lunes, 26 de enero de 2009

Ataques Amplificados -RELOADED-

El mercado de la seguridad informática tiene una gran capacidad para reinventarse y redescubrirse continuamente. Todos los años creamos el producto que no puede faltar en nuestra red, y descubrimos la nueva amenaza que finalmente destruirá la Internet.

Los ataques amplificados parecían algo del pasado, pero han renacido y más peligrosos que nunca (?)

¿ Qué es un Ataque Amplificado ?

Básicamente, la idea es generar una respuesta muy grande a partir de un paquete muy pequeño, que por supuesto llegará a la víctima del ataque.

Uno de los ataques amplificados más conocidos es el Smurf attack, en donde enviábamos un paquete ICMP a una dirección de broadcast, y la respuesta de todos los hosts que se encontraban en esa red, retornaba a una dirección de origen spoofeada que correspondía a la víctima.

Atacando con los DNS

Hace solo unos días, el Internet Storm Center de SANS, reportó que una gran cantidad de servidores DNS están recibiendo un "." como consulta, lo que equivale a consultar por la lista de los root nameservers.


~ # host -t ns .
. name server M.ROOT-SERVERS.NET.
. name server H.ROOT-SERVERS.NET.
. name server K.ROOT-SERVERS.NET.
. name server J.ROOT-SERVERS.NET.
. name server I.ROOT-SERVERS.NET.
. name server F.ROOT-SERVERS.NET.
. name server C.ROOT-SERVERS.NET.
. name server B.ROOT-SERVERS.NET.
. name server L.ROOT-SERVERS.NET.
. name server A.ROOT-SERVERS.NET.
. name server E.ROOT-SERVERS.NET.
. name server D.ROOT-SERVERS.NET.
. name server G.ROOT-SERVERS.NET.
~ #


Obviamente esto se encuentra relacionado a un ataque amplificado, en donde la dirección IP que realiza la consulta se encuentra spoofeada por la dirección IP de la víctima, la cual recibirá la respuesta del servidor DNS. La clave para que este ataque sea efectivo, se encuentra en que una gran cantidad de hosts, o una red de botnets, realicen innumerables consultas a muchos servidores DNS, que le responderán a la víctima y provocaran un DoS.

Si quieren comprobar si su DNS es susceptible de ser usado en un ataque de este tipo, pueden verificar si responde a la consulta de "." con el comando "host -t ns .", como se muestra en el ejemplo, con el comando "dig . NS @servidordns", o desde esta web que puso on-line SANS.

Atacando con SNMP

Otro protocolo que utiliza UDP y es susceptible a este tipo de ataques es SNMP. Aquí la clave es encontrar sistemas o dispositivos que posean la community por default, como "public" o "private", y luego consultar información que genere una respuesta muy grande.

Quienes asistieron a la ultima edición de la ekoparty Security Conference, habrán presenciado la charla de los alemanes Simon Rich y Daniel Mende sobre botnets, en donde demostraron un ataque amplificado utilizando SNMP. Este ataque es mucho mas grave aun si tenemos en cuenta la reciente vulnerabilidad en el sistema de autenticación que posee la versión 3 de SNMP.

Pueden descargar el PoC desde aquí.


Leonardo Pigñer
Servicios Profesionales
Publicado por en No hay comentarios:

jueves, 15 de enero de 2009

Inaugurando el Blog

Hola blogósfera!

Estamos inaugurando de esta forma lo que queremos que sea, a partir de ahora, nuestra comunicación con el mundo.

Me gustaría comentarles en este primer post como nació la idea de BASE4 Security, lo que realmente nos une a cada uno de los integrantes de la empresa y donde queremos estar posicionados a futuro.

Los socios de la empresa hemos compartido desde hace más de tres años innumerables jornadas de trabajo y experiencias tanto profesionales como personales en una empresa líder en el área de seguridad de la información. Pero a pesar de haber trabajado muchos años en corporaciones de todos los tamaños –en mi caso particular 20 años, los últimos ocho en cargos a nivel de Gerencia y Dirección-, todos teníamos la idea de, en algún momento, poder independizarnos y crear nuestro propio emprendimiento. Ese momento se dio a finales del 2008 gracias a una de las recurrentes crisis por las que ya estamos acostumbrados a pasar los argentinos. Además, todos de alguna manera nos considerábamos realmente emprendedores dentro de las corporaciones para los cuales hemos trabajado y sentimos pasión por la innovación, la investigación, el desafío de la autosuperación y el cambio continuo.

Queremos aplicar en BASE4 Security, a través de una cultura corporativa, todos los valores anteriormente mencionados. Pensamos en un entorno de trabajo que fomente el desafío constante; de pleno compromiso hacia nuestros clientes, empleados, accionistas, proveedores y todo aquel que tenga contacto con la empresa; donde se pueda trabajar con libertad pero con responsabilidad hacia el cumplimiento de los objetivos planteados; donde la investigación y el aprendizaje continuo sean cosas de todos los días; donde se puedan aplicar mejores prácticas en todos los campos pero dichas prácticas no pesen más que la creatividad y el compromiso; donde podamos divertirnos tanto dentro del horario comercial como fuera del mismo y, donde, por qué no, haciendo todo esto, podamos darle un buen pasar a nuestras familias –en definitiva todo lo que llevamos a cabo lo terminamos haciendo por ellos y no sería posible concretarlo sin su apoyo constante- y a nuestros accionistas.

Por último, imaginamos nuestra empresa como una compañía que, en el mediano plazo, se extienda regionalmente y por que no globalmente, agregando a las soluciones de seguridad lógica –Confidencialidad, Integridad, Disponibilidad y Governance, atributos que dieron origen a nuestro nombre de BASE4 Security-, soluciones de seguridad electrónica, concretando de esta forma una convergencia que, a esta altura, se presagia como ineludible.

Los mejores deseos para la gran familia BASE4 y hasta nuestro próximo post.

Luis Cruz
CEO
Publicado por en 1 comentario:
Suscribirse a: Entradas (Atom)