<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none"><!-- p { margin-top: 0px; margin-bottom: 0px; } @font-face { font-family: Wingdings; } @font-face { font-family: 'Cambria Math'; } @font-face { font-family: Calibri; } @font-face { font-family: Tahoma; } p.MsoNormal, li.MsoNormal, div.MsoNormal { margin: 0cm 0cm 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; } a:link, span.MsoHyperlink { color: blue; text-decoration: underline; } a:visited, span.MsoHyperlinkFollowed { color: purple; text-decoration: underline; } p.MsoAcetate, li.MsoAcetate, div.MsoAcetate { margin: 0cm 0cm 0.0001pt; font-size: 8pt; font-family: Tahoma, sans-serif; } p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph { margin: 0cm 0cm 0.0001pt 36pt; font-size: 12pt; font-family: 'Times New Roman', serif; } span.EstiloCorreo17 { font-family: Calibri, sans-serif; color: rgb(31, 73, 125); } span.TextodegloboCar { font-family: Tahoma, sans-serif; } .MsoChpDefault { font-family: Calibri, sans-serif; } @page WordSection1 { margin: 70.85pt 3cm; } ol { margin-bottom: 0cm; } ul { margin-bottom: 0cm; }--></style>
</head>
<body dir="ltr">
<div id="divtagdefaultwrapper" style="font-size:10pt;color:#000000;background-color:#FFFFFF;font-family:Verdana,Geneva,sans-serif;">
<p>Sobre lo mismo de los DVR:<br>
</p>
<p><br>
</p>
<p><a href="http://money.cnn.com/2014/11/20/technology/security/hacked-web-cameras-russia/" id="lnk87166">http://money.cnn.com/2014/11/20/technology/security/hacked-web-cameras-russia/</a></p>
<div id="LPBorder_GT_14165869348140.8098072535358369" style="margin-top: 20px; margin-bottom: 20px; overflow: auto; width: 100%;">
<table id="LPContainer_14165869348110.21795228379778564" style="border-top-color: rgb(204, 204, 204); border-top-width: 1px; border-top-style: solid; border-bottom-width: 1px; border-bottom-style: solid; border-bottom-color: rgb(204, 204, 204); width: 80%; background-color: rgb(255, 255, 255); position: relative; overflow: auto;">
<tbody>
<tr valign="top">
<td style="width: 140px; position: relative; display: table-cell;">
<div id="LPImageContainer_14165869348120.672906074905768" style="margin-top: 12px; background-color: rgb(255, 255, 255); height: auto; width: 140px; position: relative; display: table;">
<a id="LPImageAnchor_14165869348130.19747314462438226" href="http://money.cnn.com/2014/11/20/technology/security/hacked-web-cameras-russia/" target="_blank" style="display: table-cell; text-align: center;"><img aria-label="Imagen de vista previa con vínculo seleccionado. Pulse dos veces para abrir el vínculo." width="140" height="78" style="display: inline-block; margin-left: auto; margin-right: auto; max-width: 140px; max-height: 140px; height: 78px; width: 140px; border-width: 0px;" src="http://i2.cdn.turner.com/money/dam/assets/141120120024-cctv-cameras-screens-620xa.jpg"></a></div>
</td>
<td>
<div id="LPTitle_14165869348140.42242011381313205" style="top: 0px; margin-top: 8px; font-size: 21px; font-family: wf_segoe-ui_semilight, 'Segoe UI Semilight', 'Segoe WP Semilight', 'Segoe UI', 'Segoe WP', Tahoma, Arial, sans-serif; color: rgb(51, 51, 51); margin-left: 14px; margin-right: 14px;">
Russian website streams thousands of private webcams - Nov. 20, 2014</div>
<div id="LPDescription_14165869348140.9694164139218628" style="margin-top: 8px; font-size: 13px; font-family: wf_segoe-ui_normal, 'Segoe UI', 'Segoe WP', Tahoma, Arial, sans-serif; color: rgb(102, 102, 102); margin-left: 14px; margin-right: 14px;">
A Russia-based website reveals thousands of videos from hacked web cameras.</div>
<div id="LPUrlContainer_14165869348140.9978288169950247" style="margin: 8px 14px 10px; height: 18px; text-overflow: ellipsis; overflow: hidden; white-space: nowrap;">
<a id="LPUrlAnchor_14165869348140.8883651001378894" href="http://money.cnn.com/2014/11/20/technology/security/hacked-web-cameras-russia/" target="_blank" style="font-size: 11px; font-family: wf_segoe-ui_normal, 'Segoe UI', 'Segoe WP', Tahoma, Arial, sans-serif; text-decoration: none;">Leer
 más...</a></div>
</td>
</tr>
</tbody>
</table>
</div>
<p></p>
<p><br>
</p>
<p><br>
</p>
<div id="Signature">
<div style="font-family:Tahoma; font-size:13px">
<div style="font-family:Tahoma; font-size:13px">
<div>
<div><font face="Verdana" size="1"><br>
</font></div>
<div><font face="Verdana" size="1"><br>
</font></div>
<div><font face="Verdana" size="1"><br>
</font></div>
<div><font face="Verdana">Alex Matias Ojeda Mercado</font></div>
<div><font face="Verdana" size="1">Chile Networks SpA.</font></div>
<div><font face="Verdana" size="1">Fono: (+56 2) 58 58 120</font></div>
<div><font face="Verdana" size="1">Fono: (+56 2) 58 30 117</font></div>
<div><font face="Verdana" size="1">Móvil: (+56 9) 719 22 362</font></div>
<div><font face="Verdana" size="1">https://chilenetworks.com/</font></div>
<div><font face="Verdana" size="1"><br>
</font></div>
<div>
<hr>
</div>
<div><font face="Verdana" size="1">Correo Electrónico Procesado en la Plataforma Microsoft Exchange Office360</font></div>
<div><font face="Verdana" size="1">Servicios Corporativos en la nube.</font></div>
<div><font face="Verdana" size="1">Estos servicios son entregados por Chile Networks SpA.</font></div>
<div></div>
<hr>
<div><font face="Verdana" size="1"> </font></div>
<div><font face="Verdana" size="1">Mail Disclaimer :</font></div>
<div><font face="Verdana" size="1">Descargo de responsabilidad Correo electronico :</font></div>
<div><font face="Verdana" size="1">https://chilenetworks.com/g/maildisclaimer/</font></div>
</div>
<div><br>
</div>
</div>
</div>
</div>
<div style="color: rgb(33, 33, 33);">
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" color="#000000" style="font-size:11pt"><b>De:</b> LACNOG <lacnog-bounces@lacnic.net> en nombre de Roberto Alvarado <ralvarado@gtdinternet.com><br>
<b>Enviado:</b> martes, 18 de noviembre de 2014 18:08<br>
<b>Para:</b> 'Latin America and Caribbean Region Network Operators Group'<br>
<b>Asunto:</b> Re: [lacnog] DNS RPZ</font>
<div> </div>
</div>
<div>
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D">La situación nosotros la hemos identificado bajo los siguientes casos:</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"> </span></p>
<p class="MsoListParagraph" style="text-indent:-18.0pt"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"><span style="">-<span style="font:7.0pt "Times New Roman"">         
</span></span></span><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D">Modems/CPEs xDSL : equipos que vienen con firmwares donde presenta un dns-proxy (orientado a la lan) a través de su interfaz wan, por ende el atacante dirige
 las consultas a la ip wan del cpe y este las redirecciona a los servidores recursivos del proveedor.</span></p>
<p class="MsoListParagraph" style="text-indent:-18.0pt"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"><span style="">-<span style="font:7.0pt "Times New Roman"">         
</span></span></span><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D">Servidores DNS de clientes: Clientes que presentan un servidor DNS a internet, donde no tienen limitada la recursividad a un segmento de red en específico
 (open resolver) por lo cual el atacante externo dirige las consultas a la ip del servidor del cliente y este hace forwarding de las consultas a los servidores recursivos del proveedor.</span></p>
<p class="MsoListParagraph" style="text-indent:-18.0pt"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"><span style="">-<span style="font:7.0pt "Times New Roman"">         
</span></span></span><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D">DVR: Hemos detectado una cantidad considerable de equipos DVR que clientes dejan expuestos a internet (sin filtro alguno de acceso a ninguno de sus puertos)
 donde un atacante externo ha tomado control del equipo y lo utiliza para generar trafico dns a una zona externa utilizando los servidores recursivos del proveedor.</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"> </span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D">Pensando en el impacto al cliente que se hace parte del ataque, nosotros hemos equipos trabajando de manera errática por alto consumo de recursos y saturación
 del enlace del cliente .</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"> </span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D">Saludos</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D">Roberto</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"> </span></p>
<p class="MsoNormal"><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"> </span></p>
<p class="MsoNormal"><b><span lang="ES" style="font-size:10.0pt; font-family:"Tahoma","sans-serif"">De:</span></b><span lang="ES" style="font-size:10.0pt; font-family:"Tahoma","sans-serif""> LACNOG [mailto:lacnog-bounces@lacnic.net]
<b>En nombre de </b>Ivan Chapero<br>
<b>Enviado el:</b> martes, 18 de noviembre de 2014 17:42<br>
<b>Para:</b> Latin America and Caribbean Region Network Operators Group<br>
<b>Asunto:</b> Re: [lacnog] DNS RPZ</span></p>
<p class="MsoNormal"> </p>
<div>
<div>
<p class="MsoNormal"><span style="font-family:"Tahoma","sans-serif"; color:black">Roberto,</span></p>
</div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="font-family:"Tahoma","sans-serif"; color:black">sumado al patrón que indicas lo que estuve observando es mucha rotación de dominios numéricos, pero mayormente sobre .com. (sin caer en subniveles).</span></p>
</div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="font-family:"Tahoma","sans-serif"; color:black">Lo que me resulta muy notorio es como el % de este tipo de consultas basura fue creciendo desde la red de abonados, por lo menos aquí a principios
 de 2014. Adjunto una gráfica del recursor de un pequeño ISP donde se aprecia que mas del 20% de respuestas son del tipo SERVFAIL o NXDOMAIN.</span></p>
</div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="font-family:"Tahoma","sans-serif"; color:black">Me pongo a pensar, las implicaciones que puede llegar a tener a nivel recursos en un pequeño routersito hogareño que corre de fondo dnsmasq o similar
 para cachear consultas. Algún tipo de degradación debe presenciarse en el equipo esta rotación tan persistente.</span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-family:"Tahoma","sans-serif"; color:black">Slds!</span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-family:"Tahoma","sans-serif"; color:black"> </span></p>
</div>
</div>
<div>
<p class="MsoNormal"> </p>
<div>
<p class="MsoNormal">El 18 de noviembre de 2014, 15:23, Roberto Alvarado <<a href="mailto:ralvarado@gtdinternet.com" target="_blank">ralvarado@gtdinternet.com</a>> escribió:</p>
<div>
<div>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D">Les puedo comentar que nosotros ya tenemos una base de datos de 1480 dominios víctimas de ataques de recursividad, donde se les genera trafico dns
 solo con el objeto de generar un ddos contra sus ns autoritativos.</span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"> </span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D">Se tienen que ir fijando en que las consultas son $string.dominio.tld o $string.subnivel.dominio.tld , básicamente es para evitar el ttl negativo
 y forzar a consultar insistentemente a los ns del dominio atacado.</span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"> </span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"> </span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D">Si alguien se suma podemos hacer algo más colaborativo y publicarlo, en algún momento en la única parte donde vi información relacionada a los dominios
 de destino fue en <a href="http://dnsamplificationattacks.blogspot.com/" target="_blank">
http://dnsamplificationattacks.blogspot.com/</a> , pero lamentablemente la información no se actualiza a menudo.</span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"> </span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D">Saludos</span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D">Roberto</span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"> </span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"> </span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"> </span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"> </span></p>
<p class="MsoNormal" style=""><span style="font-size:11.0pt; font-family:"Calibri","sans-serif"; color:#1F497D"> </span></p>
<p class="MsoNormal" style=""><b><span lang="ES" style="font-size:10.0pt; font-family:"Tahoma","sans-serif"">De:</span></b><span lang="ES" style="font-size:10.0pt; font-family:"Tahoma","sans-serif""> LACNOG [mailto:<a href="mailto:lacnog-bounces@lacnic.net" target="_blank">lacnog-bounces@lacnic.net</a>]
<b>En nombre de </b>Ivan Chapero<br>
<b>Enviado el:</b> martes, 18 de noviembre de 2014 13:54<br>
<b>Para:</b> Latin America and Caribbean Region Network Operators Group<br>
<b>Asunto:</b> Re: [lacnog] DNS RPZ</span></p>
<div>
<div>
<p class="MsoNormal" style=""> </p>
<div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Tahoma","sans-serif"; color:black">Ariel,</span></p>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Tahoma","sans-serif"; color:black"> </span></p>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Tahoma","sans-serif"; color:black">¿Algo como esto: <a href="https://www.malwarepatrol.net/" target="_blank">https://www.malwarepatrol.net/</a> ?... pero sin licencia de uso digamos... tampoco encontré
 :(</span></p>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Tahoma","sans-serif"; color:black"> </span></p>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Tahoma","sans-serif"; color:black">Slds!</span></p>
</div>
</div>
<div>
<p class="MsoNormal" style=""> </p>
<div>
<p class="MsoNormal" style="">El 18 de noviembre de 2014, 13:00, Ariel Weher <<a href="mailto:ariel@weher.net" target="_blank">ariel@weher.net</a>> escribió:</p>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Courier New"">Estimados:</span></p>
