Header Ads

Ultrasurf compromete IPs de Google y otros sitios

Update Mar 02/2016
La archifamosa aplicación Ultrasurf, muy usada (al igual que TOR) para burlar las restricciones de los Firewalls, logró hacerse con varias IPs registradas a nombre de Google y Amazon, con el objeto de evitar los Firewalls que usan barreras de filtrado por validación de IPs.
La primera denuncia conocida ante Google la realizó el Ingeniero José Monroy, de México, en el foro de Google el 4 de enero del 2014, sin que recibiera respuesta y sin dar detalles de la supuesta suplantación.
El 2 de Mayo, Sergio, un usuario de nuestro blog, alertó sobre esta situación en nuestro post Firewall III mostrando las primeras evidencias y reportando algunas IPs comprometidas.
Maravento Studio realizó un análisis preliminar, escaneando los rangos de IPs de Google y de otras empresas, mientras corría la aplicación Ultrasurf, y luego determinando la propiedad de las IPs afectadas en IP Adrdress Lockup y Whois Lockup
La prueba arrojó que todas las IPs que utilizó Ultrasurf para conectarse a sus servidores están registradas a nombre de Google, Amazon y otros proveedores.
Aún no sabemos con exactitud la totalidad de las IPs comprometidas ni los servicios de Google y Amazon afectados. En los días sucesivos continuaremos haciéndole seguimiento a las conexiones que realiza esta aplicación, revisando los logs.
Hasta el momento, hemos detectado las siguientes IPs:
BLACKLIST ULTRASURF
# Ultrasurf
# Last Update: Jun 11 2014
#
# Google
74.125.21.0/24
74.125.137.141
74.125.196.0/24
74.125.229.0/24
173.194.37.0/24
216.58.219.0/24
# Amazon
54.231.1.64
54.231.0.24
103.246.148.0/24
176.32.101.9
176.32.97.234
203.83.220.249
205.251.243.170
# Facebook
31.13.73.145
# Akamai
23.1.112.60
23.32.209.40
# Microsoft
168.61.160.96
IMPORTANTE: NO INTENTE BLOQUEAR ESTAS IPS, YA QUE SI LO HACE, BLOQUEARÍA SERVICIOS ESENCIALES DE GOOGLE Y OTROS SITIOS
Este método de conexión que utiliza Ultrasurf es solamente con las versiones 13x y 14x. En versiones anteriores, Ultrasurf se conecta directamente a sus servidores, por tanto es fácil bloquearlo con una regla iptables por validación de ips https.

FICHA TÉCNICA:
Lugar: Colombia y Perú
Last Update: Jun 11/2014
Target: Ultrasurf
Tools: Socketsniff, WindumpWireshark, Tcpdump
Serv: Ubuntu 12.04.03 LTS x64, Debian 7.4 x86
SO Desktop: Windows 7 SP1 x64/Windows XP SP3
Evidencias: Socketsniff, Windump
Notificación: Google Security y Amazon (vía chat)
Respuestas de Google Security: 2da 3ra
Respuesta de Amazon: vía chat

Actualización (Junio 11/2014)
Ultrasurf compromete más Ips de Google y Amazon y mejora su método de conexión con las versiones 14x. La app Socketsniff ya no sirve para hacer seguimiento, por tanto se recomienda Wireshark/tcpdump.
Se detecta que durante la conexión, Ultrasurf baja un certificado de Google Internet Authority
Google niega que sea una vulnerabilidad (vea respuestas de Google Security arriba) y no responden a la pregunta: ¿Por qué Ultrasurf establece conexión 443 con IPs registradas a nombre de Google Inc?

Actualización (Jun 12/2014)
Si utiliza un proxy no-transparente puede mitigar este problema, ya que Squid controla el 443.
Algunos portales (AQUI y AQUI) sugieren redireccionar las peticiones https al Squid en un proxy transparente. Ejemplo:
iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24  --dport 443
-i eth1 -j REDIRECT --to-port 3128
o
iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 443 -j REDIRECT --to-port 3128
NO INTENTE HACER ESTO, ya que fallan las conexiones y desencadenaría un MITM (Lea FAQ)
Tenga presente que Ultrasurf elimina la configuración manual del proxy en sus navegadores y pone la suya (127.0.0.1:9666).

Actualización (Jun 21/2014)
Hemos creado una regla en el iptables que impide bloquea Ultrasurf v13x y v14x. Para mayor información visite el post Firewall

Actualización (Ene 15/2015) 
Inicialmente cuando salió esta publicación, todo apuntaba a un secuestro de ips y así se publicó. Luego de varios reclamos que le hicimos al equipo de seguridad de google (los enlaces están publicados en el post) nos percatamos que Ultrasurf hacía uso de certificados de autoridad de Google (Google Internet Authority G2) para establecer comunicación.
En otras palabras, Google permite esto, por tanto ya no puede hablar de "secuestro o suplantación" de ips.
Por tal razón hemos corregido el título del post y reemplazamos el término "ips secuestradas" por "ips comprometidas" (ya que no conocemos exactamente cuál es la naturaleza de la relación entre Ultrasurf, Google y otros proveedores y sitios "comprometidos").
Es importante aclarar que este problema es anterior al 2014, sin embargo en lo que concierne a nuestra publicación, la primera denuncia ante Google que tengamos conocimiento se realizó en el foro de Google en Enero del 2014.

Actualización (Ene 6/2016) 
En el post Firewall (y ampliado en el post Powerless), ofrecimos una solución para bloquear estos anonimizadores, basada en una regla de iptables con bloqueo string, sin embargo debemos aclarar que (en el caso de proxy transparente) se deben utilizar técnicas adicionales, tales como el cierre de algunos puertos (443, 21, etc, solo permitir la comunicación a DNS específicos por el puerto UDP 53) y bloquear algunos rangos de ips (con ipset preferentemente)
Tenga en cuenta que la versión Ultrasurf 15.02 (y superiores) utilizan un certificado de seguridad Google Internet Authority G2, (puede descargarlo AQUI) para establecer su enlace, por tanto bloquear por string (valor hex) esta conexión o bloquear este certificado, implicaría bloquear también los servicios de Google que lo usan, como gmail, etc.
Por lo anterior, no hay una solución única para frenar ultrasurf, sino un conjunto de medidas. Se recomienda el uso de servidores proxy no-transparentes.

Actualización (Mar 03/2016)
Hemos creado un proyecto gratuito para filtrar aplicativos anonimizadores, como Ultrasurf, entre otros. Visite Blackstring
Con la tecnología de Blogger.