La Comunidad DragonJAR » DoS

Manos negras en la red – Extras – Videos de Phishing y DoS

DragoN — Thu, 17 Nov 2011 00:51:05 +0000

Como ya saben, hace poco realice una entrevista para el programa Testigo Directo hablando sobre seguridad informática y el reciente caso de “Sophie Germain”, para ese video (que pensaba era mas largo) me pidieron realizar algunas guías visuales, sobre temas específicos en los que querían profundizar ya que están siendo muy utilizados en Colombia.

El primero de ellos es el Phishing, del que se hablo un poco en el programa y querían tener material extra un poco mas largo:

Les recomiendo visitar el apartado Anti Phishing de nuestra comunidad, donde encontraras herramientas para complementar los consejos expuestos en el video.

Y el segundo eran los ataques de denegación de servicio, ya que están siendo utilizados masivamente como forma de “protesta” en el país y querían saber que tan sencillo seria realizarlos:

Espero que a alguien les sea de utilidad, se que no son gran cosa, pero fue lo que me pidieron y como ya estaban hechos, no quería dejar de utilizarlos.

También puede interesarte...

¿Cómo mitigar un DDoS o una Botnet?

DragoN — Sat, 24 Jul 2010 09:40:28 +0000

Los ataque de denegación de servicio distribuidos, también llamado ataque DDoS (de las siglas en inglés Distributed Denial of Service), son ataques realizados a sistemas informáticos o redes, con el objetivo de dejar inaccesible un recurso o servicio a los usuarios legítimos. Por lo general estos ataques se realizan desde un gran numero de equipos Zombies o Botnet, provocando la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima y grandes perdidas económicas a los afectados.

En el siguiente vídeo (grabado en la pasada CCC numero 26) Andrew Strutt mas conocido en Internet como rodent, nos enseñará como mitigar un ataque distribuido de denegación de servicios, sin dejar de atender a los usuarios legítimos de nuestro sistema.

Descargar Charla en MP4

Espero que esta información les sea de utilidad.

También puede interesarte...

reDoS – Denegación de Servicios con Expresiones Regulares

DragoN — Thu, 20 May 2010 23:13:59 +0000

Últimamente el termino Denegación de Servicio, cada vez se vuelve mas popular, posiblemente la masificación de las famosas botnets sean causantes de esto. Existen muchos tipos de ataques de Denegación de Servicio o DoS (Denial of Service), cuyo principal objetivo es atentar contra uno de los 3 pilares sobre los que se basa la seguridad de la información. La Disponibilidad.

En esta ocasión les traigo un texto bastante interesante que nos habla sobre un nuevo tipo de DoS, la Denegación de Servicio en la validación de Expresiones Regulares, o lo que se conoce por reDoS.

El reDoS, fue presentado por primera vez en el año 2009 durante la Open Web Application Security Project (OWASP) Israel Conference. En esa presentación se explicaba como una expresión regular pobremente escrita podía ser explotada para realizar un DoS.

Los dejo entonces con el paper sobre reDoS, escrito por David Kotriksnov, mas conocido en la red como SH4V

Si deseas descargar este paper, puedes hacerlo por medio de este enlace.

Mas Información:
Regular expression Denial of Service – ReDoS

También puede interesarte...

Registraduría Nacional de Colombia.. ¿DoS o Negligencia?

DragoN — Thu, 18 Mar 2010 21:09:54 +0000

En este articulo hablaremos sobre el supuesto ataque de “hackers” que sufrió la Registraduría Nacional de Colombia el día de elecciones, para entender mejor lo sucedido pongámonos en contexto:

El pasado domingo 14 de marzo se realizaron en Colombia las elecciones para el Senado de la República, Cámara de Representantes, los representantes de Colombia en el Parlamento Andino y las consultas interpartidistas. En años pasados los resultados parciales o “boletines” de las elecciones se generaban desde la Registraduría y eran entregados inmediatamente a medios de comunicación y a veedores internacionales unicamente, este año quisieron ademas de esto, ofrecer a todos los ciudadanos esta información también en “tiempo real” desde el sitio de la Registraduría nacional.

Para cumplir con la labor de divulgación de estos boletines, se contrató a la empresa UNE, que a su vez subcontrato a la empresa “Arolen” quienes serian los encargados de implementar toda la infraestructura tecnológica necesaria para cumplir con la demanda de información que tendría la pagina de la Registraduría.