<div>
<p class="MsoNormal" style=""> </p>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Courier New"">Últimamente ando muy preocupado por el uso que se hace de los servidores DNS privados.</span></p>
</div>
<div>
<p class="MsoNormal" style=""> </p>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Courier New"">Más allá de los habituales ataques que se reciben, que pueden ser mitigados con recursividad por IP de origen o RRL, hay muchas consultas que se hacen hacia dominios "dudosos" como ser por
 ejemplo:</span></p>
</div>
<div>
<p class="MsoNormal" style=""> </p>
</div>
<div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Courier New"">Dominio                 % total</span></p>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Courier New"">======================= =======</span></p>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Courier New""><a href="http://mgouwlwlokfl.dns-ve.net" target="_blank">mgouwlwlokfl.dns-ve.net</a> 0.2</span></p>
</div>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Courier New""><a href="http://game776.com" target="_blank">game776.com</a>             0.5</span></p>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Courier New""><a href="http://www.www.game918.com" target="_blank">www.www.game918.com</a>     0.7</span></p>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Courier New""><a href="http://www.server.cn" target="_blank">www.server.cn</a>           0.3</span></p>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Courier New""><a href="http://www.163.com" target="_blank">www.163.com</a>             0.4</span></p>
</div>
<div>
<p class="MsoNormal" style=""> </p>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Courier New"">Un feature interesante sería habilitar DNS RPZ en nuestros resolvers, pero no pude encontrar un feed de información open (léase grátis) para sacar la información de los dominios que se deben
 reescribir o filtrar.</span></p>
</div>
<div>
<p class="MsoNormal" style=""> </p>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Courier New"">Engancho este tema con la idea de Alex Ojeda en el último BOF en donde se contó que ellos mantenían una base de datos de IPs/ASN/Dominios usados para realizar ataques.</span></p>
</div>
<div>
<p class="MsoNormal" style=""> </p>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Courier New"">Si alguien quiere aportar algo al tema, bienvenido.</span></p>
</div>
<div>
<p class="MsoNormal" style=""> </p>
</div>
<div>
<p class="MsoNormal" style=""><span style="font-family:"Courier New"">Cordiales saludos.</span></p>
</div>
<div>
<p class="MsoNormal" style=""> </p>
</div>
<div>
<p class="MsoNormal" style=""> </p>
</div>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><br>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">
https://mail.lacnic.net/mailman/options/lacnog</a></p>
</div>
<p class="MsoNormal" style=""><br>
<br clear="all">
</p>
<div>
<p class="MsoNormal" style=""> </p>
</div>
<p class="MsoNormal" style="">-- </p>
<div>
<div>
<p class="MsoNormal" style=""><b>Ivan Chapero<br>
<span style="color:#666666">Área Técnica y Soporte</span></b><span style="color:#666666">
<br>
Fijo: 03464-470280 (interno 535)</span> | <span style="color:#666666">Móvil:  03464-155-20282</span>  | <span style="color:#666666">Skype ID: ivanchapero</span></p>
<div>
<p class="MsoNormal" style=""><span style="color:#666666">--</span></p>
<p class="MsoNormal" align="center" style="text-align:center"><span style="color:#666666">GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina</span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><br>
<br>
<br>
<br>
<br>
</p>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><br>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">
https://mail.lacnic.net/mailman/options/lacnog</a></p>
</div>
<p class="MsoNormal"><br>
<br clear="all">
<br>
-- </p>
<div>
<div>
<p class="MsoNormal"><b>Ivan Chapero<br>
<span style="color:#666666">Área Técnica y Soporte</span></b><span style="color:#666666">
<br>
Fijo: 03464-470280 (interno 535)</span> | <span style="color:#666666">Móvil:  03464-155-20282</span>  | <span style="color:#666666">Skype ID: ivanchapero</span></p>
<div>
<p class="MsoNormal"><span style="color:#666666">--</span></p>
<p class="MsoNormal" align="center" style="text-align:center"><span style="color:#666666">GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina</span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><br>
<br>
<br>
<br>
<br>
<br>
</p>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</body>
</html>