Muy interesante la informacin y muy profesional te felicito! Me imagino que antes de publicarla diste aviso a las autoridades de Telgua?

Otra cosa, tendras por ahi las ips a las cuales era redireccionado el trafico? Saludos, Pablo Barrera pbarrera en gmail.com Skype: pabongt On Mar 26, 2011, at 1:32 PM, Taller Digital VW wrote: Estimados amigos a continuacin les envo mi reporte del problema que existe en el los dns de turbonet, donde esta el problema y como solucionarlo. Descripcin del acontecimiento Hace aproximadamente 30 das empec a notar una especie de inyeccin dns en mi computadora, lo cual me pareci extrao, cuando ejecutaba consultas a dominios habituales como google.com aparentemente los servidores dns devolvan consultas errneas, direccionando mis sitios web a una pagina qspnet.com la cual se encontraba en una computadora del atacante que obtena su simulacin de ip publica atravez del proveedor no-ip. Esta situacin me dejo intranquilo, significaba que en cualquier momento mi privacidad y datos personales que escribiera en un SitioWeb podran ser capturados por el atacante por lo cual decid investigar a fondo el tema. Primero decid analizar mi computara dado que podra encontrase infectada de un cdigo malicioso, dado las ventajas de mi GNU/Linux Debian y mis programas Open Source en donde el cdigo es completamente abierto no tuve mayor problema en inspeccionar el sistema, para mi sorpresa todo se encontraba correctamente a excepcin de la cache guardada en mis servicios chromium, squid y dnsmasq, al eliminar las caches, todo volva a la normalidad, decid cerrar cualquier posibilidad de que podra no haber visto el cdigo malicioso por lo cual decid probar en otros sistemas operativos para ver si suceda lo mismo, macos y windows presentaron el mismo problema lo cual me indicaba que definitivamente no el problema no era local. Segundo podra ser que mi router estaba siendo atacado y ser vctima de un ataque man-in-the-middle. por lo cual ingrese a mi router para investigar las conexiones, pero todo se presentaba normal no exista ninguna conexin extra solamente mi computadora por lo cual descarte mi router. Tercero para este momento ya estaba seguro que el ataque no se efectuaba de forma local definitivamente el ataque era externo por lo cual tenia 2 servidores DNS que posiblemente fueran los causantes del problema. 216.230.147.90 216.230.128.32 NOTA: Pareca ser que la inyeccin no se efectuaba todo el tiempo, solo se efectuaba en determinados lapsos de tiempo al da y la noche en los cuales lograba darme cuenta del ataque, por lo cual me llevo a

pensar que podra ser que el ataque estaba siendo ejecutado por un script programado con una labor de cron dado que al pasar determinado tiempo la inyeccin se perda por que el servidor dns renovaba su cache. Cuarto - Cual de los servidores era el culpable? lo mas importante era determinar cual era el servidor culpable por lo cual tendra que decidir poner solo un servidor dns a la vez y esperar a que apareciera la inyeccin. pero tambin exista la posibilidad de que solo volviera a ver una vez mas el ataque y no pudiese comprobar el otro servidor o que el atacante no atacara de nuevo, era como el cazador esperando pacientemente a que la presa mordiera la carnada, as que mejor instale 2 computadores con cada uno de los dns corriendo con un script que abra SitiosWeb comprobaba si se encontraba un imagen del atacante en el SitioWeb si no exista imagen cerraba la ventana y si la imagen hacia match tomaba un screenshot registrando la hora, fecha y la inyeccin. Para mi suerte no tuve que esperar mucho a pocas horas de preparar la trampa, logre cazar a mi presa. 216.230.147.90 - No era el culpable 216.230.128.32 - Culpable Cual era el Problema? Decid investigar mas a fondo el tema por lo cual al escanear el servidor y para mi sorpresa resulto ser que el servidor DNS 216.230.128.32 se encontraba des-actualizado con una versin de servidor DNS Bind 9 versin 9.4.2 la cual es propenso a una vulnerabilidad remota de envenenamiento cach. la cual determinaba que los usuarios de turbonett estn expuestos a dicha inyeccin lo que significa que cualquier usuario podra ser espiado y compromete la privacidad de los usuarios, permitiendo que pueda ser robada toda informacin escrita en una SitioWeb. Impacto Aparentemente esta vulnerabilidad existe desde el ao 2008, Tiempo suficiente para que los atacantes hayan tomado una Base de Datos de personas mas grande y mas completa que el RENAP, Ejemplo: Cuantas personas en Guatemala se conectan a FaceBook desde el 2008, SitioWeb en el cual escriben usuarios, contraseas, nombres, apellidos, direcciones, telfonos, fotos, amigos etc. y que toda esta informacin pudo ser capturada por los atacantes, o simplemente en cualquier sitio web en la cual se les ocurri escribir sus nmeros de tarjeta de crdito en sitios no seguros o mas aun que pasara si las instituciones encargadas de manejar la informacin de los usuarios utilizaron los servidores de turbonet. como podemos ver el impacto es fuerte, todo lo que fue escrito en un SitioWeb desde el ao 2008 pudo ser capturado. y los atacantes manipularon a su gusto a antojo la informacin que desearon. Solucin Todo este problema pudo haberse solucionado actualizacin del servidor. con una simple

Sabia turbonet de dicho problema? En el ao 2008 recuerdo bien que se corri en la red el rumor que turbonet haba contratado a personal externo para corregir dicha vulnerabilidad, la vulnerabilidad haba sido detectada por un extranjero el cual no corrigi la vulnerabilidad dado turbonet no quiso pagar lo que el peda por su trabajo, por lo cual la vulnerabilidad quedo abierta, pero repito esto fue solo un rumor en la red Por que turbonet sabe que existe la vulnerabilidad y no la a corregido? Esa es una pregunta que solo turbonet debera contestar.

Que podemos hacer como usuarios? eliminar 216.230.128.32 de nuestros dns, crear nuestros propios servidores DNS Bind 9, Utilizar tecnologas open source que nos permitan saber realmente lo que esta sucediendo en nuestros computadores. Como el atacante envo su ataque? A continuacin envo informacin de los posibles mtodos utilizados para enviar el ataque a los DNS. http://www.metasploit.com/modules/auxiliary/spoof/dns/bailiwicked_dom ain http://www.metasploit.com/modules/auxiliary/spoof/dns/bailiwicked_hos t Codigo Fuente de los exploits: http://www.metasploit.com/redmine/projects/framework/repository/entry /modules/auxiliary/spoof/dns/bailiwicked_domain.rb http://www.metasploit.com/redmine/projects/framework/repository/entry /modules/auxiliary/spoof/dns/bailiwicked_host.rb

Informe de anlisis Este informe ofrece detalles sobre los ejrcitos que han sido analizados y los problemas que se encontraron. Por favor, siga los pasos y procedimientos recomendados para erradicar estas amenazas. Detalles del anlisis Mquinas que estaban vivos y respuesta durante la prueba Nmero de agujeros de seguridad 0 Nmero de advertencias de seguridad 3 Nmero de notas de seguridad 6 Nmero de falsos positivos 0 1

Lista de acogida Anfitrin (s) Posible Problema 216.230.128.32 Advertencia de seguridad (s) [Volver al principio] Anlisis de Host Direccin del host Puerto / Servicio Cuestin relativa a Puerto 216.230.128.32 dominio (53/tcp) Nota de seguridad (s) 216.230.128.32 general / tcp Nota de seguridad (s) 216.230.128.32 ssh (22/tcp) Sin informacin 216.230.128.32 general de TI-Grundschutz Sin informacin 216.230.128.32 dominio (53/udp) Advertencia de seguridad (s) 216.230.128.32 general / smbclient Sin informacin 216.230.128.32 general de TI-Grundschutz-T Sin informacin 216.230.128.32 general / HOST-T Sin informacin 216.230.128.32 general de CPE Sin informacin Problemas de seguridad y correcciones: 216.230.128.32 Tipo Puerto Edicin y Correccin Informativo dominio (53/tcp) Informacin general:

Un servidor DNS se est ejecutando en ese host. Un traduce Nombre del servidor de nombres de dominio en direcciones IP. Esto hace que sea posible que un usuario tenga acceso a un sitio web tecleando el nombre de dominio en lugar de direccin real del sitio web de propiedad intelectual. Factor de riesgo: Ninguno OID: 1.3.6.1.4.1.25623.1.0.100069 Informativo dominio (53/tcp) BIND 'nombre' es un servidor de cdigo abierto DNS de ISC.org. Muchos servidores DNS de esta naturaleza se basa en el cdigo fuente de BIND. Los servidores basados en BIND nombre (o los servidores DNS) permite a los usuarios remotos para consultar la versin y tipo de informacin. La consulta del caos 'Version.bind' registro TXT, por lo general le pedir al servidor para enviar la informacin a la fuente de consulta. La versin se unen a distancia es: 9.4.2 Solucin: Uso de la directiva de la 'versin' en la seccin "opciones" bloquear consulta el "version.bind ', pero ste no podr conectarse tales intentos. OID: 1.3.6.1.4.1.25623.1.0.10028 Informativo general / tcp Abrir los puertos TCP son 53 OID: 1.3.6.1.4.1.25623.1.0.900239 Informativo general / tcp Esta es la ruta desde 209.20.68.7 a 216.230.128.32 209.20.68.7 67.207.128.2 209.20.79.16 38.104.162.21 66.28.5.245 154.54.27.29 154.54.29.109 154.54.7.145 154.54.28.242 63.245.46.69 63.245.5.80 63.245.5.69 63.245.5.110 63.245.70.38 * * * 216.230.128.32 OID: 1.3.6.1.4.1.25623.1.0.51662 Informativo general / tcp ICMP sistema operativo basado en los resultados de la huella digital: No se puede detectar a distancia del sistema operativo. No se encontr coincidencia. OID: 1.3.6.1.4.1.25623.1.0.102002

Advertencia dominio (53/udp) Informacin general: ISC BIND 9 es propenso a una vulnerabilidad remota de cach envenenamiento. Un atacante puede aprovechar este problema para manipular los datos de la cach, potencialmente facilitar el hombre en el medio, el sitio de suplantacin o de denegacin de los ataques del servicio. Las versiones anteriores a las siguientes son vulnerables: BIND 9.4.3-P5 BIND 9.5.2 BIND 9.6.1-P2-P3 Solucin: Las actualizaciones estn disponibles. Por favor, consulte las referencias para ms detalles. Referencias: http://www.securityfocus.com/bid/37865 http://www.isc.org/products/BIND/ http://www.kb.cert.org/vuls/id/360341 https: / / www.isc.org/advisories/CVE-2010-0097 Factor de riesgo: Medio CVE: CVE-2010-0097 , CVE-2010-0290 , CVE-2010-0382 BID: 37.865 OID: 1.3.6.1.4.1.25623.1.0.100458 Advertencia dominio (53/udp) Informacin general: ISC BIND 9 es propenso a una vulnerabilidad remota de cach envenenamiento. Un atacante puede aprovechar este problema para manipular los datos de la cach, potencialmente facilitar el hombre en el medio, el sitio de suplantacin o de denegacin de los ataques del servicio. Las versiones anteriores a las siguientes son vulnerables: BIND 9.4.3-P4 BIND 9.5.2-P1, BIND 9.6.1-P2 Solucin: Las actualizaciones estn disponibles. Por favor, consulte las referencias para ms detalles. Referencias: http://www.securityfocus.com/bid/37118 https: / / www.isc.org/node/504 http://www.isc.org/products/BIND/ Factor de riesgo: Medio CVE: CVE-2009-4022 BID: 37.118 OID: 1.3.6.1.4.1.25623.1.0.100362 Advertencia dominio (53/udp) Resumen: El anfitrin se ejecuta BIND y es propenso a la seguridad de derivacin Vulnerabilidad.

Vulnerabilidad Insight: El fallo se debe a una validacin incorrecta del valor de retorno de OpenSSL DSA_do_verify y funciones VP_VerifyFinal. Impacto: Una explotacin exitosa podra permitir a atacantes remotos evitar el certificado comprobaciones de validacin y puede causar un ataque "man-in-themiddle a travs de los controles de firma en las claves DSA y ECDSA utilizar con SSL / TLS. Nivel de impacto: Aplicacin Software afectado / OS: ISC BIND versin anterior a 9.2 o 9.6.0 o 9.5.1 P1 P1 P1 o 9.4.3 o 9.3.6 P1/Linux Solucin: Actualizar a la versin 9.6.0 P1, P1 9.5.1, 9.4.3 P1, 9.3.6 P1 https: / / www.isc.org/downloadables/11 Referencias: https: / / www.isc.org/node/373 http://secunia.com/advisories/33404/ http://www.ocert.org/advisories/ocert-2008-016.html CVSS Puntuacin: CVSS Puntuacin Base: 5.0 (AV: N / AC: L / Au: NR / C: P / E: N / R: N) CVSS temporal Puntuacin: 3.7 Factor de riesgo: Medio CVE: CVE-2008-5077 , CVE-2009-0025 , CVE-2009-0265 BID: 33150 , 33151 OID: 1.3.6.1.4.1.25623.1.0.800338 Informativo dominio (53/udp) Informacin general: Un servidor DNS se est ejecutando en ese host. Un traduce Nombre del servidor de nombres de dominio en direcciones IP. Esto hace que sea posible que un usuario tenga acceso a un sitio web tecleando el nombre de dominio en lugar de direccin real del sitio web de propiedad intelectual. Factor de riesgo: Ninguno OID: 1.3.6.1.4.1.25623.1.0.100069 -Atentamente, Juan Pablo Chvez support en tallerdigitalvw.com www.tallerdigitalvw.com +502 57665122 _______________________________________________ Debian-gt mailing list Debian-gt en listas.debian.org.gt http://listas.debian.org.gt/cgi-bin/mailman/listinfo/debian-gt

------------ prxima parte -----------Se ha borrado un adjunto en formato HTML... URL: <http://listas.debian.org.gt/pipermail/debiangt/attachments/20110327/99118d3f/attachment-0001.html