Re: [OT]Malware relacionado con cuentas de correo llegan a grupos.
El Fri, 21 Mar 2014 20:27:39 +0000, carlopmart escribió:
> On 03/21/2014 07:00 PM, Camaleón wrote:
(...)
>> La única página donde se ve realmente el problema (el "no" problema,
>> mejor dicho) es la 66. El resto es puro grafiquito y mucho marqueting.
>> Un administrador lo primero que te va a preguntar es ¿y cómo se
>> contagia uno con este bicho? Y no ¿cuál es el "big-picture", cuántos
>> sistemas se han infectado y qué consecuencias tiene?
>
> Pero vamos a ver, ¿que no-info no te dan?
La que te he preguntando en el primer mensaje que he enviado en este hilo
(vector de ataque).
> ¿Como han entrado en los servers?: pues te lo están diciendo en la
> página 16. Robo de contraseñas.
Robos de contraseñas se producen desde hace 20 años en todos los sistemas
operativos y nadie ha puesto el grito en el cielo por eso. La gravedad de
ese robo de contraseñas sería si el vector de ataque para que se produzca
sea inadvertido a los administradores y que tenga origen en un exploit
que no se haya detectado, que no se haya corregido y que esté siendo
aprovechado en este mismo momento.
Nada de eso dice el informe porque nada de eso ha pasado.
Las malas prácticas en la administración de sistemas siempre han existido
y existirán, como sucede en otros sectores, pero de ahí a catalogar ese
informe como el "big bang" de la informática y entenderlo de carácter
crítico va un largo trecho. Lo único que hace ese informe de ESET es
recopilar una serie de datos de sistemas que han sido vulnerados (nada
nuevo) por una mala administración (nada nuevo) y malas prácticas en la
seguridad de los sistemas (de nuevo, nada nuevo...).
> ¿Que como se hace eso? Hombre te tengo por una persona bastante
> inteligente ... Un par de búsquedas por san goole y listos.
Pues vaya churro de informe si en 69 páginas no es capaz de analizar con
pelos y señales la información que están exponiendo. Si después de 69
páginas tengo que ir a buscar datos básicos a otro lado entonces no se
trata de un informe técnico sino de un simple panfleto.
> El contagio: ¿que contagio? Lo único que han hecho ha sido instalarse un
> backdoor para asegurarse acceso permanente. A partir de ahí, los propios
> técnicos de ESEt que elaboran el informe no te puden garantizar que más
> "travesuras" se han hecho, porque entre otras cosas han realizado "DNS
> poisoning", y eso implica que pueden haber redireccionado a los usuarios
> a cualquier site. A parte de lo del spam, que vuelvo a decir que me
> chirria y mucho.
Pero vamos a ver... si tengo las claves y soy dueño del sistema, instalar
un backdoor ¡es lo de menos!, lo que hago es dejar corriendo un "rm"
recursivo en segundo plano y santas pascuas.
>> Ya he visto suficiente "no-info", no es eso lo que digo sino que me
>> parece que le has dado demasiada importancia algo que no la tiene.
>> Porque servidores con linux/unix/bsd infectados se cuentan en decenas
>> de miles antes y después de este informe.
>
> le doy cierta importancia por dos motivos: el volumen de servidores
¿No conocías páginas con este tipo de información? Pues las hay desde
hace años ya...
http://hostexploit.com/
> y la facilidad de como lo han conseguido (y si el CERN suizo está de por
> medio, una entidad que normalmente no se dedica a esto, es todavía mucho
> más extraño).
No veo nada extraño en que participe el CERN u otras entidades europeas
en la elaboración del informe, ellos también tienen máquinas que pueden
haber sido comprometidas o dispondrán de departamentos especializados en
este tipo de problemas.
> Y segurián infectando servidores ... pero el tema está en que lo que
> sorprende la facilidad con lo que lo han hecho y haber estado 4 años sin
> que casi nadie se entere.
Bueno, la ingeniería social no deja de ser sencilla a la par que
efectiva, además, siempre he dicho que no hay sistemas operativos malos
sino administradores malos.
>> Es más, yo recibo spam todos los santos días desde hace la tira de años
>> y si te fijas en la cabecera de los mensajes te das cuenta de que no se
>> ha generado desde clientes windows zombies sino desde un script PHP en
>> un servidor web bajo, oh, Linux. Script vulnerable y no actualizado,
>> versión de PHP con bugs sin parchear y administradores perezosos. Nada
>> nuevo.
>
> Pues yo llevo más de dos años tranquilamente con 0 spam, por lo que
> comenté anteriormente: hay en dia cualquier cacharro anti-spam lo para
> casi todo.
¿Sí? Pues pregúntale a Google/Gmail a ver qué te dice. Yo tengo unos 700
y pico correos en la carpeta de spam de mi cuenta de Gmail.
> El spam ha dejado de ser negocio ...
Que vaya a menos (con la entrada de los smartphones ahora existen otras
formas de ganar dinero fácil... y hasta legalmente) no quiere decir que
deje de ser un negocio. Y además es de los más rentable porque la
inversión inicial es mínima.
Saludos,
--
Camaleón
Reply to: