[lacnog] Utilización de DoH como canal encubierto para controlar Malware

[Alejandro Acosta]

Hola,

   Gracias por compartir.

   Es *muy* interesante ver esta gran cantidad de ideas, de verdad que 
aún yo no se cual resolución es mejor que cual. Si viene por defecto o 
no, ¿será que somos un animal de costumbre y no queremos que nos cambien 
las cosas?.

   Recuerdo unas palabras de Steve Jobs que dicen: "Customers don't know 
what they want until you show it to them".., ¿nos estarán mostrando lo 
qué queremos?.

   Ahora bien y sin extenderme, creo que no debe ser sorpresa que esten 
buscando "algo" que explotar en DoX; igualmente seguro conseguiran algo 
HTTP/3 cuando salga y en nuevas capacidades de BGP que aparezcan,  y en 
el protocolo XYZ cuando nazca.

   Por otro lado, hablan de Europa y de otras regiones, yo creo que hay 
que ir mas allá, no la región sino los países, olvidemos la privacidad & 
seguridad, pensemos en la *accesibilidad*: ¿DoX están posibilitando los 
accesos a sitios prohidos (si esto último es bueno o malo es otra 
historia)?.

   En lo personal, si estás tecnologías aumentan el espectro de acceso 
del usuario de Internet en países significativamente bloqueados se 
merecen un fuerte aplauso.


Saludos,


Alejandro,


On 9/3/20 11:32 AM, Nicolas Antoniello wrote:
> Estimados,
>
> Para que lo tengan en cuenta. En este caso, los sistemas de detección 
> de amenazas que puedan estar operando en las organizaciones no serían 
> capaces de detectar este tipo de ataques. La forma de detectarlo sería 
> (en principio) únicamente desde el cliente con algún mecanismo de 
> detección de Malware o similar.
>
> Este trata de la utilización de respuestas DNS conteniendo código para 
> comandar y controlar un malware previamente instalado en el cliente.
>
> Lo interesante es que al valerse de DoX se vuelve mucho más difícil su 
> detección y por lo tanto es aprovechable por los atacantes como 
> mecanismo para intentar evitar sistemas de detección que puedan 
> utilizar las organizaciones.
>
> En el artículo se menciona el hecho de que este tipo de ataques no es 
> nuevo; así como el hecho de que esto no es un problema propio de DoX; 
> sino que los atacantes se valen de la privacidad que provee DoX para 
> encubrir su tráfico.
>
> https://www.bleepingcomputer.com/news/security/attackers-abuse-google-dns-over-https-to-download-malware/
>
> Personalmente creo que agrega una consideración interesante en la 
> conversación sobre privacidad vs. seguridad a la hora de cada uno 
> decidir en qué ámbitos aplicaremos cada mecanismo; así como qué 
> medidas adicionales de seguridad (y privacidad) podemos tomar a nivel 
> operativo para buscar protegernos mejor de este tipo de amenazas.
>
> Saludos,
> Nico
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20200907/e3f3a4fe/attachment.html>