La serpiente botnet

El otro día nos encontramos un panel de control nuevo que no es la típica modificación de uno de los conocidos que se pueden encontrar por Internet (tipo MPack, IcePack, FirePack, ZeuS, Apophis, ...). Todos estos para bien o para mal fueron publicados en ciertas webs de forma 'gratuita' y a partir de ellos han salido varias versiones nuevas.

Pero esta vez, nos sorprendió la imagen de la entrada, una serpiente que buscando en Internet parece ser una Taipán, la más venenosa del mundo, (espero que algún lector me corrija) pidiendo la autenticación de acceso al panel de control. El número de máquinas controladas no es mucho más que unas 8.000, pero nos sorprendió porque fue la primera vez que nos lo encontramos.

Realmente el panel de control no permite mandar órdenes del tipo DDoS a los zombies que posee, pero sí que permite enviar 'tareas' a los ordenadores infectados para que bajen nuevos ejecutables y los ejecuten, que es donde se encuentra la parte de los ataques. Además, utilizan una librería para la generación de gráficos JpGraph (que en este momento no funcionaba correctamente) donde si nos fijamos en su página, si el uso de la herramienta es comercial, es necesario comprar la licencia pro. ¿Podemos considerar, además, que el uso de un panel de control de una botnet es de carácter profesional/comercial? ¿Están incumpliendo la licencia de la librería?

Independientemente de las respuestas (que esperamos nos déis) el delito que están cometiendo es mucho mayor, y es un ejemplo más de la amenaza silenciosa de Internet. Desde la unidad de S21sec e-crime luchamos contra este tipo de amenazas, y además de todos los servicios relacionados con el e-crime, ofrecemos servicios de formación/concienciación/divulgación sobre este tipo de amenazas: qué son, cuáles existen, cómo funcionan, cómo puedo protegerme, etc. 

David Barroso

S21sec e-crime

¿La privacidad y la seguridad no se llevan bien?

La polémica está servida con el reciente post publicado por Jesús Oquendo, defensor acérrimo de la privacidad. En él expone que la herramienta contra el malware de Microsoft, que se instala automáticamente con sus actualizaciones y que se anuncia como una excelente solución contra las botnets, podría verse como un backdoor. El programa en cuestión parece ser una herramienta de análisis remoto de los PCs sospechosos de estar infectados. Desde el punto de vista de la seguridad, desde luego, no tiene precio, ya que se accede remotamente al equipo para controlar los movimientos del malware existente en él, pero desde el punto de vista de la privacidad quizá tenga más puntos oscuros de lo que parece...Microsoft no ha detallado aún cómo trabaja exactamente su herramienta, ni a qué datos se tiene acceso, pero si el acceso es total estaríamos hablando de una puerta trasera instalada en cada uno de los equipos que usan Windows actualmente. Nadie puede negar que llegado a cierto punto, y en pro de la lucha antiterrorista, las agencias de seguridad y autoridades mundiales podrían acceder libremente a los contenidos de los usuarios. Todo depende del nivel de paranoia de cada uno, o eso dicen.

El tema de la seguridad contra la privacidad no es nuevo y se ha notado con más fuerza desde el fatídico 11S. Cada uno tiene su propia opinión sobre ello, y no es la primera vez tampoco que este tipo de polémicas saltan a la palestra, como hace unos días cuando a un investigador del protocolo GSM se le requisaron ciertos materiales cuando se dirigía al evento de seguridad HITBSecConf, o cuando a otro investigador se le denegó la entrada a Estados Unidos por razones similares cuando acudía a la BlackHat hace menos de un año. Está claro que es necesario un compromiso entre estos dos términos, aunque la historia reciente dice que la balanza se suele decantar hacia uno de los lados. ¿Es sólo paranoia de unos cuantos o realmente se producen atropellos en este ámbito? ¿seremos protagonistas del siguiente GH sin desearlo?


José Miguel Esparza
S21sec labs

¿Sensacionalismo, ficción o realidad?

