1 puntos por GN⁺ 2024-06-01 | 1 comentarios | Compartir por WhatsApp
  • Aunque la URL es the-pumpkin-eclipse, el cuerpo proporcionado no corresponde a un artículo sobre un eclipse de calabaza, sino a una página hub de blog y noticias de Lumen Technologies
  • El artículo destacado superior se centra en la necesidad de una red programable, escalable y segura en un contexto en el que la IA está cambiando la forma en que operan las empresas
  • El plan de adquisición de Alkira por parte de Lumen se presenta como un ejemplo de cómo preparar el plano de control necesario para la conectividad cloud de próxima generación
  • Otros contenidos destacados continúan con redes programables, el uso de Lumen y Zoom AI por parte de Bank of Tennessee, y un caso de soporte de conectividad para eventos globales de AWS
  • Las secciones de noticias recientes y exploración ofrecen noticias corporativas, como ofertas de intercambio, ascensos ejecutivos y resultados de ofertas públicas de adquisición, junto con filtros por tema, industria y servicio

Naturaleza real de la página proporcionada

  • El cuerpo corresponde a una página de hub de blog y noticias de Lumen Technologies, que reúne innovación tecnológica, estrategia y experiencia relacionadas con la transformación digital y la preparación para la IA
  • La estructura de la página se divide en contenidos destacados, noticias recientes y un área de exploración de contenidos
  • Aunque la ruta original de la URL es the-pumpkin-eclipse, el cuerpo proporcionado no contiene contenido real de un artículo sobre un eclipse de calabaza

Flujo de contenidos destacados

Noticias recientes

Filtros de exploración de contenidos

  • Los filtros por tema incluyen Application Protection, Customer Success, Data Center, DIA, Ransomware, SD WAN, API, Artificial Intelligence, Cloud Computing, DDoS Protection, SASE, ZTNA, entre otros
  • Los filtros por industria ofrecen Manufacturing, State and Local Government, Technology, Defense Intelligence, Federal Government, Education, Gaming, Healthcare, Retail, Financial Services, Public Safety, entre otros
  • Los filtros por servicio se componen de Infrastructure services, Connectivity services, Security services, Communication services y Media Entertainment

1 comentarios

 
GN⁺ 2024-06-01
Opiniones de Hacker News
  • Estaría bien poder interceptar la línea de habilitación de escritura del chip flash que contiene el firmware para bloquear actualizaciones, y eliminar con un reinicio diario toda la basura que solo reside en memoria
    Era una técnica que se usaba en receptores satelitales hace 20 años, y quizá ahora haya que tratar a todos los equipos conectados a internet como vulnerables a medidas de respuesta electrónicas similares
    Al menos en mis equipos, me gustaría monitorear si hubo una actualización y que se encienda un indicador cuando ocurra, para saber si fue algo legítimo o no

    • Esta es una situación imposible de ganar. Bloquear las actualizaciones de firmware habría detenido este ataque, pero también impediría los parches de seguridad que evitan que el router termine formando parte de una botnet
      Lo que no entiendo en este caso es por qué no se podía restaurar el dispositivo a su estado original. Si es posible destruir por completo todo el firmware, incluso el respaldo, entonces parece un mal diseño
    • Había un proyecto de hardware abierto de emulación de tarjeta SD que podía rechazar escrituras: https://github.com/racklet/meeting-notes/blob/main/community...
      También hay una emulación de código abierto para flash SPI: https://trmm.net/Spispy/
      Algunas memorias USB (Kanguru) y gabinetes SSD (ElecGear M.2 2230 NVME) pueden bloquear escrituras mediante firmware e interruptores físicos, lo que resulta útil para arrancar una live ISO personalizada que corre desde RAM
    • Desde la perspectiva de quienes usábamos tarjetas HU del mercado negro, DirecTV fue en realidad un caso de amenaza persistente avanzada. Nunca lo había pensado así
    • No sé mucho de las soluciones DSL para consumo, pero en los cable módems el firmware y la configuración los administra el CMTS. Esto se debe a que, cuando cambian la tecnología y la configuración del headend, puede ser necesario modificar también el lado del cliente para que siga funcionando
      A medida que se actualizan y mantienen la planta de cable y los equipos del headend, cambian cosas como el plan de frecuencias y las velocidades de señal, así que la configuración es bastante dinámica
      Si intentas bloquear la habilitación de escritura del EEPROM, probablemente termines haciendo que falle el aprovisionamiento del módem
    • Se le podría llamar “malware de primera parte
  • Al artículo le faltan detalles interesantes. Me pregunto cómo entraron, si estos routers traen puertos y servicios abiertos por defecto y si responden de forma significativa en internet
    ¿No se podrían comparar distintas versiones del firmware?
    Parece que usan el enfoque común de montar el SDK del proveedor sobre OpenWrt: https://forum.openwrt.org/t/openwrt-support-for-actiontec-t3...
    Lo interesante es que se especula con que el proveedor pudo haber enviado una actualización maliciosa o defectuosa: https://www.reddit.com/r/Windstream/comments/17g9qdu/solid_r...
    Si fue así, ¿por qué no hubo un anuncio oficial del ISP? Si fue un ataque, ¿no debería haber una investigación? No sé cómo se manejan estas cosas en EE. UU., pero realmente se ve extraño
    Tal vez estos equipos estaban infectados por bots y el proveedor les envió una actualización que terminó arruinándolos a todos
    O quizá, como dice el artículo, fue un ataque coordinado que incluso incluyó ransomware, y a todos simplemente les dijeron “es una actualización de firmware defectuosa, mantengan la calma”
    Desde la perspectiva del cliente, eso también es bastante malo, porque uno quiere saber si hubo un incidente de seguridad
    Me pregunto si hay imágenes del firmware de estos dispositivos o enlaces con información más detallada

    • Puede ser correcto asumir que la decisión del ISP de no hacer un anuncio oficial se basó en los hallazgos de la investigación
      También me pregunto cuánto del costo de reemplazo cubrirá el seguro. Probablemente nada, y entonces el ISP estaría asumiendo un riesgo serio para la continuidad del negocio. Esa sería otra razón para no anunciarlo
  • Dice que “Lumen identificó más de 330 mil direcciones IP únicas que se comunicaron con uno de los 75 nodos C2 observados”, pero ¿cómo sabe la telemetría remota global de Black Lotus Labs qué IP se comunicó con cuál si no controla ninguno de los dos extremos? ¿Quién está guardando esos logs de tráfico y qué exactamente se está guardando?
    Si ellos pueden hacerlo, me gustaría que me volvieran a explicar por qué Tor es seguro. Ya saben, esa explicación de que es imposible seguir los paquetes desde mi equipo pasando por los saltos de onion routing hasta el nodo de salida, y que en el nodo de salida esos mismos paquetes se ven sin cifrar

    • Tengo un amigo que trabaja en Black Lotus, y puede que incluso haya escrito este artículo. Black Lotus forma parte de Lumen, y Lumen es uno de los mayores operadores de tráfico backbone del mundo, incluyendo a Level3 y CenturyLink
      Una proporción enorme del tráfico mundial pasa por su red, así que probablemente sí puedan observar directamente el tráfico y sus indicadores
    • Bastante deprimente. ¿Eso significa que de una forma u otra es prácticamente imposible evitar la huella de IP? ¿Ni siquiera con Tor o máquinas virtuales? ¿Que, a menos que poseas directamente el servidor físico, al final no queda más que confiar en el operador?
    • Esta es una función bastante estándar en routers de backbone. De todos modos, el hardware tiene que parsear los encabezados TCP, y los endpoints comunes se pueden rastrear con estado O(1)
      Claro, en el otro extremo está el caso de la NSA conectando taps a enlaces centrales de internet para registrar todo lo posible y guardarlo para siempre
    • Probablemente Windstream registra el tráfico de sus clientes de manera rutinaria. Puede que sea metadata (NetFlow/sFlow/IPFIX, etc.), pero igual, para tener esta información hay que registrarla y conservarla
      Ojalá esto esté claramente especificado en los términos del contrato de Windstream
    • La idea es que Tor protege porque antes de salir pasa por varios nodos y el tráfico se mezcla. Si tienes la mayoría o todos los nodos dentro de la red y puedes analizar el tráfico, quizá sí puedas identificar algunos flujos
      Aun así, cuanto más tráfico maneje un nodo, más difícil se vuelve
      Un método más simple es simplemente operar un nodo de salida.[1]
      1: https://en.wikipedia.org/wiki/Tor_(network)#Exit_node_eavesd...
  • Desde hace algunos años compré una pequeña caja x86 con NIC dual y corro OpenWRT. Es de código abierto, tiene mucho soporte, una buena comunidad y también soporta WireGuard.
    La versión más reciente incluso puede ejecutar contenedores Docker.

