viernes, octubre 17, 2008

Cloud Computing ¿Sobre Valorado?

¿Cómo sabes cuando un término tecnológico está sobrevalorado?


Cuando el CEO de Microsoft dice que hay una versión de sistema operativo para éste y saldrá en unos pocos meses. Incluso si después anuncian algo medio tanglible.
Cuando es una tecnología que conocemos desde hace años pero simplemente le cambiamos el nombre.
Cuando no sabes que es o como se come pero todo mundo habla de él.

Y bueno, por muchas cosas más creo que el término de "cloud computing" esta sobrevalorado. Y no solo eso, sino también que no es la panacea que todo mundo (o muchos) creen o dicen que es. Si bien esfuerzos como Google Chrome hacen que este tipo de aplicaciones pueden ser llevadas a las masas aún hay muchas cosas que resolver como:

  • La conexión siempre disponible de los clientes a la nube: En ambientes corporativos representa que tu centro de datos y la red de tu usuario tienen que tener altos niveles de disponibilidad. En ambientes personales, pues solo es cuestión de confiar en nuestros infalibles ISPs y sus SLA.
  • Costo de conexión de los clientes:
  • Propiedad y movilidad de la información de la nube
  • Disponibilidad de la información dentro de la nube
Personalmente creo que "cloud computing" es algo importante para la industria de TI y puede ayudar a bajar costos e incrementar productividad. Sin embargo no va  a ser para todo mundo ni para todas las apliaciones. Así que úsese con cuidado.


viernes, octubre 03, 2008

Dinero sucio en línea

Es indiscutible que el Internet (y aunque en el discovery channel le digan "la Internet", para mi al menos por cacofonía me parece mejor "el") es una fuente de ingreso para muchos y para algunos es una gran fuente de ingresos. Desafortunadamente como en muchos lugares donde se manejan grandes cantidades de dinero hay algunos que intentan enriquecerse de forma inmediata y para ello recurren a prácticas no-legítimas o al menos en algunos casos poco éticas.

Y aunque este tipo de actividad no es nada nuevo y en general no es ninguna noticia en estos últimos días hubo algunas noticias que me gustaría comentar.

Usuarios cansados de ser víctimas de scams se tomaron la justicia por sus manos y publicaron las fotografías y direcciones postales de los supuestos scammers. De acuerdo a Ars Technica los scamers vendían suscripciones de búsquedas de términos específicos (las cuales pueden ser obtenidas gratuitamente). Pero además utilizaban la inforamción de tarjetas de crédito para hacer pequeños cargos sin autorización de los usuarios. Sin poder cancelar la "subscripción" algunos usuarios llegaron al límite y expusieron a los scammers junto con la información de sus novias. Los sitios usados actualmente se encuentran redirigos a páginas genéricas de aterrizado (park domains).

En otra noticia interesante Microsoft ha demandado a varias compañías de "Scareware". Estas compañías "asustan" a los usuarios enviando falsas alertas de seguridad acerca de los sistemas en donde están corriendo. Estás alertas piden a los usuarios bajar y pagar una nueva versión de software de "protección" para actualizaciones de seguridad, por supuesto la actualización no es necesaria. De acuerdo a Alex Eckelberry, presidente de la comapañía de seguridad Clearwater, este problema está en crecimiento y cada vez es más común. Por mi parte creo que Microsoft ha tomado una buena decisión al demandar a estás compañías. Vamos, Windows no es perfecto pero cargarle santitos de más creo es demasiado.

Y ya entrados en fraudes, resulta que los empleados de varias compañías de apuestas y juegos de mesas en línea (como pocker) abusaron de varias vulnerabilidades en los sistemas para poder tomar ventaja en los juegos. Entre las trampas estaba ver las cartas de los contrincantes. Esto fue descubierto por un jugador australiano que detectó irregularidades estadísticas en las ganancias de algunos jugadores. Esto llevó a las compañias de apuestas a investigar y descubrir que sus empleados habían estafado a los jugadores por más de tres años.

Dos europeos han sido acusados en Estados Unidos con cargos por haber realizado ataques de Negación de Servicio. Los supuestos acusados utilizaron los bots que tenían en su botnet para activar una serie ataques de negación de servicio. Los ataques fueron aparentemente contratados por la empresa Orbit Communication para ser realizados contra dos de sus competidores, Rapid Satellite y Weaknees. Los ataques trajeron pérdidas de acuerdo a los abogados de alrededor $200,000 usd.