En uno de los últimos artículos de Businessweek titulado "The New E-Spionage Threat" describen al detalle cómo el Gobierno de los EE.UU. y empresas contratistas del Departamento de Defensa han sido víctimas de un ciberataque organizado y sin precedentes. Por ello han lanzado una operación clasificada denominada "Byzantine Foothold" para detectar y corregir las intrusiones en las redes más críticas del Gobierno.

Con técnicas denominadas "Net reconnaisannce" los atacantes conseguían gran cantidad de información sobre sus objetivos (nombre completo, título, responsabilidades, direcciones de correo..) para posteriormente enviarles un correo con origen presumiblemente de alguien de confianza o con relaciones actuales, conteniendo enlaces a sitios web infectados o adjuntando malware indetectable a gran parte de los antivirus actuales, y sin apenas posibilidad de rastreo del origen real del correo.

Estos nuevos atacantes son profesionales y están muy organizados y en algunos casos financiados por gobiernos extranjeros. Se apoyan en cuatro factores clave:

1. Conectividad global
2. Anonimato
3. Sin apenas posibilidad de rastreo
4. Con objetivos de alto valor

En el departamento de Defensa cuya Agencia de Investigación de Proyectos Avanzados de Defensa (DARPA) desarrolló la Internet en 1960, empiezan a pensar que han creado un monstruo. Si DARPA piensa esto, imaginad qué desafíos nos depara un futuro que no se aleja tanto de las películas de ciencia-ficción.

En una de las últimas películas de éste género, Untraceable, vemos cómo se introducen en la red casera de un agente del FBI a través del equipo de su hija que se ha descargado un juego que contiene un troyano. El título de esta película proviene de la técnica que utiliza su protagonista fast-flux para que sea casi imposible rastrear la IP real tras el dominio de su página web, gracias al uso de botnets.

Películas de este género ilustran el impacto potencial de las vulnerabilidades de seguridad, pero en ellas no se exagera tanto como la gente cree, excepto por algunas cosas, son creíbles. Ver inseguridad en sistemas SCADA, qué no está tan lejos del argumento principal de la Jungla de Cristal 4.

La siguiente afirmación salió de boca de Ernest Hilbert, ex-agente del FBI y actual Director de Seguridad de myspace.com:
"Siempre he afirmado que los problemas de Internet y la inseguridad en las redes de ordenadores no llegarán a la conciencia pública hasta que la gente empiece a morir a causa de las vulnerabilidades de seguridad."

¿Sensacionalismo, ficción o realidad?

Emilio Casbas
S21sec labs

CONOCE A NUESTROS EXPERTOS

La semana que viene estaremos patrocinando las VII Jornadas de Seguridad de la Información en Defensa organizadas por ISDEFE. Las jornadas tendrán lugar del 11 al 14 de febrero y el día 12 David Barroso, director de Investigación de S21sec labs dará una ponencia sobre el código dañino.

Por otra parte, Antonio Ramos, director de consultoría de S21sec dará una ponencia sobre PCI en las Conferencias sobre el cumplimiento de PCI DSS organizadas por Cisco que se celebrarán el próximo jueves, 14 de febrero en el Museo Thyssen, Madrid.

Y, Antonio Ramos ofrecerá también una ponencia en Palencia el 19 de febrero dentro de las jornadas Globaltech. En esta ocasión sobre la gestión de incidentes y los planes de continuidad del negocio.

¡Nos vemos allí!

https: Esa falsa sensación de seguridad

Actualmente la web se utiliza para presentar información de empresas, productos y como plataforma para transacciones de negocios y luego tenemos la denominada web social con todos sus peligros ya conocidos.

Muchas de las reglas básicas de seguridad a la hora de realizar operaciones en Internet, recomiendan que la página web que estemos visitando, empiece por https. Hace tiempo que esta afirmación ya dejo de ser cierta.

HTTPS, es un protocolo que utiliza SSL para transportar los mensajes HTTP, todo entre la comunicación cliente y servidor va cifrado por ello que las viejas técnicas de sniffing ya no nos sirven para estos casos. A medida que avanza el tiempo, la tecnología evoluciona y consecuentemente las amenazas de seguridad tambien. Es por ello, que existen proyectos para explicar y clasificar las diferentes amenazas a la seguridad de los sitios web.

