Y esta semana se me va, pero con un pequeño resumen e imagenes por parte de ReYDeS de los correos fraudulentos dirigidos a robarnos nuestros datos bancarios.
Mas información en este enlace.
Intercambio de ideas sobre Tecnologías de la Información y Comunicación, Sociedad de la Información, Seguridad de la Información, Cybercrimen y temas relacionados. Damaso Fonseca
sábado, 16 de agosto de 2008
jueves, 14 de agosto de 2008
DNS, Kaminsky y Vulnerabilidades.
Este es un tema técnico.
Si Ud. es una persona no técnica no le va a interesar este post.
Distraigase mejor con algo como ésto.
Hablando sobre este tema, me encontré un link interesante que explica primeramente muy bien el funcionamiento del los DNS para pasar luego a explicar el problema descubierto por Dan Kaminsky.
Guia ilustrada de la vulnerabilidad descubierta por Dan Kaminsky.
Personalmente no domino tanto como quisiera el tema de los DNS, por lo que ese link me sirve de mucho. Después de entender de pies a cabeza el tema del funcionamiento de los DNS, podre decir que soy un loco consumado :oD
Adicionalmente de manera local en Perú, Tabo, también hizo un análisis muy interesante.
Vulnerabilidad: Servidores de DNS peruanos
Si Ud. es una persona no técnica no le va a interesar este post.
Distraigase mejor con algo como ésto.
Hablando sobre este tema, me encontré un link interesante que explica primeramente muy bien el funcionamiento del los DNS para pasar luego a explicar el problema descubierto por Dan Kaminsky.
Guia ilustrada de la vulnerabilidad descubierta por Dan Kaminsky.
Personalmente no domino tanto como quisiera el tema de los DNS, por lo que ese link me sirve de mucho. Después de entender de pies a cabeza el tema del funcionamiento de los DNS, podre decir que soy un loco consumado :oD
Adicionalmente de manera local en Perú, Tabo, también hizo un análisis muy interesante.
Vulnerabilidad: Servidores de DNS peruanos
miércoles, 13 de agosto de 2008
"Cyber Guerra" Russia --> Georgia
En los últimos días, como todos ya sabemos hubo un conflicto entre Rusia y Georgia, y como ya es conocido, aparte de la guerra convencional, también se a dado la guerra electrónica o cibernética. Personalmente me puse a buscar información en blogs y otros recursos web, como ZDNet, RBNexploit y Dancho Danchev obteniendo información muy interesante que me gustaría compartir.
Antes de eso, para los que no conozcan, sería bueno que lean sobre la Russian Business Network. Que en resumen es una mafia Rusa dedicada a la distribución de gran parte de virus y mas cosas peligrosas que pasan actualmente en la Internet. Los verdaderos monstruos en computación según yo :)
También sobre Sistemas Autónomos o AS. Que en resumen serían las redes independientes de cada proveedor de servicios de telecomunicaciones/Internet, y que cada uno tiene una numeración definida Ejem:AS8342
Y también sobre Internet exchange point o puntos neutros. Que son en resumen los puntos de encuentro entre las redes de nuestros proveedores de servicios teleco/Internet. Para ponerla mas fácil, si alguna ves te preguntaste como haces para comunicarte por msn desde tu conexión de telefónica con un amigo/amistad/contacto que usa telmex u otro, pues aquí es donde ocurre la "unión" de redes :) .Mira que hasta pagina web tienen www.nap.pe
Después de esa lectura, empezamos mencionando que la Cyber Guerra a consistido obviamente en hacer un ataque DDoS a Georgia (lo cual para los que no entienden el tema, es a grandes rasgos una denegación del servicio Internet y telecomunicaciones, desde distintos lugares).
Yo personalmente dividí/entendí el ataque en 2 tipos de frentes:
La pare Física y la parte Lógica.
En la parte física fue envuelta la infraestructura de los diferentes proveedores de telecomunicaciones y proveedores de acceso Internet. Pero lo que no pude terminar de averiguar fue si sólo era hacia los proveedores de servicios para organizaciones Gubernamentales de Georgia o para TODOS en general, ya que no pude encontrar nada referente al punto neutro de Georgia para ver a la totalidad de proveedores.
Para este caso
DeltaComm Group AS20771 (Aún inaccesible)
Caucasus Network AS28751
Según RBNexploit, el ataque a consistido en que ya que lamentablemente el acceso a las entidades de Georgia pasaba por Rusia y Turquía, y estos accesos fueron de alguna manera "influenciados" por Rusia para que la señal (ruteo) sea "cortada" o "disminuida".
En las siguientes imágenes de RBNexploit, se puede ver que en efecto, los accesos a Georgia pasaban previamente por esos lugares (para mayor entendimiento, los nombre Internet de Georgia terminan en .ge).
Para el acceso a mfa.gov.ge (Relaciones Exteriores):
En la primera imagen, y en la segunda
Tratando de ingresar vía US, el bloqueo se da desde Turquía.
Tratando de ingresar vía Ucrania, el bloqueo se da desde Rusia (mira que hasta banderita sale :P).
Para el acceso a mod.gov.ge (Ministerio Defensa)
Tratando de ingresar desde US, el bloqueo es nuevamente se da desde Turquía.
Tratando de ingresar vía Ucrania, el bloqueo nuevamente se da desde Turquía.
Y en este siguiente gráfico, se ve que efectivamente los AS de Georgia AS28751 AS20771, dependen en gran parte de AS8342 AS12389
AS9121 para el ruteo de su acceso, y que son justamente los que le están haciendo el bloqueo. El único acceso libre (a medias) que quedaba era el AS29049 ubicado en el país de Azerbaiyán.
Pero en lo que no concuerdo (o al menos me cuesta creer), es que RBNexploit diga que tales accesos estaban bajo el control de la RBN y influenciados por Rusia. Osea, lo segundo puede ser, pero lo primero? ya que si relacionamos los números AS con las respectivas empresas vemos que (al menos para mi), son empresas bien constituidas, además de que 2 de ellas son Rusas, y que eran las que le daban el acceso a Georgia, y que tales accesos no son de "reciencito nomas".
AS8342 RTComm.RU OJSC Rusa
AS12389 Rostelecom Rusa
AS9121 Turk Telekom Turca
En la parte Lógica el ataque consistió en distribuir listas de dominios específicos pertenecientes al gobierno de Georgia (nombres de Internet), para así evitar que el ataque sea centralizado.
police(punto)ge
mfa.gov(punto)ge
government.gov(punto)ge
constcourt.gov(punto)ge
nod.gov(punto)ge
nsc.gov(punto)ge
mof(punto)ge
nbg.gov(punto)ge
parliament(punto)ge
president.gov(punto)ge
Distribuir "herramientas" para hacer un ataque "fácil".
Distribuir listas de sites susceptibles a ataques SQL Injection
Abusar de listados públicos de correo pertenecientes a políticos, para hacer un envío masivo de spam y probablemente malware.
entre otros.
En fin, estuvo muy interesante esa Cyber War. Para mí estuvo mas interesante la parte de la infraestructura.
Las imagenes fueron tomadas de ZDNet, RBNexploit y Dancho Danchev.
Cosas nuevas: Si volvemos a hacer un tracert a algunas de las webs citadas, del Gobierno de Georgia (mfa.gov.ge por ejemplo), vamos a ver cosas nuevas.
http://logbud.com/visual_trace
http://www.dnsstuff.com/
Cualquier critica/observación/actualización constructiva bienvenida.
Antes de eso, para los que no conozcan, sería bueno que lean sobre la Russian Business Network. Que en resumen es una mafia Rusa dedicada a la distribución de gran parte de virus y mas cosas peligrosas que pasan actualmente en la Internet. Los verdaderos monstruos en computación según yo :)
También sobre Sistemas Autónomos o AS. Que en resumen serían las redes independientes de cada proveedor de servicios de telecomunicaciones/Internet, y que cada uno tiene una numeración definida Ejem:AS8342
Y también sobre Internet exchange point o puntos neutros. Que son en resumen los puntos de encuentro entre las redes de nuestros proveedores de servicios teleco/Internet. Para ponerla mas fácil, si alguna ves te preguntaste como haces para comunicarte por msn desde tu conexión de telefónica con un amigo/amistad/contacto que usa telmex u otro, pues aquí es donde ocurre la "unión" de redes :) .Mira que hasta pagina web tienen www.nap.pe
Después de esa lectura, empezamos mencionando que la Cyber Guerra a consistido obviamente en hacer un ataque DDoS a Georgia (lo cual para los que no entienden el tema, es a grandes rasgos una denegación del servicio Internet y telecomunicaciones, desde distintos lugares).
Yo personalmente dividí/entendí el ataque en 2 tipos de frentes:
La pare Física y la parte Lógica.
En la parte física fue envuelta la infraestructura de los diferentes proveedores de telecomunicaciones y proveedores de acceso Internet. Pero lo que no pude terminar de averiguar fue si sólo era hacia los proveedores de servicios para organizaciones Gubernamentales de Georgia o para TODOS en general, ya que no pude encontrar nada referente al punto neutro de Georgia para ver a la totalidad de proveedores.
Para este caso
DeltaComm Group AS20771 (Aún inaccesible)
Caucasus Network AS28751
Según RBNexploit, el ataque a consistido en que ya que lamentablemente el acceso a las entidades de Georgia pasaba por Rusia y Turquía, y estos accesos fueron de alguna manera "influenciados" por Rusia para que la señal (ruteo) sea "cortada" o "disminuida".
En las siguientes imágenes de RBNexploit, se puede ver que en efecto, los accesos a Georgia pasaban previamente por esos lugares (para mayor entendimiento, los nombre Internet de Georgia terminan en .ge).
Para el acceso a mfa.gov.ge (Relaciones Exteriores):
En la primera imagen, y en la segunda
Tratando de ingresar vía US, el bloqueo se da desde Turquía.
Tratando de ingresar vía Ucrania, el bloqueo se da desde Rusia (mira que hasta banderita sale :P).
Para el acceso a mod.gov.ge (Ministerio Defensa)
Tratando de ingresar desde US, el bloqueo es nuevamente se da desde Turquía.
Tratando de ingresar vía Ucrania, el bloqueo nuevamente se da desde Turquía.
Y en este siguiente gráfico, se ve que efectivamente los AS de Georgia AS28751 AS20771, dependen en gran parte de AS8342 AS12389
AS9121 para el ruteo de su acceso, y que son justamente los que le están haciendo el bloqueo. El único acceso libre (a medias) que quedaba era el AS29049 ubicado en el país de Azerbaiyán.
Pero en lo que no concuerdo (o al menos me cuesta creer), es que RBNexploit diga que tales accesos estaban bajo el control de la RBN y influenciados por Rusia. Osea, lo segundo puede ser, pero lo primero? ya que si relacionamos los números AS con las respectivas empresas vemos que (al menos para mi), son empresas bien constituidas, además de que 2 de ellas son Rusas, y que eran las que le daban el acceso a Georgia, y que tales accesos no son de "reciencito nomas".
AS8342 RTComm.RU OJSC Rusa
AS12389 Rostelecom Rusa
AS9121 Turk Telekom Turca
En la parte Lógica el ataque consistió en distribuir listas de dominios específicos pertenecientes al gobierno de Georgia (nombres de Internet), para así evitar que el ataque sea centralizado.
police(punto)ge
mfa.gov(punto)ge
government.gov(punto)ge
constcourt.gov(punto)ge
nod.gov(punto)ge
nsc.gov(punto)ge
mof(punto)ge
nbg.gov(punto)ge
parliament(punto)ge
president.gov(punto)ge
Distribuir "herramientas" para hacer un ataque "fácil".
Distribuir listas de sites susceptibles a ataques SQL Injection
Abusar de listados públicos de correo pertenecientes a políticos, para hacer un envío masivo de spam y probablemente malware.
entre otros.
En fin, estuvo muy interesante esa Cyber War. Para mí estuvo mas interesante la parte de la infraestructura.
Las imagenes fueron tomadas de ZDNet, RBNexploit y Dancho Danchev.
Cosas nuevas: Si volvemos a hacer un tracert a algunas de las webs citadas, del Gobierno de Georgia (mfa.gov.ge por ejemplo), vamos a ver cosas nuevas.
http://logbud.com/visual_trace
http://www.dnsstuff.com/
Cualquier critica/observación/actualización constructiva bienvenida.