Mi espacio utópico y catártico

Entradas etiquetadas como “hack

Twitter hackeado por Iranian Cyber Army?

Habrá sido hackeado Twitter por el Cyber Ejército Iraní anoche a las 10 hrs? Twitter, el servicio de microblogging que está ganando popularidad exponencialmente en México y todo el mundo, había presentado una sorpresa para la gente que accedía el sitio a esas horas: “This site has been hacked by the Iranian Cyber Army (ICA)

El día de ayer el servicio de Twitter estuvo comportándose lento desde las 9 de la mañana. La extrañeza de la gente que sigo en mi TimeLine era compartida en Tweets similares entre sí: “Hay muy pocos Tweets a diferencia de otros días”, “Estoy solamente yo aquí a estas horas?”Durante el día volvía a la normalidad por momentos, sin embargo a las 12PM nuevamente hubo lentitud e inconsistencias en las actualizaciones.

En mi caso, uso TweetDeck en la computadora donde trabajo y revisaba el estatus de la API de mi cuenta pensando que era la razón de la falla. Sin embargo, mi API estaba en 80/150 es decir, me quedaban aún 70 llamadas a Twitter para actualizar, hacer búsquedas o subir Tweets. El estatus en la barra de estado desplegaba la leyenda: “All Good.” Entonces, el problema estaba por otro lado ya que no era el único y ni siquiera era sólo en México ya que sigo gente de Estados Unidos y Europa y ellos también expresaban su sentir al problema. En la laptop uso Echofon, un complemento de Firefox, pero ya no lo intenté por ahí, ya que ni siquiera desde el iPhone podía acceder a mi cuenta.

Alrededor de las 10PM hora del centro, nuevamente hubo una interrupción del servicio, esta vez total. Lo noté porque, como ha sido costumbre de un tiempo para acá, antes de dormir leo el TimeLine de mis followeados y si hay algo interesante, Twitteo un rato y ya después me duermo. Pero anoche de plano no podía acceder desde ninguna de las aplicaciones del iPhone a Twitter. Intenté entrando por Safari a Twitter.com y simplemente no desplegó nada. Pero no había mensaje de error ni de time out. Muy extraño.

Encendí la PC nuevamente y revisé el estatus en TweetDeck… el mismo, todo en orden. Activé el complemento de Echofon en Firefox y ahí sí no hubo forma de conectarme a mi cuenta. Definitivamente algo había pasado. En mi paranoia como el día que hackearon el modem cuando mi ISP era Prodigy, lo primero que quise hacer fue cambiar mi contraseña, pero cómo lo iba a hacer si no podía entrar a Twitter.

Hoy por la mañana me encontré con DMs y mensajes en Facebook donde mis muy estimados amigos me preguntaban respecto al posible Hackeo de Twitter. Dado que Internet está lleno de mitos y leyendas que se le ocurren a varios ociosos, me dí a a la tarea de hacer un poco de información y cruzar datos paa verificar si este hack había sido real. Esto es lo que encontré:

Twitter cuenta con un blog donde uno puede informarse de las noticias acerca del servicio de primera mano de sus creadores e ingenieros – Aunque, como en cualquier lugar, no siempre nos encontraremos con los hechos reales 😉 – En este blog se encuentra mencionada la situación como un problema de interrupción de DNS (Domain Name Server) Twitter mismo había alertado a través de su cuenta la interrupción del servicio de DNS. Pero no daba más detalles – obviamente – de quién o qué lo había provocado.

¿Qué significa que la interrupción de DNS?
Todos los sitios Web en Internet cuentan con una dirección IP única. Esto es como el número de tu casa dentro de una calle inmensa llamada Internet. La función de los servidores DNS es decirle a los clientes (las personas que te quieren localizar) en qué número se encuentra tu casa. Por ejemplo, cuando tecleamos el URL de Google en el navegador, se le pregunta al DNS por la dirección IP de Google y nos regresa un número como 66.102.7.103 que es la dirección de Google.com en Internet.

Si el DNS tiene una dirección distinta a 66.102.7.103 puede mandarte a otro lado. Así funcionan también los ataques por pharming que hacen que tu navegador en vez de abrir los sitios reales de tu correo o de tu banco, abra una copia idéntica en otro servidor y es cuando te roban usuarios y contraseñas.

En este caso, el DNS que apunta a la dirección de Twitter, había sido comprometido y por ende todos los que buscaban el servicio de Twitter se encontrarían en otro lugar distinto.

Digg, que es una fuente importante de información respecto a aquellos temas, sitios o servicios que cuentan con más accesos, votos, Tweets o cualquier tipo de conteo digital que pueda ser rastreado y registrado para su posterior publicación con todo y su fuente, presentó una entrada a las 4AM donde se hizo popular el tema del hackeo de Twitter por el ICA.

Aparentemente Twitter había sido hackeado para que así, todos los que, al ver interrumpido el servicio en sus clientes, accedieran el sitio de Twitter y se encontraran con una bandera con el texto:  “This site has been hacked by Iranian Cyber Army“. (Este sitio ha sido hackeado por el Cyber Ejército Iraní)

Tech Crunch sitio donde se describía el porqué del ataque, supone que posiblemente se debió a la intervención del gobierno de los EEUU en las reciente elecciones presidenciales en Irán. Esto porque Twitter fue usado por protestantes para expresar su sentir mientras se daban dichas elecciones el verano pasado.

¿Por qué usando Twittelator, Twitbird, TweetDeck, Tweetie y cualquier otra aplicación que aprovecha el uso de las APIs de Twitter, me permitía enviar y recibir algunos Tweets?

Esto se debe a que, como varios sitios web, Twitter provee sus servicios a través de varios servidores. Dichos servidores se reparten la carga mundial tanto de actualización de TimeLines, como de envío de Tweets entre una gran cantidad de otras operaciones que son transparentes para los usuarios. Por lo tanto, si el DNSs que apuntaba al sitio principal de Twitter había sido violado, no lo fueron los otros que apuntan directamente a los servidores donde reside sl procesamiento de las APIs.

Twitter es famoso por no contar con una infraestructura de seguridad tan robusta como se puede pensar de una red social tan importante. Pero hey! es gratuita, no hay porqué quejarse. No tiene anuncios y nos ha abierto una puerta a personas, lugares e información que, de otra forma, no tendríamos. Disfrutemos sus bondades y seamos solidarios cuando estas cosas sucedan.

Un especial agradecimiento a mis amig@s que me ven como fuente fiable de información para todo lo que tiene que ver con tecnologías de información. Y un abrazo Twittero a todos los que lean esta entrada.

Abur

ShortLink para esta entrada: http://tiny.cc/OF0pA

Anuncios

Hackeo de vulnerabilidad de Modems 2Wire simulando el sitio de Banamex

Antecedentes:
El viernes pasado quise acceder a mi cuenta de Banamex para realizar una transferencia. Confiado en tener todo al día: Antivirus, firewall, anti hack y por mi arrogancia, introduje número de cliente, clave personalizada y la clave dinámica que el “Net Key” me proporciona.

Sorpresa!!! Se despliega un mensaje de que el servidor se encuentra en mantenimiento y que lo intente en 24hrs. Como ya había visto este mensaje en un equipo hackeado de un cliente de inmediato entro en terror buscando el origen de la redirección. Banamex y ningún otro banco te informarán que están en mantenimiento una vez introducidos tus datos, sino antes de hacerlo. Acababa de ser víctima de un truco conocido como Pharming.

Pharming: Es la modificación de los registros (DNS) logrando redireccionar las peticiones de algún sitio (En este caso fue Banamex) hacia otro sitio preparado por un hacker o espía.

¿Quiénes son suceptibles al ataque?
Cualquier usuario de Prodigy Infinitum con los siguientes modelos de Routers:
2Wire 2071 Gateway 5.29.51
2Wire 2071 Gateway 3.17.5
2Wire 2071 Gateway 3.7.1
2Wire 1800HW 5.29.51
2Wire 1800HW 3.17.5
2Wire 1800HW 3.7.1
2Wire 1701HG 5.29.51
2Wire 1701HG 3.17.5
2Wire 1701HG 3.7.1
2Wire 2701HG-T  (actualizado al 30 de Julio de 2008)

¿Desde cuándo se conoce la vulnerabilidad?
15 de agosto de 2007 siendo hkm@hakim.ws y Eduardo Espina G. los acreditados con el descubrimiento.

Descripción de la vulnerabilidad:
Los ruteadores 2Wire listados arriba son susceptibles a la vulnerabilidad cross-site request-forgery (XSRF) Un ataque remoto explota ésta vulnerabilidad para ejecutar acciones arbitrarias en el dispositivo afectado. Estas acciones pueden ser: Cambio de contraseña del router, Adición de rutas fijas DNS, Desactivar autenticación inalámbrica, resetear el modem, etc.

Sitios que son simulados por el hacker al 2 de febrero de 2008
banamex.com
http://www.banamex.com
http://www.banamex.com.mx
boveda.banamex.com
boveda.banamex.com.mx
http://www.boveda.banamex.com
http://www.boveda.banamex.com.mx
bancanetempresarial.banamex.com
bancanetempresarial.banamex.com.mx
http://www.bancanetempresarial.banamex.com
http://www.bancanetempresarial.banamex.com.mx
Sitios susceptibles de ser impersonados:
Bancos en general, PayPal, eBay, sitios que requieran de usar un login

Ejemplo de sitio falso de Banamex

Sitio Falso Banamex

a) La fecha y la información busátil son incorrectas.
b) Los tipos de cambio y sobretodo la cotización del Centenario son evidentemente incorrectos.

