Defcon: Documental

Phreaking

Continuando con los articulos de personas muy cuiriosas, pues aqui dejo otro muy interesante.

"Phreaking"
Es un termino muy poco conocido entre la mayoria de las personas, sin enbargo cuando escuchamos phreaker quizas pensemos en el primo del hacker o el sobrino del cracker y pues de cierto modo tienen una relacion, pero leamos un poco del phreaking.
El phreaking empezó en los inicios de la década de los 60 cuando un tal Mark Bernay descubrió como aprovechar un error de seguridad de Bell. Este error se basaba en la utilización de los mecanismos loop-arround-pairs como via para realizar llamadas gratuitas.

Lo que Bernay descubrió fue que dentro de Bell existían unos números de prueba que servian para que los operarios comprobaran las conexiones. Estos números solían ser dos y consecutivos, y estaban enlazados de tal manera que si se llamaba a uno este conectaba con el otro. Así pues si alguien en EEUU marcaba una serie de estos números de prueba consecutivos podria hablar gratuitamente,
Este descubrimiento fue potenciado sobre todo por los jóvenes de aquel entonces, los cuales solo lo utilizaban con el fin de ahorrase dinero a la hora de hablar con sus amigos. Pero la cosa cambio cuando cierto numero de estos descubrieron que Bell era un Universo sin explorar y al que se le podria sacar mas partido que el de unas simples llamadas gratuitas. Asi pues de los rudimentarios loop-arround-pairs se paso a la utilización de ciertos aparatos electrónicos, los cuales son conocidos ahora como boxes. La primera box que se encontró fue hallada en 1961 en el Washington State College, y era un chisme con una carcasa metálica que estaba conectado al teléfono... automáticamente fue llamado Blue Box.
hoy en dia la tecnologia a cambado, las compañias de telefonos tienen mas tecnologia y seguridad, pero los phrehakers tienen mas acceso a la informasion, actualmente los ojos de los phreakers estan mas puestos en la telefonia celular.

Crackers

Es mucho lo que se rumorea sobre lo que son los crackers, y es aun mas lo que se comenta, pero, ¿de verdad sabemos lo que son?


Empiezo por comentar... estoy casi seguro que todos los que lean esto ni se imaginan lo que es un 'crack', claro aquí en México ni se usa el software pirata (Sarcasmo MODE [on]), bueno, un crack es un pequeño programita que podemos bajar de Internet de forma "gratuita" de algún sitio warez en su generalidad (claro, en la mayoría de los casos a cambio de pertenecer a una fantástica botnet), la gracia de estos programas es que nos permiten en su mayoría utilizar de manera gratuita software licenciado como gûindows, office y casi todos los programas de Microsoft y algunas otras empresas. Bueno, esto es completamente ilegal y al hacerlo estamos violando los derecho de autor y la propiedad intelectual del software (por eso es mejor usar software OPEN SOURCE), de manera general, el crack modifica ciertas partes del código, y dependiendo las técnicas de crackeo utilizadas, es posible que el software no nos pida la serial key, o simplemente se "desbloqueen" esas funciones necesarias para nosotros.

Con ese preámbulo, el cracker es un experto en el uso y modificación de sistemas informáticos, esta rama de la estirpe hacker, se ha caracterizado sobre todo por "romper" (como el propio término en inglés "crack" = "romper") las defensas de los sistemas al mas puro estilo hacker, pero con una gran diferencia, el cracker en la gran mayoría de los casos usa estas habilidades para penetrar en los sistemas y posiblemente dañarlos, destruirlos, o robar información sensible; obviamente con una jugosa retribución económica…

En muchos países hasta hay crackers "mercenarios" esto es, que ponen sus habilidades al servicio del mejor postor. Pero no todo acerca de los cracker es sombrío, ¿que pasa al momento de toparnos con software que ya no cuenta con soporte o que simplemente es software defectuoso?, bueno, pues es aquí donde toman parte los crackers en la modificación de ese código.

DDoS detrás de ataques como el de Twitter

Ataques de negación de servicio distribuido (DDoS, por sus siglas en inglés) ocurren todo el tiempo, pero atraen la atención del mundo cuando ‘tiran’ a sitios importantes o redes sociales populares, como Twitter.

