¿ No More Free Bugs ?

Recientemente en la CanSecWest, Charlie Miler, Alex Sotirov y Dino Dai Zovi, comenzaron un "nuevo" movimiento llamado "No More Free Bugs" para no entregar vulnerabilidades gratuitas a los desarrolladores de software.

Realmente se generó una discusión muy interesante, pero como no conozco lo suficiente sobre este tema como para opinar al respecto, prefiero dejarles los links para que se formen su propia opinión, e invito a quienes quieran dejar algún comentario con su parecer.

Fuentes:

1.- No More Free Bugs
2.- Questions for Pwn2Own hacker Charlie Miller
3.- "No more free bugs"? There never were any free bugs
4.- Like deja-vu (all over again)

Llovió en Segurinfo

Ayer fue la primera vez que asistí a Segurinfo, un evento de seguridad del que no hace falta que diga mucho, pero si me gustaría destacar algunos acontecimientos extraordinarios.

Por diferentes razones es la primera vez que asistía, así que no puedo realizar una comparación con ediciones anteriores, pero la organización en general me pareció muy buena.

Solamente asistí a 4 charlas, entre ellas la de Ezequiel Sallis sobre ataques wireless que me gusto mucho. No se como manejara la organización del evento los salones que asigna a cada charla, pero la charla de Ezequiel fue en un salón muy chico, y mucha gente tuvo que permanecer de pie durante el transcurso de la misma, y mucha gente mas ni siquiera pudo ingresar. Yo fui de los que tuvo que permanecer de pie, pero la charla valió la pena!

Al resto de las charlas no vale la pena mencionarlas, pero mas allá de la temática de las mismas, me sorprendió que todavía existan oradores que no se preocupen en preparar correctamente el material audiovisual, y en la mejor forma de que la audiencia reciba este material.

Aprovecho para recomendar algunos links con información para mejorar nuestras presentaciones:

- http://www.presentationzen.com
- http://elartedepresentar.com
- http://kungfoosion.blogspot.com/search/label/Presentation

Sobre los eventos extraordinarios que comentaba, los que asistieron sabrán que me refiero a lo paso en la entrada principal, frente al punto de acreditaciones, cuando se rompió un caño en el techo del hotel y mágicamente comenzó a llover:

Otro evento extraordinario fue cuando por segunda vez en mi vida me gano algo medianamente interesante. Participe en un sorteo y me gane, o mejor dicho "casi pierdo", una impresora de fotos digitales Sony:

Digo que "casi pierdo" porque no me querían entregar el premio!

Lo que paso fue que cuando complete mis datos olvide poner mi dirección de e-mail, y parece ser que eso era un requisito excluyente para participar, sin importar que se encontraba mi nombre completo y mi teléfono particular, y que yo me encontraba presente en el lugar.

Cuando le digo a la persona que realizaba el sorteo que me encontraba presente y que luego completaba la dirección de e-mail faltante, increíblemente se negaba a entregarme el premio, ante el desconcierto mío y el de todos los presentes.

Inmediatamente quiso volver a realizar el sorteo, pero algunos amigos míos que se encontraban en el publico comenzaron a movilizar a los presentes, y esta persona termino diciendo "bueno, a pedido del publico vamos a entregar el premio...".

Totalmente surreal, ¿ le habré hecho algo en otra vida ?

7# - No Robarás

Recientemente se descubrió en un foro privado, al administrador de una botnet de mas de 100.000 zombies al que le robaron su red de hosts infectados.

El robo fue realizado a través de un bug de SQL Injection en la interfaz de C&C(Command and Control), y el frustrado administrador no solo comentaba sus penas con sus colegas, sino que también pedía consejos para darle mayor seguridad a la interfaz de administración de su botnet. ¿ increíble, no ?

Muchos de los crimeware utilizados para crear y controlar una botnet, han sido desarrollados y puestos a la venta por programadores rusos. Como podemos ver a continuación, existe una gran variedad de precios en el mercado:

- Sploit 25 Lite: 1500 USD, Pro: 2500 USD
- Unique Sploits Pack: 600 USD
- Neon Exploit System: 500 USD
- XS[S]hkatulka: 110 USD
- Le Fiesta Pack: 1000 USD
- YES Exploit System: 600 USD

Estos valores pueden parecer altos, pero no significan mucho para quienes utilizan las botnets para el crimen en Internet. Según algunas estadísticas, se calcula que el fraude online en el 2008 fue de 105.000 U$D, lo que equivale a la 15a fortuna del Fortune 500, o el país numero 58 de una lista de 197.

Como mencionamos al comienzo, se utilizo un bug de SQL Injection en la interfaz C&C de ZeuS para crear un nuevo usuario y a partir de allí robar toda la botnet. Se cree que los programadores que desarrollaron este crimeware, podrían pertenecer a la Russian Business Network, y estén dejando bugs en su software intencionalmente con el objetivo de robar las botnets de sus clientes.

La Russian Business Network, también conocida como RBN, es la mafia organizada mas peligrosa en Internet, y dentro de todas las actividades delictivas a la que se dedica, se encarga de proveer una compleja infraestructura de ISP para que todos los miembros de la organización puedan realizar fraudes en Internet.

Próximamente mas información sobre botnet's y malware, y agradeceré a quienes puedan comentar como se están utilizando este tipo de tecnologías para realizar fraudes en Argentina.

Fuentes:

- Multi Million Dollar Russian Hacker A-Z And His Rent A Botnet ZeuS
- Wikipedia - Russian Business Network
- Wikipedia - Crimeware
- Los precios del Crimware ruso
- Help! Someone Hijacked my 100k+ Zeus Botnet!