El dia de elecciones, varios medios de comunicación reportaban fallos constantes en el portal de la Registraduría nacional, impidiendo así el acceso a la información, no solo para los ciudadanos sino para todos los medios que deseaban informar a la población, después de los fallos “Arolen” admite los problemas y habla sobre ello en la siguiente rueda de prensa echándole la culpa de los fallos a un ataque informático:

En el vídeo habla Iván Ribón, gerente de “Arolen” donde explica que los fallos se debieron a un ataque informático, por esto contrataron una empresa llamada “Adalid” para investigar el caso y llegaron a la conclusión que se trataba de un ataque de denegación de servicios (DoS) y afirman que “casos como estos normalmente no son obra de un hacker, sino son obra de una empresa de delincuentes que esta tratando de tumbar un servicio como el de la Registraduría o como el de la información”.

El Registrador Nacional del Estado Civil Carlos Ariel Sánchez en una entrevista para el programa de televisión “El Radar”, nos da un poco mas de información sobre el tema:

Como pueden ver el problema fue debido a un ataque de denegación de servicio hacia la pagina de la Registraduría, pero les recuerdo que estas paginas no necesitan un ataque de este tipo para caerse, se caen solas, es como decir que a la pagina del ICFES le hacen un DoS cada que salen los resultados de los estudiantes.

Personalmente pienso que la empresa “Arolen” no supo anticipar la cantidad de personas que consultarían la pagina de la Registraduría este día y el sistema les colapsó (como pasa con el ICFES, o los portales del gobierno cuando ofrecen 10 puestos para 5000 aspirantes), pero supongamos que es cierto y el ataque se llevo a cabo, ¿acaso no tenían los recursos para solucionar el problema?, miremos:

Arolen cuenta entre su portafolio el servicio de “seguridad informática“, por lo que en teoría debe tener personal capacitado en seguridad que sepa reaccionar frente a un ataque de este tipo, aunque es una realidad que muchas empresas ponen en su portafolio este servicio, pero no cuentan con personal propio para realizar las labores sino que subcontratan, como parece ser este caso, ya que se asesoraron de una empresa externa llamada Adalid solo después que el ataque fue realizado.
Mitigar un ataque de denegación de servicio (y mas si es distribuido) no es sencillo, pero el contrato del que estamos hablando asciende a los 77 mil millones de pesos, estoy seguro que podían contratar una empresa de seguridad decente (que tenemos muchas en el país) que les solucionara el problema (ya que claramente ellos no pudieron hacerlo).
UNE tiene una de las mejores infraestructuras de telecomunicaciones del país, fácilmente podría soportar la cantidad de trafico que aseguran recibió la pagina de la Registraduría (75 mil veces por segundo) incluso sin poner ningún tipo de reglas en su firewall que mitigara el ataque, pero UNE es una empresa privada y busca maximizar sus ingresos a toda costa, por eso subcontrató a Arolen y se desentendió del problema (aunque ellos podian solucionarlo).
La Registraduría cuenta con diferentes cuentas en distintas redes sociales que podrían haberse utilizado como medio alternativo para divulgar la información sin sufrir ningún problema, por ejemplo su cuenta de twitter pude ser un excelente medio de difusión de información, su blog en Blogger seguro no hubiera sentido los 75mil hits por segundo, lo mismo con sus cuentas en y *.
No creo que servicios como el Amazon Simple Storage Service (Amazon S3) o el Google App Engine. hubieran sido tomados en cuenta por la empresa Arolen para solucionar el problema *.

* posiblemente utilizar redes sociales y servidores externos no hubiera sido una buena opción debido a lo delicado de la información, pero es una posible solución al problema.

Al afirmar que “casos como estos normalmente no son obra de un hacker, sino son obra de una empresa de delincuentes que esta tratando de tumbar un servicio como el de la Registraduría o como el de la información” nos dan a entender que se trataba de un ataque de denegación de servicio distribuido (DDoS), posiblemente lanzado desde alguna red de equipos zombies (botnet), pero tratan de incriminar una “empresa” u “organización criminal” cuando la realidad es que cualquier persona con 300USD disponibles, puede alquilar una Botnet para realizar un ataque como el que supuestamente sufrió la Registraduría.

El que arolen tuviera que contratar a una empresa de seguridad para saber qué fue lo que pasó en sus servidores, solo demuestra que sus servicios de “seguridad informática” son una total farsa y no contaban con el personal adecuado para hacer frente a un incidente como este, tenían todos los medios necesarios para solucionar el problema ¿por que no lo hicieron?, quedamos a la espera del análisis forense que se le realice a lo servidores afectados (si es que se les realizaría este tipo de análisis) para aclarar lo sucedido el pasado domingo 14 de marzo.

ACTUALIZADO:
El periódico el tiempo acaba de publicar un articulo titulado “Desde una misma dirección ingresaron 75 mil veces a la página de la Registraduría” en el que nos confirma que el ataque se realizo desde una sola maquina y no fue un ataque de denegación de servicios distribuido (DDoS) como se pensaba, lo que confirma que el problema en la pagina de la Registraduría fue por NEGLIGENCIA de la empresa Arolen ya que con un simple “iptables -A INPUT -s IP -j DROP" (si el servicio estaba sobre un servidor GNU/Linux) o bloquear la ip con cualquier otro firewall bastaba para detener el ataque.

También puede interesarte...

Nuevo Gusano Infecta Routers, Modems, y Sistemas GNU Linux

DragoN — Thu, 26 Mar 2009 06:49:29 +0000

Un nuevo gusano llamado psyb0t descubierto por la empresa DroneBL, acecha la red, esto no es nada nuevo, todos los días salen gusanos tratando de conseguir la mayor cantidad de víctimas posibles para convertirlos en zombies y realizar las tareas que encargue su creador, pero este gusano tiene una particularidad que lo hace diferente, es capaz de infectar routers, modems y sistemas gnu linux.

Es la primera vez que se observa un ataque exitoso utilizando la infección en este tipo de dispositivos y se calcula que el número de afectados supera los 100.000 equipos y va en aumento, ya que su detección y desinfección son complicadas y “difíciles” de llevar a cabo para un usuario promedio.

El psyb0t se propaga a través de los servicios ssh, telnet y http, explotando vulnerabilidades en ellos o realizando ataques de fuerza bruta ante contraseñas débiles en los usuarios, tan pronto logra acceder al dispositivo descarga un archivo malicioso que permite a su creador administrar remotamente el dispositivo robando información sensible que pasa por el, realizando denegaciones de servicio o cualquier otra tarea que desee realizar su creador, aparte de esto modifica las reglas del firewall para impedir el acceso a el panel de administración del dispositivo.

Si notas un comportamiento extraño en tu red y ya descartaste infecciones de los equipos que la confirman, no olvides revisar la configuración de tu router o modem, si no puedes entrar al panel de control de ellos posiblemente estas infectado con el psyb0t.

Recomendaciones si estas Infectado con el psyb0t

Resetea La Configuración de tu Dispositivo
Actualiza tu firmware a la última versión
Sigue las Instrucciones indicadas por DroneBL

Recomendaciones para evitar ser infectado por el psyb0t

Mantén al día la versión de tu firmware
Utiliza contraseñas fuertes (nunca nos cansaremos de repetirtelo)
Deshabilita los servicios que no utilices en tus dispositivos
Revisa periódicamente el panel de control de tus aparatos

Para Más Información:
DroneBL
Psyb0t Attacks Linux Routers
Psyb0t, infección en ¡routers!, ¡módems! y ¡Linux!

También puede interesarte...

Bloquear telefonos celulares Nokia con un SMS

DragoN — Tue, 13 Jan 2009 05:09:43 +0000

En l último congreso CCC (Chaos Computer Club) se ha publicado una vulnerabilidad que afecta Teléfonos Móviles de la empresa finlandesa Nokia que permite dejar un teléfono celular sin poder recibir o enviar SMS (mensajes de texto) o MMS (mensajes multimedia).

El bug consiste en enviar un mensaje de texto con un formato específico a un celular que utilice el Sistema Operativo Symbian S60, usado por la mayoría de móviles Nokia, algunos Panasonic y Samsung.