De acuerdo con un reporte de Craig Labovitz, investigador de la firma Arbor Networks, los ataques de este tipo en contra de Blogspot, Facebook, LiveJournal y Twitter perpetrados la semana pasada no son los más poderosos, aunque sí los más vistos.

Por ejemplo, el jueves pasado el experto detectó la actividad de 770 diferentes ataques DDoS en todo el mundo. De hecho, es posible medir la potencia de dichos ataques. Según Labovitz, uno de 30 Gbps es inusualmente potente, ya que el promedio tiene una fuerza de cerca de 1 Gbps.

Apenas hace poco más de un mes sitios Web del Gobierno de Estados Unidos y de Corea del Sur, así como de instituciones bancarias y organizaciones específicas sufrieron ataques DDoS, por lo que ya se prevé que el resto del año no mengüe este tipo de actividad maliciosa.

Lo que tienen en común los ataques DDoS es que es fácil llevarlos a cabo y su forma de operar realmente no ha cambiado mucho en años.

La gran desventaja para las empresas es que construir una botnet para lanzar un ataque DDoS es barato y relativamente sencillo. En cambio, para los negocios tiene un costo alto invertir en la infraestructura que permita defenderse para tener la menor cantidad de estragos en su operación.

Además, el poder de las botnet está alcanzando proporciones gigantescas. Tan solo en los ataques a EU y Corea se calcula que fueron ejecutados por una botnet conformada por mínimo 35,000 computadoras zombie, si no es que la cifra alcanza los 40,000, según los últimos reportes de Secure Networks.

Fuente: Netmedia

Twitter vs. Facebook

El furor de las redes sociales más populares ha encontrado adeptos en ambos bandos. Cada uno con sus ventajas y desventajas, ¿tú cuál eliges?

Web 2.0, redes sociales, blogs, posts, flog, son palabras que se han vuelto parte de nuestro vocabulario cotidiano. Quienes trabajamos en relación con los medios de comunicación, las publicaciones online y para quienes el lenguaje técnico está presente en sus profesiones, no nos resulta extraño escuchar estos y otros términos.

Pero cuando escuchamos a una anciana, un niño, un obrero y una estrella de Hollywood, todos hablando de su perfil en Facebook, o a un artista de fama global decir que lanzará su álbum primero en Twitter, es porque algo grande está sucediendo. Ese es el espacio que han ganado las denominadas redes sociales en el complejo y competitivo mundo del ciberespacio.

Interactividad, diversión, mensajería, conectividad, son algunas de las promesas de los dos principales gigantes sociales del momento: Twitter y Facebook. Ambas propuestas buscan capturar la atención de los usuarios de todas las edades, y ganan adeptos principalmente entre los adolescentes y jóvenes.

¿Cuál es el encanto de estas redes? Si las dos disputan el mismo mercado, ¿quién ganará esta batalla?

Facebook

Su creador es Mark Zuckerberg, estudiante de la Universidad de Harvard y la compañía tiene sus oficinas centrales en Palo Alto, California. Entre sus ventajas, los usuarios citan la posibilidad de mantenerse en contacto con amigos de manera muy simple, su gratuidad, la posibilidad de desarrollar negocios dentro de la plataforma, la increíble cantidad de 250 millones de usuarios que ha llevado a Facebook del puesto 70 al 4to. en muy poco tiempo en preferencias de los usuarios.

Las críticas hacia Facebook, buscan fundamento en una supuesta falta de privacidad y la vulnerabilidad de los niños y jóvenes frente a esa situación. También es cuestionada la cesión de autoría que los usuarios deben aceptar al momento del registro.

Twitter

Jack Dorsey, es el dueño de esta aplicación web y fundador de la empresa dentro de Obvious,LLC en 2006. Se comporta como una red social, pero es el líder del segmento de microbloggin, aceptando textos de hasta 140 caracteres de publicación inmediata vía SMS, la propia página de Twitter, o webs asociadas.

Se le reconoce su especialización en el seguimiento de eventos en directo, la retransmisión de conferencias, comentarios sobre publicaciones o cine, entre otros. Y como punto más débil se le cuestiona el pago que los usuarios deben realizar para mantener actualizadas sus cuentas.

