[BCOP] Consulta sobre CPE's infectados

Jorge Villa villa at reduniv.edu.cu
Tue Nov 29 18:21:07 BRST 2016 

Ariel, como estas?

 

Como quiera que el bug solo redirecciona el trafico DNS a ciertos servidores en Internet que tienen los atacantes, ciertamente la solución de Iván parece ser muy simple y efectiva. Eso se podría implementar bastante simple con policy-routing para el tráfico DNS que sea a servidores no conocidos. O sea, no hay por que filtrar/redireccionar el que va a los públicos de Google u otros conocidos y validados por el ISP. Esto protegería a los usuarios de ese ataque en especifico, pero no obligaría al ISP a resolver el problema (pues ya puso un parche temporal, que en nuestra región puede convertirse en perpetuo). Como mismo implementan este ataque, pueden modificar cualquier otro parámetro de la configuración, asi que podemos estar en presencia de la fase 1 de este ataque; pero si “el mundo toma medidas contra el” pudiera entonces implementarse la fase 2, que bien pudiera ser desconfigurar los CPE o hacer cualquier otra barbaridad (DDos hacia el ISP, etc)

 

Lamentablemente la calidad de los CPEs más comunes no es la mejor y de hecho muchos además de ser bien baratos (como comentó Carlos) rara vez son cambiados por el ISP a menos que haya una rotura; por tanto hay gente que tienen el mismo CPE desde hace 5 años o más, y en muchos casos ya sin soporte del fabricante (lo cual hace que los ISP traten de no tocar nunca esos CPE). Por tanto, creo que hay que mejorar un poco la supervisión de cara al cliente, para detectar estas situaciones más temprano que tarde.

 

Saludos,

Jorge

 

De: BCOP <bcop-bounces at lacnog.org> en nombre de Ariel Weher <ariel at weher.net>
Responder a: This list is to discuss BCOPs in LACNOG <bcop at lacnog.org>
Fecha: martes, 29 de noviembre de 2016, 12:19 PM
Para: This list is to discuss BCOPs in LACNOG <bcop at lacnog.org>
Asunto: Re: [BCOP] Consulta sobre CPE's infectados

 

Lacier: Hasta donde ví, ahí solo se habla de BCP38.

 

Iván: Dirigir los requests a un DNS local está bueno, aunque yo estaba pensando en algo más elaborado.

 

Por ejemplo:

 

Buscar en shodan.io port:"7547" Server: RomPager (estoy trabajando en una versión casera de shodan para poder escanear mis propias redes y no jorobar al resto)

 

Todos los que tienen rompager 4.07 tienen el bug presente.

 

Algunos de ellos tienen puertos expuestos, como TCP/{7547,80,21,23}, quizás se pueda identificar los clientes que tienen estos CPE y aplicarles via RADIUS alguna regla de filtrado hacia esos puertos.

 

Otra gente me contó que hicieron unos scripts que se conectan remotamente a los dispositivos y los configuran de nuevo, de la misma manera que los atacantes, pero esto depende de cada modelo de CPE.

 

En una de esas podemos hacer una tormenta de ideas y documentar las que valgan la pena...

 

2016-11-29 13:06 GMT-03:00 Lacier Dias <lacier.dias at renpac.com.br>:

Olhe neste site: http://bcp.nic.br/

 

 Atenciosamente,

 Kind regards,

 

Professor Lacier Dias

Enviado IPhone

https://www.linkedin.com/in/lacierdias

https://www.facebook.com/lacier.dias

Cell e WhatsApp: (043)99185-5550

Email: lacier at renpac.com.br

Skype: lacier.dias

 

" A única maneira de fazer um excelente trabalho é amar o que você faz.” – Steve Jobs"

 

Esta mensagem, incluindo seus anexos, pode conter informações confidenciais ou privilegiadas. O direito de uso ou divulgação de seu conteúdo se reserva aos seus destinatários ou às pessoas autorizadas a recebê-la, estando seu sigilo protegido por lei. Qualquer uso não autorizado está expressamente proibido. Se você recebeu esta mensagem por engano, avise ao seu remetente e em seguida apague-a. Obrigado pela colaboração.


Em 29 de nov de 2016, às 12:21, Lorenzo Balan <lbalan at speednet-wireless.com> escreveu:

Hola Estimado,

 

Cual seria la forma de protegerlos CPE's de los clients para no ser 'hackeado'?

 

Atte

 

 

 

From: BCOP [mailto:bcop-bounces at lacnog.org] On Behalf Of Ariel Weher
Sent: Tuesday, November 29, 2016 6:53 AM
To: This list is to discuss BCOPs in LACNOG
Subject: [BCOP] Consulta sobre CPE's infectados

 

Estimados:

 

Tiro una pregunta:

 

Entiendo que muchos padecemos el problema de los CPE's de clientes  que se pueden 'hackear' desde direcciones remotas.

 

¿Están tomando alguna medida para prevenir estos ataques?

 

S2

_______________________________________________
BCOP mailing list
BCOP at lacnog.org
https://mail.lacnic.net/mailman/listinfo/bcop


_______________________________________________
BCOP mailing list
BCOP at lacnog.org
https://mail.lacnic.net/mailman/listinfo/bcop

 

_______________________________________________ BCOP mailing list BCOP at lacnog.org https://mail.lacnic.net/mailman/listinfo/bcop 

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://mail.lacnic.net/pipermail/bcop/attachments/20161129/ba2fa407/attachment.html>

More information about the BCOP mailing list