sábado, 19 de octubre de 2013

Domain Hijacking

No hay comentarios:

Hoy vamos a explicar la diferencia entre Domain Hijacking y hackear un sitio web


Domain Hijacking 


No voy entrar en el debate de si debe llamarse DNS Hijacking o Domain Hijacking. 

Considero que el DNS Hijacking se debería llamar al ataque sobre servidores DNS en si como servicio y su procesamiento de peticiones recibidas, algo que incluso algunos ISPs utilizan para introducirnos publicidad o redirigirnos a servicios personalizados o concertados con los originales. 

Comenzaremos con conceptos básicos de este ataque que se está poniendo tan de moda entre los defacers (frente a la imposibilidad en un principio de comprometer los servidores en sí de su objetivo), de grupos como el KDSM Team, o incluso algunas de las últimas acciones de los ¿ya pasados de moda? Syrian Electronic Army


Qué es el Domain Hijacking 

En la mayoría de los casos en los que no se gestionan los registros DNS por el propio usuario, estos se delegan a empresas llamadas registradores sobre los cuales se contratan los nombres de dominio necesarios y se gestionan a través de su software o panel de control. El Domain Hijacking se conoce como al acceso no autorizado a la gestión de los registros de un dominio, modificando dichos registros para que se apunten a direcciones IP diferentes a los originales. Para el caso de lo ocurrido con Avira, WhatsApp y otros, se ha confirmado que el hack se ha realizado sobre el proveedor Network Solutions, el cual gestiona sus dominios, además de los de muchas más importantes compañías. 


Quién se ve afectado/de quién es la responsabilidad 

Este ataque afecta, obviamente, a los registradores de nombres los cuales ven comprometidas sus aplicaciones de gestión de nombres y registros de dominios, y por consecuencia, todos sus clientes. Hay dos casos, bien diferentes y que determinan el alcance del ataque y sus consecuencias: 

* Si se consigue comprometer la aplicación de gestión de dominios por una vulnerabilidad en su software o en su procedimiento de actualización de servidores DNS, se comprometen todos. 

* Si se consiguen obtener las credenciales de acceso al panel de gestión de dominios de un cliente en concreto, se comprometerán sus dominios y subdominios. Esta obtención de credenciales se puede realizar mediante ingeniería social, malware, campañas de phishing, acceso a la cuenta de e-mail utilizada al registrarse, etc. Así de simple. 


La web parece modificada ¿han secuestrado el dominio? 

Se puede utilizar cualquier herramienta de obtención de información sobre DNS y dominios para comprobar que la IP a la que se resuelve no corresponde con la original, o pertenece a un rango de direccionamiento IP sospechoso y no propio del dominio. 


El impacto 

Todos sabemos, sobretodo por las últimas noticias acerca de los compromisos a Leaseweb, AVG, Avira, así como las acciones realizadas por los SEA contra Twitter, The Hufington Post y demás, que lo que más llama la atención de estos ataques es que aparecen en los medios como modificaciones de la web, ya que estos grupos buscan sobretodo notoriedad. Pero parece que nadie se da cuenta en la gravedad que esto entraña en caso de caer en otro tipo de manos menos...propagandísticas. El comprometer un dominio puede suponer, a modo de ejemplo y si se prepara convenientemente, lo siguiente: 

* Posibilidad de redireccionar todo correo electrónico dirigido @dominiocomprometido.com a servidores controlados por los atacantes. 

* Creación de phishings de páginas supuestamente legítimas, pero que finalmente son controladas por usuarios ajenos (el usuario que navega a la web, sigue comprobando que el dominio es correcto, por lo que asume que es legítima) 

* Imaginemos los dominios de AVG o AVIRA, si bajo sus dominios comprometidos tienen un servicio de actualizaciones para sus software antivirus, en actualizaciones.dominiocomprometido.com. Dicho subdominio podría prepararse para que al solicitarse el software realmente fuese un fichero binario malicioso. O directamente, la descarga de las versiones gratuitas de dicho software, se sustituyesen por otros ejecutables. 