Hace algunos días el Informe Robson afirmó: " La mayoría se ha apuntado a Twitter, pero lo abandonan cuando se dan cuenta de que no lo actualizarán. Prefieren gastar su saldo enviando mensajes a sus amigos” .Estas declaraciones sin duda afectaron a la empresa y al valor de sus acciones, justo en una semana en la que se corría el rumor de su venta.

Ambas redes buscan consolidar el mercado conquistado hasta el momento, pero muchos aseguran que el volumen de negocios que puede generarse a través de ellas no es tan grande como podría pensarse y que deberán agudizar su creatividad para mantener la atención lograda hasta el momento.

Mejoras en las interfases, servicios adicionales, gratuidad, filtros de identidad que impidan la clonación de perfiles, son algunos de los reclamos que los millones de usuarios en todo el mundo tienen para que Facebook y Twitter (o Twitter y Facebook) escuchen con atención y pongan manos a la obra.

Publicado el 07/08/2009 11:00, por gustavo maceda

Mantente a salvo de las direcciones IP amenazantes

El Internet Storm Center del portal SANS.org guarda una relación de direcciones IP a modo de TOP que clasifica aquellas que están suponiendo una amenaza para nuestras máquinas. En dicha tabla, que se puede encontrar en esta dirección, se incluye el número de ataques reportados, así como las fechas de cuando se reportó por primera y última vez.

En este portal de seguridad también podemos encontrar otros tops y clasificaciones actualizadas diariamente en base a diversos factores (puertos con mayor actividad, países orígen con más ataques reportados...). Vienen bien, sobretodo para saber si "algo se avecina"...

Volviendo a la primera lista comentada, veo en commandlinefu.com, la página de tips para línea de comandos por excelencia y que debería estar en vuestros favoritos, un comando que gracias a unas cucharadas de curl, un poco de grep, una dósis de awk y otra de perl, es capaz de obtener esas direcciones IP que están suponiendo una amenaza para muchos sistemas:

curl -s http://isc.sans.org/ipsascii.html|grep -v '#'|awk '{print $1}'|perl -pi -e 's/(?:^0{1,})|(?:(?<=\.)0{1,}(?!\.))//g'|egrep -v '^192\.|^10\.|^172\.|^224\.'

Ya con esta lista, lo más normal sería por ejemplo aprovecharse de esta valiosa información y meterla en nuestra output chain del iptables. El comando completo sería el siguiente:

curl -s http://isc.sans.org/ipsascii.html|grep -v '#'|awk '{print $1}'|perl -pi -e 's/(?:^0{1,})|(?:(?<=\.)0{1,}(?!\.))//g'|egrep -v '^192\.|^10\.|^172\.|^224\.'|xargs -n1 sudo iptables -A OUTPUT -j DROP -d > 2&>1

La versión inicial tomaba como fuente la primera lista en html, pero en los comentarios se habla de la versión ASCII más fácilmente parseable que se encuentra en ipascii.html. Este script directamente elimina los ceros incluídos en las direcciones IP para el padding y demás, por lo que no hay que tener más consideraciones en cuenta.

He dejado primero el comando que saca la lista de direcciones IP para que hagáis lo que queráis con ella, ¡apartir de ahí no me responsabilizo de lo que commandlineeis!

Y vosotros, ¿tenéis algún comando que queráis compartir con todos nosotros?

[+] Internet Storm Center SANS

ACTUALIZACIÓN : Modificado el script (egrep añadido al final) para evitar que en la lista se cuelen direcciones IP que puedan utilizarse en direccionamiento interno (la primera dirección IP que está en el TOP es una 10.X.X.X...) Desde SecurityByDefault recomendamos la monitorización de este sistema por lo menos los primeros días en caso de que se vaya a utilizar para evitar posibles fallos en esta automatización.

Las Caras Del Malware

Con todos los términos diferentes, definiciones y terminología, tratar de comprender que es cuando se trata de malware de computadoras puede ser difícil. Para empezar, consideremos algunos términos clave que serán usados a lo largo del artículo.

• Malware: Es software malicioso (malicious software) que es desarrollado específicamente para infiltrarse o provocar daño a sistemas de computación sin conocimiento de sus propietarios o sin su permiso.
• Malcode: Es código de programación malicioso (malicious programming code) que es introducido durante la estapa de desarrollo de una aplicación de software y al cual nos referimos como la carga útil del malware.
• Anti-malware: Incluye a cualquier programa que combate al malware, ya sea protecciónen tiempo real o detección y eliminacion de malware existente. Las aplicaciones anti-virus, anti-spyware y los escáner de malware son ejemplos de anti-malware.

