Un experto interceptó el tráfico de Windows.com mediante bitsquatting

Expert intercepted windows.com traffic

Un experto independiente conocido como Remy descubrió que los dominios de Microsoft no estaban protegidos contra bitsquatting e interceptaron el tráfico de windows.com..

El experto realizó sus experimentos utilizando el ejemplo del dominio windows.com, que puede girar, por ejemplo, en windnws.com o windo7s.com en caso de un pequeño cambio.

El término Bitsquatting Se refiere a un tipo de ciberocupación que sugiere el uso de diferentes variaciones de dominios legítimos. (generalmente 1 un poco diferente al original).

El uso de dominios con bits en cuclillas generalmente ocurre automáticamente cuando se realiza una consulta DNS desde la computadora en la que se invirtieron los bits..

La base de esta investigación se basa en el hecho de que toda la información es esencialmente ceros y unos., y lo mismo ocurre con los dominios. Como tú sabes, Los bits pueden volcarse (0 se convierte en 1 o viceversa), respondiendo a la radiación cósmica, fluctuaciones en el poder, temperatura, etcétera. Además, en a 2010 estudiar, ya se descubrió que en una computadora con 4 GB de RAM hay un 96% posibilidad de que el bit se voltee en tres días.

Ahora, supongamos que la computadora se calienta demasiado, hay una llamarada solar, o un rayo cósmico (algo muy real) voltea los bits en la computadora. Oh, no! Ahora, whndows.com se almacena en la memoria, no windows.com! ¿Qué sucede cuando llega el momento de conectarse a este dominio?? El dominio no coincide con la dirección IP. escribe remy.

Como resultado, Remy compiló una lista de dominios que pueden formarse debido a bits invertidos. Encontró 32 nombres de dominio válidos, 14 de los cuales no estaban registrados y estaban disponibles para su adquisición.

Experto interceptó tráfico de windows.com

Este es un caso extraño ya que generalmente, empresas como Microsoft compran dichos dominios para evitar que los phishers los utilicen. Entonces los compré. Todo. Por alrededor $ 126.dice el investigador.

Dominios comprados por Rami:

  • windnws.com
  • windo7s.com
  • windkws.com
  • windmws.com
  • winlows.com
  • windgws.com
  • wildows.com
  • ventanas.com
  • wijdows.com
  • wiodows.com
  • esposas.com
  • whndows.com
  • www.wkndows.com
  • www.wmndows.com

Quizás este problema pueda parecer puramente teórico., pero los expertos en seguridad de la información han informado repetidamente sobre la aplicación práctica exitosa de tales ataques.. Por ejemplo, en sombrero negro 2011, hubo una charla titulada «Secuestro de DNS por ocupación de bits sin explotación», en el que el investigador habló de cómo capturó 31 variantes para ocho dominios legítimos de varias organizaciones. y en promedio, contó 3434 consultas DNS diarias a esos dominios.

Ahora Remy ha hecho lo mismo con windows.com. Además del tráfico destinado a windows.com, el investigador pudo interceptar el tráfico UDP destinado a time.windows.com y el tráfico TCP destinado a varios servicios de Microsoft., incluidos los servicios de notificaciones push de Windows (WNS) y SkyDrive (anteriormente OneDrive).

No sorprende que el servicio NTP, que se ejecuta en todas las máquinas con Windows del mundo con una configuración predeterminada usando time.windows.com, genera el mayor tráfico de bits invertidos. Pero todavía tenía mucho tráfico.»remy escribe.

El investigador escribe que la posibilidad de hacer beatsquatting es un signo muy preocupante porque, De este modo, Los atacantes pueden crear muchos problemas para la seguridad de las aplicaciones..

Además del tráfico generado por los bits invertidos, Remy descubrió que muchas solicitudes parecían provenir de usuarios que ingresaron nombres de dominio incorrectos.. Sin embargo, no es posible entender exactamente qué porcentaje de solicitudes se originan debido a errores tipográficos:

Desgraciadamente, debido a beatsquatting, no hay manera de verificar que no sean errores ortográficos. La única información disponible para la investigación es la que se envía junto con la solicitud. (por ejemplo, el encabezado de referencia y otros encabezados).

El experto ofrece varias formas de defenderse de los ataques de bitsquatting. Por ejemplo, las empresas pueden registrar dominios que se pueden utilizar para bitquatting. Este es el caso más frecuente. Por ejemplo, time.apple.com está protegido contra este tipo de ataques, a diferencia de time.windows.com. Rami también menciona la memoria ECC, que puede ayudar a proteger computadoras y dispositivos móviles del problema del cambio de bits.

Representantes de Microsoft le dijo a los medios Que ellos son «Conocer las técnicas de ingeniería social que se pueden utilizar para dirigir a los clientes a sitios maliciosos.» y aconsejó a los usuarios que «tenga cuidado al seguir enlaces, abriendo archivos desconocidos, o aceptar transferencias de archivos.»

Permítanme recordarles que recientemente el experto contó cómo hackeó una central nuclear.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *