Publicado el 13/10/2009 a las 5:40 pm por Cony Sturm
(cc) Kirk Lau
Pocas veces se escucha de una caída generalizada de internet como ésta: todos los dominios .se se fueron a negro (o a error DNS) por alrededor de una hora anoche.
Esta vez no se trató de una invasión de chinos, sino de un error en una actualización “de rutina”. Toda persona que intentó acceder a un sitio .se entre las 21:45 y las 22:43 hora local recibió un error 404 o link no encontrado, lo que es bastante tiempo considerando que se trata de los sitios web de un país completo.
El sitio Royal Pingdom, basado en Suecia, explicó que “el registro .se usó un script configurado incorrectamente para actualizar la zona .se, lo que introdujo un error en cada uno de los dominios”.
Al actualizar los datos, el script no agregó un “.” final al registro DNS en la zona .se. Este punto final es necesario en la configuración DNS para que “.se” sea reconocido como el dominio principal. Parece un detalle pequeño, pero sin él, toda la cadena de funcionamiento del DNS se rompe”, explican.
Mejor no imaginarse qué pasaría si ocurriera un error así al .com, utilizado por unos 80 millones de sitios en el mundo.
Link: Sweden’s Entire Internet Goes Black for an Hour (Mashable)
Publicado el 16/09/2009 a las 3:30 pm por Franco Catrin
(cc) Sophos D/A/CH Presseinfo
Antes de que los fans anti-Linux se emocionen, lamento decirles que no se trata de un problema de seguridad atribuible al sistema operativo libre e involucra a sistemas Windows y servidores de DNS dinámicos.
Se trata de un nuevo ejemplo de cómo la seguridad se comporta como una cadena: Es tan fuerte como su eslabón más débil. Esto quiere decir que no importa qué tan fuerte sean todos los elementos de seguridad que usemos, basta un punto débil y ahí se producirán los problemas. Por ejemplo nada puede hacer el mejor de los firewalls si tienes un servicio vulnerable o una password débil, cof cof…
Con el uso de troyanos en Windows, se ha producido un robo masivo de cuentas FTP usadas para administrar el contenido de servidores web en Linux. Con este acceso FTP, los intrusos han modificado algunos sitios web para incluir un iframe hacia otro sitio web. Este iframe contiene una referencia a una URL que apunta a un nombre de host servido por un sistema de DNS dinámico y el servidor final causa que el usuario descargue una variante del troyano Bredolab.gen, con el que se puede repetir el proceso.
Los nombres de hosts utilizados apuntan a un segundo servidor web instalado entre los mismos servidores afectados. Este servidor se instala con la misma cuenta FTP robada, ya que con ésta se puede subir código ejecutable en el servidor y con él descargar, compilar y ejecutar un segundo servidor. Según lo que se ha investigado, el servidor secundario utilizado es nginx y queda corriendo en el puerto 8080, un puerto que no requiere permisos de administrador para ser utilizado.
El sistema es ingenioso, ya que con el uso de DNS dinámicos y con cada servidor involucrado se crea una gran red balanceada y dinámica, lo que dificulta su detección y bloqueo. Por ahora, los proveedores de DNS dinámico han bloqueado los dominios usados en esta botnet.
El hecho de distribuir troyanos para Windows, que posteriormente se usan para controlar tales computadores, hace que el problema sea difícil de detener incluso teniendo el apoyo de los servicios de DNS dinámicos. Para empeorar la situación, estos mismos troyanos en Windows son usados para seguir robando cuentas FTP legítimas.
Links:
- Linux webserver botnet pushes malware (The Register)
- Dynamic DNS and botnet of zombie web servers (Unmask Parasites)
- Drive-by campaign using Dynamic DNS domains (Abuse.ch)
Publicado el 10/05/2009 a las 7:59 am por Boxbyte
El día de ayer durante varias horas en sitio de Google en Marruecos (Google.co.ma) fue tomado por hackers paquistanos que se identifican como PAKBugs, un foro de temas relacionados con el hacking, xploids y warez. Al parecer estos hackers encontraron la manera de controlar los DNS para el país por medio de NIC.ma dado a que el dominio apuntaba a un servidor diferente de Google.
El problema fue resuelto, pero la situación duro lo suficiente para que se notara y algunos usuarios tomaran algunas capturas del hackeo.
De acuerdo con el blog francés zorgloob no es el primer incidente de este tipo, ya que el pasado mes los sitios de Google Argelia y Google Puerto Rico también fueron tomados por hackers.
Link: Hackers Temporarily Seize Control Of Google Morocco Domain Name (TechCrunch)
Av. Providencia 929, Piso 4, Providencia, Santiago de Chile
— 
Tel: +56 (2) 367 7701
fayerwayer@betazeta.com [