Algo importante para recordar respecto del malware es que tal como su contraparte biológica su objetivo numero uno es la reproducción. Causar daño a sistemas de computación, destruir datos, o robar información sensible son objetivos secundarios.

Teniendo en mente las definiciones anteriores, echemos un vistazo a 10 tipos diferentes de malware.

1: El infame virus de computadora

Un virus de computadora es malware que es capaz de infectar una computadora pero que debe depender de algun otro medio para propagarse. Un verdadero virus solo puede propagarse de la computadora infectada a una computadora no infectada adjuntando alguna forma de código ejecutable que sea pasado entre las dos computadoras. Por ejemplo, un virus podría estar oculto en un archivo PDF adjunto en un correo electrónico.

La mayoría de los virus consisten de las siguientes tres partes:

• Replicador: Cuando el programa anfitrión es activado, tambien el virus lo hace y la primer prioridad del código viral es propagarse.
• Ocultador: El virus de computadora puede usar uno o varios métodos para ocultarse del anti-malware.
• Carga útil: La carga útil de malcode de un virus puede ser determinada a hacer cualquier cosa, desde desabilitar funciones del equipo hasta destruir información.

Algunos ejemplos de virus de computadora actuales en circulación son W32.Sens.A, W32.Sality.AM, y W32.Dizan.F. La mayoría del software anti-virus de calidad eliminará esos virus una vez que la aplicación tenga el archivo de firmas parael virus.

2: El siempre popular gusano de computadora

Los gusanos son más sofisticados que los virus, son capaces de replicarse sin la intervención del usuario. Si el malware usa redes (Internet) para propagarse es un gusano más que un virus. Los principales componentes de un gusano son:

• Herramienta de penetración: El malcode que aprovecha las vulnerabilidades de la computadora de la víctima para conseguir acceso.
• Instalador: La herramienta de penetración consigue que el gusano pase el mecanismo inicial de defensa. En ese punto el instalador se hace cargo y transfiere el cuerpo principal del malcode a la víctima.
• Herramienta de descubrimiento: Una vez alojado, el gusaon usa distintos métodos para descubrir otras computadoras en la red, incluyendo direcciones de correo electrónico, lista de Anfitriones, y consultas DNS.
• Escaner: El gusano una un escaner para determinar si alguno de los nuevos objetivos hallados son vulnerables a las explotaciones disponibles por su herramienta de penetración.
• Carga útil: El malcode que reside en cada computadora de la víctima. Podría ser cualquier cosas desde una aplicación de acceso remoto hasta un lector de teclado para capturar los nombres de usuario y contraseñas.

Esta categoría de malware dedafortunadamente es la más prolífica, empezando con el gusano Morris en 1988 y continuando hoy con el gusano Conficker. La mayoría de los gusanos se pueden remover con escaneres de malware como MBAM o GMER.

3: La puerta trasera desconocida

Las puertas traseras son similares a los programas de acceso remoto que muchos de nosotros usamos todo el tiempo. Son considerados malware cuando son instalados sin permiso, que es exactamente lo que un atacante desea hacer, utilizando los siguientes métodos:

One installation method used is to exploit vulnerabilities on the target computer.

• Un método de instlación es explotar las vulnerabilidades en la computadora objetivo.
• Otro enfoque es engañar al usuario a instalar la puerta trasera mediante ingeniería social.

Una vez instalado, las puertas traseras permiten a los atacantes completarel acceso remoto de la computadora bajo ataque. SubSeven, NetBus, Deep Throat, Back Orifice, y Bionet son puertas traseras que ganaron notoriedad. Los escaneres de malware como MBAM y GMER son a menudo exitosos eliminando puertas traseras.

4: El sigiloso caballo de troya

Es difícil conseguir una mejor definición de malware caballo de troya que la que Ed Skoudis y Lenny Zelter hicieron en su libro Malware: Combatiendo el Código Malicioso:

“Un caballo de troya es un programa que parece tener un propósito útil o benigno, pero que en realidad enmascara alguna oculta funcionalidad maliciosa.”

