[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT]Malware relacionado con cuentas de correo llegan a grupos.

El Fri, 21 Mar 2014 20:27:39 +0000, carlopmart escribió:

> On 03/21/2014 07:00 PM, Camaleón wrote:

(...)

>> La única página donde se ve realmente el problema (el "no" problema,
>> mejor dicho) es la 66. El resto es puro grafiquito y mucho marqueting.
>> Un administrador lo primero que te va a preguntar es ¿y cómo se
>> contagia uno con este bicho? Y no ¿cuál es el "big-picture", cuántos
>> sistemas se han infectado y qué consecuencias tiene?
> 
> Pero vamos a ver, ¿que no-info no te dan? 

La que te he preguntando en el primer mensaje que he enviado en este hilo 
(vector de ataque).

> ¿Como han entrado en los servers?: pues te lo están diciendo en la
> página 16. Robo de contraseñas. 

Robos de contraseñas se producen desde hace 20 años en todos los sistemas 
operativos y nadie ha puesto el grito en el cielo por eso. La gravedad de 
ese robo de contraseñas sería si el vector de ataque para que se produzca 
sea inadvertido a los administradores y que tenga origen en un exploit 
que no se haya detectado, que no se haya corregido y que esté siendo 
aprovechado en este mismo momento.

Nada de eso dice el informe porque nada de eso ha pasado. 

Las malas prácticas en la administración de sistemas siempre han existido 
y existirán, como sucede en otros sectores, pero de ahí a catalogar ese 
informe como el "big bang" de la informática y entenderlo de carácter 
crítico va un largo trecho. Lo único que hace ese informe de ESET es 
recopilar una serie de datos de sistemas que han sido vulnerados (nada 
nuevo) por una mala administración (nada nuevo) y malas prácticas en la 
seguridad de los sistemas (de nuevo, nada nuevo...).

> ¿Que como se hace eso? Hombre te tengo por una persona bastante
> inteligente ... Un par de búsquedas por san goole y listos.

Pues vaya churro de informe si en 69 páginas no es capaz de analizar con 
pelos y señales la información que están exponiendo. Si después de 69 
páginas tengo que ir a buscar datos básicos a otro lado entonces no se 
trata de un informe técnico sino de un simple panfleto.

> El contagio: ¿que contagio? Lo único que han hecho ha sido instalarse un
> backdoor para asegurarse acceso permanente. A partir de ahí, los propios
> técnicos de ESEt que elaboran el informe no te puden garantizar que más
> "travesuras" se han hecho, porque entre otras cosas han realizado "DNS
> poisoning", y eso implica que pueden haber redireccionado a los usuarios
> a cualquier site. A parte de lo del spam, que vuelvo a decir que me
> chirria y mucho.

Pero vamos a ver... si tengo las claves y soy dueño del sistema, instalar 
un backdoor ¡es lo de menos!, lo que hago es dejar corriendo un "rm" 
recursivo en segundo plano y santas pascuas.

>> Ya he visto suficiente "no-info", no es eso lo que digo sino que me
>> parece que le has dado demasiada importancia algo que no la tiene.
>> Porque servidores con linux/unix/bsd infectados se cuentan en decenas
>> de miles antes y después de este informe.
> 
> le doy cierta importancia por dos motivos: el volumen de servidores 

¿No conocías páginas con este tipo de información? Pues las hay desde 
hace años ya...

http://hostexploit.com/

> y la facilidad de como lo han conseguido (y si el CERN suizo está de por
> medio, una entidad que normalmente no se dedica a esto, es todavía mucho
> más extraño).

No veo nada extraño en que participe el CERN u otras entidades europeas 
en la elaboración del informe, ellos también tienen máquinas que pueden 
haber sido comprometidas o dispondrán de departamentos especializados en 
este tipo de problemas.

> Y segurián infectando servidores ... pero el tema está en que lo que
> sorprende la facilidad con lo que lo han hecho y haber estado 4 años sin
> que casi nadie se entere.

Bueno, la ingeniería social no deja de ser sencilla a la par que 
efectiva, además, siempre he dicho que no hay sistemas operativos malos 
sino administradores malos.

>> Es más, yo recibo spam todos los santos días desde hace la tira de años
>> y si te fijas en la cabecera de los mensajes te das cuenta de que no se
>> ha generado desde clientes windows zombies sino desde un script PHP en
>> un servidor web bajo, oh, Linux. Script vulnerable y no actualizado,
>> versión de PHP con bugs sin parchear y administradores perezosos. Nada
>> nuevo.
> 
> Pues yo llevo más de dos años tranquilamente con 0 spam, por lo que
> comenté anteriormente: hay en dia cualquier cacharro anti-spam lo para
> casi todo. 

¿Sí? Pues pregúntale a Google/Gmail a ver qué te dice. Yo tengo unos 700 
y pico correos en la carpeta de spam de mi cuenta de Gmail.

> El spam ha dejado de ser negocio ...

Que vaya a menos (con la entrada de los smartphones ahora existen otras 
formas de ganar dinero fácil... y hasta legalmente) no quiere decir que 
deje de ser un negocio. Y además es de los más rentable porque la 
inversión inicial es mínima.

Saludos,

-- 
Camaleón
Reply to: