Google anuncia "escudo protector" contra DDoS

octubre 31, 2013 § Deja un comentario

La iniciativa “Project Shield” se encuentra en etapa de pruebas y Google busca interesados en probar su escudo contra ataques DDoS.

Entre las actividades ciberdelictivas, una de las más difíciles de protegerse son los ataques distribuidos de denegación de servicio, DDoS. El procedimiento en sí consiste en desbordar el objetivo con un enorme volumen de conexiones realizadas desde distintos PC, dejando así fuera de servicio el servidor de la víctima.

Google se ha propuesto asistir en la prevención de tales ataques, mediante una iniciativa denominada “Project Shield”. Como su nombre lo indica, el proyecto crea un “escudo” contra ataques DDoS que, en lo fundamental, permite continuar operando el servidor incluso durante un ataque de tales características.

Según Google, el sistema está basado en una combinación de sus propias tecnologías anti DDoS, y su solución PageSpeed. PageSpeed es un servicio que permite a los sitios web presentar sus contenidos mediante servidores dedicados de Google, que optimizan la descarga de los datos.

En otras palabras, el servicio Project Shield utiliza la propia infraestructura de Google con el fin de contener sustancialmente el efecto de los ataques DDoS.

Según Google, tales ataques son relativamente sencillos y baratos de realizar. Sin embargo, pueden causar un gran perjuicio, especialmente a sitios de pequeñas empresas u organizaciones, que disponen de capacidad e infraestructura limitada.

La empresa menciona una razón adicional que justifica la existencia del escudo protector: la libertad de expresión. En efecto, numerosos “actores” utilizan los ataques DDoS para doblegar a sus opositores y así socavar la libertad de expresión. Tales ejemplos abundan en regímenes totalitarios.

El sistema se encuentra en etapa de pruebas, por lo que es incierta su eficacia. Como parte de los ensayos, Google se interesa en contactar testers “confiables”, relacionados a entidades de medios independientes o de derechos humanos, que puedan probar el sistema mediante el sitio web del proyecto.

Fuente: DiarioTI

El Reino Unido arrestó a un adolescente por el ataque a SpamHaus

septiembre 30, 2013 § Deja un comentario

La Unidad Nacional de Crimen Cibernético de Gran Bretaña arrestó “en secreto” a un joven de 16 años residente en Londres bajo la sospecha de estar involucrado en el “mayor ataque cibernético en la historia de internet” contra SpamHaus.

Se ha informado de que hace varios meses fue arrestado este adolescente, cuyo nombre no se ha revelado, como parte de la investigación sobre el mayor ataque distribuido de denegación de servicio (ataque DDoS) de la historia, contra Spamhaus, que fue presuntamente ejecutado por el grupo holandés CyberBunker el 20 de marzo de este año.

Ese día, los servidores de la organización antispam holandesa, que rastrea los envíos de spam por correo electrónico y demás actividades con ‘información basura’, llegó a verse inundado con 300.000 millones de bits por segundo (300Gbps) de datos, un ataque tres veces más grande que el anterior récord de 100 Gbps.

El adolescente pasó a ser sospechoso después de comprobarse que “importantes sumas de dinero” estaban “fluyendo a través de su cuenta bancaria”, informó este jueves el periódico ‘London Evening Standard’.

“El sospechoso fue encontrado con sus sistemas informáticos abiertos y conectado a varios sistemas virtuales y foros”, explicó el diario, citando una nota informativa de la Unidad Nacional de Delitos Cibernéticos.

Según el ‘Evening Standard’, la detención se realizó en abril en la casa del joven en el suroeste de Londres, pero los detalles de la misma se dieron a conocer hace poco al diario.

Fuente: RT

Robaron millones en tres bancos de EE.UU. mientras simulaban otros ataques

agosto 23, 2013 § Deja un comentario

Hacían caer las páginas Web de los bancos. Mientras los responsables de seguridad informática trataban de solucionarlo, los atacantes aprobaban transferencias fraudulentas.

Un grupo de delincuentes robó millones de dólares de tres bancos estadounidenses con un original sistema: lanzaban ataques DDoS (ataque distribuido de denegación de servicio, por sus siglas en inglés) para distraer la atención de los responsables de seguridad informática en los bancos. Los delincuentes aprovechaban ese momento para sus transferencias fraudulentas. También se distinguieron por cometer el delito usando las claves de empleados bancarios, y no las de sus clientes, como suele producirse.

