Recientemente, como la mayoría sabe, en RD se ha hecho mucho publicidad sobre el tema de Anonymous. Muchos periodistas han publicado sobre los “ataques” de anonymous en RD, como Nuria Piera y Telemicro. Además de todo, han entrevistado a “expertos en seguridad” que dicen que es una amenaza real. Aquí se puede ver un ejemplo de como la prensa puede llevar un tema a un nivel totalmente diferente a el de la realidad. Aquí van algunos puntos:
1) Debemos preocuparnos ?
Realmente no. Hasta ahora quienes han atacado a los sites de gobierno son un grupo de script kiddies que se hacen llamar AnonymousDO y AnonymousRD con el apoyo de Anonymous Hispano. Estos grupos, por lo que se ha visto, no tienen ni un 0.0001% de la capacidad técnica del anonymous que realmente conocemos. Es evidente que no saben lo que hacen y que todo lo que han hecho ha sido realmente porque Anonymous Hispano les ha instruido en que hacer y como hacerlo.
2) Entonces porque están tumbando paginas ?
Primero que todo, aquí se caen paginas del gobierno todos los días, algunas duran hasta semanas afuera. A nadie le importo antes, pero ahora porque Nuria esta haciendo reportajes, se preocupan. Vamos a ser un poquito mas serios... Respondiendo la pregunta original, están tumbando paginas porque el gobierno Dominicano tiene un manejo pésimo de su infraestructura de TI. Realmente, los ataques que se han hecho pueden ser evitados fácilmente. Anonymous utiliza una herramienta llamada LOIC, que básicamente crea una saturación de requests HTTP a servidores. Osea que el simple hecho de crear una regla que limite la cantidad de requests por IP soluciona este problema. Lo que pasa es que eso es mucho pedir para muchas instituciones del gobierno.
3) Es esto un flame random solamente porque no estas de acuerdo con anonymous ?
No, realmente estoy totalmente de acuerdo con los ideales básicos de anonymous. Yo apoyo el 4% para la educación, apoyo a que el país esta en una situación vergonzosa en cuanto a la corrupción y apoyo cualquier acción que pueda remediar este tipo de actividades. El problema es que no vamos a resolver nada haciendo defacements ni DoS en RD. Aqui han hackeado a la mayoría de los sites de gobierno y ni si quiera han salido publicados en la prensa, porque aquí a nadie le importa eso(lamentablemente).
4) Tienes alguna base para llamar script kiddies a Anonymous RD o Anonymous DO ?
Muchísimas, pero no hay que ir muy lejos. Recientemente publicaron que le hicieron un defacement al site de la Policía Nacional y lo que hicieron fue un cross site scripting. Claro, esto es una vulnerabilidad del site de la Policía, pero definitivamente no es un defacement. El site de la policía nunca debería tener este tipo de problemas, ya que es un site en el que los ciudadanos confían, pero si a eso vamos hay probablemente miles de cross site scripting en RD.
5) Y que paso con los expertos de Nuria ?
Todo el mundo saben a quien buscaron como experto en seguridad, tengo que decir mas ?
30/10/2011
27/04/2011
31/03/2011
Lizamoon
Recientemente alguien publico la penetración a la página de Apple, itunes.com. El ataque era un inyección de SQL que permitía manipular el contenido que se desplegaba en listas de artículos de la página. Ahora Websense publica que este ataque va mucho mas elevado de lo que se pensaba. Hasta ahora el ataque es llamado Lizamoon, por que inserta en las páginas el javascript “script src=h**p://lizamoon.com/ur.php”.
El ataque es masivo y ya va por 225,000 páginas hasta hoy según google, así que vamos a ver como siguen incrementando los números pero hasta ahora es bastante masivo. Solamente en el tiempo que escribí este blog los números habían incrementado 4,000 en Google.
Hasta ahora no sabemos mucho del ataque, pero sabemos que esta infectando páginas de forma agresiva. El site de lizamoon.com esta registrado a Romania y el URL lizamoon.com/ur.php no esta entregando contenido de javascript por el momento, en dias pasados redireccionaba a el algunas paginas como h**p://defender-uqko.inuna, una pagina reconocida de malware.
UPDATE: El ataque parece estar controlado y las infecciones han quedado al mismo nivel.
El ataque es masivo y ya va por 225,000 páginas hasta hoy según google, así que vamos a ver como siguen incrementando los números pero hasta ahora es bastante masivo. Solamente en el tiempo que escribí este blog los números habían incrementado 4,000 en Google.
Hasta ahora no sabemos mucho del ataque, pero sabemos que esta infectando páginas de forma agresiva. El site de lizamoon.com esta registrado a Romania y el URL lizamoon.com/ur.php no esta entregando contenido de javascript por el momento, en dias pasados redireccionaba a el algunas paginas como h**p://defender-uqko.inuna, una pagina reconocida de malware.
UPDATE: El ataque parece estar controlado y las infecciones han quedado al mismo nivel.
27/03/2011
Mysql.com y Sun.com hacked
En una clara demostración por parte de MySQL al amor de los apostrofes y otros caracteres especiales, hace unas horas dos hackers llamados TinKode y Neoh de Slacker.ro rompieron su pagina. MySQL es una base de datos popular de codigo abierto adquirida por Sun Microsystems en el 2008 y utilizada por muchisimos sites importantes como Wikipedia, Youtube, Google, Facebook, Flickr, etc. Lo mejor del caso es que la forma de entrada fue con un SQL Injection. Si, usted acaba de escuchar eso bien, a mysql.com(tambien mysql.it, mysql.de, mysql.fr, etc) lo rompieron con una inyección de SQL. Afortunadamente, nadie le ha llamado un ataque APT todavía ;)
Claro que como MySQL es código abierto, en realidad esto no es un golpe importante en el mundo de seguridad. Si es un golpe a el grupo de programadores de MySQL y quizás uno mas grande específicamente al webmaster de mysql.com. Lamentablemente para ellos, han logrado sacar informaciones de la base de datos e inclusive publicaron la lista de usuarios con claves en el típico hash MD5 y la estructura de base de datos de la pagina de Sun Microsystems. Quizás los atacantes sacaron informaciones importantes de cuentas en el webserver de los programadores principales, pero a nadie le importa eso en realidad. Uno de sus programadores principales utilizaba laclavePIN '6661'. Por lo menos es mejor que el típico '1234' de RD.
Luego de que publicaron el bug de MySQL también publicaron otra inyección de Sun.com. Me imagino que hay algún programador en algún sitio esperando su carta de cancelación mañana temprano.
Claro que como MySQL es código abierto, en realidad esto no es un golpe importante en el mundo de seguridad. Si es un golpe a el grupo de programadores de MySQL y quizás uno mas grande específicamente al webmaster de mysql.com. Lamentablemente para ellos, han logrado sacar informaciones de la base de datos e inclusive publicaron la lista de usuarios con claves en el típico hash MD5 y la estructura de base de datos de la pagina de Sun Microsystems. Quizás los atacantes sacaron informaciones importantes de cuentas en el webserver de los programadores principales, pero a nadie le importa eso en realidad. Uno de sus programadores principales utilizaba la
Luego de que publicaron el bug de MySQL también publicaron otra inyección de Sun.com. Me imagino que hay algún programador en algún sitio esperando su carta de cancelación mañana temprano.
23/03/2011
RSA y APT
Como ya todos sabemos, RSA el creador de los tokens SecurID(los que usa el Banco Popular) fue atacado la semana pasada. En una nota por el CEO de la empresa, dice que la empresa fue victima de ataques tipo APT. Los blogs de seguridad están hablando de esto porque se supone que esto implica que:
-Los hackers que hicieron este ataque están muy bien organizados y su trabajo era enfocarse en RSA.
-Los tokens de SecurID se utilizan en una gran cantidad de sistemas de alta seguridad y nadie sabe que tanta información recuperaron los atacantes de SecurID u otros productos.
-Los atacantes están bien respaldados financiera y logísticamente.
El problema esta en que nadie tiene una definición concreta de lo que es APT, inclusive no se sabe bien quien fue que invento el termino. Hasta ahora muchos piensan que fue la firma de seguridad Mandiant, pero nadie sabe. El punto es que APT implica un escenario fuera de lo normal, tipo hollywood/james bond, porque son atacantes profesionales dedicados específicamente a ese target con un propósito especifico, quizás hasta respaldados por gobierno o mafia.
El problema que tenemos para ver que tan “APT” es este ataque es que no tenemos mucha información. Si todo el mundo esta pensando “pero eso es RSA, para entrar ahí tiene que ser APT obligado” eso no es necesariamente así. Hay muchísimos ejemplos de ataques a empresas que deben tener una seguridad mas elevada(ya que su negocio es seguridad) y no la tienen. Inclusive podemos ver el caso de HBGary, del cual todavía me estoy riendo un poquito. Estamos hablando de una firma que le da seguridad al gobierno federal en los EEUU y que ataco al grupo Anonymous. Luego Anonymous rompió sus sistemas y prácticamente los puso de rodillas. Lotristeinteresante es que esto fue logrado por una niñaadolescente de 16 años por un bug de SQL INJECTION. WTF ? Exacto...
En cuanto a como afectaría esto a los tokens SecurID, no creo que en mucho. RSA esta utilizando AES-128 y esto se conocía comúnmente. Los atacantes necesitarían información de los clientes y sus tokens para generar los números. Osea que un atacante todavía necesitaría información del cliente y de los servidores de los tokens. Definitivamente es un paso y próximamente la funcionalidad interna de el sistema SecurID probablemente va a ser leakeada al Internet(Ojala).
-Los hackers que hicieron este ataque están muy bien organizados y su trabajo era enfocarse en RSA.
-Los tokens de SecurID se utilizan en una gran cantidad de sistemas de alta seguridad y nadie sabe que tanta información recuperaron los atacantes de SecurID u otros productos.
-Los atacantes están bien respaldados financiera y logísticamente.
El problema esta en que nadie tiene una definición concreta de lo que es APT, inclusive no se sabe bien quien fue que invento el termino. Hasta ahora muchos piensan que fue la firma de seguridad Mandiant, pero nadie sabe. El punto es que APT implica un escenario fuera de lo normal, tipo hollywood/james bond, porque son atacantes profesionales dedicados específicamente a ese target con un propósito especifico, quizás hasta respaldados por gobierno o mafia.
El problema que tenemos para ver que tan “APT” es este ataque es que no tenemos mucha información. Si todo el mundo esta pensando “pero eso es RSA, para entrar ahí tiene que ser APT obligado” eso no es necesariamente así. Hay muchísimos ejemplos de ataques a empresas que deben tener una seguridad mas elevada(ya que su negocio es seguridad) y no la tienen. Inclusive podemos ver el caso de HBGary, del cual todavía me estoy riendo un poquito. Estamos hablando de una firma que le da seguridad al gobierno federal en los EEUU y que ataco al grupo Anonymous. Luego Anonymous rompió sus sistemas y prácticamente los puso de rodillas. Lo
En cuanto a como afectaría esto a los tokens SecurID, no creo que en mucho. RSA esta utilizando AES-128 y esto se conocía comúnmente. Los atacantes necesitarían información de los clientes y sus tokens para generar los números. Osea que un atacante todavía necesitaría información del cliente y de los servidores de los tokens. Definitivamente es un paso y próximamente la funcionalidad interna de el sistema SecurID probablemente va a ser leakeada al Internet(Ojala).
22/03/2011
Claves en RD
Desde que tengo uso de mis dedos en un keyboard, siempre recuerdo el problema de las claves de mala calidad. Algo que muchos recordamos es esa época de dial-up, cuando el acceso a Internet requería de un usuario y una clave. En esos días la mala calidad de las claves permitió la entrada de miles de usuarios sin actualmente pagar por el servicio dial-up. Claves iguales al nombre de usuarios o claves como 1234 eran común en esos días(1995-1996), lamentablemente en 2011 todavía vivimos con el mismo problema. Aunque mucho mejor que antes, el problema de las claves débiles en RD todavía es serio, especialmente en empresas.
En los últimos años he participado en asesorías para el mercado local y he recuperado aproximadamente 7990 claves de diferentes usuarios en diferentes sistemas. En cuanto a las claves mas memorables que he recuperado hasta el día de hoy, el top 5 (con * censurando malas palabras)
#1 Yorap*conmaribel
#2 tequieroput*
#3 Mimamamemimaymeama
#4 Darioestabueno!
#5 Elpl4t4nerosetsy
Rompiendo con los mitos de hollywood, que dicen que las claves mas populares son asociadas a dios, amor, sexo, secreto o dinero. La realidad por lo menos para RD es esta:
#1 Asociar la clave al nombre de usuario, nombre de la persona o nombre de la empresa donde trabaja
#2 Claves con patrones simples como 1234, 12345, 0987, 09876, qwerty, asdf
#3 Fecha de algun tipo
Ademas de esto, los atacantes hoy en día saben de las políticas default de muchos sistemas operativos. El mejor ejemplo de esto es la política default de Microsoft para claves de mas de 8 caracteres. Fíjense en esta gráfica como la mayoría de las claves(71%) están en el rango de 8 a 12 caracteres. La política ayuda a forzar a los usuarios, pero también le da la ventaja a los atacantes de limitar la cantidad de claves en un ataque de tipo brute force.
Cual es una buena clave ?
-Mayor de 10 caracteres
-Incluye mayúscula minúscula y numero
-Incluye caracteres especiales (|+_)(*&^%$#@!~}{“:?><,./;'[]=\)
El patrón mas popular es una clave que comienza con una letra y termina con un numero.
En los últimos años he participado en asesorías para el mercado local y he recuperado aproximadamente 7990 claves de diferentes usuarios en diferentes sistemas. En cuanto a las claves mas memorables que he recuperado hasta el día de hoy, el top 5 (con * censurando malas palabras)
#1 Yorap*conmaribel
#2 tequieroput*
#3 Mimamamemimaymeama
#4 Darioestabueno!
#5 Elpl4t4nerosetsy
Rompiendo con los mitos de hollywood, que dicen que las claves mas populares son asociadas a dios, amor, sexo, secreto o dinero. La realidad por lo menos para RD es esta:
#1 Asociar la clave al nombre de usuario, nombre de la persona o nombre de la empresa donde trabaja
#2 Claves con patrones simples como 1234, 12345, 0987, 09876, qwerty, asdf
#3 Fecha de algun tipo
Ademas de esto, los atacantes hoy en día saben de las políticas default de muchos sistemas operativos. El mejor ejemplo de esto es la política default de Microsoft para claves de mas de 8 caracteres. Fíjense en esta gráfica como la mayoría de las claves(71%) están en el rango de 8 a 12 caracteres. La política ayuda a forzar a los usuarios, pero también le da la ventaja a los atacantes de limitar la cantidad de claves en un ataque de tipo brute force.
Cual es una buena clave ?
-Mayor de 10 caracteres
-Incluye mayúscula minúscula y numero
-Incluye caracteres especiales (|+_)(*&^%$#@!~}{“:?><,./;'[]=\)
El patrón mas popular es una clave que comienza con una letra y termina con un numero.
12/03/2011
Lista de implicados Figueroa Agosto(el troyano, no la de verdad)
Hace un tiempesito atrás comenzó a propagarse un troyano llamado listadeimplicados.pdf.exe y venia en correos “supuestamenta” del listin diario con una supuesta lista de implicados en el caso Figueroa Agosto. Aquí voy a desglosar técnicamente al troyano:
Nombre archivo: listaimplicados.pdf.exe
MD5 Sum: 8ff29fa7c82bded5a2eead0a4833345e
Lenguaje: Visual Basic
Plataforma: Windows
Básicamente el programa toma los siguientes pasos:
1.Búsqueda de llaves de registro para adivinar tipo de sistema y configuraciones
2.Modificación de las llaves HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed
3.Lee el historial reciente de Internet explorer y los cookies guardados en el sistema
4.Modifica parámetros de configuración del sistema para disminuir la seguridad
5.Se conecta vía HTTP al site abajo.windows-updat3.com que a su vez redirecciona a vida-gamer.com/abajo.txt. Este archivo contiene definiciones de el archivos hosts que configura nombres de dominio estáticos. El archivo hosts es intercambiado por este y los siguientes dominios se alteran:
92.241.164.83 www.santander.com
92.241.164.83 santander.com
92.241.164.83 santander.cl
92.241.164.83 www.santander.cl
92.241.164.83 www.officebanking.cl
92.241.164.83 officebanking.cl
92.241.164.83 www.bancoestado.cl
92.241.164.83 bancoestado.cl
92.241.164.83 www.bancoestado.com
92.241.164.83 bancoestado.com
92.241.164.83 personas.bancoestado.cl
92.241.164.83 www.bbva.com
92.241.164.83 bbva.com
92.241.164.83 www.bbva.cl
92.241.164.83 bbva.cl
92.241.164.83 bbvanet.cl
92.241.164.83 www.bbvanet.cl
92.241.164.83 hotmail.com
92.241.164.83 www.hotmail.com
92.241.164.83 gmail.com
92.241.164.83 www.gmail.com
92.241.164.83 bancofalabella.cl
92.241.164.83 www.bancofalabella.cl
92.241.164.83 bancofalabella.com
92.241.164.83 www.bancofalabella.com
92.241.164.83 www.falabella.com
92.241.164.83 falabella.com
6.Luego modifica las llaves de registro de Runonce para ejecutar el troyano cada vez que la maquina es iniciada.
Básicamente es un ataque de tipo Man in the middle utilizando modificaciones de DNS. El usuario piensa que accede a www.gmail.com o www.hotmail.com, pero en realidad esta entrando a un servidor de los atacantes que simulan estos sites. Luego el usuario inserta sus credenciales y los atacantes reciben las credenciales. Todo el mundo se pregunta que como fue que le robaron la clave de su correo y aquí esta un ejemplo de como.
En la fase inicial de el troyano, los sites afectados incluían bancos locales como BPD, Progreso, BHD, Leon y Reservas. Este ataque definitivamente fue un ataque especifico para la República Dominicana.
Nombre archivo: listaimplicados.pdf.exe
MD5 Sum: 8ff29fa7c82bded5a2eead0a4833345e
Lenguaje: Visual Basic
Plataforma: Windows
Básicamente el programa toma los siguientes pasos:
1.Búsqueda de llaves de registro para adivinar tipo de sistema y configuraciones
2.Modificación de las llaves HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed
3.Lee el historial reciente de Internet explorer y los cookies guardados en el sistema
4.Modifica parámetros de configuración del sistema para disminuir la seguridad
5.Se conecta vía HTTP al site abajo.windows-updat3.com que a su vez redirecciona a vida-gamer.com/abajo.txt. Este archivo contiene definiciones de el archivos hosts que configura nombres de dominio estáticos. El archivo hosts es intercambiado por este y los siguientes dominios se alteran:
92.241.164.83 www.santander.com
92.241.164.83 santander.com
92.241.164.83 santander.cl
92.241.164.83 www.santander.cl
92.241.164.83 www.officebanking.cl
92.241.164.83 officebanking.cl
92.241.164.83 www.bancoestado.cl
92.241.164.83 bancoestado.cl
92.241.164.83 www.bancoestado.com
92.241.164.83 bancoestado.com
92.241.164.83 personas.bancoestado.cl
92.241.164.83 www.bbva.com
92.241.164.83 bbva.com
92.241.164.83 www.bbva.cl
92.241.164.83 bbva.cl
92.241.164.83 bbvanet.cl
92.241.164.83 www.bbvanet.cl
92.241.164.83 hotmail.com
92.241.164.83 www.hotmail.com
92.241.164.83 gmail.com
92.241.164.83 www.gmail.com
92.241.164.83 bancofalabella.cl
92.241.164.83 www.bancofalabella.cl
92.241.164.83 bancofalabella.com
92.241.164.83 www.bancofalabella.com
92.241.164.83 www.falabella.com
92.241.164.83 falabella.com
6.Luego modifica las llaves de registro de Runonce para ejecutar el troyano cada vez que la maquina es iniciada.
Básicamente es un ataque de tipo Man in the middle utilizando modificaciones de DNS. El usuario piensa que accede a www.gmail.com o www.hotmail.com, pero en realidad esta entrando a un servidor de los atacantes que simulan estos sites. Luego el usuario inserta sus credenciales y los atacantes reciben las credenciales. Todo el mundo se pregunta que como fue que le robaron la clave de su correo y aquí esta un ejemplo de como.
En la fase inicial de el troyano, los sites afectados incluían bancos locales como BPD, Progreso, BHD, Leon y Reservas. Este ataque definitivamente fue un ataque especifico para la República Dominicana.
Suscribirse a:
Entradas (Atom)