¿Cómo identificar y neutralizar el ataque por pharming o de hackeo?
Hackeo en tu PC
1. Archivo de HOSTS
Revisa el archivo HOSTS en la ruta c:\Windows\System32\Drivers\etc\
– Si encuentras los listados de banamex o de cualquier otra dirección que no sea
Localhost 127.0.0.1
fuiste hackeado.

Acción: Borra el contenido del archivo HOSTS y guarda los cambios.
Nota: en Windows Vista requieres ejecutar el Bloc de Notas como Administrador, si no, no te dejará realizar cambios al archivo HOSTS.

2. Proxy en navegadores
Abre una ventana de Internet Explorer o del Navegador que uses
Accede al menu Herramientas o Preferencias
Entra en la sección de Conexión y luego a Red Local o LAN
– Si está activo el uso de un servidor PROXY
fuiste hackeado.

Acción: Desactiva la casilla de proxy y acepta los cambios.

3. Router 2Wire
En una ventana de Internet Explorer o del Navegador que uses teclea la dirección siguiente:
http://home/management
– Si anteriormente habías configurado una contraseña y al colocarla no te permite entrar
– Si nunca configuraste una contraseña y ahora te la está pidiendo
fuiste hackeado.

Acciones:
1. Presiona la liga “No recuerdo la contraseña”
2. Sigue las instrucciones para restablecer la contraseña del sistema.
3. Vuelve a introducir la dirección http://home/management
4. Ingresa la contraseña
5. Del menú de la izquierda busca dentro de Avanzada “Resolución de DNS”
6. Presiona el botón REMOVE o QUITAR sobre cada dirección agregada que aparezca
2Wire DNS Settings

¿Cómo evitar el hack de mi modem 2Wire en el futuro?
1. Contra el hacking de tu PC necesitas instalar un antivirus de verdad 😉 Combinaciones de antivirus y firewall gratis han demostrado detener la mayoría de las amenazas informáticas (80%) pero ese remanente que no protegen son más de 1000 amenazas.

Las herramientas Antivirus que recomiendo en estricto orden
– Kaspersky Internet Security 2009
– Kaspersky Antivirus 2009
– Norton 360

Adicionalmente necesitarías una auditoría manual de procesos y de aplicaciones potencialmente peligrosos.Ya que en este caso, el hackeo es realizado por un Caballo de troya (Trojan) y un gusano (Worm)

2. Contra el pharming de tu router 2Wire NO existe, al 2 de febrero de 2008, una solución; ni por parte de Telmex, ni por parte de 2Wire.

La mejor protección es: conocimiento y perspicacia al usar internet.

He leído que ésta vulnerabilidad es explotada a través de un correo falso que puede llegar:

– De una tarjeta electrónica de gusanito.com. (La cual no envía Gusanito.com)
Ejemplo de tarjeta falsa de gusanito.com

Gusanito fake
– De un correo falso del periódico El Universal con una liga a un video
Ejemplo de correo falso de una noticia del Universal.
Universal Fake

Cómo identificar que un sitio es genuino:

Sin embargo, el acceso a ciertas páginas también puede hacerte susceptible a un ataque de pharming, por lo que hay que fijarse en lo siguiente antes de introducir contraseñas y claves. Lo mostraré con el ejemplo de la página de Bancanet.

Bancanet

a) La direción debe comenzar con https y no sólo http. La “s” básicamente indica que es una conexión segura.

b) Habiendo la “s” entonces también existirá un certificado que autentica al sitio que accesas, donde la conexión entre el servidor web y el cliente está cifrada.

Habrá que estar alertas.

Saludos

Fuentes:
http://www.securityfocus.com
http://www.2Wire.com

P.D. El hacking del 2Wire dado que afecta todos los equipos conectados al mismo,
estará afectando equipos Windows, Mac, Linux, Unix, etc.

Inclusive si te conectas por equipos móviles: Blackberries, Palms, Cliés, UMPCs, etc.

Actualización Agosto 2008

A estas alturas el redireccionamiento a otro sitio distinto al de Banamex sólo puede causar molestias gracias a que Banamex ahora requiere que para poder realizar cualquier transferencia, introduzcas nuevamente tu clave dinámica del NetKey. 🙂 así que gracias a todos esos intentos de fraude, lograron que la seguridad fuera relamente efectiva.

Actualización Enero 2010

Por ahí me encontré el blog de Jesus Rizo… que me supongo que es robot o algo así porque se fusiló en tu totalidad esta entrada… en fin. Shit happens! Éste es el bueno 😉 Si hasta Adela Micha se copia el texto de este blog, que otros lo hagan pues ya que, la cuestión es informar y éste por lo menos puso la fuente de donde lo copió jajaja