* Y un largo etcétera, mismas técnicas de post-explotación que afectarían a los usuarios que accediesen o utilizasen servicios en dichos dominios. 

Como ves el impacto y el compromiso no se realiza sobre la empresa en si en la mayoría de los casos, si no contra su imagen pública (defaces) o contra los visitantes (¡¡nosotros!!). 


Corrección inmediata, propagación lenta 

Uno de los grandes inconvenientes que se encuentran en la recuperación ante un problema o incidente de seguridad que afecte al DNS es la propagación de las correcciones, debido al propio concepto de DNS y su arquitectura de Internet. Si bien las empresas como leaseweb detectaron el problema rápidamente y pudieron recuperar sus registros DNS originales, muchos servidores DNS dónde se queda establecida la versión anterior envenenada tardaron en actualizar, de ahí que la corrección sea progresiva. 


Resumiendo 

Una web o webs afectadas por un secuestro de dominio no implica un robo de datos de usuarios y un compromiso de sus servidores. Por lo tanto, recomiendo huir de titulares tipo "XXX Team hackea YYYY" y utilizar en su lugar "XXX Team hackea ZZZZ, empresa encargada de gestionar los dominios de YYYY", más que nada para no liar al personal. 

Si queréis conocer todos los entresijos, peligros, amenazas, recomendaciones y demás temas a tener en cuenta acerca del secuestro de dominios o Domain Hijacking, os recomiendo este genial informe en PDF de la ICANN, publicado en 2005 por parte del Security and Stability Advisory Committee (SSAC). 

viernes, 4 de noviembre de 2011

Nuevo Huevo de Pascua: Do a Barrel roll en google

No hay comentarios:
Do a Barrel roll en google


Y quien se iba a imaginar que la frase 'Do a barrel roll' iba a ser tan famosa en estos momentos, y si aun no sabes porque entra en google y escribe 'Do a Barrel roll' sin las comillas.

Este es uno de los huevos de pascua que ha puesto google en su buscador, probablemente no te ganes nada provechoso con eso, pero seguramente te divertirás un poco con el.




Esta frase se empezó a escuchar en los años 90 en el juego de StarFox 64 que lanzo la Compañía Nintendo en su momento.

a mi parecer es bastante divertido que te encuentres con estas cosas en el navegador, lo que  si me causaría mucha gracias es ver la cara de la primera persona que lo vio y se llevo el susto. xD

domingo, 23 de octubre de 2011

incluye tu blog en Technorati

No hay comentarios:

Technorati es una herramienta muy útil para promover tu blog. Pero agregar tu blog a Technorati puede ser un poco confuso y la falta de conocimiento puede hacer que te desesperes a la hora de realizar esta tarea. 


Por eso hoy te traemos los pasos para agregar tu blog a Technorati:
  1. Si no tienes cuenta en Technorati, regístrate, de lo contrario, inicia sesión.
  2. Una vez hayas iniciado sesión, dirígete a tu perfil.
  3. Al final verás una sección “My claimed blogs”. Verás una caja de texto con una etiqueta “Start a blog claim”. Escribe la dirección de tu blog y pulsa el botón “Claim”.
  4. Ahora tienes que llenar toda la información que se te pide acerca de tu blog.
  5. Luego debes esperar a que te den un “token”, que es un código que debes insertar en un post nuevo para que ellos comprueben que en realidad ese blog te pertenece.
  6. Te llegará un correo desde Technorati con las siguientes instrucciones. Te recomendamos, sin embargo entrar periódicamente a tu cuenta y revisar la sección “My claimed blogs”
  7. En dicha sección puedes ver el estatus de tus “claims”.
  8. Una vez te hayan dado el “token”, verás la notificación en “My claimed” blogs.
  9. Haz clic en “Check Claim”. Si al hacer esto la página simplemente se refresca y no te lleva a ningún lado, haz clic derecho encima del botón “Check Claim” y elige “Copiar dirección del enlace”. Pega el enlace encima del navegador.
  10. Ver las instucciones para verificar tu “claim”. Te darán un código que tienes que insertar en un post nuevo.
  11. Creas el post en tu blog y dentro de la publicación pones el código (en mi Caso: 656F5RQYMC93 ).
  12. Luego de eso, pulsas el botón “Verify Claim Token” .
  13. Vuleves a tu perfil y vuelves a verificar el estado de tu “claim”.
  14. En ese punto debes ver un mensaje que diga algo como: “Tu blog fue verificado exitosamente. Ahora revisaremos…”
  15. Tendrás que volver a esperar otra vez hasta que Technorati apruebe tu blog.

Como acabas de notar, no es tan sencillo agregar un blog en Technorati como en otras redes sociales, pero vale la pena. Suerte.

domingo, 16 de octubre de 2011

2 nuevos videos de Street Fighter x Tekken

No hay comentarios:
Capcom ha lanzado dos vídeos de Street Fighter x Tekken, continuando así con la estrategia de promoción de uno de los títulos más esperados del próximo 2012.


Ambos vídeos han sido presentados en la Comic Con de Nueva York esta semana. El primero es un tráiler de cinco minutos donde se explica el nuevo sistema Gem, integrado en el título de lucha. El otro vídeo es más corto y muestra algunas de las posibilidades que ofrece el estilo de juego.



Capcom ha programado para el día 9 de marzo de 2012 el lanzamiento de este título en Europa. Con versiones para PlayStation 3 y Xbox 360, además de la versión confirmada por el productor Yoshinori Ono para PC. También se espera para PlayStation Vita, aunque sin fecha confirmada.

sábado, 15 de octubre de 2011

Cierran google Buzz

No hay comentarios:
Cierran google Buzz

La predecesora de Google+ sufrió algunos cambios desde su lanzamiento y el gigante de internet tuvo que pagar US$ 8,5 millones por una demanda por violación de la reserva de datos. La empresa informó que en unas semanas se detendrá el funcionamiento

"En algunas semanas detendremos el funcionamiento de Google Buzz y de la interfaz de programación Google Buzz, para centrarnos sobretodo en Google+", declaró el vicepresidente de producto de la marca, Bradley Horowitz, en una entrada del blog de la empresa.

"Aprendimos mucho de productos como Buzz y esta experiencia nos sirve diariamente en nuestra visión para productos como Google+", agregó Horowitz. En el momento del lanzamiento de Buzz, el servicio creaba de forma automática una lista de contactos para los usuarios del sistema de mensajería de Gmail, una lista accesible a todo el sistema.

Tras las críticas, Google tuvo que efectuar algunos cambios y después aceptó pagar 8,5 millones de dólares tras recibir una demanda por violar la protección de la confidencialidad de los datos.

El cierre de Buzz se produce casi un mes después de que Google abriera de forma universal el nuevo servicio Google+, una herramienta social para internet que estaba en periodo de prueba desde finales de junio.

El jueves el cofundador y consejero delegado de Google, Larry Page, anunció que la red social del buscador alcanzó los 40 millones de usuarios y apuntó que estos servicios tenían el objetivo de hacer confluir los servicios para internet lanzados por Google.

"Todavía estamos en una etapa muy temprana de lo que la tecnología puede aportar", explicó durante una conferencia sobre resultados, agregó. ."Estas herramientas que utilizamos en internet tendrán una apariencia muy diferente en cinco años y nosotros estamos construyendo estas herramientas en Google+

"Page también indicó que el gigante de internet, que se encuentra en fase de reorientación de sus objetivos, ya había suprimido 20 servicios entre junio y septiembre.

La energia solar se hace rentable

No hay comentarios:
La energia solar se hace rentable

Estados Unidos está viviendo un boom económico en la comercialización de paneles solares. Dos destacados estudios, uno de la empresa Solarbuzz , dedicada al análisis e investigación del mercado solar, y otro del Laboratorio Nacional de Berkeley del Departamento de Energía estadounidense, apuntan a una continua reducción en los costos de producción de los módulos de paneles solares fotovoltaicos, así como de su posterior instalación, tanto residencial como comercial.

Esta baja en los precios ha generado un boom comercial, creando las condiciones propicias para el beneficio de algunas empresas y la desaparición de otras.

