Noticias y recursos de DoS/DDoS

Aprovechando el "hype" que han tomado las noticias sobre los ataques de negación de servicio a Twitter, Facebook y Livejournal decidí cambiar un poco el template de mi blog de investigación para agregar algunos recursos. El post con los detalles aquí.

Librerías "Machine Learning"

He estado haciendo algunos experimentos usando "machine learning" en varios proyectos y me gustaría comentar un poco sobre las librerías que he estado usando y de las que he leído un poco (aunque no las haya usado). Por el momento todas las que he usando están escritas en Python pero también comentaré algunas en Java y en C++.

Una muy sencilla de usar es FANN (Fast Artificial Neural Network), también tiene ports a Python y a otros lenguajes (PHP, Java, Perl, etc. Aunque la versión de Python no me funcionó por alguna razón).

Para Support Vector Machines usé LIBSVM (A Library for Support Vector Machines). En el website incluso pueden encontrar una serie de recomendaciones para usar SVMs. Otras librerías que también soportan SVM son PyML y MLPy (pero por alguna razón la compilación no funcionó en mi máquina y use LIBSVM).

Una utilería que se ve muy interesante para implementar un Naive Bayes Classifier es Orange . Aún no la prueba pero se ve bien, además que tiene buena documentación y links a varios datasets.

Si están interesados en Reinforcement Learning, Tiles es una librearía en Python (también en C++ y Lisp) que permite "transformar" las entradas a una función de valor representada por un vector de "tiles". En general, la representación en tiles dará una mayor resolución que simplemente discretizar a estados.

Si quieren un "decision tree" simple pueden usar éste que esta incluido y explicado en el libro. Está explicado en el libro de "Collective Intelligence". Si bien recuerdo, el algoritmo utilizado esta basado en ID3.

Y finalmente, esta mahout. Este proyecto de la Fundación Apache por lo pronto esta fuera de mis posibiliades de prueba, además de que no tengo la infraestructura ni la necesidad de usarlo. Esta basado en Hadoop y en los conceptos de mapreduce. Muy interesante.

P.D. Si quieren más recursos pueden visitar mis bookmarks en delicious de machine learning.

SPAM, comercio de miedo

   Hace unos días comenté que pronto veríamos como los SPAMers empezarían a generar correos vendiendo vacunas o medicamente contra la influenza y que pronto ya no sería el viagra el medicamento ideal sino ahora sería el . Un poco después el US-CERT advierte acerca de ataques de phishing usando este nuevo vector de ingeniería social y el SANS publica una lista de sitios que podrían generar malware/phishing/scams dado sus dominios.

  Pues hoy recibí mi primer SPAM relacionado con la influenza. También visitando un sitio de noticias me encontre este anuncio de Google Ads. Los anuncios no son sitios de malware (al menos estos tres no parecen, pero por si las dudas entren bajo su propio riesgo), pero sin duda tienen pensado lucrar con el miedo de la gente.

  Bueno, creo que los humanos somos bastante predecibles.

La gran noticia de hoy de Conficker es que ... No hay noticias

    Por el momento todo luce calmado. Aunque ya prácticamente es 1 de abril en todo el mundo aún no hay noticias del esperado fin del mundo que traería este día como resultado de la expansión del gusano conficker y del nuevo "payload" que hoy se activaría.

   Más que el resultado de una gran campaña de parcheo, creo que el famoso gusano aprovechó una gran campaña mediática donde se exageraron y sobrestimaron sus efectos. Espero no equivocarme y creo que el día seguirá tranquilo. Por si algo pasa, estaré actualizando a través de mi cuenta de twitter y mi tumbr. En caso de infección o pro-acción contra el gusano aquí hay algunos recursos.

La BBC, su botnet y otras noticias de ataques DDoS

  Sin duda la noticia acerca de ataques de DDoS más comentada de la semana fue la relacionada a la BotNet que la BBC contrató. Para no ser tan amarillista como otros medios, en realidad no fue la BBC como cadena de medios, sino el staff de uno de sus programas llamado Click. El objetivo del programa era demostrar lo fácil que es contratar un botnet para actividades delictivas. La botnet se uso para enviar SPAM a una cuenta predefinida y para atacar con un DDoS a un sitio de una empresa de seguridad específicamente puesto para este propósito. Aunque se ha dicho mucho acerca de la ética seguida por el staff de Click, lo cierto es que demostraron lo fácil y barato que es contratar este tipo de servicios.

En otra noticia, José Nazario de Arbor Networks en su presentación en SOURCE Boston comentó acerca de los neuvos "trends" en cyber delitos. Nazario explica que cyber criminals ya no solo venden kits de software para ejecutar actividades ilícitas en computadoras no protegidas, sino que ahora hasta venden servicios para los script-kiddies o criminales que nada más no se les da como usar el software malicioso. El audio de la presentación aquí.

Y el ataque al sitio de Torrents Mininova continúo. Aquí pueden ver algunos trends en el tráfico que los ataques han generado.

DDoS a principios de Marzo

Ante el asombro de algunos, el sitio del Pirate Bay fue atacado por un DDoS a principios de esta semana. Aún no hay noticias de quienes fueron los autores intelectuales. El sitio esta estable por lo pronto.

De acuerdo a un analisis de la firma de anti-virus Sophos, el gusano Confiker podría iniciar un ataque de DDoS hacia algunos sitios, entre ellos Soutwest Airlines. El DoS sería un daño colateral debido a la propagación del gusano. La nota en TechRepublic.

Y el sitio de Torrents Minova ha sido atacado también por un DDoS. De acuerdo a TorrentFreak el ataque ha llegado hasta los 2 Gbps viniendo de redes de bots que parecen estar en Alemania y Argentina.

Administración de Redes

   Hoy estaba escribiendo acerca de algunos conceptos en Administración de Redes y decidí compartirlos aquí. Estos conceptos son Netflow, Simple Network Management Protocol (SNMP) y Remote Network MONitoring (RMON). Netflow es un protocolo definido por Cisco Systems y hoy en día es el estándar de-facto para monitorear flujos de datos en IP. Un flujo es un grupo de paquetes de IP que comparten un huella digital (fingerprint) común, la información en esta huella digitial incluye el siguiente set de atributos:

• Dirección IP fuente
  
• Dirección IP destino
  
• Puerto fuente
  
• Puerto destino
  
• Tipo de protocolo Capa 3
  
• Clase de Servicio (Class of Service)
  
• Interfaz de enrutador o switch. 
  

Para que los paquetes sean considerados parte del mismo flujo deben compartir la misma direcciones de IP fuente y destino, mismo puertos fuente y destino, la mima interfaces y la misma clase de servicio.

En redes TCP/IP, el protocolo SNMP es usado para monitorear y administrar redes. En su definición están incluidos un set de estándares, un protocolo de aplicación, una base de datos de definiciones y un set de objetos. Para saber que información solicitar o escribir, SNMP define el "Management Information Bases (MIB)". El MIB define la estructura de administración de la información del dispositivo. Uno de los MIBs más importantes es el MIB-2, éste define un set estándard de definiciones de objetos a manejar como datos de TCP, uso de interfaz, razones de error y "uptime" del sistema entre otros más. 

RMON (también conocido como RMON1) es un protocolo para monitorear redes de área local (LANs). Define varios grupos para monitorear estadísticas en tiempo real en capa 2 (Layer 2), entre ellas utilización, bytes recibidos/transmitidos, colisiones, Top N-hosts, etc. RMON2 es similar a RMON1 pero analiza estadísticas en capa de aplicación.