Ejercicio super mega interesante ¿saes? (los autores de los ataques DDoS)

Etiquetas

Cristian David, F3n|X, morgan, norman, Omar Alejandro Brandan, recochineo

¿Cuál es la fake? Morgan versus Norman.

Por supuesto que está relacionado con los ataques DDoS, además al mejor estilo culebrón sudamericano. Tenemos los nombres, direcciones, teléfonos, direcciones IP… de todos los involucrados –el trío de oro– en los ataques a Genbeta, Weblogs, Menéame, elserver.com y decenas de sitios más.

Aunque ya están denunciados en España y Argentina, queremos hacer las últimas comprobaciones por nuestra cuenta. Las dos imágenes anteriores dan una buena idea de las dificultades televisivas que tenemos. Bueno, vale, aquí va un teaser al mejor estilo Play Boy. Para empatar.

Todo es dulce, como un río, como el azúcar de Cuba, modélico, y de la aldea de largas siestas. Que poético me salió el trailer 😛

Actualización: Morgan (se llama Cristian) me dejó este aviso, donde se confirma la IP que teníamos. Ya me cansaron estos niñatos que van de aprendices de mafiosillos. Cristian, llamé a tu casa (7:05 horas en Buenos Aires), no habías regresado de «bailar» por lo que no pude hablar contigo, pero tuve una agradable conversación con tu madre, ya sabe que estás denunciado. Habla con ella, hasta tiene mi teléfono.

Nota mental: para ser un buen mafioso lo primero es irte de las casa tus papis para que no les caigan marrones por algo que no tienen la culpa. También porque mafiosillos que viven con sus papis no es la imagen que se busca 🙄

Otra actualización: hace unos minutos, 7:35 horas de Buenos Aires, Cristian David me llamó por teléfono, sólo para amenzarme que iba a tirar mi blog si decía cosas que no le gustasen. Lo peor que podría haber hecho, no acepto que intenten «censurarme» con amenazas, y lo principal, es la confirmación que necesitaba. Ahora publico parte de los datos que tengo de estos personajes (algunos detalles omitidos para preservar la privacidad de su familia) y que los denuncié a la Guardia Civil como los sospechosos de estar relacionados con los ataques DDoS (además de presuntas amenazas y extorsiones):

Cristian Alberto David, alias Morgan, de 18 años, hermano de la conocida modelo
Cuba 2xxx piso xxxx
Capital Federal
Dirección IP, de Fibertel: 200.126.251.40
Una entrevista reciente donde cuenta sus «éxitos» (la han borrado, aquí la copia PDF, en estos momentos el sitio securityadiction.com está alojado en la IP 200.58.119.20, propiedad de Dattatec.com según el whois).

La primera imagen de arriba es una captura del momento que Morgan ejecutaba el ataque DDoS (de flood UDP) contra una IP alojada en elserver.com. El ataque es similar al que hicieron contra Menéame, Genbeta y otros blogs (me acabo de enterar que otro más hará la denuncia a la Guardia Civil).

El «norman» de la segunda captura retocada (su aprendiz según Cristian) es:

Omar Alejandro Brandán, alias Norman
Barrio Misky Mayu
La Banda, Santiago del Estero
Trabaja en el cibercafé La Aldea, en Belgrano 1116, Santiago del Estero

El tercero del trío es el ya mencionado Emilio Ribera, alias F3n|x, también de Santiago del Estero.

Ahora sí espero haber hecho los méritos suficientes para que Cristian David cumpla su amenaza de «dejarme sin mi blog» 🙄

La seguridad también es un mercado de limones

Etiquetas

mercado de limones, seguridad

Hace muy poco en Sociedades vivibles comentaba que los seguros médicos son un mercado de limones (y melocotones) ya que la información es asimétrica, una de las partes de la transacción tiene más información que la otra. El típico ejemplo es el mercado de coches de ocasión.

En LWN hacen un resumen de la presentación de Bruce Schneier (enlace gratuito) en linux.conf.au. En ella Schneier aseguró que el mercado de la seguridad también es un mercado de limones. Ya había escrito sobre el tema en How Security Companies Sucker Us With Lemons (más discusión en Financial Cryptography).

Como han demostrado investigaciones económicas, en estos mercados los malos productos dejan fuera a los buenos (por eso entre otras cosas funciona mejor una seguridad social universal que los sistemas privados). El problema empeora cuando se externaliza la seguridad a algunas agencias (por ejemplos a los gobiernos, dicen algunos).

Frecuentemente cuando aparecen las palabras «virus», «anti virus» y «empresas de seguridad» ya fruncimos el ceño, las teorías económicas no hacen más que alimentar las sospechas.

Alerta con el phishing «Google Webhosting»

Etiquetas

google webhosting, phishing

Está muy bien preparado, y con los rumores que circulan sobre la posibilidad de que Google ofrezca hosting es muy creíble. Así que si recibís un texto como el siguiente, no hagáis caso:

Try free Google webhosting today !

Hello,
Dear Gmail customer
After our free email services we offer you to sing up for our free hosting services.This service currently is in beta test.
And we choose you to test this services and report us any bug you may find.We give you unlimited webspace on your own domain name you must only change your dns services to ns1.google.com and ns2.google.com and enter your domain name in our special control panel.
Our servers are linux based and we support PHP, SSL (Secure Shell),FTP,Stats,CGI,Perl,Unlimited email address and finaly 500 MySQL Database.

You may ask Why we do it ? Our answer is after you make your site active and upload your files we show our ads on top of your index page only for 20 days.

Notice(s) :
After 20 days we will remove our ads.
With this invitation code you can only add one domain name and after you enter the domain name you cant delete or change it.
Dont sell this invitation code in auction website that may cause we disable your account in the future.

Your invitation code :
http://xxxxxxxxx

Need help ? Hosting-Support@google.com
Google Webhosting Team

Los bugs increíbles de las máquinas de votar: no arrastre el dedo que se cuelga

Vía Joel on software veo el artículo Can You Count on Voting Machines?. En él relatan un bug descubierto en las Diebold AccuVote-TSX después que el estado de California se quejase en 2005 de que las máquinas se colgaban cada pocos cientos de votos.

Luego de bastantes estudios han descubierto que al momento de poner el voto si el usuario arrastraba el dedo el sistema operativo lo consideraba un drag&drop, como el programa no trataba ese evento directamente se colgaba. ¿Cuál era el sistema operativo? Windows CE.

El tema es alucinante y preocupante a la vez. Por un lado esos programas de votaciones, además de simples y pequeños (poco más de 50.000 líneas en C++ en 2002), pasaron por todas las etapas formales de especificaciones, diseño, programación, aduitorias y certificaciones. Además asumimos que los programadores deben ir con mucho cuidado y no deben ser los más tontos de la profesión. Igualmente se cometen errores graves aunque muy estúpidos.

Lo que alucino en primer lugar es en cómo el sistema operativo y sus herramientas de desarrollo porculeen de esta manera. El programa está en C++. Aunque no conozco el sistema de desarrollo del Windows CE supongo que debía ser muy similar a las MFC que se usaron al menos hasta el Visual Studio 6. En estas los eventos se tratan en clases, donde cada programa deriva esas clases para tratamientos específico. Si el programa no crea subclases el comprotamiento debe, o debía, ser un «noop», o sea no hacer nada.

Sin embargo en este caso parecía que se llamaba a una rutina inexistente y el programa se colgaba. ¿Fallos de las librerías o fallos de los programadores?

En todo caso parece culpa de ambas partes. En 2002 por un error de empleados de Diebold el código fuente llegó a manos de Avi Rubin, profesor de la universidad John Hopkins. Enseguida encontró muchos errores: se podían emitir varios votos, un usuario normal podía realizar operaciones administrativas, etc. etc., incluso algunas tan absurdas como que los votos eran almacenados cifrados localmente –con algo tan débil como el DES–, pero cuando se enviaban a la «autoridad central» por la red se enviaban en texto plano.

Además encontró que se usaban librerías de audio de otras empresas, que también pueden introducir problemas de seguridad. Y un largo etcétera de chapuzas que fueron fácilmente detectadas cuando unas pocas personas tuvieron acceso al código.

¿Todavía alguien duda de que los mejores programadores cometen errores estúpidos aún en programas relativamente simples? ¿todavía alguien duda que no te puedes ni fiar de las librerías de desarrollo de un sistema privativo?

A mí también me impresiona, aunque era de esperar, cómo es que esos programas pasaron procesos de certificación con auditorias «profesionales» de empresas independientes sin que hayan detectado ninguno de estos problemas que detectó un profesor universitario en poco tiempo y sin que nadie le haya pedido.

Para aquellos que no están convencidos del software libre, vale, pero después de ver estas chapuzas encadenadas desde el SO hasta las «auditorías oficiales», ¿todavía les queda dudas de que hay software que sí debe ser libre y estar publicado para que todos los interesados puedan analizarlo?

Con tantas evidencias ni siquiera sirve la manida excusa de que se «contratan auditorías externas». Ninguna consultora o auditora podrá igualar a los buenos programadores que están interesados y motivados en analizar el programa. Y eso porque no quiero suponer que haya corrupción en todo el sistema de «auditorías-certicaciones»…

Ni George Orwell podía imaginarlo

Etiquetas

seguridad aeroportuaria, subyugación

The Airport Security Follies es un excelente artículo sobre le estupidez de algunas medidas de «seguridad aeroportuaria».

Casi al final habla del programa Registered Traveler, donde los pasajeros frecuentes se pueden apuntar, pagando y dando información privada para evitar los controles de aeropuertos. Así dice:

As cynical as George Orwell ever was, I doubt he imagined the idea of citizens offering up money for their own subjugation.

Algo así como:

Aún con lo cínico que era George Orwell, dudo que haya imaginado la idea de ciudadanos ofreciendo dinero para su propia subyugación.

Parece que el autor (Patrick Smith) acaba de abrir los ojos, hace bastantes años –algunos antes de 1984– que muchos ciudadanos pagan voluntariamente por ser subyugados. El programa se llama Software Privativo y el documento End User License Agreement 🙂

¿Puerta trasera de la NSA en un nuevo estándar? «Scary stuff»

Etiquetas

Dual_EC_DRBG, NIST, NSA

Lo cuenta Bruce Schneier en Wired (también en su blog). El gobierno norteamericano –vía NIST– acaba de publicar un nuevo estándar para la generación de números aleatorios. La generación de números pseudoaleatorios es muy importante para el cifrado, por ello son importantes los métodos que se usen para asegurar el buen funcionamiento.

Uno de los cuatro métodos propuestos, el Dual_EC_DRBG, es sospechoso porque el algoritmo es muy lento y tiene algunos problemas intrínsecos –tiene unos atajos indicados en el mismo estándar–. E incluso tiene una serie de constantes que definen el algoritmo de curva elíptica que nadie sabe de dónde han salido. ¿Por qué incluyeron un algoritmo así en el estándar? Por presiones de la NSA.

Menos mal que los científicos, teóricos e ingenieros de cifrado son muy conservadores y muy escépticos, tanto es así que se dedicaron a estudiar el algoritmo. Así Dan Shumow y Niels Ferguson descubrieron que existe un segundo conjunto de números desconocidos –o secretos– que tienen relación con los números generados. Es decir, conociendo esos números secretos y sólo 32 bytes de una cadena cifrada TLS se puede descifrar todo el protocolo.

Es acojonante.

Al final no es tan grave, porque cambiando esas constantes iniciales –tal como se indica en un apéndice del estándar– se puede evitar el problema.

Pero… la mayoría de los fabricantes tienden a usar la implementación tal cuál está especificada, ¿qué hubiese pasado si un par de investigadores no hubiesen descubierto y publicado esta «extraña» relación?

Es muy sospecho, tampoco se explica que se haya puesto un algoritmo que desde el punto de vista ingenieril no tenía mucho sentido.

¿O quizás es la «academia» ya está reduciendo a pocos meses el histórico gap que les hacía ir unos cuantos años por detrás de la ultrasecreta y poderosa NSA?