Se aproxima San Valentín...
Poco después de mi último post, oi sobre un par de submarinos nucleares de UK en Gibraltar, llegaron a estar dos dias y se fueron, luego salieron unas noticias muy curiosas de la marina brtiánica afectada por un gusano misterioso.
Este pollo nada más propagarse, en determinados momentos hace un daño tremendo, consume a la máquina donde está y la deja KO para otras cosas, porque a lo suyo no veas como le va, no es que la máquina se quede tostada, eso le parece al que la quiere usar, la máquina está a toda pastilla intentando propagarse y generando todo el traico que le permita la conexión que tenga.
Estas noticias que os traigo solo son síntomas de ello, ni que le haya afectado a la marina británica o a la francesa quiere decir que hayan sido sus objetivos, no simplemente el pimpollo pasó por ahí y los dejó sin servicios, como le ha pasado a personalidades, a un Ministro de un pais centroeuropeo, a hospitales, juzgados...
Desde entonces hasta se ha planteado una solución para que no se actualice, si puedes predecir esos dominios pues en los DNS "buenos" resuelves esos nombres a unas IP controladas por ti o a una tipo 127.0.0.1 que para cualquier máquina es ella misma y ya estaría, es un poco más complejo pero esa es la base; no lo veo fácil de aplicar a nivel mundial, eso te puede ayudar en grandes corporaciones por dentro, con eso y exremando un poco controles sobre lo que entra y sale ya empezarías a estar protegido, pero no nos creamos, los que han diseñado esto seguro que tienen en cartera alguna vulnerabilidad que no conoce ni Microsoft y su actualización la aprovechará y correrá millas si no has tomado otras precauciones, ante lo que viene solo hay una salida: defensa en profundidad.
Pero esa técnica es muy buena para deshacer la botnet, si llevas el tráfico a una máquina tuya puedes distribuir la vacuna, algo que puede tener sus problemas y no solo legales.
Hace poco hicimos otra medida, pero ahora la información de cantidad de infectados ya no es tan fiable como la primera vez, antes de Navidades todavía no había alerta generalizada sobre este Conficker, desde entonces se han limpiado muchas máquinas, ahora solo es una cifra de cantidad de infecciones con éxito que han hecho los que tu has conseguido contar. Tampoco puedes decir que en un momento dado hubo tantos equipos infectados a la vez, solo sabes que la cantidad de ataques con éxito han sido de... 100 millones, de Conficker A que es el que pudimos medir porque la infraestructura que teníamos no permitía más, de hecho no pudimos con todo el tráfico del A.
Se supone que hoy ya esta operando la solución esa, lo hace OpenDNS, si te configuras en sus equipos sus DNS, estos dominios malos ellos los resuelven, por ahora de lo que voy viendo a ninguna IP y así no vas a ningún sitio ni haces nada. De tanto en tanto podrán hacer pruebas y resolver a una IP alguno concreto para tomar medidas, pero vamos, mejor dejar estos dominios sin resolver la mayor parte del tiempo. Claro, que no todo el mundo lo sabe, no todo el mundo sabría cambiarse el DNS... así que muchos confiquerados llegarán a su pastor.
Este fin de semana pasado ha habido un cambio en el ritmo de activar dominios por parte de los malos y en las IPs que han elegido para ello, varias IPs para cada uno, algunas de ellas apuntando a un sitio bueno, intentando aparentar que era una gran empresa conocida la que los registraba, hoy los buenos han activado cerca de 20 dominios para tomar medias a lo grande, no creo que me vaya a enterar de lo que saquen, pero algo trascenderá en no mucho tiempo.
De mis conocidos, el que más sabe de seguridad, cree que andamos escasos de tiempo, los que han hecho esto van a dejar marca de hacker. La primera demostración de fuerza va a tener lugar este fin de semana, San Valentín y los Viernes 13 son fechas de grupos de hackers, y este tiene una intuición muy fina, estos quieren fama.
No se si tiene que ver, desde el domingo se está realizando una serie de ataques DDoS contra portales especializados en seguridad, probablemente no, pero ocurre. Es interesante segurilos por las pistas que te puedan dar.
http://blog.metasploit.com/2009/02/path ... und-3.html
Podéis ver que por ahora ha habido tres rounds y les han obligado a tomar medidas drásticas, claro que no son grandes sitios con unas infraestructuras inmensas, pero no son cualquier cosa; les han obligado a cambiar de IP para que el ataque siga contra la vieja y ellos poder dar servicio en otra, resolver ellos mismos a 127.0.0.1 durante unas horas para que les dieran un cuartel... y son gente especializada en seguridad, que saben defenderse... pero les han mandado mucha leña, por los datos que da de tráfico, con 10 mil adsl estandar de España pilladas lian ese estropicio seguro y para que sea de continuo, entre que unos apagan el equipo porque se van a currar o lo que sea, a lo ancho del mundo la efectividad media de un equipo pillado es de unas 8 horas al dia, pues con 30.000 obligan a especialistas a enrocarse dia y noche, así que con varios millones, pues una de dos: o hacen lo mismo pero más veces o se atreven con algo más grande.
Si yo fuera el malo y supiera hacerlo, con el Conficker habría distribuido un componente rootkit, que se instalase en el MBR del disco duro de sistema y la parte visible, pues el dia de San Valentín, que saque una postal en todos los equipos infectados y como si fuera un chaval que le dice a su vecina que está enamorado y no sabía como decírselo y si encima tienen a alguien que se preste a dar la cara y decir si fui yo (y sepa sostenerlo ante especialistas, claro) pues mejor que mejor.
Vale que por ahora ha causado un daño a muchas empresas, pero debe ser tanto el pánico a ver qué es lo que hace que si sale un crio con pinta de genio diciendo fui yo que soy muy tímido y sale lo mismo hasta su cara en la postal, como los mayores dañados han sido grandes sitios, entre la gente normal no ha casuado estragos, pues resulta que tiene pocos enemigos y se haría especialmente famoso, no creo que las grandes empresas quieran ponerse a llevar a tribunales a un chaval un tanto débil y de un pais pobre de centroeuropa, de Ucrania por ejemplo, pues resulta que Conficker intenta propagarse por todos sitios, pero detecta qué IPs son de Ucrania y de esas pasa.
De esa manera podrían haber dejado sus rootkits para años y años en las empresas, todo el mundo diría "menos mal" y con lo caro que tiene que ser para una gran empresa ponerse a encontrar los equipos infectados, parchear a toda máquina montones de máquinas, portátiles, servidores... si ven que poco después no ha pasado nada, tenemos los equipos pilados ad-eternum, porque cuando lleguen otros modelos nuevos, los infectarán desde el de al lado.
Hace no mucho que han salido esos componentes rootkit, trabajan sin que el sistema operativo sepa de ellos, pueden ejecutar cosas en el sistema operativo y este se cree que es un usuario o el propio sistema, se comunican y se saltan el firewall local, se comunican con sus centros de control por canales cifrados, los grandes especialistas hablan ya de Malware Operating System, se ve que están haciendo módulos que acabarán por ensamblar.
Unos enlaces por si hay curiosidad:
Malware Operating System
http://www.sahw.com/wp/archivos/2008/10 ... t-mebroot/
Desde Rusia dejan fuera de Internet a Kyrgzystan
http://www.theregister.co.uk/2009/01/28 ... d_offline/
La Royal Navy despliega una versión modificada de Windows en su flota de submarinos nucleares:
http://www.google.es/url?q=http://www.s ... KcHEejrl1w
Un virus misterioso deja sin Internet a la Royal Navy, a un 75% reconocido, dicen que a los sistemas de navegación y de armamento no les afectó.
http://www.theregister.co.uk/2009/01/15 ... /comments/
http://www.sophos.com/blogs/gc/g/2009/0 ... l-systems/
Hospitales en Londres afectados por Conficker
http://article.wn.com/view/2008/11/19/C ... hospitals/
La Corte de Houston afectada por Conficker
http://www.theregister.co.uk/2009/02/09 ... infection/
http://www.napera.com/blog/?p=647
El Ministro de Economía de Eslovenia afectado.
http://www.sloveniatimes.com/en/inside. ... 436DBF408E
Mirad quienes dicen tener un proyecto de producto antimalware de nueva generación que lo ha detectado: una universidad paquistaní y lo dicen preciándose de que detectan las variantes de Conficker sin tener conocimiento previo de ellas a pesar de los palos que le ha dado a por ejemplo la marina inglesa. El concepto de "AIS" "Artifficial Inmune System" ya lleva unos años de recorrido, no se donde se concibió, si en una mente de esa zona o de otra. Pero es curioso ver quien ha sido el primero en tener algo operativo que es bueno suficientemente para detectar esto, lo mismo son unos medallistas y en realidad ya hay por ahi otros desarrollos sobre esto que le dan cien mil vueltas, claro que ellos dicen que por muy buenos que sean, el que tenga la marina británica (si es que tiene) no lo detectó.
Os pongo unos enlaces de la caché de Google:
http://209.85.229.132/search?q=cache:Kr ... =firefox-a
http://209.85.229.132/search?q=cache:e_ ... =firefox-a
A los franceses les dejó los aviones en cubierta, no se podían descargar los planes de vuelo.
http://www.theinquirer.es/2009/02/08/la ... liker.html
http://www.cio.com/article/480115/Confi ... vy_Network
Conficker Worm Sinks French Navy Network
A highly disruptive Internet worm has claimed a new victim: the French navy.
By Robert McMillan
February 09, 2009 — IDG News Service — A highly disruptive Internet worm has claimed a new victim: the French navy.
The worm, known as Conficker, forced the navy to voluntarily cut network connectivity to stop the worm from spreading on its Intramar network last month. Web browsing and email messaging on the network were disrupted, and some users were forced to rely on more conventional means of communication such as the telephone, fax or postal system, navy spokesman Jerome Erulin told the Ouest-France newspaper (in French). The French navy could not be reached immediately for comment on this story.
Reports indicate that the worm was probably introduced when an infected USB drive was plugged into a computer on the network, probably by a soldier who was working from home. One of the ways Conficker has spread is by infecting things like flash drives and cameras and then copying itself onto PCs when they are plugged in. The worm can also spread throughout a local area network, but it is usually blocked from jumping to other networks by firewall software, which has kept it from becoming much more widespread.
Erulin told Agence France Presse (AFP, in French) that the infection was first detected on Jan. 12, nearly three months after Microsoft issued an emergency Windows patch for the vulnerability that Conficker exploits.
He disputed a report in Intelligence Online that the worm had grounded the French navy’s Rafale fighter jets, saying the worm did not affect operational systems. "The operational networks are much more secure," he told AFP.
The French navy isn't the only organization that didn't patch its systems in advance of the Conficker outbreak. Security experts believe the worm has infected more than 10 million computers worldwide, and it is reported to have infected low-level systems within the British military.
Copyright © 2008 IDG News Service. All rights reserved. IDG News Service is a trademark of International Data Group, Inc.