Robert Graham, CEO de la compañía Errata Security, logró acceder a cuentas Gmail en Black Hat 2007, uno de los eventos más importantes dentro el ambiente de seguridad. En la demostración, Graham haciendo uso de dos herramientas “sidejacking” logró capturar y guardar las cookies e ID de sesión de la victima para luego suplantar su identidad y autentificarse como otro usuario.

Al parecer, el módulo de noticias de la página web de APEWS.Org da signos de vida, que ésta -blacklist- no ha dejado de operar.

Acá una copia de dos noticias muy frescas publicadas recientemente (13 de agosto y 29 de julio)

• 08/13/07 APEWS is no longer mirrored by SORBS and UCEPROTECT. Please see here how you can use our lists from now.

• 07/29/07 Blacklist compared says both of our lists are the most effective blocklists available.

Por ello, insistimos en su NO USO.

Mientras menos gente los use, menos problemas tendremos con APEWS.

Departamento Especializado en Seguridad - Internet
TELMEX PERÚ S.A.

La técnica se conoce como Fast-Flux, y es la -relativamente- nueva técnica (julio 2007) que usan los piratas de las botnets para evitar ser descubiertos por CSIRTs como nosotros.

Nota: El propósito de éste artículo es hacer conciencia, al demostrar que existen todavía muchas personas sin educación de seguridad en muchas redes locales, que caen en trampas conocidas.

A inicios del mes de agosto, el Security Emergency Response Team de Arbor Networks, escribió en su blog un análisis de código de unos ejecutables (EXEs) que venían adjuntos a unos correos sobre estrellas d-e-s-n-u-d-a-s de H-o-l-l-y-w-o-o-d. Nosotros decidimos revisar si había actividad que mostrara si existían víctimas en nuestra red.

Con la ayuda de nuestra red, y gracias a las direcciones IP descritas en el blog señalado arriba, pudimos detectar qué direcciones IP locales mantenían flujos con las direcciones IP (malévolas).

Aquí algunas aproximaciones no concluyentes, para tomar en cuenta:

Clientes con flujos hacia el host 67.18.114.98:80 (aparentemente un servidor hackeado)
Jueves, 02 de agosto 10:00 - 19:59 (7:59 PM)
--> 515 flujos, generados de 5 clientes
--> Día de la aparición del incidente (según blog de Arbor)

Viernes, 03 de agosto 10:00 - 19:59 (7:59 PM)
--> 25 flujos, generados de 11 clientes

Sábado, 04 de agosto 10:00 - 19:59 (7:59 PM)
--> 3 flujos, generados de 2 clientes

Domingo, 08 de agosto 10:00 - 19:59 (7:59 PM)
--> 8 flujos, generados de 4 clientes

Lunes, 06 de agosto 10:00 - 19:59 (7:59 PM)
--> 14 flujos, generados de 7 clientes

Muestra visualizada en forma gráfica

Debido a que sólo tenemos visibilidad de los rastros, es muy difícil precisar si efectivamente estos clientes abrieron o no éstos correos engañosos y si sus flujos hacia los servidores hackeados fueron o no en calidad de víctima. No obstante, una investigación en Google de la dirección IP con mayor cantidad de flujos registrado el día 02 de agosto, mostró en primera fila un URL que nos haría pensar de la predisposición de algún usuario de dicha red hacia este tipo de contenidos. Véase imágen adjunta.

Dirección IP ofuscada para reserva de confidencialidad

Por lo analizado, recomendamos que usted eduque a sus usuarios a no abrir mensajes provocadores como el citado, pues es muy probable que contegan algún código malicioso que puede dañar la seguridad interna de su red. Igualmente, recomendamos instalar equipamiento que le ayude a bloquear a aquellos usuarios que violan sus políticas empresariales respecto a la navegación de contenido no laboral. Usted puede contratar nuestro servicio de seguridad gestionada para esos fines: 0-800-00-909.

Nota final: Los clientes, *posiblemente* infectados por ésta trampa electrónica, han sido notificados para que revisen sus redes ante la presencia de cualquier troyano, botnet, virus, etc, que pueda haber comprometido su seguridad.

Departamento Especializado en Seguridad - Internet
TELMEX PERÚ S.A.

Firefox ha liberado una actualización (Firefox 2.0.0.6) de seguridad que se espera solucione una amenaza de seguridad persistente en el navegador.