según informaron las fuerzas de seguridad, la investigación comenzó hace más de un año a raíz de la denuncia de un empresario gallego del sector de reparaciones urgentes del hogar, quien alertaba de que se había accedido de manera fraudulenta a varias cuentas de correo electrónico, así como cuentas bancarias de las que era titular, y que estaban relacionadas con varias de sus empresas.

Así, agentes del Grupo de Seguridad Lógica de la Brigada de Investigación Tecnológica de la Comisaría General de Policía Judicial y la Policía Judicial de Vigo realizaron un análisis de los equipos informáticos del denunciante, por el que lograron detectar el programa espía y detener a Roberto C.B., un vigués domiciliado en Baiona (Pontevedra) y de 32 años de edad, quien resultó ser un antiguo empleado de la víctima.

Asimismo, se efectuó un registro de la empresa de la que el arrestado era actualmente el gerente, ubicada en la viguesa calle Llorente, donde se intervinieron tres ordenadores. Roberto C.B., al que le constan dos detenciones anteriores por otros hechos delictivos, fue puesto a disposición del Juzgado de Instrucción Número 6, que lleva el caso.

Análisis

Una vez analizados los equipos informáticos infectados, los agentes policiales lograron constatar que este programa espía se había instalado de forma automática cuando el denunciante abrió un correo electrónico que contenía una supuesta factura de uno de sus proveedores.

A partir de ese momento, el 'troyano' monitorizó todas las operaciones efectuadas desde el ordenador y enviaba periódicamente informes de su actividad a varias cuentas de correo electrónico que controlaba el detenido.

Así, el arrestado obtuvo distintas contraseñas de acceso a cuentas de correo, bancarias y otros servicios de internet, mediante los que consiguió una gran cantidad de información privilegiada sobre clientes, proveedores y otras relaciones comerciales de las empresas espiadas.

Fuente: http://www.gaceta.es/29-07-2008+espiar_competencia_le_sale_caro,noticia_1img,10,10,27685

Desde el Arcert explicaron cuáles son los incidentes y ataques más frecuentes que sufren los sistemas teleinformáticos gubernamentales.

Un organismo del Estado dedicado a la seguridad de sistemas de tecnologías de la información y la comunicación (TIC) será relanzado para mejorar las acciones preventivas ante los ataques de los delincuentes informáticos.

El equipo de coordinación de emergencias en redes teleinformáticas de la Argentina (Arcert) tiene “previsto un nuevo relanzamiento o revalorización de los objetivos y misión (…) de determinadas atribuciones, que traten no de imponer sino de marcar un poco más la obligatoriedad y de lograr el compromiso de las autoridades públicas para la gestión de los reportes y el tratamiento de los incidentes informáticos”, dijo el coordinador de este ente, Gastón Franco.

En declaraciones a la revista digital especializada en gobierno electrónico PuntoGov, el funcionario explicó que Arcert va a seguir dependiendo orgánicamente de la Oficina Nacional de Tecnologías de Información (ONTI), dependiente de la Subsecretaria de Tecnologías de Gestión.

Consultado por las principales trabas en materia de seguridad en el Estado, Franco admitió que “faltan los procesos de detección cuando en los organismos se sufren incidentes informáticos. Esto suele pasar –señaló-- porque faltan procedimientos de monitoreo y control de determinadas conductas en las redes”.

En ese sentido, apuntó que “es necesario un mejor entendimiento de la problemática de seguridad. Para eso –recordó-- desde Arcert estamos debatiendo si se pueden hacer controles preventivos. Ante un nuevo incidente, ver si podemos prevenir aquellos que pueden afectar a los organismos gubernamentales. Hoy no tenemos esa atribución, pero es parte de lo que hoy se está debatiendo de cara a la recategorización de la entidad”.

Franco explicó que los sistemas informáticos gubernamentales son uno de los principales objetivos de los delincuentes informáticos, porque “los organismos del Estado cuentan con información muy sensible y son blanco de ataque precisamente por contener esta información. Estamos hablando de datos tributarios y financieros de los ciudadanos, por ejemplo, que son blanco de interés para generar bases de datos y luego venderlas”.

“Todos los días hay alguna que otra actividad maliciosa que tiene algún impacto sobre el Estado”, advirtió. “Vemos mucho malware, que son archivos específicos destinados a causar daño en un lugar puntual y se hostean en una alguna PC que no necesariamente se aloja una máquina del Estado sino en alguna que está en Argentina. También vemos phishing (estafas en línea) mayoritariamente, que están hosteados en Argentina y que afectan a entidades financieras externas y también casos de defaced (alteración o sustitución de una página web gubernamental) contra páginas web tanto comerciales como de gobierno en la Argentina”.

Franco afirmó que “es importante recibir cada vez más reportes de aquellos que sufran ataques porque tal vez para no sentirse expuestos no denuncian la existencia de un incidente. Muchas veces –se quejó-- nos enteramos por otros canales y luego los organismos terminan confirmando que habían sufrido un ataque. Hace falta mayor conciencia acerca de las ventajas de reportar los incidentes”.

Fuente: http://www.infobaeprofesional.com/notas/69712-Relanzaran-un-ente-para-mejorar-la-seguridad-informatica.html

• La primera sugiere afinar la política de alertas de red eliminando todos los falsos positivos, y eventos de severidad baja, de manera que solamente genere alertas en caso de ataques que puedan suponer un impacto importante para la organización. Esta filosofía también es conocida como “anomaly detection”. Así los operadores que reciban las alertas deberán poner en marcha un plan de contingencia para mantener el ataque bajo control.
• La otra posible forma de configurar los IDS/IPS es afinar únicamente los falsos positivos y dejar todos los demás eventos activos, de manera que en caso de una intrusión, a la hora de realizar un análisis forense, contar con mucha más información para poder analizar los prolegómenos del ataque.
  

La imagen de Angelina Jolie cada tanto vuelve a ser el centro de atención de los ciber-delincuentes. Ya el año pasado habíamos comentado sobre unas fotos en donde la actriz supuestamente aparecía desnuda pero que en realidad cuando se descargaban los archivos en vez de aparecer Jolie sin ropas lo que se descargaba era un troyano. 

A menos de un año (esto ocurrió en octubre del 2007), la actriz vuelve a ser el objeto de atracción de esta manipulación basada en la Ingeniería Social, para lo que los creadores de este spam no sólo tuvieron en cuenta nuevamente supuestas fotos de Angelina Jolie desnuda sino también el hecho de que hace poco tiempo fue mamá., por lo que esta vez el ataque vale por dos.

En primer lugar, el engaño llega a través de correos electrónicos en donde se invita a los usuarios a descargar unos archivos que contienen videos con imágenes para adultos de la estrella de cine tal como Dios la trajo al mundo. El nombre del video es video-nude-anjelina.avi.exe, y en realidad contiene un troyano conocido como Trojan.Agent.AGGZ.

Una de las particularidades en esta ocasión es que en el cuerpo del e-mail hay un texto en el que se hace referencia al material, afirmando además que es una de las ofertas provenientes del MSN. Según BitDefender, esto es para darle más realismo al spam y así poder tener más víctimas.

Pero esta no es la única forma en que usan a la actriz para engañar a los internautas. El otro correo que estuvo expandiéndose es uno que decía contener videos de Angelina Jolie en el momento en que estaba dando a luz. En esta ocasión, había un link al que había que ingresar para acceder a las imágenes pero que en verdad llevaba a una página falsa desde la que se descargaba el troyano Trojan.Downloader.Exchanger.Gen.1.

La imagen de Angelina Jolie cada tanto vuelve a ser el centro de atención de los ciber-delincuentes. Ya el año pasado habíamos comentado sobre unas fotos en donde la actriz supuestamente aparecía desnuda pero que en realidad cuando se descargaban los archivos en vez de aparecer Jolie sin ropas lo que se descargaba era un troyano. 

A menos de un año (esto ocurrió en octubre del 2007), la actriz vuelve a ser el objeto de atracción de esta manipulación basada en la Ingeniería Social, para lo que los creadores de este spam no sólo tuvieron en cuenta nuevamente supuestas fotos de Angelina Jolie desnuda sino también el hecho de que hace poco tiempo fue mamá., por lo que esta vez el ataque vale por dos.

En primer lugar, el engaño llega a través de correos electrónicos en donde se invita a los usuarios a descargar unos archivos que contienen videos con imágenes para adultos de la estrella de cine tal como Dios la trajo al mundo. El nombre del video es video-nude-anjelina.avi.exe, y en realidad contiene un troyano conocido como Trojan.Agent.AGGZ.