Lo reportó hoy la revista especializada en seguridad informática SC Magazine, que no dió detalles sobre el nombre de los bancos ni sobre la cantidad robada. Los ataques DDoS tienen éxito cuando muchas computadoras solicitan el acceso a un sitio Web y hacen caer la página. Según la revista, en este caso fueron de baja intensidad: las páginas sólo estaban de baja el tiempo necesario para distraer la atención de las transferencias fraudulentas que mientras tanto se llevaban a cabo. Para los ataques DDoS, los delincuentes usaron el malware Dirt Jumper, un programa informático que se vende por 200 dólares.

Los especialistas consultados por SC Magazine especularon con la posibilidad de que los delincuentes tuvieran acceso a las transferencias después de robar las claves de empleados bancarios mediante un malware que previamente habrían instalado en sus computadoras  usando la técnica de phishing. “Los atacantes que obtuvieron las credenciales de varios empleados pudieron obtener privilegios de acceso para manejar todos los aspectos de las transferencias, incluyendo la aprobación”.

Fuente: Clarín

DDoS: Análisis de Ataques Coordinados

agosto 22, 2013 § Deja un comentario

NOTA: Este articulo fue publicado originalmente en inglés en la revista PenTest Magazine.
Ramiro Caire – IT professional & Security Consultant
ramiro.caire at gmail.com – Twitter: @rcaire

Este artículo cubrirá algunos conceptos acerca de un tipo de ataque conocido llamado “DDoS” (Denegación de Servicio Distribuído, por sus siglas en ingles) con algunas demostraciones en laboratorio como “Prueba de Concepto” con algunas contramedidas. En este paper, nos enfocaremos en dos tipos de ataques: “SYN Flood” y “Slow HTTP DDoS Attack“.

Entendiendo DDoS

Es muy probable que ud ya conozca el Ataque de Denegación de Servicio Distribuído (DDoS) el cual es una extensión del ya conocido DoS (Denial of Service) que sucede cuando el servidor objetivo se ve saturado de peticiones TCP o UDP a determinado servicio (por lo general, servicio web al puerto 80, pero esto depende de las intenciones del atacante, cualquier servicio puede ser vulnerable) dejando de responder incluso a peticiones genuinas.

El concepto de “Distribuído” es concerniente a que estas peticiones son realizadas desde cientos, miles de máquinas infectadas (comunmente llamadas “zombies”) las cuales son gobernadas a través de “Botnets” de manera coordinada al mismo tiempo, lo cual supone una sumatoria de ancho de banda, uso de memoria y procesamiento en el objetivo que, por lo general, ningun servidor podría soportar, terminando en un colapso del servicio atacado por no poder responder cada peticion.

En este articulo haremos foco en dos tipos de ataques, los mismos son “SYN flood” y “Slow HTTP DDoS Attack”.

La clave del éxito para los ataques de DDoS es la cantidad de “zombies” con que cuenta cada Botnet. Podemos afirmar que mayor es el número de máquinas atacantes, mayor es la efectividad del ataque.

A modo de ejemplo, hagamos el siguiente cálculo rápido:
Una “botnet” tiene 3000 máquinas zombies listas para atacar. Cada máquina utiliza una conexion hogareña (generalmente xDSL) con un promedio de 128 Kib/s de ancho de banda de subida (upstream):

3000 hosts * 128 KiB/s (upstream) = 384000 KiB/s = 375,00 MiB/s

Es decir, se genera un tráfico resultante de 375,00 MiB/s, el cual es un ancho de banda más que suficiente para colapsar prácticamente cualquier sistema (aún estando protegido) ya que los vínculos que los ISP le otorgan a los servidores target son claramente inferiores a este valor. Pero este no es el único factor que influye en el éxito de un ataque DDoS, también podemos mencionar la variante de ataque que se realizará (descriptos anteriormente), la buena o mala configuración de los servidores target, la duración del ataque, etc.

