Hemos diseñado este glosario para explicar los AVISOS DE INCIDENTES DE SEGURIDAD que enviamos a los clientes cuando son parte de uno de estos.
1. ¿Qué es un ataque SSH saliente?
Un ataque SSH saliente es un incidente en el que se indica que uno a más máquinas de la empresa reportada (por esta oficina) está generando reiterados intentos de exploración y/o ataques de fuerza bruta contra servidores remotos en el puerto 22 / TCP (conocido como protocolo, SSH, o Secure Shell) Normalmente, el cliente que genera esta actividad no es el atacante en sí, mas bien es una víctima más de los hackers. Los hackers crean armadas de sistemas comprometidos, al usar programas no muy complejos para automatizar su expansión. Es muy común que busquen debilidades más populares en las aplicaciones web, como el caso de los scripts PHP (Ej. Horde, PHP Nuke, PHBB, etc.) Posteriormente, usan los mismos sistemas comprometidos para dirigir otro tipo de ataques automatizados de expansión, esta vez a sistemas un poco más seguros (o en teoría más seguros), como aquellos que usan SSH. No obstante, desde que el hacker tiene acceso “root” en el host comprometido, el espionaje, el fraude, el chantaje, el caos-cibernético y otras actividades delictivas son altamente viables. El riesgo de estos incidentes se vuelve mayor cuando el servidor Linux afectado es en realidad el mismo firewall de la compañía, lo que provoca que las comunicaciones y transacciones del negocio y/o personales se vuelvan totalmente inseguras y repudiables.
Un ataque SSH saliente es un incidente en el que se indica que uno a más máquinas de la empresa reportada (por esta oficina) está generando reiterados intentos de exploración y/o ataques de fuerza bruta contra servidores remotos en el puerto 22 / TCP (conocido como protocolo, SSH, o Secure Shell)
Normalmente, el cliente que genera esta actividad no es el atacante en sí, mas bien es una víctima más de los hackers.
Los hackers crean armadas de sistemas comprometidos, al usar programas no muy complejos para automatizar su expansión. Es muy común que busquen debilidades más populares en las aplicaciones web, como el caso de los scripts PHP (Ej. Horde, PHP Nuke, PHBB, etc.) Posteriormente, usan los mismos sistemas comprometidos para dirigir otro tipo de ataques automatizados de expansión, esta vez a sistemas un poco más seguros (o en teoría más seguros), como aquellos que usan SSH.
No obstante, desde que el hacker tiene acceso “root” en el host comprometido, el espionaje, el fraude, el chantaje, el caos-cibernético y otras actividades delictivas son altamente viables.
El riesgo de estos incidentes se vuelve mayor cuando el servidor Linux afectado es en realidad el mismo firewall de la compañía, lo que provoca que las comunicaciones y transacciones del negocio y/o personales se vuelvan totalmente inseguras y repudiables.
2. SPAM: "SPAM Varios / SCAM / UCE / PHISHING SCAM"
El SPAM o correo basura es todo mensaje no deseado por el destinatario, quien comúnmente es quien reporta o denuncia el SPAM a nuestra oficina. El SPAM es de varios tipos. El primero, el SCAM, es un tipo de SPAM donde se induce al destinatario a realizar algo a través de la mentira. El segundo, el UCE, es el correo no deseado que es enviado con fines comerciales, es decir, para vender u ofrecer algún servicio. Un tercero y último, el Phishing SCAM, es aquel correo que es enviado con la finalidad de incitar a la víctima (destinatario) a entregar datos privados, y así cometer un fraude con la víctima. 2.1 ¿Qué es un incidente de SPAM Varios? Son aquellos incidentes en los que se han reportado el envío de mensajes no deseados, no tipificados como UCE o Phishing SCAM. Razón por la que fue categorizado como “SPAM varios”. Es decir, no son totalmente comerciales (no venden algo necesariamente) Este tipo de incidentes son emitidos por aquellos que han recibido el SPAM, por ejemplo: personas comunes y corrientes, oficinas de abuse de otros ISP, etc. Normalmente, aunque no en todos los casos, el responsable de la dirección IP que envió el SPAM, no es realmente quien lo confeccionó. Esto se debe a que muchos de los sistemas empleados para enviar SPAM, son manejados remotamete por los hackers y/o criminales (ver convención). Así, los hackers subarriendan estos hosts a spammers que desean enviar su propaganda masivamente. Los hackers instalan ocultamente motores de envío de correo en las máquinas comprometidas, de tal forma que la convierten en una potente plataforma de envío de mensajería distribuida. 2.2 ¿Qué es un incidente de SCAM? SCAM es una palabra inglesa que significa “timo o estafa”. Esta clase de incidentes viajan principalmente a través de correos electrónicos, que usan los mismos mecanismos o plataforma que usa el SPAM. Este incidente refleja que un mensaje tipo SCAM ha salido de los sistemas del afectado, quien a u vez es notificado por esta oficina. Al igual que en los incidentes “SPAM varios”, el SCAM podrían haber salido de la red del afectado sin que éste lo haya siquiera percibido. 2.3 ¿Qué es un incidente de “UCE”? UCE es la abreviatura en inglés de las palabras “Unsolicited Commercial E-mail”. Para nuestra categorización, UCE es todo tipo de incidente que reporta un spam estrictamente comercial, es decir, que ofrece algún servicio a cambio de dinero. 2.4 ¿Qué es un incidente de “phishing SCAM”? En general el phishing está compuesto de dos elementos; el primero, un correo electrónico fraudulento; y el segundo, un sitio web fraudulento. En el glosario (Nro.3) de phishing se ha precisado sólo al segundo elemento, tanto para aquellos casos donde el sitio web estuvo alojado fuera del Perú, como para aquellos otros donde estuvo alojado en algún cliente de TELMEX PERU S.A. Esta nueva categoría de incidentes trata de precisar al primer elemento, es decir, aquel que viaja por correo electrónico. Así, el phishing SCAM es un tipo de incidente donde se reporta que un mensaje de tipo fraudulento ha salido de algunos de los sistemas del afectado. Recomendación técnica de solución: Si el mensaje de SPAM ha sido emitido por un servidor de correo, entonces debe revisar cosas como: OPEN-RELAY, OPEN-PROXY, u otras vulnerabilidades en éste. También se sugiere optar por una solución ANTI-SPAM. Si en cambio, el mensaje fue enviado por estaciones en su LAN, siga las recomendaciones descritas para "PC Zombies CONFIRMADAS".
El SPAM o correo basura es todo mensaje no deseado por el destinatario, quien comúnmente es quien reporta o denuncia el SPAM a nuestra oficina. El SPAM es de varios tipos. El primero, el SCAM, es un tipo de SPAM donde se induce al destinatario a realizar algo a través de la mentira. El segundo, el UCE, es el correo no deseado que es enviado con fines comerciales, es decir, para vender u ofrecer algún servicio. Un tercero y último, el Phishing SCAM, es aquel correo que es enviado con la finalidad de incitar a la víctima (destinatario) a entregar datos privados, y así cometer un fraude con la víctima.
2.1 ¿Qué es un incidente de SPAM Varios?
Son aquellos incidentes en los que se han reportado el envío de mensajes no deseados, no tipificados como UCE o Phishing SCAM. Razón por la que fue categorizado como “SPAM varios”. Es decir, no son totalmente comerciales (no venden algo necesariamente)
Este tipo de incidentes son emitidos por aquellos que han recibido el SPAM, por ejemplo: personas comunes y corrientes, oficinas de abuse de otros ISP, etc.
Normalmente, aunque no en todos los casos, el responsable de la dirección IP que envió el SPAM, no es realmente quien lo confeccionó. Esto se debe a que muchos de los sistemas empleados para enviar SPAM, son manejados remotamete por los hackers y/o criminales (ver convención). Así, los hackers subarriendan estos hosts a spammers que desean enviar su propaganda masivamente.
Los hackers instalan ocultamente motores de envío de correo en las máquinas comprometidas, de tal forma que la convierten en una potente plataforma de envío de mensajería distribuida.
2.2 ¿Qué es un incidente de SCAM?
SCAM es una palabra inglesa que significa “timo o estafa”. Esta clase de incidentes viajan principalmente a través de correos electrónicos, que usan los mismos mecanismos o plataforma que usa el SPAM.
Este incidente refleja que un mensaje tipo SCAM ha salido de los sistemas del afectado, quien a u vez es notificado por esta oficina. Al igual que en los incidentes “SPAM varios”, el SCAM podrían haber salido de la red del afectado sin que éste lo haya siquiera percibido.
2.3 ¿Qué es un incidente de “UCE”?
UCE es la abreviatura en inglés de las palabras “Unsolicited Commercial E-mail”. Para nuestra categorización, UCE es todo tipo de incidente que reporta un spam estrictamente comercial, es decir, que ofrece algún servicio a cambio de dinero.
2.4 ¿Qué es un incidente de “phishing SCAM”?
En general el phishing está compuesto de dos elementos; el primero, un correo electrónico fraudulento; y el segundo, un sitio web fraudulento.
En el glosario (Nro.3) de phishing se ha precisado sólo al segundo elemento, tanto para aquellos casos donde el sitio web estuvo alojado fuera del Perú, como para aquellos otros donde estuvo alojado en algún cliente de TELMEX PERU S.A.
Esta nueva categoría de incidentes trata de precisar al primer elemento, es decir, aquel que viaja por correo electrónico.
Así, el phishing SCAM es un tipo de incidente donde se reporta que un mensaje de tipo fraudulento ha salido de algunos de los sistemas del afectado.
Recomendación técnica de solución:
3. ¿Qué es un incidente de “Phishing contra banca peruana”?
Los incidentes de phishing en general son reportes donde se indica que alguien estaría falsificando un sitio web a fin de cometer un fraude (hurto de número de tarjeta de crédito/débito, PIN, etc). En el caso de esta categoría, se tratarían de falsas páginas electrónicas de un banco local en procura de que se hurte información de sus clientes.
Los incidentes de phishing en general son reportes donde se indica que alguien estaría falsificando un sitio web a fin de cometer un fraude (hurto de número de tarjeta de crédito/débito, PIN, etc).
En el caso de esta categoría, se tratarían de falsas páginas electrónicas de un banco local en procura de que se hurte información de sus clientes.
4. ¿Qué es un incidente de “Amplificación de actividad viral”?
Básicamente es un reporte donde se indica que un sistema estuvo generando ataques con el patrón propio de un gusano (red/correo) o un virus (correo). Esto es indicio que el afectado descuidó la seguridad de sus sistemas, al dejarlas propensas a virus y gusanos. Esta deficiencia es ajena a si existía o no un antivirus en el sistema afectad. Por otro lado, estos programas están hechos para propagarse de manera asistida o autónoma. De tal forma que el usuario del sistema afectado puede no darse cuenta del problema.
Básicamente es un reporte donde se indica que un sistema estuvo generando ataques con el patrón propio de un gusano (red/correo) o un virus (correo).
Esto es indicio que el afectado descuidó la seguridad de sus sistemas, al dejarlas propensas a virus y gusanos. Esta deficiencia es ajena a si existía o no un antivirus en el sistema afectad.
Por otro lado, estos programas están hechos para propagarse de manera asistida o autónoma. De tal forma que el usuario del sistema afectado puede no darse cuenta del problema.
5. ¿Qué es un incidente PCS ZOMBIS CONFIRMADA?
Una PC Zombi es un sistema (computadora generalmente) que ha sido secuestrada por un hacker para su uso o antojo, normalmente para realizar actividades criminales. Como envío de SPAM, robo de tarjetas de crédito del usuario del sistema, Advertisers Pop-up, ataques DDoS, entre muchos otros. Confirmar la presencia de una PC zombi en la red de un cliente no es una tarea que puede lograrse sólo con los incidentes de “amplificación de actividad viral”, por más que ambos guarden estrecha relación. Esta tarea de confirmación debe ser realizada por el afectado, a través de un análisis forense de la red o sistemas de donde se reporta un incidente de la categoría 5. Sin embargo, en los últimos años, aunque aún de manera muy escasa, los administradores de algunas redes IRC, escriben a esta oficina cuando detectan la presencia de conexiones sospechosas que guardan relación con una PC Zombi. Nota: Por tratarse de información que podría ser útil por hackers, esta oficina se reserva la publicación de más detalles al respecto de éste tipo de incidentes. Recomendación técnica de solución: [Ej. Esta es una recomendación típica para una Cabina de Internet] Dada la patología del problema, es muy probable que todas sus estaciones estén afectadas. Por esa razón esta recomendación se extiende a toda su red. Apague todos sus sistemas. Encienda sólo 1 y reinstale el sistema operativo (ORIGINAL). ASIGNE UNA CONTRASEÑA a la cuenta "Administrator o Administrador o Root" (según sea el caso) http://www.telmex.com.pe/seguridad/internet/diario/T233cnicas+Para+Crear+Mejores+PASSWORDS.aspx Ejecute todos los parches de seguridad del sistema operativo, si es Microsoft, use el Windows Update. Asegúrese que ninguno de los otros sistemas se enciendan durante el parchado (o contagearán al sistema fresco). Instale un Antivirus y AntiSpyware (ORIGINAL). Debido a que los antivirus y antispyware no le garantizan la seguridad del sistema (al 100%) durante la navegación a Internet, proceda a crear una cuenta "userXYZ" con privilegio de "usuario" en el sistema fresco. ASIGNE UNA CONTRASEÑA a la cuenta creada. No permita que nadie navegue a Internet (o incluso si es sólo para oficina) usando una cuenta con privilegio administrativo. Deben usar la cuenta "userXYZ" con privilegio de usuario. Esto mejorará sustancialmente su seguridad del sistema, evitando que la mayoría de malware (virus/troyanos/espías/gusanos) lleguen tomen su sistema, y lo conviertan nuevamente en plataforma de villanos. Haga que cualquiera (incluyendo usted) que use ese sistema se sujete a la práctica "7". Use la cuenta con privilegio administrativo, sólo para instalar software o drivers (ORIGINALES). No use software pirata, algunos de ellos contienen malware, y son la causa de éste problema. Incluso no descargue aplicaciones pirata de redes P2P, o podría volver a sufrir el problema una segunda vez. Ahora su sistema es seguro, dificilmente se contageará. Encienda un sistema más a la vez, y repita los pasos del (2) en adelante.
Una PC Zombi es un sistema (computadora generalmente) que ha sido secuestrada por un hacker para su uso o antojo, normalmente para realizar actividades criminales. Como envío de SPAM, robo de tarjetas de crédito del usuario del sistema, Advertisers Pop-up, ataques DDoS, entre muchos otros.
Confirmar la presencia de una PC zombi en la red de un cliente no es una tarea que puede lograrse sólo con los incidentes de “amplificación de actividad viral”, por más que ambos guarden estrecha relación.
Esta tarea de confirmación debe ser realizada por el afectado, a través de un análisis forense de la red o sistemas de donde se reporta un incidente de la categoría 5.
Sin embargo, en los últimos años, aunque aún de manera muy escasa, los administradores de algunas redes IRC, escriben a esta oficina cuando detectan la presencia de conexiones sospechosas que guardan relación con una PC Zombi.
Nota: Por tratarse de información que podría ser útil por hackers, esta oficina se reserva la publicación de más detalles al respecto de éste tipo de incidentes.
[Ej. Esta es una recomendación típica para una Cabina de Internet]
Dada la patología del problema, es muy probable que todas sus estaciones estén afectadas. Por esa razón esta recomendación se extiende a toda su red.
6. ¿Qué es un incidente de “Hospedaje local de páginas phishing”?
Es todo incidente en el que se indica que existe un o más páginas web falsas en un servidor (web convencional) en la red de quien recibe el reporte (a quien se le denomina el afectado). Recomendación técnica de solución:TAG: #phishinglocal-r [Ej. Esta es una recomendación estándar] Si desea preservar "evidencia forense", inicie del paso 1, en su defecto salte al 2: Retire de la red (pública) el servidor web afectado, con el servidor encendido. No navegue en los directorios del servidor, si desea que la mayor cantidad de evidencia sea preservada. Si desconoce de la labor forense, provisiónese de un especialista. Reinstale el sistema operativo y los servicios web más elementales de su sitio web. Esta vez, asegúrese de no tener hoyos de seguridad antes de ponerlo en línea nuevamente. (si siguió el paso 1, este trabajo debe hacerlo sobre un equipo nuevo) No subestime nuestro consejo: el borrar directorios empleados por la páginas falsas, no servirá de nada, el problema volverá a aparecer.
Es todo incidente en el que se indica que existe un o más páginas web falsas en un servidor (web convencional) en la red de quien recibe el reporte (a quien se le denomina el afectado).
Recomendación técnica de solución:TAG: #phishinglocal-r
[Ej. Esta es una recomendación estándar]
Si desea preservar "evidencia forense", inicie del paso 1, en su defecto salte al 2:
7. ¿Qué es un incidente de “Escaneo de hosts y puertos”?
Es todo incidente donde se reporta actividad de exploración de puertos no usados convencionalmente por gusanos, es decir, con fuertes evidencias de haber sido generados directamente por humanos (hackers o aprendices de hacker), y no por programas o autómatas (gusanos).
8. ¿Qué es un incidente de “abusos de proxies inseguros”?
Es todo aquel donde se reporta el uso no permitido de un servidor que realiza Proxy. Típicamente empleado para enviar SPAM, sin dejar rastro del verdadero origen.
9. ¿Qué es un incidente de “hospedaje de artefactos criminales”?
Es un incidente en el cual se reporta el hospedaje de software (código compilado o parseado: binarios o scripts) empleado para fines criminales. Las acciones a tomar dependen de los procedimientos o criterios del afectado, pero siempre se solicita principalmente el remover esos elementos del sitio web, además de reasegurar el servidor. Los artefactos criminales refieren a todo tipo de software (archivo binario) o script que es usado para realizar alguna actividad maliciosa. Los hackers y/o criminales informáticos cargan estos binarios en sitios web, de donde sus víctimas lo descargarán, a veces involuntariamente. Recomendación técnica de solución Mueva, renombre, comente o remueva el archivo o script identificado como el artefacto criminal, para evidencia y estudios posteriores. Investigue en su servidor cómo y por qué llegó esa pieza criminal a su sistema. Realice un estudio forense y/o policial si fuere necesario (colabore con la justicia).
Es un incidente en el cual se reporta el hospedaje de software (código compilado o parseado: binarios o scripts) empleado para fines criminales. Las acciones a tomar dependen de los procedimientos o criterios del afectado, pero siempre se solicita principalmente el remover esos elementos del sitio web, además de reasegurar el servidor.
Los artefactos criminales refieren a todo tipo de software (archivo binario) o script que es usado para realizar alguna actividad maliciosa.
Los hackers y/o criminales informáticos cargan estos binarios en sitios web, de donde sus víctimas lo descargarán, a veces involuntariamente.
Recomendación técnica de solución
10. ¿Qué es un incidente de “violación de derechos de autor”?
Es un incidente en el que se comunica al afectado que está alojando software no licenciado (archivos, aplicaciones comerciales, juegos informáticos) en sus sistemas, debido al uso de software P2P. Perspectiva: La aparición de las aplicaciones para el intercambio de archivos P2P ha dado paso al alojamiento y uso ilegal de diversos medios digitales (conocido en términos generales como software). Así, cientos de miles y quizás millones de usuarios en todo el mundo ahora pueden intercambiar material digital sin licencia oficial, en grandes volúmenes, sin que sus fabricantes puedan hacer mucho por detenerlo. Sin embargo, varios fabricantes han iniciado una caza contra aquellos usuarios que violan sus derechos, a través de las redes P2P. De esta forma los fabricantes pueden rastrear, reportar y denunciar situaciones que reflejen la violación de derechos autor.
Es un incidente en el que se comunica al afectado que está alojando software no licenciado (archivos, aplicaciones comerciales, juegos informáticos) en sus sistemas, debido al uso de software P2P.