Una de las amenazas descrita en el proyecto de webappsec, es XSS, si bien ya tiene bastantes años, son innumerables los sitios que actualmente son vulnerables a ella, quizá sin percatarse de las posibles consecuencias o ignorándolas arriesgadamente. Existen sitios como xssed que las recopilan diariamente. Pero lo que ha ocurrido recientemente en Italia, tendría que activarnos un resorte de alerta y concienciación.

Phising, XSS, botnets, debilidad inherente al ser humano (parte cliente donde los datos aún están en claro), son ya muchas las amenazas y debilidades lo que hace que simplemente porque una página tenga https:// ya podamos confiar en ella. No ignoremos los peligros que existen a pesar de ello.
Como en aquella famosa canción original de Cole Porter, "Use your mentality,
wake up to reality." Tenemos que adaptarnos a los tiempos actuales con todo lo que ello conlleva, pero al menos que no nos cojan desprevenidos.

Emilio Casbas

S21sec labs

Informe de Criminología Virtual

Hace poco tiempo la compañía McAfee publicó un estudio denominado 'Informe de Criminología Virtual' (Virtual Criminology Report) donde presenta a grandes rasgos los problemas actuales relacionados con los delitos en Internet. Este informe, a diferencia del de 2006, cuenta con la participación de varias personas internacionales, dotando al mismo de un carácter más exacto que el anterior de 2006 (personas como Richard Clayton, Fred Doyle o Eugene Spafford), aunque también se atreven a decir frases como:

“There are signs that intelligence agencies around
the world are constantly probing other governments’
networks looking for strengths and weaknesses and
developing new ways to gather intelligence,”
Peter Sommer, an expert in information systems
and innovation at the London School of Economics."

¿De qué señales habla? Independientemente de que sea verdad o no, frases como la anterior lo único que provocan es una mayor 'desconfianza' entre las agencias de Inteligencia de diferentes países, al igual que el párrafo siguiente:

“Everybody is hacking everybody,” said Johannes
Ullrich, an expert with the SANS Technology Institute,
pointing to Israeli hacks against the United States and
French hacks against European Union partners. But
it is aspects of the Chinese approach that worry him.

Realmente en el aspecto geo-político el informe muestra algunos datos que tendrían que basarse en hechos para no crear ese clima de desconfianza, pero en general el informe presenta una visión bastante exacta sobre la actualidad del crimen en Internet. Pero, ¿qué nos espera en el 2008 según el estudio?

• Países 'paraíso' para los criminales en Internet (algo así como el bullet-proof hosting que ofrecen empresas como RBN (Russian Business Network) pero a nivel de país).
• Los gobiernos meterán presión para proteger a los ciudadanos (aquí es donde realmente hay que hacer espeical hincapié)
• Se aprovecharán los datos de las redes sociales para cometer todo tipo de delitos (hay un paper interesante patrocinado por ENISA llamado 'Security Issues and Recommendations for Online Social Networks')
• Ataques utilizando nuevas tecnologías: P2P, VoIP, ... Movimiento completamente normal, puesto que gracias a términos como BlackBerry, UMTS, iPhone, Wifi, etc casi estamos el 100% de nuestro tiempo conectados utilizando cada tecnología nueva que aparece.
• Perderemos confianza en los servicios online debido a la gran cantidad de riesgos y fraudes que existirán (aún estamos a tiempo de evitarlo)

“Critical in avoiding a run on online
banks will be their public relations
effectiveness in the few hours after
signifi cant and successful attacks are
fi rst publicized. Inept PR combined with
an event that couldn’t be disguised
with victims available to the press
could cause serious problems for an
online bank. UK bank Northern Rock
showed that it is very diffi cult to calm
market panic once it is set in train.”

Totalmente cierto; hoy en día, noticias relacionadas con un ataque corren como la pólvora. Es fundamental disponer de un departamento de Relaciones Públicas que sepa manejar el incidente, informando a los usuarios.