Lista de Modelos NOKIA Afectados:

S60 3rd Edition, Feature Pack 1 (S60 3.1):

Nokia E90 Communicator
Nokia E71
Nokia E66
Nokia E51
Nokia N95 8GB
Nokia N95
Nokia N82
Nokia N81 8GB
Nokia N81
Nokia N76
Nokia 6290
Nokia 6124 classic
Nokia 6121 classic
Nokia 6120 classic
Nokia 6110 Navigator
Nokia 5700 XpressMusic

S60 3rd Edition, initial release (S60 3.0):

Nokia E70
Nokia E65
Nokia E62
Nokia E61i
Nokia E61
Nokia E60
Nokia E50
Nokia N93i
Nokia N93
Nokia N92
Nokia N91 8GB
Nokia N91
Nokia N80
Nokia N77
Nokia N73
Nokia N71
Nokia 5500
Nokia 3250

S60 2nd Edition, Feature Pack 3 (S60 2.8):

Nokia N90
Nokia N72
Nokia N70

S60 2nd Edition, Feature Pack 2 (S60 2.6):

Nokia 6682
Nokia 6681
Nokia 6680
Nokia 6630

Para ver la lista completa de los dispositivos afectados click aquí.

Después de enviar este mensaje el destinatario no podrá recibir ni enviar mensajes de texto o mensajes multimedia; esta técnica recibe como nombre “Curse Of Silence” que en español sería algo así como “Maldición del Silencio”‘.

Para que un equipo se vea afectado es necesario enviar un SMS en formato e-mail que comience con:

123456789@123456789.1234567890123 <=(con un espacio final)

Para enviar un SMS en formato Email (en teléfonos Nokia modernos):

abriendo el editor de SMS
Ir a “Opciones”
luego “Opciones de envió”
“Mens. enviado como”
“Correo”

Si has sido víctima de este tipo de ataque puedes desbloquear tu teléfono realizando un “Hard Reset” o reseteo de hardware (aunque perderás la configuración de tu teléfono), también puedes instalar el CurseSMS en tu celular, es una herramienta gratuita que te permite desbloquear tu teléfono del ataque “Curse of Silcense” sin realizar un “Hard Reset”.

Descargar el CurseSMS
CurseSMS en Ingles para (S60 Symbian 7/8)
CurseSMS en Ingles para (S60 Symbian 9)

Más Información:
Remote SMS/MMS Denial of Service – “Curse Of Silence” for Nokia S60 phones

Security By Default: Silenciando Nokias a mensajes

También puede interesarte...

Documentación sobre Seguridad Informática en formato Multimedia

4v4t4r — Sat, 08 Nov 2008 04:42:47 +0000

El objetivo de este ejercicio es situarle en el papel de un administrador de sistemas que ha de ocuparse de múltiples problemas. En su pantalla, gracias a modernas técnicas de monitorización, aparecerán diversos ataques y su descripción.

Su misión es neutralizarlos de la forma más rápida y efectiva posible. Tenga en cuenta que cada intento fracasado le restará credibilidad ante sus superiores; esta credibilidad aparece en la esquina inferior izquierda.
Reflexione en cada uno de sus movimientos y actúe con decisión.

Esto y más es lo que nos ofrece IE Business School

IE Business School ha abierto el acceso a su documentación multimedia para uso individual y personal, bajo una licencia de creative commons.

IE desarrolla documentación multimedia para sus cursos tanto presenciales como online. Se han desarrollado internamente más de cien módulos que cubren todas las áreas de gestión. Estos módulos incluyen casos prácticos, simuladores, juegos online, gráficas interactivas y ejercicios.

Así pues que el abanico de recursos es bastante amplio, en él podremos encontrar a manera introductoria y con una metodología bastante agradable y entretenida información sobre los siguiente temas:

Firma electrónica

Como consecuencia del asentamiento del marco jurídico que ha establecido la ley de Firma Electrónica, que entró en vigor el 20 de Marzo de 2004, las empresas y organizaciones han iniciado proyectos de implantación de firma electrónica en diversos procesos organizativos, sobre la base de la única tecnología que cuenta con un respaldo legal explícito.

SecurityXperts

Nota técnica interactiva que refleja el tema de la seguridad informática. Se complementa con un breve juego online sobre seguridad y un ejemplo interactivo de un ataque por denegación de servicios distribuidos (Caso práctico interactivo Ronnie).

Otros recursos multimediales:

MyAlert

Caso práctico interactivo cuyo objetivo es el análisis de las implicaciones tecnológicas que resultan de las decisiones estratégicas de una compañía como MyAlert, ubicada en un mercado muy dinámico y de alto crecimiento: nos referimos al mercado de servicios de datos sobre el teléfono móvil.

PayPal
PayPal es la empresa líder en el sector de pago online. El caso interactivo expone el desarrollo de la empresa junto con las peculiaridades del sector.

Más información y acceso a los demás recursos multimediales