Contenido completo en fuente original VanguardsecParte I y II

DDoS a televisores Samsung

julio 26, 2013 § Deja un comentario

Una vulnerabilidad en la última versión del firmware del sistema de red instalado en los televisores inteligentes de Samsung permite ataques DDoS.
Según el investigador de seguridad Malik Mesellem que lo ha descubierto, el servidor web (DMCRUIS/0.1) instalado sobre las Smart TV en el puerto TCP/5600 puede ser hackeado reiniciando el terminal como han demostrado con un exploit (un simple ping) sobre un modelo de plasma Samsung PS50C7700. Malisek además ha puesto a disposición una PoC en Python del exploit para resetear el televisor a través de la vulnerabilidad, que ha recibido el CVE-2013-4890.

En la demostración, el televisor está conectado vía LAN Ethernet a una red doméstica y el exploit se carga contra la dirección IP del televisor obteniendo acceso permitiendo ataques de denegación de servicio.

Hace tiempo que se conoce que los televisores inteligentes conectados a Internet (y no sólo de Samsung) son uno de los eslabones más débiles de la seguridad de la red.

Fuente: Muy Seguridad

BoNeSi: The DDoS Botnet Simulator

mayo 9, 2013 § Deja un comentario

Los ataques de denegación de servicio están a la orden del día. Diversos grupos de ciber-criminales los usan para extorsionar a empresas e instituciones entre otros objetivos. También se sabe del uso de ataques de denegación de servicio para dejar inoperativos según que servicios en plan de protesta.

Hace tiempo vi un software que permitía simular un ataque de denegación de servicio, de esta manera podremos ver que impacto causaría en la red. Además permite generar tráfico del tipo: ICMP, UDP y TCP (HTTP) flooding. Incluso veremos el ataque desde distintas IP’s.

El software es Open Source y lo podemos bajar de aquí.

./configure
make
make install.

Es sencillo de instalar una vez instalado podemos lanzar un ataque y ver como se vería en la parte de servidor web. En primer lugar lanzamos bonesi con las opciones más básicas.

Contenido completo en fuente original Flu-Project

Arrestan a Olaf por el supuesto "ciberataque más grande a internet"

abril 27, 2013 § 1 comentario

El detenido por el ciberataque es el portavoz del presunto autor del ataque contra Spamhaus, el grupo CyberBunker. La detención se ha realizado en España.

El holandés de 35 años ha sido detenido por su presunta participación en los ataques cibernéticos contra Spamhaus, según el Ministerio Público holandés. La detención se ha realizado en España. Se cree que se trata de Sven Olaf Kamphuis, portavoz del grupo CyberBunker.

En un comunicado publicado en la página web de la Oficina Nacional del Ministerio Público determinan al sospechoso detenido con la abreviatura SK. Según afirman, SK es sospechoso de llevar a cabo un fuerte ataque contra Spamhaus, organización con base en Londres y Ginebra que se dedica a la lucha contra el spam en internet.

La agresión contra Spamhaus, que los especialistas tachaban como el ataque más masivo de la historia, empezó a mediados de marzo y el momento más fuerte fue el 27 de marzo.

El ciberataque récord se produjo después de que la compañía antispam decidiera bloquear el sitio de Cyberbunker, proveedor de servicios de alojamiento en internet, al sospechar que Cyberbunker ofrece sus servicios para los autores de spam. Los representantes de Cyberbunker acusan a Spamhaus de abuso de poder.

En una entrevista concedida en marzo, tras el ataque masivo a Spamhaus Sven Olaf Kamphius dijo que en los medios reinaba cierta desinformación en torno a la autoría de estos ataques, que atribuyeron exclusivamente a su empresa, y tachó a Spamhaus de ser la “mayor amenaza” para la libertad en la red. El portavoz recalcó que Spamhaus solo finge combatir el spam para acusar a gente que en realidad no tiene culpa de nada.
“Lo hacen de manera regular”, denunció Kamphius, que añadió que “si las personas no cumplen con sus demandas ponen en la lista negra el proveedor entero de Internet”.

“Las tácticas mafiosas de Spamhaus actualmente son, sin duda, la mayor amenaza para la libertad de Internet”, recalcó el portavoz de CyberBunker, que señaló a un gran colectivo de proveedores de Internet en todo el mundo llamado Stophouse.com. como posible responsable del ataque.

Fuente: RT

¿Dónde estoy?

Actualmente estás explorando la categoría dos en Seguridad Informática.