Friday, February 26, 2010

Extraño..

Breve disclaimer

Internet esta colmado de sitios con muchísima información sobre seguridad informática, ya alguna vez enlace sitios en español que visito :

http://www.securitybydefault.com/

http://elladodelmal.blogspot.com/

http://www.segu-info.com.ar/

http://0verl0ad.blogspot.com/


Tomo información de muchísimos sitios en ingles y filtro la información que me interesa, tres o cuatro de los sitios que tengo en mi reader.

http://packetstormsecurity.org/

http://www.pogowasright.org/

http://iscxml.sans.org/

http://www.schneier.com/

Información del underground tengo poca, en gral me llega mas rápido cuando ocurre algo nuevo en el ambiente, por mi especialidad, pero no tengo contacto con mucha gente que se encuentra probando cosas nuevas o encontrando exploits, solo un par de personas.

Cuando encuentra una noticia interesante para compartir, en gral hago el post y agrego mi punto de vista, trato de no hacer copy&paste solamente.

Del 99% restante que leo durante la semana, algunas noticias que valen la pena compartir las agrego ocasionalmente en el grupo de D3NY 4LL en Linkedin, tambien tome la costumbre de compartir los links mas interesantes que encontre en los ultimos dias. Ocasionalmente comparto también info por el reader de Google.

Solo los muy especiales, tienen el placer de recibir desde hace unos dias las estupideces que escribo ( otras mas ) en Google Buzz.

Para algunas personas equivocadas, puedo ser un referente en temas de seguridad ( pobre gente... ), por lo tanto, entiendo que confían en lo aquí escrito y en la info que comparto.
A esa gente y a quienes visitan ocasionalmente el sitio les debo el respeto que se merecen, por lo tanto trato de ser muy cuidadoso con los sitios que linkeo.

Hoy ocurrio algo "extraño" en una noticia que compartí por Linkedin :

IBM threat report highlights data risks

http://www.v3.co.uk/v3/news/2258601/ibm-report-hightlights-risks

El sitio parece confiable, si seguimos el link al informe de IBM de hecho llegamos a un sitio de IBM.

IBM X-Force Threat Reports


http://www-935.ibm.com/services/us/iss/xforce/trendreports/

Allí hay hay un resumen sobre lo que tratan los reportes de seguridad de IBM y en un pequeño recuadro un par de links a los reportes del año 2009.

E aqui comienza lo extraño. Si uno ve los links a otros reportes que se encuentran a la izquierda (Report archive ), todos, menos el ultimo apuntan a dominios de IBM.

http://www-935.ibm.com/services/us/iss/xforce/trendreports/xforce-2009-midyear-report-graphics.zip

http://www.ibm.com/common/ssi/fcgi-bin/ssialias?infotype=PM&subtype=XB&appname=GTSE_SE_TM_USEN&htmlfid=SEE03003USEN&attachment=SEE03003USEN.PDF

En el recuadro llamado 2009 Trend and Risk Report , IBM enlaza los reportes a un sitio externo, que no tiene relación con IBM.

http://servicemanagementcenter.com

Registrant:
Marketing Advocate Inc.
192 Great Marsh Road
Centerville, Massachusetts 02632
United States

Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: SERVICEMANAGEMENTCENTER.COM
Created on: 20-Nov-08
Expires on: 20-Nov-13
Last Updated on: 20-Nov-08

Administrative Contact:
Morris, Gary garymorris@marketingadvocate.com
Marketing Advocate Inc.
192 Great Marsh Road
Centerville, Massachusetts 02632
United States
(508) 775-9064 Fax -- (508) 775-9213

Technical Contact:
Morris, Gary garymorris@marketingadvocate.com
Marketing Advocate Inc.
192 Great Marsh Road
Centerville, Massachusetts 02632
United States
(508) 775-9064 Fax -- (508) 775-9213



El sitio dice Sponsoreado por IBM y tiene toda informacion relacionada con esta empresa, para bajar los reportes hay que crear un usuario, ademas tiene "jugos interactivos" para aprender sobre ITIL.

Entonces, me resulto raro que este dominio en particular no pertenezca a IBM, de hecho los sitios IBM ReedBooks e Xforce tambien esta dentro del dominio IBM.COM.

Seria muy...pero muy poco problabe que una pagina de IBM tan especial como la de la XForce fuera atacada y los enlaces apuntaran a un sitio que fuera malicioso.

Es casi imposible, pero como sabemos en seguridad nada es 100% seguro, recordemos el caso de ciscoredaccionvirtual, el cual hacia push de noticias en la pagina principal de Cisco en latinoamerica y tenia muchismos problemas. Este sitio estaba registrado por Cisco :


Registrant:
Cisco Systems Inc
300 East Tasman Drive
San Jose, Florida 33135
United States

Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: CISCOREDACCIONVIRTUAL.COM
Created on: 02-May-01
Expires on: 02-May-11
Last Updated on: 22-Dec-09

Administrative Contact:
Lamus, Felipe domainadmin@colexpo.com
Cisco Systems Inc
300 East Tasman Drive
San Jose, Florida 33135
United States
4085251699

Technical Contact:
Lamus, Felipe domainadmin@colexpo.com
Cisco Systems Inc
300 East Tasman Drive
San Jose, Florida 33135
United States
4085251699

Volviendo a ServiceManagementCenter, cuando fui a bajar el informe se me prendio la luz de alarma y me dije "Y si este sitio esta creado para robo de credenciales, mails...o descarga de codigo malicioso ?" Quien desconfiaria de un sitio sponsoreado por IBM ?

Entre un poco en panico porque habia compartido en link de la noticia en Linkedin, cuando fui a borrar el link , me fue posible hacerlo. Pero quedo el enlace diciendo :

Julio Jaime recommends reading:

IBM threat report highlights data risks - Computing.co.uk

1 hour ago · Start discussion

Con mas calma di una revision al sitio y parece legitimo, por supuesto que no pienso hacer un Pentest, entiendo fue solo un mal presentimiento.

Redondeando, por el tipo de información y webs que visito, estoy mas expuesto a compartir links que pueden estar comprometidos, si bien Noscript ayuda a detener ciertos tipos de ataques, otros pueden ser mas dificiles de detectar.
El problema esta cuando uno es atacado desde sitios en los cuales confia.
Ademas todo depende de que tan segura es nuestra maquina, ya escribi sobre esto. respecto a quienes visitan este blog.

Para finalizar, siempre esten atentos, no confien en terceros ( ni aun en mi ).

Personalmente en ciertas ocasiones la paranoia me puede.



1 comment:

Anonymous said...

Y ya que estamos, una biblioteca de seguridad informatica.
http;//www.zinestore.net