Los proyectos no residenciales a gran escala, impulsados en Estados Unidos, han aumentado en pocos meses en un 41 por ciento. Según Solarbuzz, los mismos están en 24 GW. En el sector residencial también hay un aumento en las ventas. Los precios siguen bajando progresivamente y no solamente de los módulos fotovoltaicos. El Laboratorio de Berkeley ha medido en un 17 por ciento la baja en los costos de instalación en el año 2010, y otra baja del 11 por ciento en los primeros seis meses de 2011.

Los dos estudios señalan a las políticas nacionales, estatales y municipales implementadas en Estados Unidos para la exitosa rebaja en los costos de instalación. Los costos de producción también continúan reduciéndose, no por ayuda del gobierno estadounidense, sino por el desarrollo de mejoras en los sistemas fotovoltaicos para producirlos de una manera más eficiente y barata. Incluso China ha otorgado miles de millones de dólares en préstamos a empresas locales que quieran fabricar paneles solares.

Según Solarbuzz, los principales productores de paneles solares en Estados Unidos son las estadounidenses First Solar , SunPower Corporation y la china Suntech . Las tres empresas han logrado mejorar sus paneles y aportar sistemas que abaratan su fabricación. Debemos apreciar que la reducción en los costos fabricación se debe a que las fábricas se instalan en el continente asiático, donde la mano de obra es más económica.

Un operario instala un panel solar que provee agua caliente para una casa en China. Los fabricantes del gigante asiático aprovechan el boom económico del sector en el mercado estadounidense. Foto: AP 
Esto contrasta con el modelo de negocio de las empresas que venían comercializando módulos fotovoltaicos, como Solyndra , que recientemente presentó bancarrota. Al igual que Solyndra, varias empresas han cerrado, como Evergreen Solar y Ascent . Estas no pudieron competir con otras empresas como Suntech, la cual recibió miles de millones de dólares en préstamos del banco nacional chino. La principal amenaza de las empresas fabricantes de paneles solares en Estados Unidos son los bajos costos de quienes producen en este país.

First Solar que fue famosa hace un tiempo por haber diseñado paneles solares con una tecnología de semiconductores basada en una capa fina de teluro de cadmio, más eficiente y económica que la basada en el silicio (que son la mayoría de los paneles solares presentes en el mercado internacional), logró bajar de forma significativa sus costos, que hoy en día están en los 0,75 dólares por Watt, y pretendiendo llegar a 0,52 para 2014. Se expandió, así, por Estados Unidos y Alemania. Pero sin querer quedar afuera del bajo costo de producir en Asia, también lo hizo por Malasia.

El otro grande de Estados Unidos, SunPower, incrementó su producción en Malasia, también en California y Europa, planeando, además, una inmensa fábrica en México. Según el informe de Solarbuzz, los que gozan de grandes capitales de inversión pueden optar por buscar fabricar en zonas con mano de obra barata y quienes no tienen esa posibilidad lentamente desaparecen del mercado. Así, fábricas como la china Yingli Green , la japonesa Sharp y la alemana SolarWorld se amplían de forma casi constante.

Además, el boom se potencia por la demanda de estas energías limpias y renovables. En Estados Unidos la demanda, específicamente de energía solar, se ve favorecida por políticas concretas que estimulan su uso. Según la edición de septiembre del United States Deal Tracker, desde enero de 2010 se han instalado 1865 proyectos solares no residenciales, contabilizando unos 25,9 GW instalados o que están siendo ya instalados. Solamente California da lugar al 61 por ciento de esos proyectos favorecidos por "agresivas" medidas estatales a favor de la energía solar. Le siguen a California, los estados de Arizona, Nevada, Texas, New Jersey y New Mexico, y todos continúan creciendo auspiciosamente.

Todas las empresas como las mencionadas están viendo cómo su mercado fructifica, buscando expandirse hacia otras partes del mundo. Pero sin políticas que fomenten las energías renovables y las inversiones serán pocos los que se puedan darse el lujo de crecer tanto en países como Estados Unidos o Alemania.

Nuevo Sitio

Este sitio ya no se actualizara mas, nos mudamos a IpArea.NET




Articulos Relacionados