Las principales compañías informáticas del mundo, como Microsoft, Sun Microsystems y Cisco, han trabajado en la corrección de un importante fallo de seguridad que afecta a Internet en todo el mundo, y distribuyen un parche para corregirlo. Se trata de un error en el sistema de nombres de dominio (DNS, por sus siglas en inglés) descubierto hace ya seis meses por el experto en seguridad `online` Dan Kaminski, de IOActive. El sistema DNS es aquel que permite `traducir` los nombres de dominios de Internet en un sistema numérico (`193.110.128.200`), similar a los números de teléfono.
 
El error descubierto podría haber permitido a los delincuentes informáticos redirigir cualquier dirección de Internet a otros sitios falsos, incluso si la víctima teclea de manera correcta dicha dirección en el navegador.
 
Continua leyendo »

En el día de la fecha nuestro Laboratorio se ha encontrado con una gran cantidad de sitios que simulan ser sitios pornográfico, pero que en realidad apuntan a supuestos codecs dañinos.
 
Este caso es sumamente preocupante porque pone de manifiesto una nueva tendencia actual como estas campañas de propagación masivas: se crean cientos de sitios con nombres provocativos y con contenido gratuito. Algunos ejemplos de sitios pueden ser:

ba[eliminado]-adult
bus[eliminado]-adult
ce[eliminado]-adult
eb[eliminado]-adult-video
fat-[eliminado]-xxx
pornstar-[eliminado]-xxx

Al ingresar a estos sitios se muestra contenido adulto gratuito (videos e imágenes):

Si el usuario intenta obtenerlos, se descarga un archivo ejecutable que ESET NOD32 detecta como variante de Zlob:
 
Como venimos previniendo desde hace tiempo, hay que ser sumamente cuidadoso al navegar por sitios de dudosa reputación.

Asi los presuntos atacantes de la página web de izquierda unida atacada justo antes de las selecciones han sido detenidos por la brigada de delitos telematicos Española.

Los cinco jóvenes, dos de ellos de 16 años, pertenecían a uno de los grupos de ‘hackers’ más activos de la Red, ‘D.O.M. Team’, que ostentaba el quinto puesto en el ránking mundial de ataques informáticos según ‘Zone-H’, una página web que mantiene una base de datos de sabotajes a sitios de Internet.

Habían atacado la web de Jazztel, la Compañía Nacional de Teléfonos de Venezuela, un dominio de la NASA y otros sitios gubernamentales de EEUU, Latinoamérica y Asia. En su última acción, el pasado 30 de abril, accedieron a la página de Esquerra Unida de Buñol, y dos días antes protagonizaron uno de sus mayores ataques masivos. En un solo día penetraron en cerca de 800 sitios.

En la mayoría de los casos sustituían los contenidos de las webs atacadas por mensajes reivindicativos y de ciberprotesta, e incluían imágenes de simbología anarquista. Como la frase en inglés que insertaron el 24 de febrero en la página web de Jazztel: “Fuck Bush”. O el que colocaron en la web de IU bajo una foto retocada de Zapatero y Rajoy: “Tenemos algo en común, le dijo un presidente a un embustero…”.

La operación, que ha sido coordinada por el Grupo de Seguridad Lógica de la Brigada de Investigación Tecnológica de la Policía Nacional, ha contado con la colaboración de agentes de la Brigada Provincial de Policía Judicial de Burgos, Málaga, Valencia y Sabadell.

Personalmente estube bastante metido en este mundo, y creo que necesitan pruebas concluyentes, pero seguramente las haya, ya que muchos ataques a diferentes webs se realizaron sin una planificación previa.

Los detenidos, que residían en las provincias de Barcelona, Burgos, Málaga y Valencia, no se conocían personalmente y coordinaban sus acciones a través de Internet. Mantenían contactos con otros miembros del grupo en el extranjero, principalmente en Latinoamérica. En los cuatro registros practicados fueron intervenidos 20 equipos informáticos y diversa documentación que está siendo analizada.

De los que seguro contendran la tipica información, como exploits, shell roots, algunos scanners y poco más, donde esta de verdad el centro de la cuestión es en posibles documentos de texto donde se almacena los posibles bugs de cada portal web para simplemente que no se olviden y utilizarlos en el futuro, y espero quelos guarden en cds o disquets, sino si que estan perdidos.

Espero que los jueces sean justos con ellos y que la brigada de delitos telematicos se extienda mas a perseguir crackers y botnets en la red, que personalmente creo que hacen mas daño, ya que DOM team no podria hacer nada a un portal seguro ya que se basaban en intrusiones a traves vulnerabilidades en los sistemas, mientras personajes con botnes atacan a todas las webs que se le antojen mediante DoS y DDoS, y es realmente molesto.

En qué se basan estos “hackers” o tambien llamados defacers, son aquellos que realizan defacement de páginas web, lo cual es cambiar un sitio de internet a partir de una vulnerabilidad en el mismo de algún tipo (software, humana, etc).Los responsables de zone-h sacan sus propias conclusiones que son:

- Cada vez hay menos interes de los medios por este tipo de ataques, por lo que no da la fama que daba antes.

- Los responsables de este tipo de ataques están cambiando a otros que les puedan dar más beneficios

Específicamente, la gente de Zone-H.org marca el descenso en los defacements realizados por los conocidos grupos brasileños, ya que los principales troyanos y malware a nivel bancario estan siendo codeados por ellos.

Mis conclusiones; estoy de acuerdo con todo esto, pero yo tambien destacaria que cada vez las leyes son mas duras sobre este tema y ademas las empresas poco a poco mejoran su seguridad en la red y grandes empresas se especializan en este ambito, ademas de que tod esto se persigue mucho mas, y eso es bueno.

Enlace | Zone-h

En los últimos días varias personas con servidores propios –fundamentalmente de wordpress– me pidieron ayuda para reducir la carga de sus servidor o mejorar los tiempos de respuesta. Una de las últimas frecuentes era “porqué a veces la carga del servidor subía mucho”. Asumiendo que el servidor está bien configurado y balanceado [1], el problema suele ser por los “bots demasiado agresivos”.

[1] Ver abajo Diez reglas básicas para servidores web bien ajustados

El aumento del ancho de banda en las conexiones hogareñas, las pruebas “académicas” y de prácticas desde universidades –en España sus líneas suelen superar creces los 100 Mbps– y los bots de los harvesters de spammers hace que debamos también monitorizarlos e impedir que su molestia sea persistente.

Aunque hay métodos en las iptables y Apache para controlar el número de conexiones –connection throttling– a veces es muy difícil encontrar un valor adecuado sin que genere problemas a conexiones válidas. Incluso puede haber problemas de memoria –de las iptables, que las asigna en el espacio del kernel– en servidores que no tienen suficiente.

Por ello a veces es más fácil analizar los logs de Apache en situaciones de alta carga para detectar desde qué direcciones IP se están haciendo tantas conexiones y agregar una regla a las iptables para hacer in drop a paquetes desde esa dirección.

Continua leyendo »