On 03/21/2014 10:53 PM, consultor wrote:
On 03/21/2014 08:56 AM, Camaleón wrote:El Fri, 21 Mar 2014 15:40:16 +0000, C. L. Martinez escribió:2014-03-21 15:30 GMT+00:00 Camaleón <noelamac@gmail.com>:(...)Pues la noticia/informe de ESET sigue aparecer en los medios IT, ni en los boletines de seguridad a los que estoy suscrita, me parece que le han querido dar mucho bombo a algo que no lo tiene, quizá porque todo lo que lleve en la misma frase "linux" y "vulnerable" venda más.Pues es noticia en portales IT: http://it-beta.slashdot.org/story/14/03/18/2218237/malware-attack-infected-25000-linuxunix-servershttp://www.welivesecurity.com/2014/03/18/attack-unix-operation-windigo/ http://www.welivesecurity.com/wp-content/uploads/2014/03/operation_windigo.pdfhttps://news.ycombinator.com/item?id=7426994 http://thehackernews.com/2014/03/operation-windigo-linux-malware.html ....(...) No tengo ninguna referencia en los RSS de seguridad que sigo, entre otros: securityfocus, una-al-día y uscert. Nada.Busca en google por "operation windigo"Sí, lo sé, y todos están un poco perdidos y te dirigen al estudio de ESET por lo que o una de dos, o tampoco han logrado entender de qué va la cosa o le están haciendo caja a ESET ;-) Saludos,Yo tengo la impresion de que se trata de una farsa; basta ver el lenguaje impreciso que usan! En ningun documento, explican con claridad lo que sugieren. En el doc en Castellano, dicen palabras de paso y en Ingles dicen Credenciales, que es generico. Ademas, ESET es quien promueve el uso de antivirus y anti-malware en Windows!
Permitidme la expresión: estoy alucinando con vosotros. Pero vamos a ver: ¿que empresa COMERCIAL que se dedique a temas de seguridad (antivirus, firewall, IDP, etc.) os creeis que os van a mostrar sus procedimientos de information gathering? Ya te lo indico yo: ninguna.
Pero hombre, seamos serios. Existe una cosita que se llama Threat Intelligence que si buscas por google ya te va a dar muchas pistas de las técnicas que se utilizan y es más tienes a tu disposición herramientas opensource para poder hacer lo mismo que ha hecho ESET para conseguir la info, añadiendo más herramientas como SIEM's, HIDS, etc.
Documentación imprecisa: lo mismo. ¿Que esperáis un tutorial en le que os digan "primero he hecho un nmap a este rangos de IP's, después he ejecutado Hydra para la adquisición de passwords, tercero he ..."? Pues no lo esperies: no os lo van a dar.
Si os pica la curiosidad tenéis dos opciones: os lo trabajais vosotros buscando info o os apuntáis a un curso del SANS, offensive-security o el que más os guste y os lo explican ... Que tampoco estamos hablando de información de la CIA señores :))
Y un consejo: el informe que siempre vale es el redactado en inglés y ahí siempre te hablan de robo de paswords, que por otro lado consultor, quedan englobadas en un procedimiento de credenciales, porque para empezar puden estar incluidas un procedimeinto de autenticación de doble factor ...
Y por cierto, si dices que has utilizado BackTrack parece mentira lo que estás diciendo. Tanto en BackTrack como en kali tienes las tools necesarias ...
Un último punto: si se trata de una farsa, ESET sabrá. Publicando informes como ese, una empresa se juega el prestigio, aka $$$. Una cosa así los hunde en la miseria como se demuestre que es mentira. ¿Que quieren venderte su antivirus?. Obvio: no son una ONG. Pero permíteme que te diga: un problema como el descrito solo te lo detecta un HIDS en su fase inicial (ni antivirus ni leches. Te lo dice uno que no usa antivirus en sus Windows hace años) y ESET no tiene HIDS para Unix hasto donde yo sé, pero no te lo aseguro. La única empresa antivirus comercial con un HIDS contrastado es TrendMicro con OSSEC.
Saludos.