Perspectiva: La aparición de las aplicaciones para el intercambio de archivos P2P ha dado paso al alojamiento y uso ilegal de diversos medios digitales (conocido en términos generales como software). Así, cientos de miles y quizás millones de usuarios en todo el mundo ahora pueden intercambiar material digital sin licencia oficial, en grandes volúmenes, sin que sus fabricantes puedan hacer mucho por detenerlo. Sin embargo, varios fabricantes han iniciado una caza contra aquellos usuarios que violan sus derechos, a través de las redes P2P. De esta forma los fabricantes pueden rastrear, reportar y denunciar situaciones que reflejen la violación de derechos autor.
Perspectiva: La aparición de las aplicaciones para el intercambio de archivos P2P ha dado paso al alojamiento y uso ilegal de diversos medios digitales (conocido en términos generales como software).
Así, cientos de miles y quizás millones de usuarios en todo el mundo ahora pueden intercambiar material digital sin licencia oficial, en grandes volúmenes, sin que sus fabricantes puedan hacer mucho por detenerlo.
Sin embargo, varios fabricantes han iniciado una caza contra aquellos usuarios que violan sus derechos, a través de las redes P2P.
De esta forma los fabricantes pueden rastrear, reportar y denunciar situaciones que reflejen la violación de derechos autor.
11. ¿Qué es un incidente de “ataques de aplicación - salientes”?
Este tipo de incidente refleja que hay un intruso en el sistema del afectado, que está generando intentos de intrusión contra sistemas de terceros a través de ataques dirigidos a aplicaciones en dicho sistema (normalmente aplicaciones web). Por esa razón se remarca el hecho de que son ataques salientes, o que salen de la red Internet de TELMEX PERU S.A. Perspectiva: Hace ya varios años los hackers se han visto en la necesidad de modificar sus técnicas de intrusión, debido a las considerables mejoras de seguridad perimetral que muchas empresas han implementado. Una de esas técnicas es orientar los ataques a las aplicaciones disponibles en aquellos puertos abiertos en los firewall. La idea principal es explotar alguna vulnerabilidad disponible en dichas aplicaciones. Estas aplicaciones también llamadas aplicaciones web que no han sido programados de manera segura.
Este tipo de incidente refleja que hay un intruso en el sistema del afectado, que está generando intentos de intrusión contra sistemas de terceros a través de ataques dirigidos a aplicaciones en dicho sistema (normalmente aplicaciones web). Por esa razón se remarca el hecho de que son ataques salientes, o que salen de la red Internet de TELMEX PERU S.A.
Perspectiva: Hace ya varios años los hackers se han visto en la necesidad de modificar sus técnicas de intrusión, debido a las considerables mejoras de seguridad perimetral que muchas empresas han implementado. Una de esas técnicas es orientar los ataques a las aplicaciones disponibles en aquellos puertos abiertos en los firewall. La idea principal es explotar alguna vulnerabilidad disponible en dichas aplicaciones. Estas aplicaciones también llamadas aplicaciones web que no han sido programados de manera segura.
Perspectiva: Hace ya varios años los hackers se han visto en la necesidad de modificar sus técnicas de intrusión, debido a las considerables mejoras de seguridad perimetral que muchas empresas han implementado.
Una de esas técnicas es orientar los ataques a las aplicaciones disponibles en aquellos puertos abiertos en los firewall.
La idea principal es explotar alguna vulnerabilidad disponible en dichas aplicaciones.
Estas aplicaciones también llamadas aplicaciones web que no han sido programados de manera segura.
12. ¿Qué es un incidente de “desfiguraciones web”?
Es todo incidente donde se le indica al afectado que en alguno de sus sitios web (que incluye webmail, consolas web, etc) se ha colgado alguna imagen, texto o imagen que hace alusión clara a un traspaso de su seguridad.
13. ¿Qué es un incidente de “violación de propiedad industrial”?
Es un incidente donde se ha hecho uso de la propiedad intelectual de una compañía por intermedio de otra sin pretende gozar de dicho derecho.
14. ¿Qué es un incidente de “ataques DoS Salientes”?