    • Pero en este caso se trata de un módem DSL. En algún punto, del lado WAN tiene que haber una interfaz que conecte la red, ya sea DSL, coaxial o fibra.
      Incluso un adaptador DSL para ranura PCIe es básicamente un sistema tipo stick; solo le falta la carcasa, pero tiene todas las funciones y bugs de un “router”.
    • Lo afectado fue el módem, así que OpenWRT no habría ofrecido protección.
    • Uso una vieja placa PC Engines con OpenBSD, y durante unos 8 años ha funcionado sorprendentemente sin problemas.
    • “La versión más reciente incluso puede ejecutar contenedores Docker”; qué podría salir mal...
  • Si metes una puerta trasera en 600 mil routers y en uno de los parches introduces un bug de firmware, pasa esto.
    ¿No podían haber desplegado las actualizaciones por etapas? Parece que los creadores y usuarios del malware son demasiado geniales como para aceptar prácticas operativas estándar.

    • Solo que sus presiones económicas son distintas. El hardware que se convierte en ladrillo no es el suyo, y además es poco probable que tengan que rendir cuentas.
  • No entiendo qué significa el título del artículo.

    • Este ataque ocurrió unos días antes de Halloween de 2023, así que lo de “calabaza” vendrá por ahí, y quizá la gran reducción en la cantidad de dispositivos conectados a Internet se parece a cómo un eclipse trae oscuridad de repente.
      Es solo mi interpretación, pero yo también creo que el título es confuso.
    • ¿Hace unas horas no tenía un título más fácil de entender?
  • Para quienes se confundieron por el título: no se trata de un router de 600 mil dólares, sino de 600 mil routers pequeños individuales que fueron destruidos.

  • Si HN tuviera puntos de karma, quizá podrían darle más al usuario que mejoró el pésimo título clickbait original.
    Aquí se está usando tiempo presente para un incidente de octubre del año pasado.

    • También podrían quitar puntos a publicaciones con títulos que parecen incitar a causar daño.
  • Artículo relacionado de Ars Technica: https://arstechnica.com/security/2024/05/mystery-malware-des...

    • Eso está más cerca de ser una reescritura del artículo original que un artículo relacionado. No aporta detalles propios.
  • Compré una computadora tipo appliance de red para mi red doméstica. Básicamente es un i3 común con soporte VT-x, gabinete fanless y 4 NIC de 2.5GiB.
    Instalé una distribución Linux estable que recibe actualizaciones automáticas de seguridad regulares tanto en el host como en la VM, y asigné 3 de las NIC a esa VM mediante mapeo de dispositivos. La NIC restante no está conectada a nada, salvo cuando quiero entrar al host por SSH.
    Dentro de la VM manejo el firewall y el enrutamiento con UFW y Shorewall. Si quiero ajustar algo, simplemente entro por SSH a esa VM. También tengo snapshots del disco de la VM para poder volver fácilmente a un estado bueno y conocido si cometo un error.
    También compré varios puntos de acceso WiFi comerciales más baratos y los distribuí por la casa, configurando los canales para minimizar la interferencia.
    Antes había usado muchas veces productos de red de Apple, Google y ASUS, pero todos tuvieron problemas de rendimiento y estabilidad. Por ejemplo, durante reuniones de Zoom se cortaban paquetes de forma aleatoria durante 3 a 5 segundos, lo cual era desesperante.
    Desde que armé esto por mi cuenta no he tenido ningún problema, está configurado de forma segura y además tengo más confianza en que recibe las actualizaciones de seguridad pertinentes. En resumen, salvo que una gran parte del mundo que usa la misma distribución Linux estable y conocida tenga problemas al mismo tiempo, mi red doméstica tampoco los tendrá.

    • Este ataque afectó al módem, así que incluso con un hardware tan elegante, igual te habrías quedado sin Internet.
    • Lo pregunto por curiosidad: me gustaría saber qué computadora tipo appliance de red compraste.