Massive DoS?

Hay que tener cuidado con lo que se desea… no vaya a ser que se cumpla.

Esto es lo que deberían pensar los dirigentes del Pakistán cuando quisieron “erradicar” las comunicaciones con el conocidísimo portal YouTube.

Dichos dirigentes, decidieron que los contenidos de este popular portal no eran lo suficientemente buenos para ser visualizados por sus conciudadanos por lo que pidieron su prohibición a los proveedores de Internet (ISP).

El problema vino cuando ignorando lo que se podría venir un entusiasmado ISP decidió que la mejor forma de cumplir con lo dictado por los dirigentes era redirigir el tráfico de este portal a cualquier otra IP con contenidos “más apropiados”.

La primera consecuencia… YouTube desapareció de Internet por lo menos una hora, y mientras seguían trabajando para poder arreglar semejante “entuerto”, desde PCCW no tuvieron más remedio que “apagar” la red de Pakistán de Internet.

Resumiendo, un DoS masivo que afectó a un país entero.

Más información aqui.

José María Arce Guillén
S21sec labs

Emerging Threats

Hace un mes aproximadamente, Matt Jonkman, de Bleeding Threats cerraba su página despues de estar durante más de cinco años manteniendo un conjunto de reglas "alternativo" para el IDS Snort (Bleeding Snort). Estas reglas se caracterizaban principalmente por estar más actualizadas y era cuestión de horas el disponer de, por ejemplo, la detección de un exploit remoto que acababa de publicarse.

También eran muy interesantes las reglas que tenía relacionadas con el malware, principalmente de conexión de los ordenadores infectados con su C&C ("calling home!"), que permitian a los administradores detectar algunos ordenadores infectados en sus redes.

Pero como la conocida marca de turrones, todo lo bueno vuelve por Navidad. Matt acaba de confirmar que su proyecto sigue en pie, con un nuevo nombre, Emerging Threats. Así que podemos seguir contando con reglas tan interesantes como el tráfico de la ya extinta Russian Business Network, o conexiones a C&C conocidos.

¡Felices Fiestas!

David Barroso

S21sec labs

Operación Bot Roast

La policía de Nueva Zelanda, en colaboración con el F.B.I., ha llevado a cabo hace pocos días la segunda fase de la operación Bot Roast, en la que se ha conseguido detener a uno de los líderes del uso de botnets, a quien se acusa de contar con el control de cerca de un millón de ordenadores.

La operación Bot Roast comenzó de manera oficial el pasado junio en Estados Unidos con la detención de tres personas, en Seattle y Arlington, acusadas en alguno de los casos de infectar los ordenadores de varios hospitales de Chicago, además de infectar miles de ordenadores en todo el mundo que usaban para generar ataques DDoS, además de mandar millones de correos spam a través de estos ordenadores o de robar identidades y blanqueo de dinero en otros.

La segunda fase de la operación ha llevado a los investigadores hasta Nueva Zelanda. La policía del país, junto con el servicio secreto de los Estados Unidos y el F.B.I. ha descubierto la trama dirigida por uno de los cabecillas detenidos, que en la red se hace llamar Akill.

Akill es un chico de 18 años que habría infectado, según estimaciones, cerca del millón de ordenadores en todo el mundo, con intención de usarlos como arma para actividades ilegales, principalmente ataques DDoS, y haber obtenido unos beneficios ilegales de cerca de 25 millones de dolares. En total han sido detenidas 8 personas desde junio en dicha operación, todos relacionados con el uso de botnets. Las investigaciones continúan abiertas.

Las autoridades estadounidenses han advertido a los usuarios que protejan sus ordenadores, aunque la eterna pregunta es si son los usuarios los responsables de proteger sus ordenadores, o es tarea de los vendedores de software el hacer sus programas y sistemas operativos más robustos para evitar este tipo de problemas. La gran mayoría de estos usuarios ni siquiera saben que su ordenador está siendo usado para realizar actividades maliciosas.

Sin embargo, a pesar de la cantidad de ordenadores infectados, estas detenciones no deben ser consideradas como el fin de los correos spam. Se ha conseguido detener una pequeña parte, pero queda mucho por hacer. Aunque los datos existentes ofrecen para nosotros un número de ordenadores infectados un poco exagerado, ¿cuántos de esos ordenadores pertenecen a usuarios españoles?

Miguel López-Negrete
S21sec labs