Es todo incidente donde se reporta un ataque DoS que estuvo o está saliendo de la red Internet TELMEX PERU S.A. emitido desde el sistema del afectado. Los afectados no siempre sabían que están siendo usados para generar un ataque DoS. Perspectiva: Una de los usos más nefastos de la infraestructura hacker son los ataques DDoS, sea por diversión o para realizar chantaje (p.e. solicitar una suma de dinero para dejar de atacar el sitio) DDoS (Distributed Denial of Service Attack) significa ataques de negación de servicio distribuido, lo cual significa que un sistema (p.e. servidor web) está siendo bombardeado por sistemas distribuidos o localizados en varios sitios remotos, con el fin de paralizar su servicio o su bloquear su enlace a Internet. Los incidentes a los que hace referencia este reporte son catalogados como DoS como una generalidad para categorizar a los ataques DoS y DDoS. Los ataques de éste tipo son reducidos por el NOC, a fin de cortar el ataque DoS que sale de la red. A su vez, una notificación es enviada al cliente que originó el ataque para que erradique todo software malicioso de sus sistemas desde donde se generó el DoS. La razón del corte o bloqueo de la dirección IP, es realizado conforme a la política de uso apropiado (AUP) de TELMEX PERÚ.
Es todo incidente donde se reporta un ataque DoS que estuvo o está saliendo de la red Internet TELMEX PERU S.A. emitido desde el sistema del afectado. Los afectados no siempre sabían que están siendo usados para generar un ataque DoS.
Perspectiva: Una de los usos más nefastos de la infraestructura hacker son los ataques DDoS, sea por diversión o para realizar chantaje (p.e. solicitar una suma de dinero para dejar de atacar el sitio) DDoS (Distributed Denial of Service Attack) significa ataques de negación de servicio distribuido, lo cual significa que un sistema (p.e. servidor web) está siendo bombardeado por sistemas distribuidos o localizados en varios sitios remotos, con el fin de paralizar su servicio o su bloquear su enlace a Internet. Los incidentes a los que hace referencia este reporte son catalogados como DoS como una generalidad para categorizar a los ataques DoS y DDoS. Los ataques de éste tipo son reducidos por el NOC, a fin de cortar el ataque DoS que sale de la red. A su vez, una notificación es enviada al cliente que originó el ataque para que erradique todo software malicioso de sus sistemas desde donde se generó el DoS. La razón del corte o bloqueo de la dirección IP, es realizado conforme a la política de uso apropiado (AUP) de TELMEX PERÚ.
Perspectiva: Una de los usos más nefastos de la infraestructura hacker son los ataques DDoS, sea por diversión o para realizar chantaje (p.e. solicitar una suma de dinero para dejar de atacar el sitio)
DDoS (Distributed Denial of Service Attack) significa ataques de negación de servicio distribuido, lo cual significa que un sistema (p.e. servidor web) está siendo bombardeado por sistemas distribuidos o localizados en varios sitios remotos, con el fin de paralizar su servicio o su bloquear su enlace a Internet.
Los incidentes a los que hace referencia este reporte son catalogados como DoS como una generalidad para categorizar a los ataques DoS y DDoS.
Los ataques de éste tipo son reducidos por el NOC, a fin de cortar el ataque DoS que sale de la red. A su vez, una notificación es enviada al cliente que originó el ataque para que erradique todo software malicioso de sus sistemas desde donde se generó el DoS.
La razón del corte o bloqueo de la dirección IP, es realizado conforme a la política de uso apropiado (AUP) de TELMEX PERÚ.
15. Enrutadores Abusados como Proxies
En este tipo de incidente,el afectado descuidó la seguridad de su enrutador, dejándolo abierto para que terceros (hackers) lo usarán como Proxy (con lo cual se puede realizar varias acciones). Este tipo de incidente no es el mismo que se registra en el glosario Nro. 17.
16. Ataques VNC salientes
En este tipo de incidente el afectado inició ataques de intrusión a la aplicación VNC de un sistema foráneo.
17. Ataques a Hotmail
En este peculiar caso, Hotmail bloqueó cualquier intento de conexión proveniente de una dirección IP, por haber violado su AUP (política de uso de servicio).
18. Coordinaciones Policiales
Un mensaje de policial donde se solicita ayuda local para contactar al departamento informático de su organización.
TELMEX PERÚ S.A. no se responsabiliza por las recomendaciones emitidas.
Departamento Especializado en Seguridad - InternetTELMEX PERÚ S.A.
