Tras haber hablado de los CERTs de España, vamos a ver un caso de un phishing contra el Banco de España, distribuido por numeroso spam recientemente.
Se trata de un troyano Zeus o Zbot, este troyano tiene un comportamiento bastante avanzado.
Zeus se trata de un troyano que se vende en kit, es decir, que cualquiera que pague por él (en el mercado negro) puede crear su propia infraestructura de ordenadores zombis.
Este troyano del que existen varias versiones, implementa técnicas como: rootkit, cifrado de contenido,explotación de vulnerabilidades de todo tipo, detección de sandboxes ...
Este troyano en particular se distribuye usando su propia red de equipos zombis para alojarse. Para poder hacer esto hace uso de una técnica conocida como "fastflux".
Para realizar esta técnica tendrémos que tener un dominio y un servidor DNS que nos permita asociar muchas ips a este dominio.
Este servidor DNS, tiene un comportamiento peculiar, cada vez que recibe una petición de resolución devuelve como respuesta un ip elegida de forma aleatoria.
De este modo se puede hacer que un equipo troyanizado forme parte de una red de servidores, con la utilidad de servir malware, actualizaciones, y cualquier otra cosa a el resto de equipos infectados, creando una red muy entramada de miles de equipos.
Ahora la pregunta que todos os haréis, ¿como acabo con este tipo de redes?. Como supondréis eliminar este tipo de redes es arduo difícil.
Para empezar abría que atajar el problema desde la fuente inicial, es decir, el dominio, en este caso ruso, que es usado para distribuir el malware. De este modo evitamos que las personas accedan al malware.
Bajo mi punto de vista debería de investigarse las posibles conexiones que puede haber con los servidores DNS (gracias a los cuales se puede hacer fastflux), en este caso "ns1.growth-property.net" y "ns1.pointstory.net".
Si analizamos el malware, podemos ver que realiza conexiones a otro dominio, este dominio tendría que ser neutralizado de igual modo para poder desactivar el troyano.
Sería muy recomendable seguir analizado el malware durante un tiempo por si descargase alguna actualización que variara su comportamiento.
Este caso es publicado por Hispasec en la "una al día", el día 15, a día de hoy este sitio sigue estando accesible. Vermos cuanto tardan en liminarlo o si no se elimina.
Más información:
http://www.hispasec.com/unaaldia/4252
http://blog.s21sec.com/2009/09/detectando-un-zeus.html
22 de junio de 2010
16 de junio de 2010
CSIRTs y CERTs de España
Para quienes no sepáis a que me refiero con CERT o CSIRT, son las siglas de "Computer Emergency Response Team" y "Computer Security Incident Response Team" respectivamente; es decir, son los encargados de gestionar los incidentes de seguridad relacionados con sistemas de computación, equipos y redes informáticas.
Existe un organismo que intenta agrupar a los principales CERTs y CSIRTs regionales, tanto públicos como privados. El FIRST (Forum of Incidence and Response Security Teams) tiene como principal misión la colaboración entre los distintos CERTs y CSIRTs públicos y privados.
En España tenemos 5 CERTs/CSIRTs miembros del FIRST:
Pero no son los únicos CERTs o CSIRTs existentes en España. Algunas comunidades autónimas y/o regiones tienen sus propios equipos, aunque no pertenecen al FIRST como csirt.ecija.com o sirtcv.es entre otros.
Existe un organismo que intenta agrupar a los principales CERTs y CSIRTs regionales, tanto públicos como privados. El FIRST (Forum of Incidence and Response Security Teams) tiene como principal misión la colaboración entre los distintos CERTs y CSIRTs públicos y privados.
En España tenemos 5 CERTs/CSIRTs miembros del FIRST:
- Iris CERT: http://www.rediris.es/cert/ Encargado de la detección de problemas que afecten a la seguridad de las redes de centros de RedIRIS.
- e-LC CSIRT: Empresa privada dedicada a incidentes relacionados con cajas de ahorros.
- CCN CERT: https://www.ccn-cert.cni.es El "Centro Criptológico Nacional" se encarga de la cooperación y ayuda a todas las administraciones públicas.
- Inteco CERT: http://cert.inteco.es Encargada en materia de seguridad para PYME y ciudadanos.
- esCERT UPC: http://escert.upc.edu/ Está encargada de ayudar y asesorar en temas de seguridad informática y gestión de incidentes en redes telemáticas.
Pero no son los únicos CERTs o CSIRTs existentes en España. Algunas comunidades autónimas y/o regiones tienen sus propios equipos, aunque no pertenecen al FIRST como csirt.ecija.com o sirtcv.es entre otros.
15 de junio de 2010
Listando contactos en Android con "Android.Contact"
Como prometí en el primer post sobre Android hoy voy a esplicar un poco de código de Android.
En este ejemplo podremos ver como se obtiene datos de contactos con una API menor de 5, es decir para los moviles con Android 1.x y actualmente se encuentra deprecated (obsoleta), en general esto quere decir que en un futuro será eliminada. Pero no obtante este no es el caso, ya que esta API continuará activa, pero sólo devolverá datos de la primera cuenta de Google creada.
Para el API 5 se creó la clase "ContactsContract", más reciente, que permite acceder a múltiples cuentas y agregar contactos que tengan un apoyo similar.