El maware troyano encubre la carga destructiva durante la instalación y la ejecución del programa, impidiendo al anti-malware que reconozca el malcode. Algunas de las técnicas de ocultamiento incluyen:

• Renombrar el malware para que se parezca a archivos que normalmente están presentes.
• Corromper el anti-malware instalado para que no responda cuando se localice malware.
• Código polimórfico es usado para alterar la firma del malware más rapidamente que los que el software defensivo pueda obtener nuevos archivos de firmas.

Vundo es un buen ejemplo; crea ventanas emergentes de publicidad de falsos programas anti-spyware, degrada el rendimiento del sistema e intefiere con la navegación Web. Tipicamente, se requiere un escáner de malware instalado en un LiveCD para detectarlo y eliminarlo.

5: Adware/Spyware, más que una molestia

El adware es un software que mensajes emergentes de publicidad sin permiso del usuario. Tipicamente la forma en que el adware queda instalado es por formar parte integrante de un programa gratuito. Más allpa de resultar muy irritante, el adware puede disminuir notoriamente el rendimiento del equipo.

El spyware es un tipo de programa que recolecta información de su computadora sin su conocimiento. Los programas gratuitos son muy conocidos por tener spyware cargado, de modo que leer el acuerdo de uso es muy importante. El escándalo de protección de copia de CD de Sony BMG es probablemente el ejemplo más notorio de spyware.

La mayoria de los programas anti-spyware de calidad encontrarán rápidamente adware/spyware no deseado y lo quitarán de la computadora. Tampoco es mala idea eliminar regularmente los archivos temporales, los cookies, y el historial de navegación del navegador como una forma de mantenimiento preventivo.

Guiso de Malware

Hasta ahora, todo el malware que he discutido tiene características distintivas, haciendo a cada tipo sencillo de definir. Desafortunadamente, no es el caso con las próximas categorias. Los desarrolladores de malware se las han arreglado para combinar las mejores características de diferentes tipos de malware en un intento por mejorar su tasa de éxito.

Los rootkits son un ejemplo de eso, integran un troyano y una puerta trasera en un solo paquete. Cuando son usados de forma combinada, un atacante consigue acceso a una computadora de forma remota y lo hace sin levantar sospechas. Los rootkits son una de las más importantes amenazas combinadas, de modo que demos una mirada en detalle a estos.

Rootkits: Únicos y diferentes

Los rootkits son una clase en si mismos, eligiendo modificar el sistema operativo existente en lugar de agregar software a nivel aplicación como la mayoría del malware. Esto es importante, porque hace que la detección por parte del anti-malware sea mucho más difícil.

Hay varias tipos distintos de rootkits, pero tres componen la vasta mayoría de los que se ven. Estos son los de modo-usuario, los de modo-kernel, y los rootkits de firmware. Los de modo-usuario y los de modo-kernel pueden requerir alguna explicación:

• Modo usuario: El código tiene acceso restringido a los recursos de software y de hardware de la computadora. La mayoría del código ejecutandose en su computadora se ejecutará en modo usuario. Debido al acceso restringido, las caidas en modo usuarios son recuperables.
  
• Modo Kernel: El código tiene acceso irrestricto a todos los recursos de software y de hardware en la computadora. El modo kernel generalmente se reserva para las funciones más confiables del sistema operativo. Las caídas en modo kernel resulta irrecuperables.
  

6: Rootkits modo-usuario

Ahora se comprende que los rootkits de modo-usuario corren en la computadora con los mismo privilegios que son reservados para los adminisatradores.. Esto implica que:

• Los rootkits de modo usuario pueden alterar procesos, archivos, drivers de sistema, puertos de red e incluso servicios del sistema.
• Los rootkits de modo usuario permanecen instalados copiando lmás os archivos necesarios en el disco de la compuadora, y lanzándose automaticamente con cada inicio del sistema.
  

Hacker Defender es un ejemplo de un rootkit de modo-usuario y afortunadamente la bien conocida aplicación Rootkit Revealer de Mark Russinovich es capaz de detectarlo así como a la mayoría de los rootkits de modo-usuario.

7: Rootkits modo-kernel

Debido a que los rootkits que funcionan en modo-usuario pueden ser hallados y eliminados, los diseñadores de los rootkits cambiaron de idea y desarrollaron los rootkits modo-kernel:

• El modo-kernel implica que el rootkit es instalado al mismo nivel que esl sistema operativo y el software de detección de rootkits.