Para castigar más fuertemente a los ejecutores de este tipo de ataques en en en el Reino Unido se han hecho algunas modificaciones al "Computer Misuse Act (CMA)" entre las cuales se incluyen la posiblidad de extradición de criminales a ataques computacionales, penas más altas y la inclusión de DoS como parte de los crímenes.

Y para terminar las noticias de las semana resulta que nustros amigos de Skype han estado trabajando con el gobierno Chino para desencriptar información de llamadas hechas a China usando Skype. Entre la información expuesta hay direcciones de IP, número de teléfonos de líneas locales, usernames, passwords, etc. El reporte aquí. Esto nos deja pensando que las compañías son capaces de hacer cualquier cosa con tal forma de cumplir con los "requisitos" gubernamentales que los dejen operar libremente. Esto no es solo en China, también sucede en otros países "más" desarrollados pero "bajo leyes" (hint: CALEA).

miércoles, octubre 01, 2008

Mañana se vuelve a acabar el Internet: Un nuevo ataque de negación de servicio

Dos investigadores de seguridad han dado a conocer que cuentan con información sobre un nuevo ataque de negación de servicio que podría traer severas consecuencias al Internet. Esta no sería la primera vez que un descubrimiento de seguridad amenaza la estabilidad de la red y posiblemente como tantas otras no sea la que finalmente acabe con el Internet (si algún día alguna realmente lo hace). 


Entre las vulnerabilidades que han amenzado con acabar con el Internet están los ataques de negación de servicio tipo Synflood (que irónicamente regresan con esta nueva vulnerabilidad), el bug de SNMP, los hacks al IOS de Cisco, la recontra publicitada vulnerabilidad de los DNS y la reciente vulnerabiliad de BGP (de un tema parecido escribí aquí).

Ahora, ¿de qué se trata esta nueva vulnerabilidad? Bueno, pues resulta que una de las estrategias para defenderse de los SynFlood Attacks son las Syn Cookies. Recordemos que los SynFlood attacks se basan en nunca terminar el Three Handshake de TCP lo cual hace que el server atacado se quede con recursos y muchas conexiones a la mitad. Para evitar este ataque las Syn Cookies calculan (mediante un hash que puede ser visto aquí) un el número de secuencia de TCP que se envía en el SYN+ACK para "trackear" la conexión del cliente (el servidor es el que recibe el SYN inicial y envia el SYN+ACK con un número de secuencia "llave" por cada conexión). De esta forma el servidor no tiene que mantener la conexión abierta y ahorra recursos. Si el cliente es real y contesta, mediante el número de secuencia de TCP el servidor puede recrear la conexión. 

Los detalles del ataque aún no están claros, pero de acuerdo a a Robert Lee y Jack Louis (los que descubrieron la vulnerabilidad) es posible acabar con los recursos de los servidores sin afectar los del cliente. Algunas de las teorias que surgen en varias discusiones es que el cliente usa la misma técnica de Syn Cookies para responder al SYN+ACK. Como nunca se crea la conexion el servidor termina con una conexión que nunca será usada y con menos recursos, mientras que el cliente que nunca inicio la conexión puede seguir abriendo conexiones a tasas muy altas, lo cual al final ocasiona un DoS.

Por lo pronto esperaremos a que los vendors de equipo de redes y sistemas operativos encuentren una forma de resolver este problema y los investigadores revelen los detalles del problema en la Conferencia T2.

Update: Fyodor, el autor de NMAP explica un poco más el ataque. Es similar a lo explicado anteriormente con algunas diferencias. Por ejemplo las SYN Cookies no son necesarias. El ataque es como sigue:

1) Filtra con un host-firewall las conexiones de un puerto específico, por ejemplo el 80 de http.
2) Haz una conexión a un servidor en el puerto filtrado. El servidor contestará con un SYN+ACK.
3) Como el puerto está "firewaleado" en tu host nunca contestas el SYN+ACK de la forma normal y nunca creas la conexión.
4) Pero ... si contestas el SYN+ACK con tu ataque, esto hace que ahorres recursos al NO crear la conexión en tu host pero SI crees una conexion en el servidor remoto. De esta forma el servidor comienza a usar recursos. 
5) Puedes repetir esto las veces que quieras hasta que afectes al servidor.