Otra vez los defacers hacen de las suyas en la página oficial de Diego Armando Maradona. El sitio de Internet del DT de la selección argentina apareció hoy con una caricatura y frases que hacen alusión a su vieja adicción a la drogas.

 En la sección de Noticias aparece un dibujo de Maradona aspirando cocaína y el título de la nota dice: “Que rica Coca Mierda”. En la bajada se puede leer: “Me gusta la droga”.

Esta vez no se conoce la identidad del defacer, a diferencia de la primera vez que fue elite-peruivan que encontró la manera de vengarse del triunfo de Argentina sobre Perú por 2-1 de las últimas eliminatorias. Hace poco, Maradona también apareció con una camiseta brasileña en la página web de la AFA.

Fuente: El Comercio

Hoy día es sorprendente ver como ataques que fueron descritos a principios de los 90 perduran y siguen siendo efectivos en un buen numero de situaciones.

Uno de ellos, tal vez de los más clásicos, es el Syn Flood. Este tipo de ataque es posible debido a la forma en la que funcionan las conexiones TCP. Cuando un extremo desea iniciar una conexión contra otro equipo, inicia la conversación con un ‘SYN’, el otro extremo ve el SYN y responde con un SYN+ACK, finalmente el extremo que empezó la conexión contesta con un ACK y ya pueden empezar a transmitir datos.

Un ataque de tipo Syn Flood lo que hace es empezar un numero especialmente alto de inicios de conexión que nunca son finalizados, dejando al servidor a la espera del ack final, y por tanto consumiendo recursos de forma desproporcionada. Existen muchas herramientas escritas en todo tipo de lenguajes para hacer un ataque de tipo Syn Flood y no se requiere especial habilidad para llevar acabo un ataque de ese tipo.

Mitigando un ataque Syn Flood

A la hora de fortificar un sistema para contrarrestar un ataque de tipo Syn Flood existen parámetros que se pueden configurar en el sistema operativo para hacerlo mas resistente.

En sistemas Linux

Primer paso, activar las syn cookies (mas información sobre que es y como se construye una syn cookie aquí)

# sysctl -w net.ipv4.tcp_syncookies=”1″

Segundo paso, aumentar el ‘backlog queue’ (es decir, dar mas holgura al sistema para procesar peticiones entre-abiertas)

# sysctl -w net.ipv4.tcp_max_syn_backlog=”2048″

Tercer paso, hacer que el sistema minimice el tiempo de espera en la respuesta al SYN+ACK. En principio un sistema Linux ‘por defecto’ esperará 3 minutos, nosotros lo vamos a dejar en 21 segundos

#sysctl -w net.ipv4.tcp_synack_retries=2

(una vez probados los cambios, hay que hacerlos permanentes en /etc/sysctl.conf)

En sistemas Windows
 
Activación de la protección anti Syn Flood:

C:\> reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v SynAttackProtect /t REG_DWORD /d 1

Aumentamos el ‘backlog queue’

C:\> reg add HKLM\System\CurrentControlSet\Services\AFD\Parameters /v EnableDynamicBacklog /t REG_DWORD /d 1

C:\> reg add HKLM\System\CurrentControlSet\Services\AFD\Parameters /v MinimumDynamicBacklog /t REG_DWORD /d 20

C:\> reg add HKLM\System\CurrentControlSet\Services\AFD\Parameters /v MaximumDynamicBacklog /t REG_DWORD /d 20000

C:\> reg add HKLM\System\CurrentControlSet\Services\AFD\Parameters /v DynamicBacklogGrowthDelta /t REG_DWORD /d 10
 
Decrementamos el tiempo de espera en conexiones ‘Half Open’

C:\> reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v TcpMaxConnectResponseRetransmissions /t REG_DWORD /d 2

Ya solo queda rebootar Windows para que los cambios tengan efecto

[+] Las configuraciones han sido extraídas de este magnífico artículo

Fuente: Security by Default

Uno de cada diez resultados de “búsqueda top” son considerados código malicioso.

Websense dio a conocer los
resultados de su reporte de investigación bianual Websense Security
Labs, El estado de la seguridad de Internet, Q3-Q4 2009. La compañía
identificó que 13,7% de las búsquedas de noticias/palabras populares
(definidas por Yahoo! Buzz & Google Trends) llevan a malware. Los
ataques de envenenamiento de la optimización de los motores de búsqueda
dirigidos a las principales búsquedas le permiten a los hackers llevar
tráfico a sus sitios.

En contraste con la primera mitad del año cuando los ataques de
inyección masiva como Gumblar, Beladen y Nine Ball promovieron un fuerte
crecimiento en el número de sitios Web malicioso, Websense Security
Labs vio una reducción de 3,3% en el crecimiento del número de sitios
Web comprometidos.

Los autores de código malicioso reemplazaron sus métodos de ataques
sin dirección específica con esfuerzos enfocados en las propiedades de
la Web 2.0 con más tráfico y múltiples páginas. En general, comparando
la segunda mitad de 2009 con el mismo período de 2008, hubo un
crecimiento promedio de 225% en sitios Web maliciosos.

Los autores de código malicioso siguen aprovechando la reputación de
los sitios Web y explotando la confianza del usuario pues la segunda
mitad de 2009 revela que 71% de los sitios Web con código malicioso son
sitios legítimos que han sido comprometidos. Los sitios Web 2.0 que
permiten el contenido generado por los usuarios son el principal blanco
de los cibercriminales y creadores de spam. La tecnología Websense
Defensio habilitada por Websense Security Labs identifica que 95% de los
comentarios generados por los usuarios en blogs, salas de chat y
centros de mensajes son spam o maliciosos.

Websense Security Labs descubrió que 35% de los ataques Web
maliciosos incluyeron código que robaba datos, lo que demuestra que los
atacantes van tras información y datos esenciales.

La Web sigue siendo el vector para los ataques de robo de datos más
populares. En la segunda mitad de 2009, Websense Security Labs descubrió
que 58% de los ataques para robar información se realizaron a través de
la Web. Decenas de miles de cuentas de correo electrónico de Hotmail,
Gmail y Yahoo! fueron hackeadas, y se robaron y publicaron contraseñas
en línea lo que se derivó en un marcado aumento del número de correos
electrónicos no deseados.

Websense Security Labs identificó que 85,8% de todos los correos
electrónicos era spam, y durante la segunda mitad del año, 81% de los
correos electrónicos contenían un enlace malicioso.

“Los hackers maliciosos ya están enfocando sus esfuerzos en
asegurar que estén dirigiendo sus víctimas directamente a ellos. Al
envenenar los resultados de búsqueda y enfocarse en los sitios Web 2.0,
sus esfuerzos a menudo son más eficientes y efectivos. La naturaleza
combinada de las amenazas de hoy, junto con sitios legítimos
comprometidos, toma total ventaja de la creciente percepción de
confianza cuando se utilizan motores de búsqueda y se interactúa con
amigos o conocidos en línea”, declaró Dan Hubbard, director de
tecnología de Websense.

Video presentando los principales datos del informe (en ingles).

Fuente: ebizLatam.com

La cantidad de vulnerabilidades software disminuyó en su conjunto durante 2009, aunque el número de brechas de seguridad en lectores de documentos y aplicaciones multimedia aumentó un 50%, según el informe anual X-Ford Trend and Risk de IBM.

El equipo de investigación y desarrollo X-Force de IBM, que estudia las vulnerabilidades descubiertas y recopila otros datos sobre ataques basados en web, estima en 6.601 las nuevas vulnerabilidades registradas en 2009, un 11% menos que en 2008.

Pero, no obstante, IBM asegura que la cantidad de vulnerabilidades identificadas en lectores de documentos, editores y aplicaciones multimedia creció significativamente. Como tales, la compañía clasifica las vulnerabilidades de la parte cliente, que también incluyen las que afectan a navegadores y sistemas operativos.

De los cinco códigos de explotación contra sitios web más extendidos, tres están relacionados con los archivos PDF (Portable Document Format). De hecho, parece que los atacantes han disfrutado de un éxito especial en el descubrimiento de vulnerabilidades en el software PDF de Adobe, así como en los ataques realizados vía campañas de spam y sitios web maliciosos.

Otros dos de los exploits más difundidos durante 2009 afectan a Flash y a un control ActiveX que permite a los usuarios visualizar un documento Microsoft Office en Internet Explorer, según IBM.

Fuente: CSO

Según informa Wired, Cryptome, el veterano sitio web que comparte año de nacimiento con Kriptópolis, desapareció hoy durante horas de la Red a instancias de Microsoft, que invocó la DMCA en base a una presunta infracción de copyright por la publicación del documento “Microsoft Online Service – Global Criminal Compliance Handbook” (mirror).

Actualización: Microsoft ha retirado su demanda y Cryptome vuelve a estar disponible.

Fuente: Kriptopolis