Anรกlisis de Ataques Casos 1 y 2 Film: UNTRACEABLE (Sin Rastros)
Objetivo del análisis Establecer la realidad sobre un competidor–amenaza
La Prevención (antes): todos los mecanismos que aumentan la seguridad (o fiabilidad) de un sistema durante su funcionamiento normal. La Detección (durante): mecanismos orientados a revelar violaciones a la seguridad.
Pel铆cula (fracci贸n de 16:05 min)
Interrogantes del Caso 1 Seguimiento del objetivo por: Piratear Tonos de celular Pornografía Compra de armas (registradas?) Robo de datos Historial de robo de cuentas bancarias
Ocultar IP (Caso 1) Ip real: Si es fija es fácilmente encontrada. Si es dinámica, Obs del router. Ip enmascarada: Navegación anónima Medidas de seguridad sobre WIFI (se producen fraudes usando otra frecuencia “robada”) http://www.hidemyass.com/: link para fácil enmascaramiento Aplicación practica y muestra Geotool: info sobre la IP que lo lanza e info sobre una IP cualquiera http://www.cualesmiip.net/ http://www.adslayuda.com/ip.html http://cualesmiip.e-mision.net/ Soft enmascaramiento (puede dar seguridad al navegar) Hide Ip Platinum Hide IP Easy
El Agente dejo señuelos tales como: • Claves falsas • Tarjeta de crédito falsa • Datos falsos El perfil psicológico del ciberdelincuente fue atraído por haber encontrado una presa fácil.
Caso 2: Interrogantes
Escena del Gato torturado
Existió evidencia de que era una red local (denuncia del robo del gato e identificacion del collar) Se quiso cerrar el sitio pero no se pudo IP cambia constantemente (enmascaramiento) Supuesto Sitio Ruso que asignaba cientos de IP diferentes, regenerando el http en cuestion. Esa asignación a Ips remotas asignaban otros sitios retroalimentando la carga del enlace. Acceder a las maquinas tan rápidamente cambiante, supuestamente se trataría de un BOTMASTER. Posible Solución: Cierre del sitio (restringir el tráfico IP a sitios extranjeros y locales a nivel de DNS) Problema: No hay jurisdicción en Server externos
BOTNET Un programa que permite crear botnets o redes Zombi, estas son un grupo de computadoras (miles e incluso millones) que se encuentran infectadas por un troyano que es controlado remotamente por los ciberdelincuentes.
Programar una BOTNET realmente es tarea muy dificil. Hoy ya existen aplicaciones que dan la posibilidad de crear botnets con una aplicaci贸n
1. El operador de la botnet manda virus/gusanos/etc a los usuarios. 2. Las PCs entran en el IRC (Internet Relay Chat) o se usa otro medio de comunicación. 3. El spammer le compra acceso al operador de la Botnet. 4. El Spammer manda instrucciones vía un servidor de IRC u otro canal a las PC infectadas. 5. Causando que éstos envíen Spam al los servidores de correo.
Una vez que la red ha sido convenientemente armada (con 10 o miles de equipos), el botmaster (responsable) de la misma puede decidir con total libertad, remotamente y en cualquier parte del mundo qué hacer con la misma pudiendo, por ejemplo:
•Enviar spam •Realizar ataques de denegación de servicio distribuido • Construir servidores para alojar software warez, cracks, seriales, etc • Construir servidores web para alojar material pornográfico y pedofílico • Construir servidores web para ataques de phishing • Redes privadas de intercambio de material ilegal • Sniffing de tráfico web para robo de datos confidenciales • Distribución e instalación de nuevo malware • Abuso de publicidad online como adsense • Manipulación de juegos online
Si se analiza cualquiera del malware actual para la construcción de botnets puede encontrarse codigo de comandos como los siguientes 11: 1. mac.login: log in del usuario. 2. ftp.execute: actualización del bot a través de dirección ftp. 3. http.execute: actualización del bot a través de dirección http. 4. rsl.logoff: log out del usuario. 5. rsl.shutdown: apagar el equipo. 6. rsl.reboot: reiniciar el equipo. 7. pctrl.kill: terminar un proceso. 8. ddos.httpflood: ataque de denegación de servicios. 9. ddos.synflood: ataque de denegación de servicios. 10.harvest.emailshttp: obtiene lista de correos vía http. 11.harvest.emails: obtiene lista de correos. Fuente: ESET