Una de las particularidades en esta ocasión es que en el cuerpo del e-mail hay un texto en el que se hace referencia al material, afirmando además que es una de las ofertas provenientes del MSN. Según BitDefender, esto es para darle más realismo al spam y así poder tener más víctimas.

Pero esta no es la única forma en que usan a la actriz para engañar a los internautas. El otro correo que estuvo expandiéndose es uno que decía contener videos de Angelina Jolie en el momento en que estaba dando a luz. En esta ocasión, había un link al que había que ingresar para acceder a las imágenes pero que en verdad llevaba a una página falsa desde la que se descargaba el troyano Trojan.Downloader.Exchanger.Gen.1.

Una red de piratas informáticos que logró desviar al menos 6.255 millones de pesos (3,4 millones de dólares) de entidades bancarias fue desmantelada por las autoridades colombianas que detuvieron a 25 de sus miembros, señaló la Fiscalía el domingo.

Agencias - “En la mira de los ladrones electrónicos estaban cuentas en las que se manejaban al menos otros 6,8 millones de dólares que pertenecen a distintas entidades públicas, privadas y Organizaciones No Gubernamentales”, precisó el diario El Tiempo de Bogotá con base en el reporte de la Fiscalía.

Según el informe, el organismo judicial capturó a 25 personas y ordenó la detención de otras 20.

Llamó la atención de la Fiscalía que un joven sin estudios superiores, pero aficionado a la informática, fue quien penetró la banca virtual desde un municipio del departamento de Antioquia (noroeste) y repartió los dineros a cuentas de varias ciudades del país.

Fuente: http://www.noticiasdot.com/wp2/2008/07/28/desmantelada-una-banda-de-hackers-colombianos-que-se-habian-hecho-con-34-millones-de-dolares/

Nota de Segu-Info: que cunda el ejemplo!

Por Lalo Zanoni

Quiero contarles algo. En septiembre saldrá mi segundo libro: El Imperio Digital, un mapa sobre el presente tech, el auge de los blogs y YouTube, los nuevos medios online frente a los de papel, la Web 2.0, Google, los videojuegos, MP3, los celulares y el impacto de las redes sociales, entre otros temas. Lo edita Ediciones B y el prólogo está escrito por Alberto Arebalos, director de comunicaciones de Google para América Latina.

Cuando en marzo firmé el contrato con la editorial, puse una condición: que el libro pueda bajarse gratis y entero. Me dijeron que no, que nadie va a comprar un libro que se consigue gratis, que era imposible. Les expliqué durante largas horas que sí, que son otros públicos, que serviría como elemento de promoción y difusión, que es importante ponerse del lado del usuario de la Web, darle algo, que afuera ya se hizo y funcionó y tantos otros argumentos. Después de varios días, los convencí: me dijeron que sí. Caro Di Bella, la editora, se la jugó y decidió apostar.

Así que diez días antes del 1ro de septiembre se podrá bajar en PDF desde la Web completo y gratis. El hecho no es menor: es la primera vez que una editorial local importante permite bajar uno de sus libros -la apuesta del mes- entero antes de que esté en las librerías. No tengo idea cuánta gente lo bajará, pero espero que sea bastante como para demostrar que la idea funciona. Sé que muchos de ustedes van a bajarlo y me ayudarán a difundir el sitio entre su gente.
Además, para anunciar el inicio de la bajada estamos armando un video colectivo con mucha gente diciendo "Bajalo", que será publicado en YouTube. (Ya recibimos más de 40 videos. Si querés colaborar con el tuyo, todavía hay tiempo hasta el viernes 1 de agosto).

También me entusiasma mucho la idea de que, a partir de ahora, otras editoriales se animen a hacer lo mismo que hizo Ediciones B y podamos bajar los libros enteros que nos interesen y leerlos un poco para decidir si queremos comprarlos en papel, archivarlos, buscar párrafos específicos, compartirlos, etc. Creo que no estamos tan lejos. Ojalá sea así.

Fuente: http://eblog.com.ar/4509/el-imperio-digital/

Este podría ser el título de la historia de Mortadelo y Filemón de este verano. Cómo ha habido muchas informaciones al respecto y todas muy distintas, he disfrutado siendo un espectador más.

Dan Kaminski, el ilustre descubridor de este fallo se encuentra trabajando en Spectra como vendor cuando se anuncia que va a contar en Blackhat USA 2008 los entresijos de un fallo en el sistema de caché de DNS que permite volver atrás en el tiempo y envenenar de nuevo las cachés de los DNS.

Hasta el momento se habían desarrollado, a lo largo de la historia, varios trucos para poner realizar una ataque de envenenamiento de caché DNS. Algunos muy curiosos. Los trucos utilizados han sido muy curiosos. Algunos de ellos muy divertidos:

Truco uno: Predicción Sencilla

Cada petición de resolución de nombre tiene un numerito de consulta. El ID de query. Este numerito inicialmente era incrementado como los números de la carnicería, así que, sí tenías un cliente que pedía a su servidor DNS la resolución de dos nombres seguidos y sabías el ID de la query 1, podrías inferir el número de la siguiente. Así, si tenemos un cliente que pregunta a su DNS por un nombre que está en un dominio de un atacante (por ejemplo cargando una imagen en una página web) el DNS del atacante, este puede devolver la IP asociada al nombre que le ha sido pedido, inferir el QID de la siguiente petición y responder con la IP asociada a la siguiente resolución sin ser él el DNS cuestionado y hacerlo antes de conteste el DNS legítimo. Este truco está muy bien, pero se parcheo aplicando algoritmos de generación de QID aleatorios. Fin de la fiesta.

Truco dos: Predicción compleja. La fecha del cumpleaños

Dice la estadística que cuando juntas un grupo de 23 o más personas la probabilidad de que dos de ellas hayan nacido en el mismo día es mayor del 50 %. Es curioso cómo funciona la estadística pues parece que 23 personas para cubrir 365 días no son muchas. La idea con el DNS es ¿Cuántas peticiones deben realizarse y cuantas respuestas deben enviarse para que la probabilidad de que una respuesta falsa del DNS atacante llegue con el QID correcto antes que la respuesta del DNS legítimo?

Sobre esta base se han ido realizando bastantes trabajos para conseguir optimizar el número de peticiones necesarias. Para ello se han ido analizando los números utilizados en los QID e intentar predecir los números que van a ser utilizados en las peticiones. En Junio del año pasado Amit Klein publicó un trabajo con la posible predicción de números en el BIND 9 y Alla Bezroutchko lo hizo con el DNS de Spectra. Lógicamente aparecieron parches y volvíamos al principio. A jugar con 16 bits de posibilidades y el ataque del Birthday en bruto.

Truco tres: Más respuestas que preguntas

Otro truco que surgió para hacer DNS caché poisoning consistía en aprovechar la facilidad que ofrece el estándar de peticiones DNS de responder hasta a tres resoluciones en una única respuesta por parte del DNS del atacante. Así, se hacía preguntar al DNS víctima por un dominio controlado, por ejemplo por www.elladodelmal.com y luego el DNS atacante devolvía una respuesta con la IP asociada a www.elladodelmal.com y…ya que estamos… www.tubanco.com está en esta IP. El DNS víctima cacheaba las dos respuestas y listo. Para solucionar esto, se prohibió que un DNS respondiera con información sobre dominios que no había sido preguntado. Así que… si se pregunta por www.elladodelmal.com sólo se pueden responder con registros .elladodelmal.com.

Y aquí estábamos hasta que Dan anuncia que se le ha ocurrido un truco. La idea era hacerlo coincidir con las BH USA y al mismo tiempo con el lanzamiento de una release del parche por parte de los fabricantes (incluido Spectra) para que todos se actualizaran a la vez y nadie pudiera hacer ingeniería inversa del parche y averiguar cómo explotarlo cuando…. Empiezan los rumores y una señorita, que a la postre resultó ser la mujer de uno de los implicados en el bug, contó alegremente en su blog detalles de cómo sería el ataque.

El truco combinado

La idea parece ser tan simple como unir los ataques 2 y 3 mediante un engaño en el cliente. Imaginad que un cliente pide por www.tubanco.com. Bien, este es un registro que existe con lo cual cuando llegue al DNS que intenta ser atacado este va a pedirlo al DNS legítimo. El DNS atacante tendrá la posibilidad de realizar un ataque de Birthday pero sin mucho tiempo, pues el DNS legítimo responderá pronto.
Ahora bien, hagamos que el cliente pida unamierda.tubanco.com. Este registro no existe, luego el DNS legítimo no va a responder con una respuesta cacheable y por tanto el DNS atacante tiene más tiempo para realizar el ataque del Birthday. Perfecto, porque una vez que la petición de unamierda.tubanco.com sea legítima, pues aprovechamos y te metemos información sobre otros registros de ese dominio, por ejemplo de www.tubanco.com o bancaonline.tubanco.com. Y ya tenemos la fiesta.

Lo curioso es que, a pesar de que se borró del blog (que se quedó en la sempiterna caché de google) la información que la díscola esposa filtró en su blog sin conocimiento de los descubridores del fallo ha posibilitado que hasta el tato sepa como explotar esto y que ya hayan aparecido formas de explotar esto con mucha facilidad y está siendo explotado.

Las consecuencias: Phising, evilgrades, malware, etc... Ya veis, todo iba bien hasta que una blogger "boquitas" se metió por medio. En fin, el culebrón del verano.

Fuente: http://elladodelmal.blogspot.com/2008/07/el-caso-del-dns-y-le-dscola-seora.html

El delincuente se quedaba con el 50% de lo estafado, que ascendió a 392.000 euros.

Irá a prisión por estafa. Trabajaba como administrativo de una empresa constructora y pagó nóminas falsas, por un importe de 392.602 euros, a nueve amigos suyo.

El acusado, R. N. D., de 31 años, estuvo trabajando en la empresa Hijos de Terrats Construcciones, donde se encargaba de controlar la confección de nóminas, contratos de trabajo, altas y bajas en la Seguridad Social y el pago de los salarios, entre marzo de 2001 y mayo de 2004. Este administrativo, con el DNI de sus amigos, creaba, según la sentencia, “un ficticio contrato de trabajo, lo introducía en el sistema informático de la empresa y, como si fueran contratos auténticos, generaba el alta de los acusados en la Seguridad Social”.

El acusado, según informa el Diario de Sevilla, obtenía el 50% de lo que cobraban sus amigos, para quienes la sentencia fija condenas de hasta dos años de cárcel. Los jueces aplicaron al acusado la atenuante de drogadicción, puesto que cuando ocurrieron los hechos “era un importante consumidor de cocaína”. Además de la pena de cárcel, deberá pagar una multa de 840 euros por un delito de estafa.

Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1842

Over the weekend I had time to read some great books on economics and as such and I’ve become more aware of a phenomenon known as the Pareto Principle or the 80/20 rule.

Vilfredo Pareto was an Italian economist who was living and working during the 19th century. During his career he had discovered a law of nature which was later known as the 80/20 rule. The rule simply states that for many events, 80% of the effects come from 20% of the causes. This phenomenon was first observed by the economists and it was specifically applied to their field of study but today it can be easily applied to other areas of life.

The Pareto Law is among several other so-called laws of nature, such as the long tail, which I will talk about some other time. These laws are very simplistic by nature and we can often doubt their accuracy but they seem to be good tools to explain things in our lives which cannot be explained easily.

I am particularly interested in the information security field and I have a great passion for everything that is related to the hacker-culture and I feel that we can explain a lot of our doubts and uncertainties that we have regarding the security landscape by using the 80/20 rule. For example, if we take for granted the accuracy of the Pareto Principle, we can say that 80% of all breakins are due to 20% of known vulnerabilities. Such a statement is definitely be very valuable for many of us.

Indeed, from the prospective of modern economics, the Pareto Principle, perhaps a magical formula developed by a secret society of alchemists-wizards, seems to describe many phenomenons, although the ratio may not seem just so equal. By studying several other books, I found that the Pareto principle is often seen as 90 to 10 ratio or even 70 to 10 which does not add up to 100. This is an entirely different field worth our investigation.

I will leave the fun of investigating the wonderful applications of the Pareto Principle and its sub-culture and I will concentrate on several statements regarding the information security field which fit its characteristic:

• 80% of breakins are due to 20% of known vulnerabilities.
• 70% of breakins are due to internal attacks - I suspect you are familiar with this rule… it just so happens that it fits here as well.
• 80% of discovered vulnerabilities are due to 20% of the available research.
• 20% of blackhat hackers are responsible for 80% of all hacks.
• 20% of all countries are responsible for 80% of cybercrime - perhaps we can block them :).
• 5% of emails to full-disclosure contribute to 80% of the value of the mailing list - this is entierely based on my own observations.
• 80% of viral attacks are due to 20% of virus coders.
• etc…

The list can go on and on…

OpenDNS, la startup estadounidense fundada a mediados de 2006 con el objetivo de ofrecer a los usuarios una navegación más comoda y controlada, está ganando 20 mil dólares por mes día sólo con el servicio de bloqueo a sitios indeseados.

Por el momento, creo que lo más sensato será cambiar de DNS, al menos hasta que amaine la tempestad. Que seguramente no pasará nada, pero por si acaso yo ya lo he hecho, y os recomiendo que también los cambiéis. La alternativa más fiable, a mi juicio, es OpenDNS, un servidor DNS internacional rápido, seguro y que pasa el test de la página de Kaminsky sin problemas (el propio Kaminsky lo recomienda). Y no pongáis esa cara, tranquilos, porque configurarlo es algo fácil y rápido. La página que os acabo de enlazar es más que nada de información, por si queréis echarle una ojeada, pero no es necesario. Tan sólo tenéis que seguir unos sencillos pasos en vuestro propio ordenador y navegaréis de manera más segura. A continuación os detallo los pasos para Windows y para Linux. Si utilizáis otros sistemas y no sabéis cómo hacerlo, entrad en la página de OpenDNS y allí encontraréis instrucciones.

Cambiar de DNS en Windows

Vais a Inicio > Panel de Control > Conexiones de red. Click derecho sobre la conexión que estéis utilizando para conectaros a Internet (Conexión de área local o Conexiones de red inalámbricas típicamente) y pinchad en Propiedades. Aparece un nuevo diálogo y bajo Esta conexión utiliza los siguientes elementos aparece una lista; pues bien, seleccionáis en ella el elemento que reza Protocolo Internet (TCP/IP) y pincháis en Propiedades.
En el nuevo cuadro de diálogo que aparece, probablemente tendréis seleccionada la opción Usar las siguientes direcciones de servidor DNS, y si no es así, la seleccionáis. Por último, en los campos Servidor DNS preferido y Servidor DNS alternativo escribís 208.67.222.222 y 208.67.220.220 respectivamente. Aceptar y Aceptar, y listo.

Cambiar de DNS en Linux

Tenéis que abrir como root el fichero /etc/resolv.conf con vuestro editor de texto favorito. Por ejemplo, introduciendo lo siguiente en la consola:

> gedit /etc/resolv.conf

A continuación, editáis dicho archivo de manera que contenga lo siguiente:

nameserver 208.67.222.222
nameserver 208.67.220.220

Y por último, reiniciáis la interfaz de red (también como root) con los siguientes comandos:

> ifconfig nombre_interfaz down
> ifconfig nombre_interfaz up
> route add default gw 192.168.1.1

Comprobar que el cambio se ha producido

Pinchad en este enlace para comprobar si el cambio se ha producido satisfactoriamente y efectivamente estáis usando los servidores de OpenDNS. En ese caso, podéis navegar tranquilos.


OpenDNS gana 20 mil dólares por día

Resulta que si estás navegando bajo los DNS de OpenDNS, puedes configurar el sitio para que cuando escribas una dirección inexistente o visitas un sitio bloqueado, el servicio muestra una página con publicidad, que incluye búsqueda y anuncios contextuales.

El servicio resuelve 7 mil millones de llamadas por día y brinda aproximadamente 2 millones de páginas de búsqueda por día. De esta forma, gracias a los anuncios contextuales, se gana hasta 20 mil dólares por día. Actualmente sólo están trabajando con Yahoo!.

OpenDNS es un servicio gratuito que funciona muy bien. Lo puedes utilizar sólo como un DNS alternativo o también como herramienta anti phising y antispam. En Argentina, por ejemplo, soluciona el problema que el ISP Fibertel tiene a veces para mostrar páginas de Google. Con sólo reemplazar los DNS por los de OpenDNS el problema se arregla.

Fuentes:
http://www.enchufa2.es/archives/uso-de-opendns-para-mayor-seguridad.html
http://www.techtear.com/2008/07/21/opendns-gana-20-mil-dolares-por-dia/