Para este ejemplo vamos a usar un "Cursor" para acceder a los datos, la clase "Contacts.Phones" para obtener las constantes para acceder a los datos de la agenda. Por supuesto, para poder leer esto es necesario tener permiso para leer la agenda. (Puedes descargar el codigo desde http://pastebin.com/AMGkjhzz)
Más Información:
http://developer.android.com/guide/appendix/api-levels.html
En este ejemplo podremos ver como se obtiene datos de contactos con una API menor de 5, es decir para los moviles con Android 1.x y actualmente se encuentra deprecated (obsoleta), en general esto quere decir que en un futuro será eliminada. Pero no obtante este no es el caso, ya que esta API continuará activa, pero sólo devolverá datos de la primera cuenta de Google creada.
Para el API 5 se creó la clase "ContactsContract", más reciente, que permite acceder a múltiples cuentas y agregar contactos que tengan un apoyo similar.
Para este ejemplo vamos a usar un "Cursor" para acceder a los datos, la clase "Contacts.Phones" para obtener las constantes para acceder a los datos de la agenda. Por supuesto, para poder leer esto es necesario tener permiso para leer la agenda. (Puedes descargar el codigo desde http://pastebin.com/AMGkjhzz)
@SuppressWarnings("finally")
public static boolean isContact(String num, ContentResolver contentResolver) {
/**
* Dado un numero de telefono num, retorna si está o no en la agenda
* Para poder acceder a estos datos es necesario tener permiso de leectura de contactos.
* ("android.permission.READ_CONTACTS" en AndroidManifest.xml)
* @param num Numero de telefono
* @param context Contexto con permisos de leectura de Contactos
*/
boolean ret = false;
try{
Cursor cur = contentResolver.query(Contacts.Phones.CONTENT_URI, null, null, null, null);
int index = cur.getColumnIndex(Contacts.Phones.NUMBER);
while (!ret && cur.moveToNext())
if (num.equals(cur.getString(index)))
ret = true;
cur.close();
} catch (Exception e) {
e.printStackTrace();
} finally {
return ret;
}
}
Más Información:
http://developer.android.com/guide/appendix/api-levels.html
ContentResolver
6 de junio de 2010
Verano de rol
Aunque parezca mentira cuando empezé este blog tenía ganas de escribir cosas de rol, y no solo de informática y seguridad.
Tras varios meses de vida por fin hoy vamos a escribir este primer post sobre los próximos eventos roleros en Andalucía.
Las primeras jornadas a las que tengo intención de ir son las Ex-mundis.
Estas jornadas se celebran en Almería, concretamente en "Purchena" del 30 de Julio al 1 de agosto.
Además este año cumplen 10 años organizando estos encuentros, todo un logro.
El año pasado desafortunadamente coincidieron con las ERA (Encuentros Roleros Andaluces) y no puede ir.
Y la semana siguiente a las Ex-mundis tenemos en Granada las JLA (Jornadas Lúgicas Andaluzas).
Las JLA son organizadas por la misma organización que otros años hiciera las ERA (antes mencionadas) este año las ERA han mutado en JLA.
Este año las JLA se celebrarán en "Maracena" en lugar de Granada capital como ocurria con las ERA. Pero lo más destacables es que este año el alojamiento es gratuito.
Estas jornada como ocurrian con las ERA se celebran durante 4 intensos días, del 5 al 8 de Agosto.
Bueno espero que este sea el primero de muchos post sobre rol.
Más información:
Exmundis:
Web: http://www.exmundis.org/
Usuario Tuenti: http://www.tuenti.com/#m=Profile&func=index&user_id=68788926
JLA:
Web: http://jornadasludicasandaluzas.isgreat.org/
Página Tuenti: http://www.tuenti.com/#m=Page&func=index&page_key=1_148_61008280
Tras varios meses de vida por fin hoy vamos a escribir este primer post sobre los próximos eventos roleros en Andalucía.
Las primeras jornadas a las que tengo intención de ir son las Ex-mundis.
Estas jornadas se celebran en Almería, concretamente en "Purchena" del 30 de Julio al 1 de agosto.
Además este año cumplen 10 años organizando estos encuentros, todo un logro.
El año pasado desafortunadamente coincidieron con las ERA (Encuentros Roleros Andaluces) y no puede ir.
Y la semana siguiente a las Ex-mundis tenemos en Granada las JLA (Jornadas Lúgicas Andaluzas).
Las JLA son organizadas por la misma organización que otros años hiciera las ERA (antes mencionadas) este año las ERA han mutado en JLA.
Este año las JLA se celebrarán en "Maracena" en lugar de Granada capital como ocurria con las ERA. Pero lo más destacables es que este año el alojamiento es gratuito.
Estas jornada como ocurrian con las ERA se celebran durante 4 intensos días, del 5 al 8 de Agosto.
Bueno espero que este sea el primero de muchos post sobre rol.
Más información:
Exmundis:
Web: http://www.exmundis.org/
Usuario Tuenti: http://www.tuenti.com/#m=Profile&func=index&user_id=68788926
JLA:
Web: http://jornadasludicasandaluzas.isgreat.org/
Página Tuenti: http://www.tuenti.com/#m=Page&func=index&page_key=1_148_61008280
Suscribirse a:
Entradas (Atom)