<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta name=Title content=""><meta name=Keywords content=""><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:"Courier New";
panose-1:2 7 3 9 2 2 5 2 4 4;}
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:"Heiti SC";}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-reply;
font-family:Calibri;
color:windowtext;}
span.msoIns
{mso-style-type:export-only;
mso-style-name:"";
text-decoration:underline;
color:teal;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:8.5in 11.0in;
margin:70.85pt 85.05pt 70.85pt 85.05pt;}
div.WordSection1
{page:WordSection1;}
--></style></head><body bgcolor=white lang=ES-TRAD link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri;mso-fareast-language:EN-US'>Ariel, como estas?<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri;mso-fareast-language:EN-US'>Como quiera que el bug solo redirecciona el trafico DNS a ciertos servidores en Internet que tienen los atacantes, ciertamente la solución de Iván parece ser muy simple y efectiva. Eso se podría implementar bastante simple con policy-routing para el tráfico DNS que sea a servidores no conocidos. O sea, no hay por que filtrar/redireccionar el que va a los públicos de Google u otros conocidos y validados por el ISP. Esto protegería a los usuarios de ese ataque en especifico, pero no obligaría al ISP a resolver el problema (pues ya puso un parche temporal, que en nuestra región puede convertirse en perpetuo). Como mismo implementan este ataque, pueden modificar cualquier otro parámetro de la configuración, asi que podemos estar en presencia de la fase 1 de este ataque; pero si “el mundo toma medidas contra el” pudiera entonces implementarse la fase 2, que bien pudiera ser desconfigurar los CPE o hacer cualquier otra barbaridad (DDos hacia el ISP, etc)<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri;mso-fareast-language:EN-US'>Lamentablemente la calidad de los CPEs más comunes no es la mejor y de hecho muchos además de ser bien baratos (como comentó Carlos) rara vez son cambiados por el ISP a menos que haya una rotura; por tanto hay gente que tienen el mismo CPE desde hace 5 años o más, y en muchos casos ya sin soporte del fabricante (lo cual hace que los ISP traten de no tocar nunca esos CPE). Por tanto, creo que hay que mejorar un poco la supervisión de cara al cliente, para detectar estas situaciones más temprano que tarde.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri;mso-fareast-language:EN-US'>Saludos,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri;mso-fareast-language:EN-US'>Jorge<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:Calibri;mso-fareast-language:EN-US'><o:p> </o:p></span></p><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-family:Calibri;color:black'>De: </span></b><span style='font-family:Calibri;color:black'>BCOP <bcop-bounces@lacnog.org> en nombre de Ariel Weher <ariel@weher.net><br><b>Responder a: </b>This list is to discuss BCOPs in LACNOG <bcop@lacnog.org><br><b>Fecha: </b>martes, 29 de noviembre de 2016, 12:19 PM<br><b>Para: </b>This list is to discuss BCOPs in LACNOG <bcop@lacnog.org><br><b>Asunto: </b>Re: [BCOP] Consulta sobre CPE's infectados<o:p></o:p></span></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><div><p class=MsoNormal><span style='font-family:Courier'>Lacier: Hasta donde ví, ahí solo se habla de BCP38.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:Courier'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:Courier'>Iván: Dirigir los requests a un DNS local está bueno, aunque yo estaba pensando en algo más elaborado.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:Courier'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:Courier'>Por ejemplo:<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:Courier'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:Courier'>Buscar en <a href="http://shodan.io" target="_blank">shodan.io</a> port:"7547" Server: RomPager (estoy trabajando en una versión casera de shodan para poder escanear mis propias redes y no jorobar al resto)<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:Courier'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:Courier'>Todos los que tienen rompager 4.07 tienen el bug presente.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:Courier'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:Courier'>Algunos de ellos tienen puertos expuestos, como TCP/{7547,80,21,23}, quizás se pueda identificar los clientes que tienen estos CPE y aplicarles via RADIUS alguna regla de filtrado hacia esos puertos.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:Courier'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:Courier'>Otra gente me contó que hicieron unos scripts que se conectan remotamente a los dispositivos y los configuran de nuevo, de la misma manera que los atacantes, pero esto depende de cada modelo de CPE.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:Courier'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:Courier'>En una de esas podemos hacer una tormenta de ideas y documentar las que valgan la pena...<o:p></o:p></span></p></div><div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal>2016-11-29 13:06 GMT-03:00 Lacier Dias <<a href="mailto:lacier.dias@renpac.com.br" target="_blank">lacier.dias@renpac.com.br</a>>:<o:p></o:p></p><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in'><div><div><p class=MsoNormal>Olhe neste site: <a href="http://bcp.nic.br/" target="_blank">http://bcp.nic.br/</a><o:p></o:p></p><div><p class=MsoNormal> <o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Heiti SC"'></span> Atenciosamente,<o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Heiti SC"'></span> Kind regards,<o:p></o:p></p></div><p class=MsoNormal><b> </b><o:p></o:p></p><p class=MsoNormal><b>Professor Lacier Dias</b><o:p></o:p></p><p class=MsoNormal>Enviado IPhone<o:p></o:p></p><p class=MsoNormal><span style='color:black'><a href="https://www.linkedin.com/in/lacierdias" target="_blank">https://www.linkedin.com/in/lacierdias</a></span><o:p></o:p></p><p class=MsoNormal><span style='color:black'><a href="https://www.facebook.com/lacier.dias" target="_blank">https://www.facebook.com/lacier.dias</a></span><o:p></o:p></p><p class=MsoNormal>Cell e WhatsApp: <span style='font-size:13.0pt'>(043)99185-5550</span><o:p></o:p></p><p class=MsoNormal>Email: <span lang=EN-US><a href="mailto:lacier@renpac.com.br" target="_blank"><span lang=PT-BR>lacier@renpac.com.br</span></a></span><o:p></o:p></p><p class=MsoNormal>Skype: lacier.dias<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>" <b>A única maneira de fazer um excelente trabalho é amar o que você faz.” – Steve Jobs</b>"<o:p></o:p></p><p class=MsoNormal><b> </b><o:p></o:p></p><p class=MsoNormal>Esta mensagem, incluindo seus anexos, pode conter informações confidenciais ou privilegiadas. O direito de uso ou divulgação de seu conteúdo se reserva aos seus destinatários ou às pessoas autorizadas a recebê-la, estando seu sigilo protegido por lei. Qualquer uso não autorizado está expressamente proibido. Se você recebeu esta mensagem por engano, avise ao seu remetente e em seguida apague-a. Obrigado pela colaboração.<o:p></o:p></p></div><div><div><div><p class=MsoNormal style='margin-bottom:12.0pt'><br>Em 29 de nov de 2016, às 12:21, Lorenzo Balan <<a href="mailto:lbalan@speednet-wireless.com" target="_blank">lbalan@speednet-wireless.com</a>> escreveu:<o:p></o:p></p></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>Hola Estimado,</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>Cual seria la forma de protegerlos CPE's de los clients para no ser 'hackeado'?</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:Calibri;color:#1F497D'>Atte</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:11.0pt;font-family:Calibri;color:#1F497D'> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><span style='font-size:11.0pt;font-family:Calibri'>From:</span></b><span style='font-size:11.0pt;font-family:Calibri'> BCOP [<a href="mailto:bcop-bounces@lacnog.org" target="_blank">mailto:bcop-bounces@lacnog.org</a>] <b>On Behalf Of </b>Ariel Weher<br><b>Sent:</b> Tuesday, November 29, 2016 6:53 AM<br><b>To:</b> This list is to discuss BCOPs in LACNOG<br><b>Subject:</b> [BCOP] Consulta sobre CPE's infectados</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-family:"Courier New"'>Estimados:</span><o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-family:"Courier New"'> </span><o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-family:"Courier New"'>Tiro una pregunta:</span><o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-family:"Courier New"'> </span><o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-family:"Courier New"'>Entiendo que muchos padecemos el problema de los CPE's de clientes que se pueden 'hackear' desde direcciones remotas.</span><o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-family:"Courier New"'> </span><o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-family:"Courier New"'>¿Están tomando alguna medida para prevenir estos ataques?</span><o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-family:"Courier New"'> </span><o:p></o:p></p></div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-family:"Courier New"'>S2</span><o:p></o:p></p></div></div></div></div></blockquote></div></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><p class=MsoNormal>_______________________________________________<br>BCOP mailing list<br><a href="mailto:BCOP@lacnog.org" target="_blank">BCOP@lacnog.org</a><br><a href="https://mail.lacnic.net/mailman/listinfo/bcop" target="_blank">https://mail.lacnic.net/mailman/listinfo/bcop</a><o:p></o:p></p></div></blockquote></div><p class=MsoNormal style='margin-bottom:12.0pt'><br>_______________________________________________<br>BCOP mailing list<br><a href="mailto:BCOP@lacnog.org" target="_blank">BCOP@lacnog.org</a><br><a href="https://mail.lacnic.net/mailman/listinfo/bcop" target="_blank">https://mail.lacnic.net/mailman/listinfo/bcop</a><o:p></o:p></p></blockquote></div><p class=MsoNormal><o:p> </o:p></p></div></div><p class=MsoNormal>_______________________________________________ BCOP mailing list BCOP@lacnog.org https://mail.lacnic.net/mailman/listinfo/bcop <o:p></o:p></p></div></body></html>