El informe realmente coincide bastante con nuestra visión del crimen existente en Internet, desde aquellos años a finales de los 90 que podríamos considerar la época romántica de los ataques en Internet, hasta actualmente donde la involucración de bandas criminales es tan grande que nos encontramos justo en el momento de decidir si queremos evitar que Internet se convierta en una ciudad sin ley. En palabras del CEO de McAfee:

“Fighting cybercrime is a
24/7 battle, a global battle,
and it is far from over.”
Dave DeWalt, President & CEO, McAfee Inc

David Barroso

S21sec labs

Me sigue dando igual

Ya que mi post anterior no hizo despertar tu conciencia de seguridad voy a hacer un último intento. Puede que incluso lo lograra, pero quizá no lo suficiente: ahora te bajas todas las actualizaciones de Microsoft y tienes cuidado con lo que haces por Internet, pero... pero no te das cuenta de que el problema puede estar más cerca de lo que piensas, en tu casa, a dos metros de ti. La moda ahora es irte al sofá y chatear mientras ves la tele, gracias a los maravillosos routers inalámbricos, pero ¿te has parado a pensar en la seguridad de tu router? ¿has cambiado la configuración por defecto? ¿has cambiado la contraseña desde que te lo instalaron? cada vez es menos habitual, pero hace unos años lo normal es que te dejaran el router sin contraseña, sin siquiera avisarte de ello. Ahora no es muy distinto. Seguramente tendrás en tu casa un cifrado WEP, la instalación por defecto, pero no te avisan de que este sistema se puede saltar en cuestión de minutos o incluso segundos, no te avisan de que la opción ideal sería el uso de WPA2, aparte de filtrado de MACs, ocultación del nombre de tu red (aunque no es demasiado útil), cambio del usuario y contraseña de acceso a tu router...Nadie te avisa y tú no te preocupas.

Teniendo la contraseña de cifrado de tu red inalámbrica ya no sólo podrán ver todos los datos que salen de tu ordenador, sino también los de tus familiares. Quizá a ti no te importe, pero ¿y a tu padre? ¿a tu pareja? ¿a tu hijo? creo que ellos sí que usan diariamente la banca electrónica, y realizan transacciones importantes en internet. Claro que ese tráfico importante conlleva un cifrado propio aparte del de tu red, seguramente a través de SSL, ese candadito del navegador que indica que es seguro. Estamos tan acostumbrados a darle al botón "Aceptar" para la aceptación del certificado digital cuando se entra en una página que usa cifrado que no se van a dar cuenta de que se trata de uno falso, y que el tráfico ha sido rederigido a un clon del portal de sus bancos, que después de recolectar todos sus datos de acceso les llevará al portal real. Seguramente harán un agujero en sus cuentas corrientes, y seguramente, de una forma u otra, acabará afectándote también a ti. ¿Cambiarás entonces el sistema de cifrado de tu red inalámbrica? ¿no sería mejor prevenir que curar?

Otra de las bonitas cosas que podrían hacer sería alistarte en el ejército de zombies de una de las llamadas botnets, concepto explicado a la perfección en el documento Botnets – The Silent Threat de David Barroso. A través de la instalación de un programita "muy malo", usando algunas técnicas como las comentadas en la primera parte de este post, ellos tendrán el control total de tu ordenador, sin darte cuenta, por supuesto. Y no sólo podrán estar registrando todas tus contraseñas, sino que además tu ordenador será usado para cometer delitos informáticos como puede ser el envío masivo de SPAM, la denegación de servicio distribuida (DDoS) a ciertos sitios o sistemas informáticos, etc. De esta forma, ellos se cubren las espaldas, porque el que realmente delinque eres tú.

¿No te vale con todo esto? quizá te moleste más que tu ordenador personal se convierta en el almacén de todo tipo de material ilegal, y estés propiciando y ayudando a los que se lucran con negocios tan bajos como puede ser la pornografía infantil o la pederastia.

Como ves, hay miles de cosas que se pueden hacer con tu ordenador, cosas que van bastante más lejos del robo de tus fotos personales. Todo depende de la imaginación y pericia del atacante. Pero tú cuentas, y se lo puedes poner bastante dificil, sólo tienes que tener un poco de conciencia en este tema, y preocuparte por la seguridad de tu sistema. No hace falta ser un gurú para conseguirlo, basta con tener un poco de sentido común y preocupación por este asunto. Al igual que no dejas la puerta de tu casa abierta de par en par, ni la ventana aun viviendo en un sexto piso, tampoco deberías hacerlo en tu ordenador. Así que esta noche, antes de comer las uvas, acordaos de este post y añadid un punto más a la lista de buenos propósitos;) Feliz 2008!!


José Miguel Esparza
S21sec labs

Emerging Threats

Hace un mes aproximadamente, Matt Jonkman, de Bleeding Threats cerraba su página despues de estar durante más de cinco años manteniendo un conjunto de reglas "alternativo" para el IDS Snort (Bleeding Snort). Estas reglas se caracterizaban principalmente por estar más actualizadas y era cuestión de horas el disponer de, por ejemplo, la detección de un exploit remoto que acababa de publicarse.

También eran muy interesantes las reglas que tenía relacionadas con el malware, principalmente de conexión de los ordenadores infectados con su C&C ("calling home!"), que permitian a los administradores detectar algunos ordenadores infectados en sus redes.

Pero como la conocida marca de turrones, todo lo bueno vuelve por Navidad. Matt acaba de confirmar que su proyecto sigue en pie, con un nuevo nombre, Emerging Threats. Así que podemos seguir contando con reglas tan interesantes como el tráfico de la ya extinta Russian Business Network, o conexiones a C&C conocidos.

¡Felices Fiestas!

David Barroso

S21sec labs

Operación Bot Roast

La policía de Nueva Zelanda, en colaboración con el F.B.I., ha llevado a cabo hace pocos días la segunda fase de la operación Bot Roast, en la que se ha conseguido detener a uno de los líderes del uso de botnets, a quien se acusa de contar con el control de cerca de un millón de ordenadores.

La operación Bot Roast comenzó de manera oficial el pasado junio en Estados Unidos con la detención de tres personas, en Seattle y Arlington, acusadas en alguno de los casos de infectar los ordenadores de varios hospitales de Chicago, además de infectar miles de ordenadores en todo el mundo que usaban para generar ataques DDoS, además de mandar millones de correos spam a través de estos ordenadores o de robar identidades y blanqueo de dinero en otros.

La segunda fase de la operación ha llevado a los investigadores hasta Nueva Zelanda. La policía del país, junto con el servicio secreto de los Estados Unidos y el F.B.I. ha descubierto la trama dirigida por uno de los cabecillas detenidos, que en la red se hace llamar Akill.

Akill es un chico de 18 años que habría infectado, según estimaciones, cerca del millón de ordenadores en todo el mundo, con intención de usarlos como arma para actividades ilegales, principalmente ataques DDoS, y haber obtenido unos beneficios ilegales de cerca de 25 millones de dolares. En total han sido detenidas 8 personas desde junio en dicha operación, todos relacionados con el uso de botnets. Las investigaciones continúan abiertas.

Las autoridades estadounidenses han advertido a los usuarios que protejan sus ordenadores, aunque la eterna pregunta es si son los usuarios los responsables de proteger sus ordenadores, o es tarea de los vendedores de software el hacer sus programas y sistemas operativos más robustos para evitar este tipo de problemas. La gran mayoría de estos usuarios ni siquiera saben que su ordenador está siendo usado para realizar actividades maliciosas.

Sin embargo, a pesar de la cantidad de ordenadores infectados, estas detenciones no deben ser consideradas como el fin de los correos spam. Se ha conseguido detener una pequeña parte, pero queda mucho por hacer. Aunque los datos existentes ofrecen para nosotros un número de ordenadores infectados un poco exagerado, ¿cuántos de esos ordenadores pertenecen a usuarios españoles?

Miguel López-Negrete
S21sec labs

Botnets – The Silent Threat on the Internet

ENISA ha publicado recientemente el artículo sobre la amenaza de las botnets y cuyo objetivo es concienciar a la Unión Europea del peligro que conllevan.

S21sec ha sido el autor del artículo patrocinado por ENISA, y ha contado con la revisión y comentarios de profesionales reconocidos como Jose Nazario, Ralph Thomas, y Ed Skoudis, entre otros.

Podéis acceder al artículo (en inglés) aquí.

WebMalware: detección y prevención de malware en webs.

En respuesta a la creciente infección de servidores web a través de código malicioso, S21sec ha desarrollado el primer servicio de detección y prevención de malware en webs. La presencia de malware en el website de una empresa u organización puede afectar directamente a los clientes o usuarios generando una infección en cadena.

Las infecciones a través de código malicioso representan la amenaza más importante actualmente en Internet por el número de sistemas a los que afectan – el 2% de los dominios ya padecen sus efectos. Los troyanos, que suelen estar controlados por grupos organizados, han ganado en complejidad y cada vez utilizan técnicas más sofisticadas para diferentes fines como el robo de dinero, acceso a información confidencial o dejar fuera de servicio algunos sistemas.

Otros tipos de infecciones de código malicioso están centradas en introducir en páginas web legítimas un código que sirve de vehículo de infección para todos los clientes que se conectan a esa página web. De esta manera, aprovechan una vulnerabilidad de la aplicación web con el objetivo de infectar a los usuarios que la visitan.

Dada la existencia de kits de exploits como WebAttacker, MPack o IcePack asequibles al precio de aproximadamente mil euros, el ataque resulta muy barato y posee un rápido poder de expansión. A través de una infección en el servidor de una organización, éste se convierte en un sistema de expansión de código malicioso afectando directamente la imagen de esa institución. Este factor puede desencadenar denuncias y acciones legales por parte de los usuarios y clientes infectados.

Las dos caras del servicio: detección y prevención

Servicio automático y periódico de evaluación del nivel de seguridad de los servidores web y detección de infecciones por malware en los mismos Detección inmediata sobre si un servidor ha sido infectado por un código malicioso y sobre las vulnerabilidades que permitirían infectar la aplicación e instalar este tipo de malware.

El servicio genera una alerta y una incidencia en el portal del cliente de S21sec para facilitar la corrección rápida del problema y eliminación del código de los servidores.

Entre la información que facilita, destaca la posibilidad de realizar estadísticas con el número de páginas visitadas del dominio, cantidad de páginas infectadas, así como de vulnerabilidades encontradas. Además, es capaz de geolocalizar el dominio, elaborar informes del código encontrado y de las vulnerabilidades del sitio web de la organización que contrata el servicio.

Teniendo en cuenta que la detección de código malicioso en los servidores mediante análisis automáticos de HTML ya no resulta eficaz, este servicio ofrece una respuesta eficiente tanto para empresas, administraciones públicas y cualquier institución preocupada por la gestión global de la seguridad de sus sistemas.

Storm: Halloween time!

Justo ayer comentábamos la nueva oleada de correos con el tema de Halloween con el esqueleto danzarín, pero hoy ya hemos empezado a recibir unas imágenes más elaboradas (siempre con el link al Zhelatin, Nuwar o cómo lo queramos llamar).

Como siempre, con unos iframes 'maliciosos' y la descarga de un binario (en este caso halloween.exe). Al menos nos dejan un bonito fondo de pantalla para estos días.

David Barroso

S21sec labs

Storm, revisited

Desde hoy tenemos una nueva oleada de correos no solicitados enviados por Storm buscando nuevos integrantes a su botnet. Está vez, coincidiendo con el día de Todos los Santos (Halloween en otros países), enviar correos con el título 'The Dancing Skeleton': Do You Want To See New Funny Sexual Helloween Game With Dancing Skeleton? Just Click Here'.



Aprovechar una fecha señalada para infectar a nuevas computadoras no es algo nuevo. Hace años ya recíbiamos en Diciembre las típicas postales de Navidad que solían incluir un troyano o más recientemente casos con el día de la Independencia de EEUU;si entramos a relacionar código malicioso con días señalados, tenemos el ejemplo claro del Jerusalem/Viernes 13, que también tuvo mucha virulencia en España (creo que muchos fuimos los afectados).

Volviendo al tema de Storm, ahora utiliza claves de 40bits para hablar entre nodos (recordemos, con el protocolo de eDonkey). Este cambio parece que indica una transformación dentro de la gran red, para crear redes más pequeñas más fáciles de manejar o de esconder.

También, según nos comentan la gente de AntiMalware de Microsoft, muchas de las máquinas que pertenecían a Storm (recordemos que algunas personas indicaban hasta 50 millones, aunque los datos más reales parece hablar de menos de 1 millón) ya no están infectadas debido a las mejoras de detección por parte de la mayoría de motores antivirus existentes.

¿Podemos estar ante el inminente fin de Storm? Seguiremos informando.

David Barroso

S21sec labs

¿Se equivocó Albert Einstein?

En plena guerra fría, durante los primeros años del Macarthismo y la amenaza nuclear entre los Estados Unidos y la URSS, Albert Einstein, hacía pública una de sus más famosas citas:

"No se como será la tercera guerra mundial, sólo sé que la cuarta será con piedras y lanzas."

Albert Einstein

En aquel momento la cita causo gran impresión y prueba de ello es que haya sobrevivido como actual hasta nuestros días, ya que desde las bombas atómicas empleadas en el final de la segunda guerra mundial siempre se ha supuesto que también se usaría el arsenal nuclear masivamente en la “Tercera Guerra Mundial”.
Sin embargo, vamos a mostrarnos un poco optimistas ya que parece que nuestra civilización ha conseguido por ahora evitar su autoaniquilación como muchos anunciaban en aquellos años de la guerra fría, para cambiar el concepto tradicional de la guerra hacia técnicas más sutiles y significantemente menos destructivas.
En los foros de seguridad digital especializados ya se menciona esporádicamente el término “Tercera Guerra Mundial” para referirse a las nuevas técnicas de ataques entre países, con el intento de sembrar el caos y paralizar el país atacado.
Fue especialmente llamativo el ataque sufrido por Estonia en Mayo de 2007, que sucedió poco después de que Estonia retirase un monumento de la era Soviética que recordaba la lucha de los soldados de la URSS contra el fascismo en la Segunda Guerra Mundial.
Estonia ha reportado que hasta 1 millón de ordenadores cautivos fueron usados en este ataque, cuyos objetivos principales han sido las sedes gubernamentales, las de los partidos políticos, los bancos, los medios de comunicación y otras empresas, en un intento por crear el caos en dicho país.
El gobierno Estonio llego a necesitar a involucrar a expertos en “Ciberguerra” de la OTAN para hacer frente a la magnitud del ataque.
Estos ataques también se dieron en Dinamarca después de la publicación de las tristemente famosas caricaturas, e igualmente hubo ataques contra la sede de la OTAN durante la guerra de Kosovo.

En cualquier caso, el concepto de “Ciberguerra” no es ni mucho menos nuevo y ya era contemplado por los expertos militares americanos para conseguir un objetivo con el mínimo daño posible, como apunta este artículo producido también durante la guerra de Kosovo, o el siguiente artículo de la revista TIME del año 1995, en el que según dicho artículo la intención del ejercito americano es de “aprovechar las maravillas tecnológicas del siglo 20 para lanzar rápidos, sigilosos, amplios y devastadores ataques en la infraestructura miliar y civil de un enemigo”.
Recientemente, el 2 Noviembre de 2006, el ejercito americano ha anunciado la creación de una unidad especial de combate perteneciente a la US Air Force cuyo ámbito de acción va a ser únicamente el ciberespacio.

La preocupación ha encontrado ya su eco en periódicos no especializados en este tipo de temas, como muestra este artículo del EL Pais. Algunos expertos se plantean la posibilidad de que este tipo de guerra sea usada por “ciberterroristas” mediante el acceso a redes SCADA de control: “Por eso los expertos en seguridad se imaginan a los terroristas delante de un teclado cerrando fábricas o abriendo las compuertas de una presa para inundar las ciudades situadas río abajo.” E incluso esta temática ha servido de inspiración a la película "La jungla de Cristal 4" como ya comentabamos en un post anterior de este blog.

Esperemos que efectivamente Einstein por una vez, se haya equivocado.

Jon Asin
S21sec Labs

Storm: pump & dump audible

En este blog hemos ido contando algunas de las oleadas de SPAM que recibíamos de la botnet Storm, tanto para ser infectados y pertenecer a su séquito, como simplemente SPAM puro y duro.

En la última oleada que hemos empezado a detectar ayer, las cosas han cambiado: ahora utilizan una antigua técnica llamada pump & dump, pero no usando texto y alguna imagen como estamos acostumbrados a ver de vez en cuando, sino usando un archivo MP3. Pump & Dump es la técnica en la que se utilizan rumores o noticias falsas para inflar el valor de un acción en bolsa. En este caso, en el MP3 una voz sintética de mujer nos comenta el valor de una acción de Canada debido a las próximas ganancias que obtendrán en EEUU.

La relación entre Malware y Economía es cada vez más fuerte, sirva como ejemplo los tres excelentes artículos de recomendable lectura sobre el tema:

• http://www.cio.com/article/135500/Hacker_Economics_Malware_as_a_Service
  
• http://www.cio.com/article/135550/Hacker_Economics_The_Conspiracy_of_Apathy
• http://www.cio.com/article/135551/Hacker_Economics_MPACK_and_the_Next_Wave_of_Malwar

David Barroso

S21sec labs

Storm Worm mimoso

Hasta ahora hemos visto los correos generados por Storm de todo tipo, pero la ola de correos que se está recibiendo ahora es algo que poca gente se esperaba: buscar el corazoncito de sus victimas.

Ahora en los enlaces que aparece en el correo, nos lleva a un flash donde salen dos lindos gatitos; uno de ellos comenta 'What in the world is so funny?', mientras que el que se ríe comenta 'This is the best Catnit Ever'. El título de la página es 'The Laughing Psycho Kitty'.

Los enlaces en la página nos incitan a descargarnos un fichero de nombre SuperLaugh.exe (el típico Zhelatin), y justo al final de la página aparece un exploit para infectarnos.

Recordemos que algunas fuentes indican que nos encontramos ante la mayor BotNet de todos los tiempos, y lo que estamos viendo de sus características técnicas nos demuestran que es una de las más avanzadas tanto en sus mecanismos de propagación, infección o comunicación.

David Barroso

S21sec labs

YABCC: Yet Another Botnet Command&Control Panel

Imaginemos la siguiente situación: tenemos el control de miles de máquinas en Internet porque de alguna forma u otra hemos conseguido ejecutar algún tipo de código malicioso en ellas. ¿Cómo podemos manejar tantos activos? Pues como cualquier producto de software, mediante una consola.

Así es, cada persona o grupo detrás de botnets utilizan sus propias consolas para poder monitorizar el estado de sus bots, o mandar órdenes y que les obedezcan. Todas ellas suelen coincidir en la tecnología utilizada: PHP, Mysql, Apache y Linux. Algunas van un paso más alla, por ejemplo utilizando la tecnología Zend con doble motivo: eficiencia y dificultar el análisis, pero todas ellas tienen funciones similares. Por lo menos:

Realizar ataques de Denegación de Servicio Distribuida (DDoS):

Enviar ordenes a toda la botnet:

Y por supuesto, funciones típicas como son las estadísticas por países, listado de máquinas que hacen de proxy o de socks, etc.

Desde el SOC de S21sec cada cierto tiempo encontramos nuevos paneles de control, casi siempre orientados a una de las tres mayores razones para tener una botnet: el envío de SPAM, el fraude, o la realización de DDoS. En este caso el encontrado hoy es uno de los últimos, y realmente, bastante sencillo.