SPAM, comercio de miedo

   Hace unos días comenté que pronto veríamos como los SPAMers empezarían a generar correos vendiendo vacunas o medicamente contra la influenza y que pronto ya no sería el viagra el medicamento ideal sino ahora sería el . Un poco después el US-CERT advierte acerca de ataques de phishing usando este nuevo vector de ingeniería social y el SANS publica una lista de sitios que podrían generar malware/phishing/scams dado sus dominios.

  Pues hoy recibí mi primer SPAM relacionado con la influenza. También visitando un sitio de noticias me encontre este anuncio de Google Ads. Los anuncios no son sitios de malware (al menos estos tres no parecen, pero por si las dudas entren bajo su propio riesgo), pero sin duda tienen pensado lucrar con el miedo de la gente.

  Bueno, creo que los humanos somos bastante predecibles.

La gran noticia de hoy de Conficker es que ... No hay noticias

    Por el momento todo luce calmado. Aunque ya prácticamente es 1 de abril en todo el mundo aún no hay noticias del esperado fin del mundo que traería este día como resultado de la expansión del gusano conficker y del nuevo "payload" que hoy se activaría.

   Más que el resultado de una gran campaña de parcheo, creo que el famoso gusano aprovechó una gran campaña mediática donde se exageraron y sobrestimaron sus efectos. Espero no equivocarme y creo que el día seguirá tranquilo. Por si algo pasa, estaré actualizando a través de mi cuenta de twitter y mi tumbr. En caso de infección o pro-acción contra el gusano aquí hay algunos recursos.

La BBC, su botnet y otras noticias de ataques DDoS

  Sin duda la noticia acerca de ataques de DDoS más comentada de la semana fue la relacionada a la BotNet que la BBC contrató. Para no ser tan amarillista como otros medios, en realidad no fue la BBC como cadena de medios, sino el staff de uno de sus programas llamado Click. El objetivo del programa era demostrar lo fácil que es contratar un botnet para actividades delictivas. La botnet se uso para enviar SPAM a una cuenta predefinida y para atacar con un DDoS a un sitio de una empresa de seguridad específicamente puesto para este propósito. Aunque se ha dicho mucho acerca de la ética seguida por el staff de Click, lo cierto es que demostraron lo fácil y barato que es contratar este tipo de servicios.

En otra noticia, José Nazario de Arbor Networks en su presentación en SOURCE Boston comentó acerca de los neuvos "trends" en cyber delitos. Nazario explica que cyber criminals ya no solo venden kits de software para ejecutar actividades ilícitas en computadoras no protegidas, sino que ahora hasta venden servicios para los script-kiddies o criminales que nada más no se les da como usar el software malicioso. El audio de la presentación aquí.

Y el ataque al sitio de Torrents Mininova continúo. Aquí pueden ver algunos trends en el tráfico que los ataques han generado.

DDoS a principios de Marzo

Ante el asombro de algunos, el sitio del Pirate Bay fue atacado por un DDoS a principios de esta semana. Aún no hay noticias de quienes fueron los autores intelectuales. El sitio esta estable por lo pronto.

De acuerdo a un analisis de la firma de anti-virus Sophos, el gusano Confiker podría iniciar un ataque de DDoS hacia algunos sitios, entre ellos Soutwest Airlines. El DoS sería un daño colateral debido a la propagación del gusano. La nota en TechRepublic.

Y el sitio de Torrents Minova ha sido atacado también por un DDoS. De acuerdo a TorrentFreak el ataque ha llegado hasta los 2 Gbps viniendo de redes de bots que parecen estar en Alemania y Argentina.

Administración de Redes

   Hoy estaba escribiendo acerca de algunos conceptos en Administración de Redes y decidí compartirlos aquí. Estos conceptos son Netflow, Simple Network Management Protocol (SNMP) y Remote Network MONitoring (RMON). Netflow es un protocolo definido por Cisco Systems y hoy en día es el estándar de-facto para monitorear flujos de datos en IP. Un flujo es un grupo de paquetes de IP que comparten un huella digital (fingerprint) común, la información en esta huella digitial incluye el siguiente set de atributos:

• Dirección IP fuente
  
• Dirección IP destino
  
• Puerto fuente
  
• Puerto destino
  
• Tipo de protocolo Capa 3
  
• Clase de Servicio (Class of Service)
  
• Interfaz de enrutador o switch. 
  

Para que los paquetes sean considerados parte del mismo flujo deben compartir la misma direcciones de IP fuente y destino, mismo puertos fuente y destino, la mima interfaces y la misma clase de servicio.

En redes TCP/IP, el protocolo SNMP es usado para monitorear y administrar redes. En su definición están incluidos un set de estándares, un protocolo de aplicación, una base de datos de definiciones y un set de objetos. Para saber que información solicitar o escribir, SNMP define el "Management Information Bases (MIB)". El MIB define la estructura de administración de la información del dispositivo. Uno de los MIBs más importantes es el MIB-2, éste define un set estándard de definiciones de objetos a manejar como datos de TCP, uso de interfaz, razones de error y "uptime" del sistema entre otros más. 

RMON (también conocido como RMON1) es un protocolo para monitorear redes de área local (LANs). Define varios grupos para monitorear estadísticas en tiempo real en capa 2 (Layer 2), entre ellas utilización, bytes recibidos/transmitidos, colisiones, Top N-hosts, etc. RMON2 es similar a RMON1 pero analiza estadísticas en capa de aplicación.

 

SPAMers se diversifican

   A veces tengo la costumbre de checar mis folders de SPAM para ver si no se fue algún correo mal etiquetado. En esta ocasión la mayoría de mi SPAM ya no es de viagra, artefactos para mejorar la sexualidad o ni el scam nigeriano. Ahora l gran mayoría son ofertas de empleo, muchas de ellas incluso de trabajos donde haces poco y ganas mucho, de verdad que en tiempos de crisis hasta te dan ganas de creerles.

Y bueno, este es el resultado de la diversificación de los SPAMers para aprovechar los nuevos intereses de la gente, en tiempos de bonanza la compra, ahora en crisis: Ofertas de empleo. Estos son algunos asuntos (en inglés, no se si porque los SPAMers en español aún no reaccionan o porque mi profile tiene más sentido en "inglish"):

• Job you might be interested in
  
• The offer you can not say no to!
  
• Now hiring! Click to find out!
  
• Dare to earn more! The answer inside!
  
• It's not a dream, it's reality √you can get a designer watch for half price.
• Beating the high cost
  
• Awesome discounts here
  

Y bueno, los últimos no son de trabajo pero que tal seguir gastando para compensar nuestro espíritu gastador pero ahora a bajos precios. Como último detalle, si les interesa alguno de los trabajos hay que mandar esta información (por cierto, no se los recomiendo):

If feel qualified, please, attach the following info to start up with:
- Fist Name:
- Last Name:
- Age:
- Sex:
- Country
- State, City, Zip
- Phone number (home and cell)
- Valid email address

Practical Artificial Intelligence and Machine Learning

Esta es la presentacion que di ayer en Ignite UK North. Hable un poco (muy poco, solo 5 minutos) sobre Machine Learning, un poco de teoría, un poco de ejemplos prácticos y algunos recursos interesantes. No detalle mucho pero espero que la presentación sirva un poco para explicar algunas cosas básicas de ML.