• Esto permite al rootkit manipular el sistema operativo hasta un punto en el cual el sistema operativo deja de ser confiable.

La inestabilidad es es la principal ruina de los rootkits de modo-kernel, típicamente llevando a caidas inexplicables o pantallas azules. En este punto, podría ser una buena idea probar GMER. Es uno de los pocas herramientas confiables para eliminar que tiene alguna oportunidad contra los rootkits modo-kernel tales como Rustock.

8: Rootkits de firmware

Los rootkits de firmware son el paso siguiente en sofisticación, con desarrolladores de rootkits buscando como almacenar el malcode del rootkit en el firmware. El firmware alterado puede ser cualquiera desde código de microprocesador hasta el firmware de una placa de expansión PCI. Esto significa que:

• Cuando se apaga la computadora el rootkit graba el malcode actual al firmware especificado.
• Al reiniciar la computadora el rootkit se reinstala por si mismo.

Incluso si un programa de limpieza encuentra y elimina el rootkit de firmware, la próxima vez que se inicia la computadora, el rootkit de firmware está funcionando neuvamente.

9: Código malicioso móvil

Con relativo anonimato, el código malicioso móvil rápidamente se está volviendo el la forma más efectiva de conseguir que el malware se instale en una computadora. Primero, definamos el código móvil como un software que es:

• Obtenido de servidores remotos.
• Transferido por la red..
• Descargado y ejecutado en un sistema local.

Ejemplos de código móvil incluyen JavaScript, VBScript, controles ActiveX controls, y animaciones Flash. La idea primaria tras el código móvil es el contenido activo, el cual es fácil de reconocer. Es el contenido de las páginas dinámicas que hacen de la navegación Web una experiencia interactiva.

¿Qué hace malicioso al código móvil? Instalarlo sin permiso del propietario o engañar al usuario sobre lo que hace el software. Para peor, usualmente es el primer paso de un ataque combinado, similar a la herramienta de penetración usada por el malware troyano. Después de lo cual el atacante puede instalar malware adicional.

La mejor forma de ombatir el código móvil malicioso es asegurarse que el sistema operativo y todo el software adicional esté actualizado.

10: Amenazas combinadas

El malware es considerado una amenaza combinada cuando busca maximizar el daño y propagarse eficientemente mediante la combinación de varias piezas de malcode de un solo popósito. Dicho esto, las amenazas combinadas merecen una mención especial en tanto los expertos de seguridad admiten de mala gana que son los mejores en lo que hacen. Una amenaza combinada típica incluye las siguientes capacidades:

• Explotar varias vulnerabilidades conocidas o incluso crear vulnerabillidades.
• Incorporar métodos alternativos de replicación.
• Automatizar la ejecución de código, lo cual elimina la interacción del usuario.

El malware de amenaza combinada por ejemplo puede enviar un correo electrónico HTML conteniendo un caballo de troya incrustado junto con un adjunto PDF que contiene otro troyano diferente. Algunas de las más famosos amenazas combinadas son Nimda, CodeRed, y Bugbear. Eliminar una amenaza combinada de una computadora puede requerir varias piezas diferentes de anti-malware asi como también el uso de escáneres de malware instaados en un LiveCD.

Consideraciones finales

Malware: ¿es posible incluso reducir el efectodañino que causa? Aquí hay algunos pensamientos finales sobre el tema:

• El malware no se va a irse en el corto plazo. Especialmente cuando se vuelve evidente que se puede hacer dinero, mucho dinero con su uso.
• Debido a que todas las aplicaciones anti-malware son reactivas, están destinadas a a fallar.
  
• Los desarrolladores que crean software de sistema operativo y de aplicación deben tener una tolerancia cero hacia las vulnerabilididades.
• Todo aquel que use computadora necesita tomar más propiedad en aprender como reaccionar al siempre cambiante entorno del malware.
• No es posible enfatizarlo lo suficiente, por favor asegúrese de mantener actualizado el sistema operativo y las aplicaciones.

La información de esta nota tambien está para descargar como una presentación de Power Point que puede usar para capacitar a su personal de TI y a los usuarios. Descargue “10 Faces of Computer Malware” del directorio de TechRepublic.

Autor: Michael Kassner
Fuente: IT Security - TechRepublic