jueves, mayo 31, 2007

Análisis de Malware

Bojan Zdrnja escribe un post en el sitio del SANS acerca de como el malware actual no utiliza mecanismos sofisticados para ocultarse en la máquina host. Además en el post describe un procedimiento para analizar malware no muy complejo.

viernes, mayo 25, 2007

Patentes de Microsoft

Si aún no se han cansado del asunto donde Microsoft declara que el Open Source viola 235 de sus patentes aquí hay un par de podcasts que hablan un poco más del asunto. Están un poco largos pero vale la pena escucharlos.

Security Now Episodio 93

This Week on IT (TWIT) Episodio 98

jueves, mayo 24, 2007

Gadgets Voladores

Leo en el blog de Bruce Schneier y la nota original de la BBC acerca de un "Spy Drone". El aparato es un mini helicoptero de 1 m de diámetro con una cámara de CCTV y controlado remotamente. El operador tiene unos gogles que le permiten ver lo que la cámara a bordo del aparato esta filmando (Wooow!!). El aparato aparentemente es usado en la milicia del Reino Unido y ahora hara su aparicón en la policia para perseguir "anti-social behaviour and public disorder" o sea, vandalismo.

Hace un par de meses estaba volando un papalote con mi hija y se me ocurrio ponerle una cámara para ver "como se vería" desde las alturas. Aún no consigo una cámara lo suficientemente ligera y barata para ponersela. Seguro como yo debe de haber muchos que quieren tener la sensación de manejar un avión o volar de alguna forma (sin los riesgos que esto implica). Asi que pronostico que en unos años veremos "juguetitos" como estos accesibles para el público en general.

También sería interesante si estos aparatitos aprendieran como volar. Igual cuando tenga tiempo sera uno de mis proyectos de "machine learning".

Redes P2P usadas para DDoS

Un par de notas acerca de redes P2P (usando DC++) que han sido comprometidas para crear botnets. El problema se debe a una vulnerabilidad en el software de P2P que permite que hackers puedan inyectar codigo malicioso en el host el cual puede ser usado para lanzar ataques de DDoS.

Netcraft
Net-security

miércoles, mayo 23, 2007

Regresa Negación de Servicios Distribuida (DDoS)

Si, los ataques de Negación de Servicio Distribuida (DDoS) no son cosa del pasado como mencionó Yazan Gable de Symantec en el blog de la empresa. Como muestra un botón (extraido de un post previo):

Finnish Website prey of DoS
DDoS/DoS to myBulgaria.info
Computer Terrorism For Sale

Y eso no es todo. Ayer el website del Daily Telegraph de Inglaterra fue "noqueado" por un ataque de DDoS (la nota). Lo más crítico en mi opinión fue el Ciber Ataque que aparentemente realizó Rusia en contra de Estonia hace unos días usando un DDoS en contra de la infraestructura de red de Estonia. Claro, esto aún no esta comprobado pero no sería la primera vez que hackers atacan la infraestructura de un país cuando existen problemas políticas (China v.s Taiwan). Esto me recuerda a los comentarios de la Profesora Dorothy Denning en su libro Information Warfare and Security. (Prof. Denning fue de las primeras personas en investigar Sistemas de Detección de Intrusos, su paper).

Mi opinión es que los DDoS seguirán allí por algún rato más independientemente a lo que las companías de seguridad digan. Mientras exista la motivación, seguirá el problema.

Herramientas de Captura de Paquetes

Jim Clausing en el sitio de ISC del SANS publica una lista de herramientas para captura, análisis, generación, modificación y re-inyección de paquetes (la nota no menciona análisis pero algunas de las herramientas lo permiten aunque sea en una forma no muy gráfica).

Me llama la atención que no estén en la lista herramientas como tcpreplay y vomit (para Voice over IP). Para información sobre más herramientas de seguridad una buena lista es secure.org:

Y para usar distribuciones de linux especificas para seguridad yo recomendaría Backtrack (basada en slackware) y S-T-D (basada en Kanoppix).

domingo, mayo 20, 2007

Fall de NTT fue ... enrutadores Cisco

Aparentemente el corte de servicio de hace unos días de la red de usuarios de Japón de NTT fue ocasionada por la falla de entre 2,000 y 4,000 enrutadores Cisco de acuerdo a la nota de NetworlWorld. La nota de Slashdot también menciona que la falla se debió a un problema en las tablas de ruteo de los equipos. NTT aún está preparando el reporte oficial, pero independientemente esto no lucirá bien en el profile de Cisco. Dudo que pongan la noticia en su sitio. La falla afectó a varios millones de usuarios.

miércoles, mayo 16, 2007

New Media

He estado siguiendo como ha evolucionado la distribución de medios usando Internet, especificamente la Television. Posiblemente escribiré algo después de que tenga más tiempo. Por lo pronto esta noticia me hizo mucha gracia, aunque no quisiera estar en sus zapatos. Tener alta tecnología, usarla y después que se la quiten ... No se si yo soportaría perder la TV de HD, la macbook, el apppleTV y el media center después de usarlos una semana como en este reportaje. En fin, como diria Andy Warhol, sus 5 minutos de fama.

La nota

¿Son realmente DDoS attacks menos populares?

De acuerdo a Yazan Gable de Symantec el número de Distributed Denial of Service Attacks (DDoS)se ha reducido en el último año de acuerdo a los incidentes manejados por la compañía. Esto lo publica en el blog corporativo de Symantec. De acuerdo a Gable los hackers han decido moverse de los antiguos métodos de extorsión a un modelo mejor pagado y menos riesgoso como lo es el SPAM.

La razón es que al usar sus botnets para ejecutar DDoS los hackers exponen sus recursos y corren el riesgo de perder un porcentaje de su ejército. En cambio, mediante el rely de SPAM el riesgo es menor. Si bien es cierto que la extorsión usando DDoS es mucho más riesgosa que enviar SPAM, aún me queda la duda de las verdaderas intenciones de Symantec al publicar la nota. Symantec se encuentra en un dificil mercado de seguridad donde IBM recientemente adquirió ISS y Cisco hizo lo mismo con Ironport. Esta segunda representa un riesgo importante para Symantec en el mercado de anti-spammers, donde un exitoso engine como Ironport es adquirido por un gigante como Cisco.

He seguido la nota y al parecer hay mucho "revuelo" y por todos lados aparece notas como "DDoS don't pay off", "DDoS extorsion Fading", etc. Sin embargo todas usan la misma nota de Symantec. Solo encontré una nota en la BBC donde Paul Sop, Chief Technology Officer en Prolexic que contrariamente a lo expuesto por Symantec su compañía ha registrado no un decremento, sino un incremento en el número de ataques de negación de servicio. Posiblemente en el futuro otras companías de seguridad expongan sus opiniones del hecho.

Es imposible saber quien tiene razón, pero lo que es cierto es que no podemos dejar de pensar en los DDoS attacks como un riesgo importante a la infraestructura de Internet solo porque una compañía se seguridad indique que el ataque ha dejado de ser popular.


Sitios de Interés:
Distributed Denial of Service (DDoS) Attacks/tools

Postnote:
He seguido el tema, aquí hay algunos ataques recientes que indican que posiblemente el problema persiste:

Finnish Website prey of DoS

DDoS/DoS to myBulgaria.info
Computer Terrorism For Sale